A BÍRÓSÁG ÍTÉLETE (nagytanács)
2020. október 6.(*)
„Előzetes döntéshozatal – A személyes adatok kezelése az elektronikus hírközlési ágazatban – Elektronikus hírközlési szolgáltatók – A forgalmi és a helymeghatározó adatok általános és különbségtétel nélküli továbbítása – A nemzetbiztonság védelme – 2002/58/EK irányelv – Hatály – Az 1. cikk (3) bekezdése és a 3. cikk – Az elektronikus közlések titkossága – Védelem – 5. cikk és a 15. cikk (1) bekezdése – Az Európai Unió Alapjogi Chartája – 7., 8. és 11. cikk, valamint az 52. cikk (1) bekezdése – Az EUSZ 4. cikk (2) bekezdése”
A C‑623/17. sz. ügyben,
az EUMSZ 267. cikk alapján benyújtott előzetes döntéshozatal iránti kérelem tárgyában, amelyet az Investigatory Powers Tribunal (nyomozati jogköröket vizsgáló bíróság, Egyesült Királyság) a Bírósághoz 2017. október 31‑én érkezett, 2017. október 18‑i határozatával terjesztett elő
a Privacy International
és
a Secretary of State for Foreign and Commonwealth Affairs,
a Secretary of State for the Home Department,
a Government Communications Headquarters,
a Security Service,
a Secret Intelligence Service
között folyamatban lévő eljárásban,
A BÍRÓSÁG (nagytanács),
tagjai: K. Lenaerts elnök, R. Silva de Lapuerta elnökhelyettes, J.‑C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb és L. S. Rossi tanácselnökök, J. Malenovský, L. Bay Larsen, T. von Danwitz (előadó), C. Toader, K. Jürimäe, C. Lycourgos és N. Piçarra bírák,
főtanácsnok: M. Campos Sánchez‑Bordona,
hivatalvezető: C. Strömholm tanácsos,
tekintettel az írásbeli szakaszra, valamint a 2019. szeptember 9‑i és 10‑i tárgyalásra,
figyelembe véve a következők által előterjesztett észrevételeket:
– a Privacy International képviseletében B. Jaffey és T. de la Mare QC, D. Cashman solicitor, valamint H. Roy avocat,
– az Egyesült Királyság kormánya képviseletében Z. Lavery, D. Guðmundsdóttir és S. Brandon, meghatalmazotti minőségben, segítőik: G. Facenna és D. Beard QC, valamint C. Knight és R. Palmer barristers,
– a belga kormány képviseletében P. Cottin és J.‑C. Halleux, meghatalmazotti minőségben, segítőik: J. Vanpraet advocaat és E. de Lophem aavocat,
– a cseh kormány képviseletében M. Smolek, J. Vláčil és O. Serdula, meghatalmazotti minőségben,
– a német kormány képviseletében kezdetben: M. Hellmann, R. Kanitz, D. Klebs és T. Henze, később: J. Möller, M. Hellmann, R. Kanitz és D. Klebs, meghatalmazotti minőségben,
– az észt kormány képviseletében A. Kalbus, meghatalmazotti minőségben,
– az ír kormány képviseletében M. Browne, G. Hodge és A. Joyce, meghatalmazotti minőségben, segítőjük: D. Fennelly barrister,
– a spanyol kormány képviseletében kezdetben: L. Aguilera Ruiz és M. J. García‑Valdecasas Dorrego, később: L. Aguilera Ruiz, meghatalmazotti minőségben,
– a francia kormány képviseletében kezdetben: E. de Moustier, E. Armoët, A.‑L. Desjonquères, F. Alabrune, D. Colas és D. Dubois, később: E. de Moustier, E. Armoët, A.‑L. Desjonquères, F. Alabrune és D. Dubois, meghatalmazotti minőségben,
– a ciprusi kormány képviseletében E. Symeonidou és E. Neofytou, meghatalmazotti minőségben,
– a lett kormány képviseletében kezdetben: V. Soņeca és I. Kucina, később: V. Soņeca, meghatalmazotti minőségben,
– a magyar kormány képviseletében kezdetben: Koós G., Fehér M. Z., Tornyai G. és Wagner Zs., később: Koós G. és Fehér M. Z., meghatalmazotti minőségben,
– a holland kormány képviseletében C. S. Schillemans és M. K. Bulterman, meghatalmazotti minőségben,
– a lengyel kormány képviseletében B. Majczyna, J. Sawicka és M. Pawlicka, meghatalmazotti minőségben,
– a portugál kormány képviseletében L. Inez Fernandes, M. Figueiredo és F. Aragão Homem, meghatalmazotti minőségben,
– a svéd kormány képviseletében kezdetben: A. Falk, H. Shev, C. Meyer‑Seitz, L. Zettergren és A. Alriksson, később: H. Shev, C. Meyer‑Seitz, L. Zettergren és A. Alriksson, meghatalmazotti minőségben,
– a norvég kormány képviseletében: T. B. Leming, M. Emberland és J. Vangsnes, meghatalmazotti minőségben,
– az Európai Bizottság képviseletében kezdetben: H. Kranenborg, M. Wasmeier, D. Nardi és P. Costa de Oliveira, később: H. Kranenborg, M. Wasmeier és D. Nardi, meghatalmazotti minőségben,
– az európai adatvédelmi biztos képviseletében T. Zerdick és A. Buchta, meghatalmazotti minőségben,
a főtanácsnok indítványának a 2020. január 15‑i tárgyaláson történt meghallgatását követően,
meghozta a következő
Ítéletet
1 Az előzetes döntéshozatal iránti kérelem a 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel (HL 2009. L 337., 11. o.; helyesbítés: HL 2013. L 241., 9. o.) módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12 i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) (HL 2002. L 201., 37. o.; magyar nyelvű különkiadás 13. fejezet, 29. kötet, 514. o.; a továbbiakban: 2002/58 irányelv) 1. cikke (3) bekezdésének és 15. cikke (1) bekezdésének az EUSZ 4. cikk (2) bekezdésével és az Európai Unió Alapjogi Chartájának (a továbbiakban: Charta) 7. és 8. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben történő értelmezésére irányul.
2 Ezt a kérelmet az egyfelől a Privacy International, másfelől a Secretary of State for Foreign and Commonwealth Affairs (külügyminiszter és nemzetközösségi ügyek minisztere, Egyesült Királyság), a Secretary of State for the Home Departement (belügyminiszter, Egyesült Királyság), a Government Communications Headquarters (kormányzati kommunikációs központ, Egyesült Királyság, a továbbiakban: GCHQ), a Security Service (biztonsági szolgálat, Egyesült Királyság, a továbbiakban: MI5) és a Secret Intelligence Service (hírszerző szolgálat, Egyesült Királyság, a továbbiakban: MI6) között, a tömeges hírközlési adatok (bulk communications data) biztonsági és hírszerző szolgálatok általi megszerzését és felhasználását engedélyező jogszabály jogszerűsége tárgyában folyamatban lévő jogvita keretében terjesztették elő.
Jogi háttér
Az uniós jog
A 95/46 irányelv
3 A személyes adatok feldolgozása [helyesen: kezelése] vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24‑i 95/46/EK európai parlamenti és tanácsi irányelvet (HL 1995. L 281., 31. o.; magyar nyelvű különkiadás 13. fejezet, 15. kötet, 355. o.) 2018. május 25‑i hatállyal hatályon kívül helyezte a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/679 európai parlamenti és tanácsi rendelet (HL 2016. L 119., 1. o.; helyesbítés: HL 2016. L 314., 72. o.). Ezen irányelv „Hatály” című 3. cikke a következőket tartalmazza:
„(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására [helyesen: kezelésére], valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására [helyesen: kezelésére], amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) Az irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre]:
– a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: az adatkezelési] művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: adatkezelési] műveletek
– a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás [helyesen: adatkezelés].”
A 2002/58 irányelv
4 A 2002/58 irányelv (2), (6), (7), (11), (22), (26) és (30) preambulumbekezdése a következőket tartalmazza:
„(2) Ennek az irányelvnek a célja az alapvető jogok tiszteletben tartása, és ez az irányelv figyelembe veszi különösen [a Chartában] elismert elveket. Ennek az irányelvnek célja különösen [a Charta] 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása.
[…]
(6) Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.
(7) A nyilvános hírközlő hálózatok esetében különös törvényi, rendeleti és műszaki rendelkezéseket kell megállapítani a természetes személyek alapvető jogainak és szabadságainak, valamint a jogi személyek jogos érdekeinek védelme érdekében, különösen az előfizetői és felhasználói adatok automatikus tárolását és feldolgozását szolgáló növekvő kapacitásra tekintettel.
[…]
(11) A [95/46] irányelvhez hasonlóan, ez az irányelv nem szól a[z uniós] jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről. Ezáltal nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy a közbiztonság védelme, a nemzetvédelem, a nemzetbiztonság (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását), valamint a büntetőjogi szankciók végrehajtásának érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák. Következésképpen ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy jogszerűen megfigyeljék az elektronikus közléseket, vagy – ha bármely említett cél érdekében szükséges – olyan egyéb intézkedéseket hozzanak, amelyek összhangban vannak az emberi jogok és alapvető szabadságok védelméről szóló [Rómában, 1950. november 4‑én aláírt] európai egyezménynek az Emberi Jogok Európai Bírósága által hozott határozatok szerint értelmezett szövegével. Az ilyen intézkedéseknek megfelelőnek, a tervezett céllal szigorúan arányosnak és egy demokratikus társadalomban szükségesnek kell lenniük, továbbá az ilyen intézkedésekre az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel összhangban megfelelő garanciáknak kell vonatkozniuk.
[…]
(22) A közléseknek és az azokhoz kapcsolódó forgalmi adatoknak a felhasználókon kívüli személyek által történő vagy a felhasználók hozzájárulása nélkül történő tárolására vonatkozó tilalomnak nem célja, hogy ezeknek az adatoknak bármilyen automatikus, közbenső és átmeneti tárolását tiltsa, amennyiben az ilyen tárolásra kizárólag az elektronikus hírközlő hálózaton keresztül történő továbbítás céljával kerül sor, továbbá feltéve, hogy az adatot csak a továbbításhoz és a forgalomirányításhoz szükséges ideig tárolják, valamint a tárolás ideje alatt a bizalmas kezelés mindvégig garantált. Amennyiben bármilyen nyilvánosan elérhető adatnak a szolgáltatás többi jogosultjához – annak kérésére – történő hatékonyabb továbbításához szükséges, ez az irányelv nem akadályozhatja az ilyen adat hosszabb ideig történő tárolását, feltéve, hogy ez az adat mindenképpen korlátozás nélkül hozzáférhető lenne a nyilvánosság számára, valamint feltéve, hogy az ilyen adatot kérő egyéni előfizetőkre vagy felhasználókra vonatkozó minden adat törlésre kerül.
[…]
(26) Az elektronikus hírközlő hálózatokon kezelt, a csatlakozás létrejöttéhez és az adattovábbításhoz szükséges, előfizetőkre vonatkozó adatok természetes személyek magánéletére vonatkozó információkat tartalmaznak, és érintik azoknak a levéltitokhoz való jogát, illetve a jogi személyek jogos érdekeit. Az ilyen adatokat kizárólag a szolgáltatásnyújtáshoz szükséges mértékig lehet tárolni, a számlázás és az összekapcsolási díjak megfizetése céljából, és a tárolás csak korlátozott ideig tarthat. [Ezen adatok bármely további kezelése] kizárólag akkor engedélyezhető, ha a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatója az előfizetőt pontosan és teljeskörűen tájékoztatta arról, hogy milyen további adatfeldolgozást [helyesen: adatkezelést] kíván végezni, valamint arról, hogy az előfizetőnek joga van az ilyen adatfeldolgozáshoz [helyesen: adatkezeléshez] való hozzájárulást megtagadni és a hozzájárulását visszavonni, továbbá e tájékoztatás alapján az előfizető az adatfeldolgozáshoz [helyesen: adatkezeléshez] hozzájárult. A hírközlési szolgáltatások értékesítéséhez […] felhasznált forgalmi adatokat […] szintén törölni kell vagy anonimmé kell tenni.
[…]
(30) Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen. […]”
5 15 A 2002/58 irányelv „Hatály és cél” című 1. cikke a következőképpen rendelkezik:
„(1) Ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra –, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak a[z Európai Unión] belüli szabad mozgását.
(2) Ennek az irányelvnek a rendelkezései az (1) bekezdésben említett célok érdekében pontosítják és kiegészítik a [95/46] irányelvet. Rendelkeznek továbbá a jogi személyiséggel rendelkező előfizetők jogos érdekeinek védelméről.
(3) Ez az irányelv nem alkalmazható azokra a tevékenységekre, amelyek nem tartoznak az [EUMSZ] hatálya alá, – így az Európai Unióról szóló szerződés V. és VI. címe alá tartozó tevékenységekre –, valamint nem alkalmazható a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységekre, valamint a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre.”
6 Ezen irányelv „Fogalom‑meghatározások” címet viselő 2. cikke értelmében:
„Eltérő rendelkezés hiányában a [95/46] irányelvben, valamint az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások közös keretszabályozásáról szóló, 2002. március 7‑i 2002/21/EK európai parlamenti és tanácsi irányelvben (»keretirányelv«) [(HL 2002. L 108., 33. o.; magyar nyelvű különkiadás: 13. fejezet, 29. kötet, 349. o.)] szereplő fogalommeghatározásokat kell alkalmazni.
Szintén alkalmazni kell a következő fogalommeghatározásokat:
a) »felhasználó«: a nyilvánosan elérhető elektronikus hírközlési szolgáltatást magáncéllal vagy üzleti céllal használó minden természetes személy, aki nem feltétlenül előfizetője az adott szolgáltatásnak;
b) »forgalmi adat«: egy közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása vagy erre vonatkozó számlázás céljából kezelt minden adat;
c) »helymeghatározó adat«: egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat;
d) »közlés«: valamely nyilvánosan elérhető elektronikus hírközlési szolgáltatás révén megvalósított adatcsere vagy ‑továbbítás véges számú felek között. Ez nem foglalja magában az elektronikus hírközlő hálózaton keresztül műsorterjesztési szolgáltatás részeként a nyilvánosságnak továbbított adatokat, kivéve, ha az adat az azt átvevő, azonosítható előfizetőhöz vagy felhasználóhoz kapcsolható.
[…]”
7 Az említett irányelvnek „Az érintett szolgáltatások” című 3. cikke a következőképpen rendelkezik:
„Ezt az irányelvet a[z Unióban] a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”
8 A 2002/58 irányelvnek „A közlések titkossága” című 5. cikke értelmében:
„(1) A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.
[…]
(3) A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.”
9 A 2002/58 irányelv „Forgalmi adatok” című 6. cikke a következőképpen rendelkezik:
„(1) E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.
(2) Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.
(3) Az elektronikus hírközlési szolgáltatások értékesítése vagy értéknövelt szolgáltatások nyújtása céljából, a nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója az ilyen szolgáltatásokhoz, illetve értékesítéshez szükséges mértékig és ideig feldolgozhatja [helyesen: kezelheti] az (1) bekezdésben említett adatokat, amennyiben az az előfizető vagy felhasználó, akire az adat vonatkozik, az adatfeldolgozáshoz [helyesen: adatkezeléshez] előzetesen hozzájárult. A felhasználó és az előfizető a forgalmi adatok feldolgozására [helyesen: kezelésére] vonatkozó hozzájárulását bármikor visszavonhatja.
[…]
(5) A forgalmi adatoknak az (1), (2), (3), és (4) bekezdéssel összhangban történő feldolgozását [helyesen: kezelését] csak olyan személy végezheti, aki a nyilvános hírközlő hálózatokat és nyilvánosan elérhető elektronikus hírközlési szolgáltatásokat nyújtó szolgáltató irányítása alatt számlakezeléssel vagy forgalomirányítással foglalkozik, vagy ügyfélszolgálatot lát el, vagy csalások felderítésével, az elektronikus hírközlési szolgáltatások értékesítésével vagy értéknövelt szolgáltatások nyújtásával foglalkozik; ezt az adatfeldolgozást [helyesen: adatkezelést] az említett tevékenységek céljának megfelelő mértékre kell korlátozni.”
10 Ezen irányelvnek „A forgalmi adatokon kívüli helymeghatározó adatok” című 9. cikke (1) bekezdésében a következőket írja elő:
„Amennyiben nyilvános hírközlő hálózatok vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatások felhasználóival vagy előfizetőivel kapcsolatos, forgalmi adatokon kívüli helymeghatározó adatok kezelésére kerülhet sor, az ilyen adatok kizárólag akkor kezelhetők, ha anonimmé tették azokat, vagy a felhasználók, illetve előfizetők ehhez hozzájárultak, és csak olyan mértékben és időtartamig, amely az értéknövelt szolgáltatás nyújtásához szükséges. A szolgáltatónak a felhasználókat, illetve az előfizetőket a hozzájárulásuk megszerzése előtt tájékoztatnia kell a kezelni kívánt, forgalmi adatokon kívüli helymeghatározó adatok típusáról, az adatkezelés céljairól és időtartamáról, valamint arról, hogy az értéknövelt szolgáltatás nyújtása céljából az adatokat továbbítják‑e harmadik személynek. […]”
11 Az említett irányelvnek „A [95/46] irányelv egyes rendelkezéseinek alkalmazása” című 15. cikkének (1) bekezdése a következőképpen szól:
„A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a [95/46] irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a[z uniós] jog általános elveivel, beleértve az Európai Unióról szóló szerződés 6. cikkének (1) és (2) bekezdésében említetteket.”
A 2016/679 rendelet
12 A 2016/679 rendelet 2. cikke a következőképpen rendelkezik:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
[…]
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
[…]”
13 E rendelet 4. cikke a következőket írja elő:
„E rendelet alkalmazásában:
[…]
2. »adatkezelés«: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
[…]”
14 Ugyanezen rendelet 23. cikkének (1) bekezdése értelmében:
„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) az a)–e) és a g) pontban említett esetekben – akár alkalmanként – a közhatalmi feladatok ellátásához kapcsolódó ellenőrzési, vizsgálati vagy szabályozási tevékenység;
i) az érintett védelme vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.”
15 A 2016/679 rendelet 94. cikkének (2) bekezdése értelmében:
„A hatályon kívül helyezett irányelvre történő hivatkozásokat az e rendeletre történő hivatkozásnak kell tekinteni. A [95/46] irányelv 29. cikke által létrehozott, a természetes személyeknek a személyes adatok feldolgozása [helyesen: kezelése] tekintetében való védelmével foglalkozó munkacsoportra történő hivatkozást az e rendelet által létrehozott Európai Adatvédelmi Testületre történő hivatkozásnak kell tekinteni.”
Az Egyesült Királyság joga
16 A Telecommunications Act 1984 (a távközlésről szóló 1984. évi törvény) alapügy tényállására alkalmazandó változatának (a továbbiakban: 1984. évi törvény) „Nemzetbiztonsági célú ellenőrzések stb.” című 94. cikke a következőképpen rendelkezik:
„(1) A miniszter a jelen cikk hatálya alá tartozó személynek a vele folytatott egyeztetést követően a nemzetbiztonság, illetve az Egyesült Királyságon kívüli ország vagy terület kormányával fennálló kapcsolatok érdekében a miniszter által szükségesnek minősített, általános utasításokat adhat.
(2) Ha a miniszter a nemzetbiztonság, illetve az Egyesült Királyságon kívüli ország vagy terület kormányával fennálló kapcsolatok érdekében szükségesnek tartja, a jelen cikk hatálya alá tartozó személynek a vele folytatott egyeztetést követően utasítást adhat arra, hogy az utasításban meghatározott cselekményt (az adott ügy körülményei alapján) hajtsa végre vagy ne hajtsa végre.
(2A) A miniszter csak akkor adhat az (1) vagy (2) bekezdés alapján utasítást, ha úgy ítéli meg, hogy az utasításban megkövetelt magatartás arányos az azzal elérni kívánt céllal.
(3) A jelen cikk hatálya alá tartozó személynek a miniszter által e cikk alapján adott utasítást a Communications Act 2003 [távközlésről szóló 2003. évi törvény] 1. része vagy 2. részének 1. fejezete alapján rá vonatkozó bármely egyéb kötelezettség ellenére végre kell hajtania, a nyilvánosan elérhető elektronikus hírközlési hálózat szolgáltatójának adott utasítás esetében akkor is, ha az említett utasítás nem az ilyen hálózathoz való hozzáférést nyújtói minőségében vonatkozik rá.
(4) A miniszter a Parlament mindkét háza elé benyújtja az e cikk alapján adott utasítások másolatát, kivéve ha úgy ítéli meg, hogy az utasítás hozzáférhetővé tétele ellentétes lenne a nemzetbiztonság, illetve az Egyesült Királyságon kívüli ország vagy terület kormányával fennálló kapcsolatok érdekeivel, vagy valamely személy kereskedelmi érdekeivel.
(5) Az e cikknek megfelelően hozott intézkedésekre vonatkozó információkat nem lehet hozzáférhetővé tenni, és erre nem lehet jogszabályban vagy más módon sem kötelezni, ha a miniszter közölte az érintettel, hogy véleménye szerint ezen információk hozzáférhetővé tétele ellentétes lenne a nemzetbiztonság, illetve az Egyesült Királyságon kívüli ország vagy terület kormányával fennálló kapcsolatok érdekeivel, vagy valamely személy kereskedelmi érdekeivel.
[…]
(8) Ezt a cikket a[z Office of Communications (OFCOM) (hírközlési hatóság, Egyesült Királyság)] és a nyilvánosan elérhető elektronikus hírközlési hálózatok szolgáltatói tekintetében kell alkalmazni.”
17 A Regulation of Investigatory Powers Act 2000 (a nyomozati jogkörök szabályozásáról szóló 2000. évi törvény, a továbbiakban: RIPA) 21. cikkének (4) és (6) bekezdése a következőképpen rendelkezik:
„(4) [A] »hírközlési adat« az alábbi fogalmak valamelyikét jelenti:
a) bármely forgalmi adat, amelyet közlés tartalmaz vagy ahhoz kapcsolódik (függetlenül attól, hogy az a feladótól vagy mástól származik‑e), bármely postai vagy távközlési szolgáltatás keretében, olyan módon, ahogyan az továbbításra került vagy kerülhet;
b) bármely információ, amely nem tartalmazza a közlés tartalmát (kivéve az a) pontban említett információkat) és amely valamely személy részéről:
i. postai vagy távközlési szolgáltatás igénybevételének minősül; vagy
ii. a távközlési szolgáltatás vagy távközlési rendszer valamely részének bármely személy részére történő nyújtásával vagy igénybevételével kapcsolatos;
c) bármely, az a) és a b) pont alá nem tartozó olyan információ, amelyet a postai vagy távközlési szolgáltatás nyújtója a szolgáltatást igénybe vevő személlyel kapcsolatban birtokol vagy szerzett.
[…]
(6) [A] »forgalmi adat« fogalma bármely hírközlés esetén a következőket jelenti:
a) bármely adat, amely olyan személyt, készüléket vagy helymeghatározást azonosít vagy azonosításukra alkalmas, amelyhez vagy amelyről hírközlést továbbítanak vagy az továbbítható;
b) bármely adat, amely azt a készüléket azonosítja vagy kiválasztja, illetve annak azonosítására vagy kiválasztására alkalmas, amely a hírközlést továbbítja vagy továbbíthatja;
c) bármely adat, amely olyan jeleket tartalmaz, amelyek a hírközlési rendszerben hírközlés továbbítása céljából használt készülék működtetéséhez szükségesek; és
d) bármely adat, amely egyedi közlésben foglalt vagy ahhoz mellékelt adatokat, vagy egyedi közlésben foglalt vagy ahhoz mellékelt egyéb adatokat azonosít.
[…]”
18 A RIPA 65–69. cikke rögzíti az Investigatory Powers Tribunal (nyomozati jogköröket vizsgáló bíróság, Egyesült Királyság) működésére és hatásköreire vonatkozó szabályokat. A RIPA 65. cikke értelmében e bírósághoz panasszal lehet fordulni, ha felmerül a gyanú, hogy az adatot nem megfelelően szerezték be.
Az alapeljárás és az előzetes döntéshozatalra előterjesztett kérdések
19 2015 elején többek között az Intelligence and Security Committee of Parliament (a parlament hírszerzési és biztonsági bizottsága, Egyesült Királyság) jelentésében nyilvánosságra hozták a tömeges hírközlési adatoknak az Egyesült Királyság különböző biztonsági és hírszerző szolgálatai, nevezetesen a GCHQ, az MI5 és az MI6 általi gyűjtésére és felhasználására vonatkozó gyakorlatot. 2015. június 5‑én a Privacy International nevű nem kormányzati szervezet keresetet indított az Investigatory Powers Tribunal (nyomozati jogköröket vizsgáló bíróság, Egyesült Királyság) előtt a külügyminiszter és nemzetközösségi ügyek minisztere, a belügyminiszter, valamint a nevezett biztonsági és hírszerző szolgálatok ellen, vitatva e gyakorlat jogszerűségét.
20 A kérdést előterjesztő bíróság az említett gyakorlatok jogszerűségét először is a belső jogra és az emberi jogok és alapvető szabadságok védelméről szóló, Rómában, 1950. november 4‑én aláírt európai egyezmény (kihirdette: 1993. évi XXXI. törvény, a továbbiakban: EJEE) rendelkezéseire, majd az uniós jogra tekintettel vizsgálta. 2016. október 17‑i ítéletében az előterjesztő bíróság megállapította, hogy az alapeljárás alperesei elismerték, hogy az említett biztonsági és hírszerzési szolgálatok tevékenységük körében különböző kategóriákba tartozó, magánszemélyekre vonatkozó adatokat (bulk personal data) gyűjtenek és használnak fel, például életrajzi adatokat, utazásokra vonatkozó adatokat, pénzügyi vagy kereskedelmi információkat, hírközlésekkel kapcsolatos és adott esetben szakmai titok körébe tartozó, különleges adatokat, illetve újságírással kapcsolatos adatokat. Ezeket a különböző módokon, adott esetben titkos eszközökkel beszerzett adatokat az összevetés és az automatizált adatkezelés módszerével elemzik, azok más személyek és hatóságok számára is hozzáférhetővé tehetők, és külföldi partnerekkel is megoszthatók. Ennek keretében a biztonsági és hírszerző szolgálatok a nyilvánosan elérhető elektronikus hírközlési hálózatok szolgáltatóitól többek között az 1984. évi törvény 94. cikke alapján hozott miniszteri utasítások alapján gyűjtött tömeges hírközlési adatokat is felhasználnak. A GCHQ és az MI5 2001, illetve 2005 óta jár így el.
21 Az említett bíróság úgy ítélte meg, hogy ezek az adatgyűjtési és ‑felhasználási intézkedések megfelelnek a belső jognak, és 2015 óta – az említett intézkedések arányosságára és az adatok harmadik személyek részére történő továbbítására vonatkozó, még meg nem vizsgált kérdések fenntartása mellett – az EJEE 8. cikkének is. Ez utóbbi tekintetben ismertette, hogy az alkalmazandó biztosítékokra vonatkozóan bizonyítékokat terjesztettek elé, különösen a biztonsági és hírszerző szolgálatokon kívüli hozzáférési és közzétételi eljárásokat, az adatmegőrzés módjait és a független ellenőrzéseket illetően.
22 Az alapügy tárgyát képező adatgyűjtési és ‑felhasználási intézkedések uniós jogra tekintettel fennálló jogszerűségét illetően a kérdést előterjesztő bíróság 2017. szeptember 8‑i ítéletében megvizsgálta, hogy ezen intézkedések az uniós jog hatálya alá tartoznak‑e, és ha igen, összeegyeztethetők‑e azzal. Az előterjesztő bíróság a tömeges hírközlési adatokat illetően megállapította, hogy az elektronikus hírközlő hálózatok szolgáltatói az 1984. évi törvény 94. cikke értelmében ilyen értelmű miniszteri utasítás esetén kötelesek az uniós jog hatálya alá tartozó gazdasági tevékenységük keretében gyűjtött adatokat a biztonsági és hírszerző szolgálatok számára rendelkezésre bocsátani. Ez nem vonatkozott azonban a többi olyan adat gyűjtésére, amelyeket e szolgálatok ilyen kötelezési jogkörök igénybevétele nélkül szereztek be. E megállapítás alapján az előterjesztő bíróság szükségesnek ítélte, hogy kérdést intézzen a Bírósághoz annak megállapítása érdekében, hogy az ezen 94. cikkből eredőhöz hasonló rendszer az uniós jog hatálya alá tartozik‑e, és ha igen, alkalmazandók‑e rá, illetve milyen módon, a 2016. december 21‑i Tele2 Sverige és Watson és társai ítéletből (C‑203/15 és C‑698/15, a továbbiakban: Tele2 ítélet, EU:C:2016:970) eredő ítélkezési gyakorlatban előírt követelmények.
23 E tekintetben az előterjesztő bíróság előzetes döntéshozatal iránti kérelmében jelzi, hogy az említett 94. cikk szerint a miniszter az általa a nemzetbiztonság vagy külföldi kormánnyal fennálló kapcsolatok érdekében szükségesnek tartott, általános vagy konkrét utasításokat adhat az elektronikus hírközlési szolgáltatók számára. Az előterjesztő bíróság a RIPA 21. cikkének (4) és (6) bekezdésében szereplő fogalommeghatározásokra utalva pontosítja, hogy az érintett adatok magukban foglalják az ez utóbbi rendelkezés értelmében vett forgalmi adatokat, valamint az igénybe vett szolgáltatásokra vonatkozó információkat, és kizárólag a közlések tartalma van ebből a körből kizárva. Ezekből az adatokból és információkból többek között megtudható, hogy „ki, hol, mikor és hogyan” bonyolította le a közlést. Az említett adatokat továbbítják a biztonsági és hírszerző szolgálatoknak, amelyek saját tevékenységük céljából tárolják azokat.
24 Az említett bíróság szerint az alapügy tárgyát képező rendszer különbözik a 2016. december 21‑i Tele2 ítélet (C‑203/15 és C‑698/15, EU:C:2016:970) alapjául szolgáló ügyben szereplő Data Retention and Investigatory Powers Act 2014 (az adatmegőrzésről és a nyomozati jogkörökről szóló 2014. évi törvény) által kialakított rendszertől, mivel ez utóbbi rendszer nemcsak a biztonsági és hírszerző szolgálatok tekintetében, nemzetbiztonsági célból, hanem más hatóságok tekintetében, azok saját igényei alapján is előírta az adatoknak az elektronikus hírközlési szolgáltatók általi megőrzését és rendelkezésére bocsátását. Ez az ítélet egyébként bűnügyi nyomozásra, nem pedig a nemzetbiztonságra vonatkozott.
25 A kérdést előterjesztő bíróság hozzáteszi, hogy a biztonsági és hírszerző szolgálatok által létrehozott adatbázisokat tömegesen és automatizáltan, nem egyedi módon kezelik, az adatkezelés célja pedig az addig ismeretlen fenyegetések feltárása. E tekintetben e bíróság kifejti, hogy az így létrehozott metaadatoknak a lehető legteljesebbnek kell lenniük ahhoz, hogy megtalálhassák a „tűt a szénakazalban”. Az említett szolgálatok tömegesadat‑gyűjtésének és a tömeges adatokba való betekintés módszereinek hasznosságát illetően az említett bíróság különösen a David Anderson QC, az akkori United Kingdom Independent Reviewer of Terrorism Legislation (a terrorizmusról szóló jogszabályok független ellenőre, Egyesült Királyság) által 2016. augusztus 19‑én készített jelentés megállapításaira hivatkozik, aki egy hírszerzési szakértői csoport által végzett vizsgálatra, valamint a biztonsági és hírszerző szolgálatok ügynökeinek vallomásaira támaszkodott e jelentés elkészítésekor.
26 A kérdést előterjesztő bíróság azt is pontosítja, hogy a Privacy International szerint az alapügy tárgyát képező rendszer az uniós jog szempontjából jogellenes, míg az alapeljárás alperesei úgy vélik, hogy az e rendszerben előírt adattovábbítási kötelezettség, az ezen adatokhoz való hozzáférés, valamint azok felhasználása nem tartozik az Unió hatáskörébe, többek között az EUSZ 4. cikk (2) bekezdésének megfelelően, amely szerint a nemzeti biztonság az egyes tagállamok kizárólagos feladata marad.
27 E tekintetben a kérdést előterjesztő bíróság a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítélet (C‑317/04 és C‑318/04, EU:C:2006:346, 56–59. pont) alapján, amely a PNR (Passanger Name Records) adatoknak a közbiztonság védelme céljából történő továbbítására vonatkozik, úgy véli, hogy a gazdasági társaságok által az adatkezelés és adattovábbítás során, a nemzetbiztonság védelme érdekében végzett tevékenységek láthatóan nem tartoznak az uniós jog hatálya alá. Nem azt kell megvizsgálni, hogy a szóban forgó tevékenység adatkezelésnek minősül‑e, hanem csak azt, hogy az ilyen tevékenység célja – lényegét és hatásait tekintve – az állam valamely, az EUSZ 4. cikk (2) bekezdése értelmében vett alapvető funkciójának a hatóságok által a közbiztonság vonatkozásában kialakított keretben történő támogatására irányul‑e.
28 Abban az esetben, ha az alapügyben szereplő intézkedések mindazonáltal az uniós jog hatálya alá tartoznak, a kérdést előterjesztő bíróság úgy véli, hogy a 2016. december 21‑i Tele2 ítélet (C‑203/15 és C‑698/15, EU:C:2016:970) 119–125. pontjában szereplő követelmények nemzetbiztonsági összefüggésben nem helytállóak, és akadályozhatják a biztonsági és hírszerző szolgálatok arra irányuló képességét, hogy bizonyos nemzetbiztonságot fenyegető veszélyeket ellenőrizzenek.
29 E körülmények között határozott úgy az Investigatory Powers Tribunal (nyomozati jogköröket vizsgáló bíróság, Egyesült Királyság), hogy az eljárást felfüggeszti, és előzetes döntéshozatal céljából a következő kérdéseket terjeszti a Bíróság elé:
„Olyan körülmények esetén, amelyek között
a) a [biztonsági és hírszerzési szolgálatoknak] a kapott [tömeges hírközlési adatok] felhasználására való képessége az Egyesült Királyság nemzetbiztonságának megóvása céljából – többek között a terrorizmus elleni küzdelem, a kémelhárítás és az atomfegyverek elterjedése elleni küzdelem terén – alapvető fontosságú;
b) a [tömeges hírközlési adatok] [biztonsági és hírszerző szolgálatok] általi felhasználásának alapvető jellemzője, hogy a tömeges hírközlési adatok egy helyen történő összesítésén alapuló, nem célzott, tömeges technikák segítségével a nemzeti biztonsággal kapcsolatos, korábban ismeretlen fenyegetések feltárását szolgálja. Annak elsődleges hasznossága a cél gyors azonosításában és kidolgozásában, valamint közvetlen fenyegetés esetén a fellépés alapjának biztosításában áll;
c) az elektronikus hírközlő hálózat üzemeltetőjének ezt követően nem kell (a rendes üzletmenethez szükséges időszakot követően) megőriznie a [tömeges hírközlési adatokat], amelyeket kizárólag az állam ([a biztonsági és hírszerző szolgálatok]) őriz(nek) meg;
d) a nemzeti bíróság (bizonyos fenntartások mellett) megállapította, hogy [a tömeges hírközlési adatok] [biztonsági és hírszerző szolgálatok] általi felhasználásával kapcsolatos biztosítékok összhangban vannak az EJEE‑ben foglalt követelményekkel; valamint
e) a nemzeti bíróság megállapította, hogy a [2016. december 21‑i Tele2 ítélet (C‑203/15 és C‑698/15, EU:C:2016:970)] 119–125. pontjában meghatározott követelmények előírása, amennyiben azok alkalmazandók, meghiúsítaná a biztonsági és hírszerző szolgálatok által a nemzeti biztonság megóvása érdekében tett intézkedéseket, ezáltal pedig kockázatnak tenné ki az Egyesült Királyság nemzeti biztonságát:
1. Az EUSZ 4. cikkre és a [2002/58] irányelv 1. cikkének (3) bekezdésére tekintettel az uniós jog és a [2002/58] irányelv hatálya alá tartozik‑e a valamely belügyminiszter elektronikus hírközlő hálózat üzemeltetőjének adott utasításában szereplő olyan követelmény, amely szerint a szolgáltatónak tömeges hírközlési adatokat kell valamely tagállam biztonsági és hírszerző szolgálatainak rendelkezésére bocsátania?
2. Az első kérdésre adott igenlő válasz esetén alkalmazni kell‑e [a hírközlési adatok megőrzésére vonatkozóan a 2016. december 21‑i Tele2 ítélet (C‑203/15 és C‑698/15, EU:C:2016:970) 119–125. pontjában ismertetett követelményeket] vagy az EJEE által előírt követelményeken felüli más követelményeket az ilyen belügyminiszteri utasításra? Amennyiben igen, e követelmények hogyan és milyen mértékben érvényesülnek, figyelembe véve azt, hogy [a biztonsági és hírszerző szolgálatok] számára a nemzeti biztonság megóvása céljából a tömeges gyűjtési és automatizált kezelési technikák alkalmazása elengedhetetlenül szükséges, és azt a mértéket, amennyire ezeknek – az EJEE‑nek egyébként megfelelő – képességeknek az említett követelmény előírása jelentős gátját képezi?”
Az előzetes döntéshozatalra előterjesztett kérdésekről
Az első kérdésről
30 Első kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelv 1. cikkének az EUSZ 4. cikk (2) bekezdésével összefüggésben értelmezett (3) bekezdését úgy kell‑e értelmezni, hogy ezen irányelv hatálya alá tartozik az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat arra kötelezze, hogy a nemzetbiztonság védelme érdekében forgalmi és helymeghatározó adatokat továbbítsanak a biztonsági és hírszerző szolgálatoknak.
31 E tekintetben a Privacy International lényegében azt adja elő, hogy a Bíróságnak a 2002/58 irányelv hatályára vonatkozó ítélkezési gyakorlatából levonható tanulságokra tekintettel az adatoknak a biztonsági és hírszerző szolgálatok által az elektronikus hírközlési szolgáltatóktól az 1984. évi törvény 94. cikke alapján történő begyűjtése, valamint az említett szolgálatok általi felhasználása is az irányelv hatálya alá tartozik, függetlenül attól, hogy az említett adatokat valós időben vagy később történt továbbítás segítségével gyűjtötték. Az, hogy a nemzetbiztonság védelmére vonatkozó célt az említett irányelv 15. cikkének (1) bekezdése kifejezetten megemlíti a felsorolásban, nem jelenti azt, hogy az irányelv ne lenne alkalmazható ilyen helyzetekre, az EUSZ 4. cikk (2) bekezdése pedig nem érinti ennek megítélését.
32 Ezzel szemben az Egyesült Királyság kormánya, a cseh és az észt kormány, Írország, valamint a francia, a ciprusi, a magyar, a lengyel és a svéd kormány lényegében arra hivatkozik, hogy a 2002/58 irányelv nem alkalmazandó az alapügyben szereplőhöz hasonló nemzeti szabályozásra, mivel annak célja a nemzetbiztonság védelme. A biztonsági és hírszerző szolgálatok tevékenységei, mivel a közrend fenntartásához, a nemzetbiztonság védelméhez és az állam területi integritásának biztosításához kapcsolódnak, a tagállamok alapvető funkciói közé tartoznak, következésképpen ez utóbbiak kizárólagos hatáskörébe tartoznak, amint azt többek között az EUSZ 4. cikk (2) bekezdésének harmadik mondata is tanúsítja.
33 E kormányok szerint a 2002/58 irányelv tehát nem értelmezhető úgy, hogy a nemzetbiztonság védelmére irányuló nemzeti intézkedések az irányelv hatálya alá tartoznak. Az irányelv hatályát 1. cikkének (3) bekezdése határozza meg, és a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében foglaltakhoz hasonlóan kizárja a hatálya alól a közbiztonsággal, a nemzetvédelemmel és a nemzetbiztonsággal összefüggő tevékenységeket. Ezek a rendelkezések az EUSZ 4. cikk (2) bekezdésében előírt hatáskörmegosztást tükrözik, és nem érvényesülnének hatékonyan, ha a nemzetbiztonság területére tartozó intézkedéseknek tiszteletben kellene tartaniuk a 2002/58 irányelv követelményeit. Másfelől a Bíróságnak a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésére vonatkozó, a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletből (C‑317/04 és C‑318/04, EU:C:2006:346) eredő ítélkezési gyakorlata a 2002/58 irányelv 1. cikkének (3) bekezdésére is átültethető.
34 A 2002/58 irányelv 1. cikkének (1) bekezdése értelmében ezen irányelv többek között azon nemzeti rendelkezések harmonizációját írja elő, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra.
35 Az irányelv 1. cikkének (3) bekezdése kizárja az irányelv hatálya alól az ott meghatározott területeken kifejtett „állami tevékenységeket”, köztük a büntetőjogi téren kifejtett tevékenységeket, valamint a közbiztonsággal, a nemzetvédelemmel, és a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységeket. Az ott példaként említett tevékenységek minden esetben az állam vagy az állami hatóságok sajátos tevékenységei, és nem tartoznak a magánszemélyek tevékenységei közé (2018. október 2‑i Ministerio Fiscal ítélet, EU:C:2018:788, 32. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
36 A 2002/58 irányelv 3. cikkében foglaltak szerint ezt az irányelvet az Unióban a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – köztük az adatgyűjtő és azonosító eszközöket támogató nyilvános hírközlési hálózatokon – történő nyújtásával (a továbbiakban: elektronikus hírközlési szolgáltatások) összefüggő személyesadat‑kezelésre kell alkalmazni. Ezért az említett irányelvre úgy kell tekinteni, mint amely az ilyen szolgáltatók tevékenységeit szabályozza (2018. október 2‑i Ministerio Fiscal ítélet, EU:C:2018:788, 33. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
37 Ennek keretében a 2002/58 irányelv 15. cikkének (1) bekezdése felhatalmazza a tagállamokat, hogy az ott előírt feltételek mellett „jogszabályi intézkedéseket [fogadjanak] el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan” (2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 71. pont).
38 Márpedig a 2002/58 irányelv 15. cikkének (1) bekezdése szükségszerűen feltételezi, hogy az ott felsorolt nemzeti jogszabályi intézkedések az irányelv hatálya alá tartoznak, mivel az irányelv kifejezetten csak az abban foglalt feltételek tiszteletben tartása mellett hatalmazza fel a tagállamokat azok elfogadására. Ezenkívül az ilyen intézkedések az e rendelkezésben említett célok érdekében az elektronikus hírközlési szolgáltatók tevékenységét szabályozzák (2018. október 2‑i Ministerio Fiscal ítélet, C–207/16, EU:C:2018:788, 34. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
39 Elsősorban e megfontolások alapján határozott úgy a Bíróság, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését a 3. cikkével összefüggésben úgy kell értelmezni, hogy ezen irányelv hatálya alá nemcsak az olyan jogszabályi intézkedés tartozik, amely a forgalmi és helymeghatározó adatok megőrzésére kötelezi az elektronikus hírközlési szolgáltatókat, hanem az olyan jogszabályi intézkedés is, amely arra kötelezi őket, hogy az illetékes nemzeti hatóságoknak adjanak hozzáférést ezekhez az adatokhoz. Az ilyen jogszabályi intézkedések ugyanis szükségszerűen együtt járnak az említett adatok fenti szolgáltatók általi kezelésével, és mivel e szolgáltatók tevékenységeit szabályozzák, nem hasonlíthatók az említett irányelv 1. cikkének (3) bekezdésében szereplő állami tevékenységekhez (lásd ebben az értelemben: 2018. október 2‑i Ministerio Fiscal ítélet, C‑207/16, EU:C:2018:788, 35. és 37. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
40 Az olyan jogszabályi intézkedést illetően, mint az 1984. évi törvény 94. cikke, amely alapján az illetékes hatóság utasítást adhat az elektronikus hírközlési szolgáltatóknak a tömeges adatok biztonsági és hírszerző szolgálatokkal továbbítás révén történő közlésére, rá kell mutatni arra, hogy a 2016/679 rendelet 4. cikkének 2. pontjában szereplő fogalommeghatározás értelmében, amely a 2002/58 irányelvnek az említett rendelet 94. cikkének (2) bekezdésével összefüggésben értelmezett 2. cikkével összhangban alkalmazandó, az „adatkezelés” „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, […] tárolás, […] betekintés, felhasználás, közléstovábbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján” fogalmát jelenti.
41 Ebből az következik, hogy a személyes adatok továbbítás útján történő közlése – az adatok megőrzéséhez vagy a rendelkezésre bocsátás bármely más formájához hasonlóan – a 2002/58 irányelv 3. cikke értelmében vett adatkezelésnek minősül, következésképpen ezen irányelv hatálya alá tartozik (lásd ebben az értelemben: 2008. január 29‑i Promusicae ítélet, C‑275/06, EU:C:2008:54, 45. pont).
42 Ezenkívül a jelen ítélet 38. pontjában szereplő megfontolásokra és a 2002/58 irányelv általános rendszerére tekintettel ezen irányelv azon értelmezése, amely szerint a 15. cikkének (1) bekezdésében említett jogszabályi intézkedések azért nem tartoznak az említett irányelv hatálya alá, mert azok a célok, amelyeknek az ilyen intézkedéseknek meg kell felelniük, lényegében átfedésben állnak az ugyanezen irányelv 1. cikkének (3) bekezdésében említett tevékenységek által követett célokkal, megfosztaná az említett 15. cikk (1) bekezdését a hatékony érvényesüléstől (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 72. és 73.pont).
43 A 2002/58 irányelv 1. cikkének (3) bekezdésében szereplő „tevékenységek” fogalma tehát – amint erre a főtanácsnok lényegében rámutatott a La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványának (C‑511/18 és C‑512/18, EU:C:2020:6) 75. pontjában, amelyre a jelen ügyre vonatkozó indítványának 24. pontjában utalt – nem értelmezhető úgy, mint amely kiterjed az ezen irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedésekre.
44 Az EUSZ 4. cikk (2) bekezdésében foglalt rendelkezések, amelyekre a jelen ítélet 32. pontjában említett kormányok hivatkoztak, nem cáfolják ezt a következtetést. A Bíróság állandó ítélkezési gyakorlatának megfelelően ugyanis noha alapvető biztonsági érdekeik meghatározása, valamint a külső és belső biztonságukat szolgáló, megfelelő intézkedések meghozatala a tagállamok feladatkörébe tartozik, önmagában az a tény, hogy egy nemzeti intézkedést a nemzetbiztonság védelme érdekében fogadtak el, még nem eredményezi az uniós jog alkalmazhatatlanságát és nem mentesíti a tagállamokat az uniós jog kellő tiszteletben tartása alól (lásd ebben az értelemben: 2013. június 4‑i ZZ ítélet, C‑300/11, EU:C:2013:363, 38. pont, valamint a hivatkozott ítélkezési gyakorlat; 2018. március 20‑i Bizottság kontra Ausztria [Állami nyomda] ítélet, C‑187/16, EU:C:2018:194, 75. és 76. pont; 2020. április 2‑i Bizottság kontra Lengyelország, Magyarország és Cseh Köztársaság [A nemzetközi védelmet kérelmezők áthelyezésére szolgáló ideiglenes mechanizmus] ítélet, C‑715/17, C‑718/17 és C‑719/17, EU:C:2020:257, 143. és 170. pont).
45 Igaz, hogy a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletben (C‑317/04 és C‑318/04, EU:C:2006:346, 56–59. pont) a Bíróság úgy ítélte meg, hogy a személyes adatoknak a légitársaságok által harmadik állam hatóságai részére a terrorizmus és egyéb súlyos bűncselekmények megelőzése, illetve az azok elleni küzdelem céljából történő továbbítása a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése értelmében nem tartozik ezen irányelv hatálya alá, mivel ez az adattovábbítás közbiztonsággal kapcsolatos hatósági hatáskörbe tartozik.
46 Mindazonáltal a jelen ítélet 36., 38. és 39. pontjában szereplő megfontolásokra tekintettel ez az ítélkezési gyakorlat nem ültethető át a 2002/58 irányelv 1. cikke (3) bekezdésének értelmezésére. Ugyanis – amint azt a főtanácsnok a La Quadrature du Net és társai egyesített ügyekre vonatkozó indítványának (C‑511/18 és C‑512/18, EU:C:2020:6) 70–72. pontjában lényegében megállapította – a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdése, amelyre az említett ítélkezési gyakorlat vonatkozik, általános jelleggel kizárta ez utóbbi irányelv hatálya alól az olyan „[adat]kezeléseket”, amelyek „a közbiztonsággal, a védelemmel, a nemzetbiztonsággal […] kapcsolatos[ak]”, és nem tett különbséget az érintett adatok kezelői alapján. Ezzel szemben a 2002/58 irányelv 1. cikke (3) bekezdésének értelmezése keretében szükségesnek mutatkozik ez a különbségtétel. Ugyanis amint az a jelen ítélet 37–39. és 42. pontjából kitűnik, a személyes adatoknak az elektronikus hírközlési szolgáltatások nyújtói által végzett valamennyi kezelése az említett irányelv hatálya alá tartozik, beleértve a hatóságok által velük szemben előírt kötelezettségekből eredő adatkezelést is, míg ez utóbbi adatkezelés adott esetben a 95/46 irányelv 3. cikke (2) bekezdésének első francia bekezdésében előírt kivétel hatálya alá tartozhat, figyelemmel e rendelkezés tágabb körű megfogalmazására, amely az adatkezelő személyétől függetlenül a közbiztonsággal, a nemzetvédelemmel, illetve a nemzetbiztonsággal kapcsolatos valamennyi adatkezelésre vonatkozik.
47 Egyébiránt meg kell állapítani, hogy a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítélet (C‑317/04 és C‑318/04, EU:C:2006:346) alapjául szolgáló ügyben szereplő 95/46 irányelvet a 2016/679 rendelet a 94. cikkének (1) bekezdése értelmében 2018. május 25‑i hatállyal hatályon kívül helyezte, és annak helyébe lépett. Márpedig, noha az említett rendelet a 2. cikke (2) bekezdésének d) pontjában pontosítja, hogy a rendelet nem alkalmazandó „az illetékes hatóságok” által többek között bűncselekmények megelőzése és felderítése – köztük a közbiztonságot fenyegető veszélyekkel szembeni védelem és e veszélyek megelőzése – céljából végzett adatkezelésekre, ugyanezen rendelet 23. cikke (1) bekezdésének d) és h) pontjában az áll, hogy a magánszemélyek által ugyanezen célból végzett személyesadat‑kezelés e rendelet hatálya alá tartozik. Ebből következik, hogy a 2002/58 irányelv 1. cikke (3) bekezdésének, 3. cikkének és 15. cikke (1) bekezdésének fenti értelmezése összhangban áll a 2016/679 rendelet hatályának ezen irányelv által kiegészített és pontosított körülhatárolásával.
48 Ezzel szemben ha a tagállamok közvetlenül hajtanak végre az elektronikus közlések titkosságának elve alól eltérő intézkedéseket, és nem írnak elő az elektronikus hírközlési szolgáltatások nyújtóira vonatkozó kezelési kötelezettségeket, akkor az érintett személyek adatainak védelme nem a 2002/58 irányelv hatálya alá, hanem – a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27‑i (EU) 2016/680 európai parlamenti és tanácsi irányelv (HL 2016. L 119., 89. o.; helyesbítés: HL 2018. L 127., 7. o.) alkalmazására is figyelemmel – kizárólag a nemzeti jog hatálya alá tartozik, és így a szóban forgó intézkedéseknek tiszteletben kell tartaniuk különösen az alkotmányos szintű nemzeti jogot és az EJEE követelményeit.
49 A fenti megfontolásokra tekintettel az első kérdésre azt a választ kell adni, hogy a 2002/58 irányelvnek az EUSZ 4. cikk (2) bekezdésével összefüggésben értelmezett 1. cikkének (3) bekezdését, 3. cikkét és 15. cikkének (1) bekezdését úgy kell értelmezni, hogy ezen irányelv hatálya alá tartozik az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat arra kötelezze, hogy a nemzetbiztonság védelme érdekében forgalmi és helymeghatározó adatokat továbbítsanak a biztonsági és hírszerző szolgálatok részére.
A második kérdésről
50 Második kérdésével az előterjesztő bíróság lényegében arra vár választ, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését az EUSZ 4. cikk (2) bekezdésével, valamint a Charta 7., 8. és 11. cikkével és 52. cikkének (1) bekezdésével összefüggésben úgy kell‑e értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat a nemzetbiztonság védelme érdekében a forgalmi és helymeghatározó adatoknak a biztonsági és hírszerző szolgálatok részére történő, általános és különbségtétel nélküli továbbítására kötelezze.
51 Elöljáróban emlékeztetni kell arra, hogy az előzetes döntéshozatal iránti kérelemben szereplő információk szerint az 1984. évi törvény 94. cikke felhatalmazza a minisztert arra, hogy az általa a nemzetbiztonság vagy külföldi kormánnyal fennálló kapcsolatok érdekében szükségesnek tartott esetben az elektronikus hírközlési szolgáltatókat utasításban kötelezze arra, hogy a biztonsági és hírszerző szolgálatoknak tömeges hírközlési adatokat továbbítsanak, köztük a RIPA 21. cikkének (4) és (6) bekezdése értelmében forgalmi és helymeghatározó adatokat, valamint az igénybe vett szolgáltatásokra vonatkozó információkat. Ez utóbbi rendelkezés hatálya alá többek között azok az adatok tartoznak, amelyek a közlés forrásának és rendeltetési helyének megtalálásához szükségesek, meghatározzák a közlés napját, időpontját, időtartamát és típusát, azonosítják az alkalmazott hírközlési eszközöket, valamint meghatározzák a végberendezések és a közlések helyét – ilyen adat például a felhasználó neve és címe, a hívó és a hívott fél telefonszáma, a közlés forrásának és címzettjének IP‑címe, valamint a megtekintett internetes oldalak címei.
52 Az ilyen, adattovábbítás útján történő közlés az elektronikus hírközlési eszközök valamennyi felhasználóját érinti, és nincs megadva, hogy az adattovábbításnak valós időben vagy késleltetve kell történnie. A továbbítást követően ezeket az adatokat az előzetes döntéshozatal iránti kérelemben szereplő információk szerint a biztonsági és hírszerző szolgálatok tárolják, és tevékenységi céljaikra – a birtokukban lévő más adatbázisokhoz hasonlóan – továbbra is a rendelkezésükre állnak. Konkrétan az így gyűjtött, tömeges és automatizált kezelésnek és elemzésnek alávetett adatok összevethetők más, tömeges személyes adatok különböző kategóriáit tartalmazó adatbázisokkal, illetve a biztonsági és hírszerző szolgálatokon és harmadik országokon kívül is hozzáférhetővé tehetők. Végül ezek a műveletek nem függnek bíróság vagy független közigazgatási hatóság előzetes engedélyétől, és nem kerül sor az érintett személyek tájékoztatására.
53 A 2002/58 irányelv – amint ez az irányelv (6) és (7) preambulumbekezdéséből is kitűnik – azt tűzte ki célul, hogy az elektronikus hírközlési szolgáltatások felhasználói számára védelmet biztosítson az új technológiákból, valamint különösen a megnövekedett tárolási kapacitásból és az automatizált adatkezelésből eredő, a személyes adatokat és a magánéletet fenyegető veszélyekkel szemben. Az említett irányelv célja a (2) preambulumbekezdése szerint különösen a Charta 7. és 8. cikkében megállapított jogok teljes körű tiszteletben tartásának biztosítása. E tekintetben a 2002/58 irányelv alapjául szolgáló, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről és a magánélet védelméről szóló európai parlamenti és tanácsi irányelv tervezetének (COM(2000) 385 végleges) indokolásából kiderül, hogy az uniós jogalkotó szándéka arra irányult, hogy „a személyes adatok és a magánélet magas szintű védelme az alkalmazott technológiától függetlenül valamennyi elektronikus hírközlési szolgáltatás tekintetében továbbra is biztosítva legyen”.
54 Ennek érdekében a 2002/58 irányelv 5. cikkének (1) bekezdése úgy rendelkezik, hogy „a tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát”. Ugyanezen rendelkezés azt is hangsúlyozza, hogy „[a tagállamok k]ülönösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el”, és pontosítja, hogy „[e]z a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.”
55 Így az 5. cikk (1) bekezdése rögzíti az elektronikus közlések és az azokra vonatkozó forgalmi adatok titkosságának elvét, valamint tartalmazza többek között annak elvi tilalmát, hogy a felhasználókon kívül bármely más személy ezeket a közléseket és adatokat a felhasználó hozzájárulása nélkül tárolja. Megszövegezésének általános jellegére tekintettel ez a rendelkezés szükségszerűen kiterjed minden olyan műveletre, amely harmadik személyek számára lehetővé teszi, hogy a közlés továbbításától eltérő célokból tudomást szerezzenek a közlésről és az ahhoz kapcsolódó adatokról.
56 A közlések és az azokra vonatkozó adatok lehallgatásának a 2002/58 irányelv 5. cikkének (1) bekezdésében szereplő tilalma tehát magában foglalja a forgalmi és helymeghatározó adatoknak az elektronikus hírközlési szolgáltatók által a hatóságok, például a biztonsági és hírszerző szolgálatok részére történő rendelkezésre bocsátásának bármely formáját, valamint az említett adatok e hatóságok általi megőrzését, függetlenül az adatok későbbi felhasználásától.
57 Az irányelv elfogadásával az uniós jogalkotó tehát a Charta 7. és 8. cikkében foglalt jogokat konkretizálta, és így az elektronikus hírközlési eszközök felhasználói főszabály szerint joggal számíthatnak arra, hogy a közléseik és az azokhoz kapcsolódó adatok hozzájárulásuk hiányában anonimek maradnak és nem rögzíthetők (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 109. pont).
58 A 2002/58 irányelv 15. cikkének (1) bekezdése mindazonáltal lehetővé teszi a tagállamok számára, hogy kivételeket állapítsanak meg a személyes adatok bizalmas kezelésének biztosítására vonatkozóan az irányelv 5. cikkének (1) bekezdésében előírt alapvető kötelezettség, valamint a többek között az említett irányelv 6. és 9. cikkében említett megfelelő kötelezettségek alól, amennyiben az ilyen jellegű korlátozás egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság, a nemzetvédelem és a közbiztonság védelme érdekében, illetve a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő megőrzésére vonatkozóan.
59 A 2002/58 irányelv 5., 6. és 9. cikkében előírt jogoktól és kötelezettségektől való eltérés lehetősége mindamellett nem igazolhatja azt, hogy az elektronikus közlések és az azokhoz kapcsolódó adatok titkosságának biztosítására vonatkozó alapvető kötelezettségtől, különösen pedig az ezen adatok tárolásának az irányelv 5. cikkében kifejezetten előírt tilalmától való eltérés váljon főszabállyá (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 89. és 104. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 111. pont).
60 Ezenkívül a 2002/58 irányelv 15. cikke (1) bekezdésének harmadik mondatából kitűnik, hogy a tagállamok csak az uniós jog általános elveit, köztük az arányosság elvét és a Charta által biztosított alapvető jogokat tiszteletben tartva hozhatnak olyan jogszabályi intézkedéseket, amelyek az irányelv 5., 6. és 9. cikkében említett jogok és kötelezettségek hatályának korlátozására irányulnak. E tekintetben a Bíróság korábban már kimondta, hogy az elektronikus hírközlési szolgáltatók számára nemzeti szabályozással előírt azon kötelezettség, hogy adott esetben az illetékes nemzeti hatóságok számára való hozzáférhetővé tétel céljából megőrizzék a forgalmi adatokat, nemcsak a Chartának a magánélet védelmére, illetve a személyes adatok védelmére vonatkozó 7. és 8. cikkével, hanem a véleménynyilvánítási szabadságra vonatkozó 11. cikkével kapcsolatos kérdéseket is felvet (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 25. és 70. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 91. és 92. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
61 Ugyanezek a kérdések merülnek fel az adatkezelés más típusaival, például a felhasználókon kívüli személyek részére történő adattovábbítással, illetve a felhasználás céljából ezen adatokhoz való hozzáféréssel kapcsolatban (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR megállapodás] vélemény, EU:C:2017:592, 122. és 123. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
62 A 2002/58 irányelv 15. cikke (1) bekezdésének értelmezése során így tehát figyelembe kell venni mind a Charta 7. cikkében biztosított, magánélet tiszteletben tartásához való jognak, mind pedig a Charta 8. cikkében biztosított, személyes adatok védelméhez való jognak a Bíróság ítélkezési gyakorlata szerint fennálló jelentőségét, valamint a véleménynyilvánítás szabadságához való jog jelentőségét, amely a Charta 11. cikkében biztosított alapvető jogként a demokratikus és pluralista társadalom egyik lényegi alapját képezi, és azon értékek közé tartozik, amelyen az EUSZ 2. cikk értelmében az Unió alapul (lásd ebben az értelemben: 2001. március 6‑i Connolly kontra Bizottság ítélet, C‑274/99 P, EU:C:2001:127, 39. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 93. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
63 Mindazonáltal a Charta 7., 8. és 11. cikkében biztosított jogok nem korlátlan jogosultságként jelennek meg, hanem a társadalomban betöltött szerepükre tekintettel kell őket figyelembe venni (lásd ebben az értelemben: 2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 172. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
64 A Charta 52. cikkének (1) bekezdése ugyanis lehetővé teszi e jogok gyakorlásának korlátozását, feltéve hogy a korlátozást törvény írja elő, hogy arra az említett jogok lényeges tartalmának és az arányosság elvének tiszteletben tartásával kerül sor, továbbá hogy a korlátozás elengedhetetlen, és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.
65 Hozzá kell tenni, hogy az a követelmény, amely szerint az alapvető jogok gyakorlása csak törvény által korlátozható, magában foglalja azt is, hogy az e jogokba történő beavatkozást lehetővé tevő jogalapnak magának kell meghatároznia az érintett jog gyakorlásával kapcsolatos korlátozás mértékét (2020. július 16‑i Facebook Ireland és Schrems ítélet, C‑311/18, EU:C:2020:559, 175. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
66 Az arányosság elvének tiszteletben tartását illetően a 2002/58 irányelv 15. cikke (1) bekezdésének első mondata úgy rendelkezik, hogy a tagállamok a közlések és az azokra vonatkozó forgalmi adatok titkosságának elve alóli eltérést biztosító intézkedést fogadhatnak el, ha az e rendelkezésben meghatározott célokra tekintettel az „egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül”. Az irányelv (11) preambulumbekezdése ugyanakkor pontosítja, hogy az ilyen jellegű intézkedésnek a tervezett céllal „szigorúan” arányosnak kell lennie.
67 E tekintetben emlékeztetni kell arra, hogy a magánélet tiszteletben tartásához való alapvető jog védelme a Bíróság állandó ítélkezési gyakorlata szerint megköveteli, hogy a személyes adatok védelme alóli kivételek és e védelem korlátozásai a feltétlenül szükséges határokon belül maradjanak. Közérdekű célt nem lehet továbbá annak figyelembevétele nélkül megvalósítani, hogy azt össze kell egyeztetni az intézkedéssel érintett alapvető jogokkal, kiegyensúlyozottan mérlegelve az egyik oldalon a közérdekű célt, a másik oldalon pedig a szóban forgó jogokat (lásd ebben az értelemben: 2008. december 16‑i Satakunnan Markkinapörssi és Satamedia ítélet, C‑73/07, EU:C:2008:727, 56. pont; 2010. november 9‑i Volker und Markus Schecke és Eifert ítélet, C‑92/09 és C‑93/09, EU:C:2010:662, 76., 77. és 86. pont; 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 52. pont; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 140. pont).
68 Az arányosság követelményének való megfelelés érdekében a szabályozásnak a szóban forgó intézkedés hatályával és alkalmazásával kapcsolatban egyértelmű és pontos szabályokat kell tartalmaznia, valamint bizonyos minimumkövetelményeket kell előírnia annak érdekében, hogy a személyes adataik révén érintett személyek elegendő biztosítékkal rendelkezzenek ezen adatoknak a visszaélések veszélyeivel szembeni hatékony védelmére. E szabályozásnak a belső jogban jogilag kötelező erejűnek kell lennie, és többek között meg kell jelölnie, hogy milyen körülmények között és milyen feltételek mellett lehet az ilyen adatok kezelését előíró intézkedést megtenni, biztosítva ezáltal, hogy a beavatkozás a szigorúan szükséges mértékre korlátozódjék. Az ilyen biztosítékokkal való rendelkezés még inkább szükséges abban az esetben, ha a személyes adatokat automatizáltan kezelik, és különösen ha nagy a veszélye az adatokhoz való jogellenes hozzáférésnek. Ezek a megállapítások különösen akkor érvényesek, ha a személyes adatok e különleges kategóriájának, vagyis a különleges adatoknak a védelméről van szó (lásd ebben az értelemben: 2014. április 8‑i Digital Rights ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 54. és 55. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 117. pont; 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 141. pont).
69 Azon kérdést illetően, hogy az alapügyben szereplőhöz hasonló nemzeti szabályozás megfelel‑e a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdésében foglalt követelményeknek, meg kell állapítani, hogy a forgalmi és helymeghatározó adatoknak a felhasználókon kívüli személyek, például a biztonsági és hírszerző szolgálatok számára történő továbbítása eltér az adatkezelés titkosságának elvétől. Amennyiben ezt a műveletet – mint a jelen esetben is – általános jelleggel és különbségtétel nélkül végzik, akkor ennek következményeként az adatok bizalmas kezelésének biztosítására vonatkozó elvi kötelezettségtől való eltérést teszik főszabállyá, holott a 2002/58 irányelv által létrehozott rendszer szerint az ilyen eltérésnek kivételesnek kell maradnia.
70 Ezenkívül a Bíróság állandó ítélkezési gyakorlata szerint a forgalmi és helymeghatározó adatok harmadik személy részére történő továbbítása – függetlenül ezen adatok későbbi felhasználásától – a Charta 7. és 8. cikkében biztosított alapvető jogokba való beavatkozásnak minősül. Ennek kapcsán nem bír jelentőséggel, hogy a magánéletre vonatkozó, érintett információk különlegesnek minősülnek‑e, hogy az érintetteknek ez a beavatkozás okozott‑e esetleges kellemetlenséget (lásd ebben az értelemben: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 124. és 126. pont, valamint az ott hivatkozott ítélkezési gyakorlat; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 115. és 116. pont).
71 A forgalmi és helymeghatározó adatoknak a biztonsági és hírszerző szolgálatok részére történő továbbítása által a Charta 7. cikkében biztosított jogba megvalósított beavatkozást különösen súlyosnak tekintendő, figyelembe véve elsősorban azt, hogy ezek az adatok különleges információkat hordozhatnak, és ezekből kiindulva felállítható az érintett személyek profilja, amely ugyanolyan különleges információnak minősül, mint a közléseknek maga a tartalma. Ezenkívül az érintett személyekben azt az érzést keltheti, hogy magánéletük állandó felügyelet alatt áll (lásd analógia útján: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 27. és 37. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 99. és 100. pont).
72 Arra is rá kell mutatni, hogy a forgalmi és helymeghatározó adatoknak a hatóságok részére biztonsági célból történő továbbítása önmagában is alkalmas arra, hogy sértse a kapcsolattartás tiszteletben tartásához fűződő, a Charta 7. cikkében rögzített jogot, és az elektronikus hírközlési eszközök felhasználói tekintetében visszatartó hatást gyakoroljon a Charta 11. cikkében biztosított véleménynyilvánítási szabadságuk gyakorlására. Ez a visszatartó hatás különösen azokat a személyeket érintheti, akiknek a közlései a nemzeti jogszabályok értelmében szakmai titoktartási kötelezettség alá tartoznak, valamint azokat a visszaélést bejelentő személyeket, akiknek tevékenységét az uniós jog megsértését bejelentő személyek védelméről szóló, 2019. október 23‑i (EU) 2019/1937 európai parlamenti és tanácsi irányelv (HL 2019. L 305., 17. o.) védelemben részesíti. Ez a hatás továbbá annál is inkább súlyosan érvényesül, mivel igen nagyszámú és sokféle adatot őriznek meg (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 28. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 101. pont; 2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 118. pont).
73 Tekintettel arra, hogy a forgalmi és helymeghatározó adatok nagy mennyisége általános megőrzési intézkedéssel folyamatosan megőrizhető, valamint hogy ezek az adatok különleges információkat hordozhatnak, az említett adatoknak az elektronikus hírközlési szolgáltatások nyújtói általi megőrzése önmagában véve is magában rejti a visszaélés és a jogellenes hozzáférés veszélyét.
74 Az ilyen beavatkozások igazolására alkalmas célokat, különösen a nemzetbiztonság védelmére irányuló, az alapügyben szóban forgó célkitűzést illetően először is meg kell állapítani, hogy az EUSZ 4. cikk (2) bekezdése deklarálja, hogy a nemzeti biztonság az egyes tagállamok kizárólagos feladata marad. Ez a feladat az állam alapvető funkcióinak és a társadalom alapvető érdekeinek a védelméhez fűződő elsődleges érdeknek felel meg, és magában foglalja az olyan tevékenységek megelőzését és elfojtását, amelyek komolyan destabilizálhatják az ország alapvető alkotmányos, politikai, gazdasági vagy társadalmi szerkezetét, és közvetlenül fenyegethetik a társadalmat, a lakosságot vagy magát az államot, mint például a terrorcselekmények (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 135. pont).
75 Márpedig a nemzetbiztonság védelmére irányuló, az EUSZ 4. cikk (2) bekezdésével összefüggésben értelmezett célkitűzés jelentősége meghaladja a 2002/58 irányelv 15. cikkének (1) bekezdésében említett többi cél, különösen az általánosságban véve az – adott esetben súlyos – bűncselekmények elleni küzdelem, valamint a közbiztonság védelmére irányuló cél jelentőségét. Az előző pontban említettekhez hasonló veszélyek ugyanis jellegüknél és különösen súlyosságuknál fogva különböznek a közbiztonságot érintő, adott esetben súlyos feszültségek vagy zavarok felmerülésének általános veszélyétől. A Charta 52. cikkének (1) bekezdésében előírt egyéb követelmények tiszteletben tartása mellett a nemzetbiztonság védelmére irányuló céllal tehát igazolhatók az olyan intézkedések, amelyek súlyosabb beavatkozásokat jelentenek az alapvető jogokba, mint amelyek e más célokkal igazolhatók (2020. október 6‑i La Quadrature du Net és társai ítélet, C‑511/18, C‑512/18 és C‑520/18, 136. pont).
76 Mindazonáltal a jelen ítélet 67. pontjában hivatkozott arányossági követelménynek való megfelelés érdekében, amely szerint a személyes adatok védelme alóli kivételeknek és korlátozásoknak a feltétlenül szükséges mértéken belül kell maradniuk, a Charta 7. és 8. cikkében foglalt alapvető jogokba való beavatkozást megvalósító nemzeti szabályozásnak tiszteletben kell tartania a jelen ítélet 65., 67. és 68. pontjában hivatkozott ítélkezési gyakorlatból eredő követelményeket.
77 Konkrétan ami a hatóságok személyes adatokhoz való hozzáférését illeti, a szabályozásnak nem csak azt kell előírnia, hogy a hatóságok adatokhoz való hozzáférésének meg kell felelnie a szabályozás által elérni kívánt célnak, hanem a felhasználásra vonatkozó anyagi jogi és eljárásjogi feltételekről is rendelkeznie kell (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 192. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
78 Így, mivel az összes megőrzött adathoz való, általános hozzáférés a kitűzött céllal fennálló – akár közvetett – kapcsolat hiányában nem tekinthető olyannak, mint amely a feltétlenül szükséges mértékre korlátozódik, a forgalmi és helymeghatározó adatokhoz való hozzáférést szabályozó nemzeti szabályozásban objektív kritériumok alapján kell meghatározni azokat a körülményeket és feltételeket, amelyek mellett a hatáskörrel rendelkező nemzeti hatóságok számára biztosítani kell a szóban forgó adatokhoz való hozzáférést (lásd ebben az értelemben: 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 119. pont, valamint az ott hivatkozott ítélkezési gyakorlat).
79 Ezek a követelmények a fortiori alkalmazandók az olyan, az alapügy tárgyát képezőhöz hasonló jogszabályi intézkedésre, amely alapján a hatáskörrel rendelkező nemzeti hatóság arra kötelezheti az elektronikus hírközlési szolgáltatókat, hogy a biztonsági és hírszerző szolgálatoknak általánosan és különbségtétel nélkül továbbítsanak forgalmi és helymeghatározó adatokat. Az ilyen továbbítás ugyanis azt eredményezi, hogy ezeket az adatokat a hatóságok rendelkezésére bocsátják (lásd analógia útján: 2017. július 26‑i 1/15 [EU–Kanada PNR‑megállapodás] vélemény, EU:C:2017:592, 212. pont).
80 Mivel a forgalmi és helymeghatározó adatok továbbítására általánosan és különbségtétel nélkül kerül sor, a továbbítás átfogó jelleggel az elektronikus hírközlési szolgáltatásokat igénybe vevő valamennyi személyre vonatkozik. Olyan személyekre is alkalmazandó tehát, akik tekintetében semmilyen jel nem utal arra, hogy magatartásuk bármilyen – akár közvetett vagy távoli – kapcsolatban állhat a nemzetbiztonság védelmére irányuló céllal, és különösen hogy kapcsolat állna fenn a továbbítandó adatok és a nemzetbiztonságot fenyegető veszély között (lásd ebben az értelemben: 2014. április 8‑i Digital Rights Ireland és társai ítélet, C‑293/12 és C‑594/12, EU:C:2014:238, 57. és 58. pont; 2016. december 21‑i Tele2 ítélet, C‑203/15 és C‑698/15, EU:C:2016:970, 105. pont). Tekintettel arra, hogy az ilyen adatoknak a hatóságok részére történő továbbítása – a jelen ítélet 79. pontjában megállapítottaknak megfelelően – hozzáférésnek minősül, meg kell állapítani, hogy az a szabályozás, amely lehetővé teszi az adatoknak a hatóságok részére történő általános és különbségtétel nélküli továbbítását, általános hozzáférést jelent.
81 Ebből következik, hogy az olyan nemzeti szabályozás, amely arra kötelezi az elektronikus hírközlési szolgáltatókat, hogy a forgalmi és helymeghatározó adatokat általánosan és különbségtétel nélkül továbbítás révén közöljék a biztonsági és hírszerző szolgálatokkal, túllépi a feltétlenül szükséges mértéket, továbbá demokratikus társadalomban nem tekinthető igazoltnak, ahogyan ezt a 2002/58 irányelv 15. cikkének a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett (1) bekezdése megköveteli.
82 A fenti megfontolások összességére tekintettel a második kérdésre azt a választ kell adni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését az EUSZ 4. cikk (2) bekezdésével, valamint a Charta 7., 8. és 11. cikkével és 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat a nemzetbiztonság védelme érdekében a forgalmi és helymeghatározó adatoknak a biztonsági és hírszerző szolgálatok részére történő, általános és különbségtétel nélküli továbbítására kötelezze.
A költségekről
83 Mivel ez az eljárás az alapeljárásban részt vevő felek számára a kérdést előterjesztő bíróság előtt folyamatban lévő eljárás egy szakaszát képezi, ez a bíróság dönt a költségekről. Az észrevételeknek a Bíróság elé terjesztésével kapcsolatban felmerült költségek, az említett felek költségeinek kivételével, nem téríthetők meg.
A fenti indokok alapján a Bíróság (nagytanács) a következőképpen határozott:
1) A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv (elektronikus hírközlési adatvédelmi irányelv) 1. cikkének (3) bekezdését, 3. cikkét és 15. cikkének (1) bekezdését az EUSZ 4. cikk (2) bekezdésével összefüggésben úgy kell értelmezni, hogy ezen irányelv hatálya alá tartozik az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat arra kötelezze, hogy a nemzetbiztonság védelme érdekében forgalmi és helymeghatározó adatokat továbbítsanak a biztonsági és hírszerző szolgálatok részére.
2) A 2009/136 irányelvvel módosított 2002/58 irányelv 15. cikkének (1) bekezdését az EUSZ 4. cikk (2) bekezdésével, valamint az Európai Unió Alapjogi Chartája 7., 8. és 11. cikkével és 52. cikkének (1) bekezdésével összefüggésben úgy kell értelmezni, hogy azzal ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi egy állami hatóság számára, hogy az elektronikus hírközlési szolgáltatókat a nemzetbiztonság védelme érdekében a forgalmi és helymeghatározó adatoknak a biztonsági és hírszerző szolgálatok részére történő, általános és különbségtétel nélküli továbbítására kötelezze.
Aláírások