Väliaikainen versio
UNIONIN TUOMIOISTUIMEN TUOMIO (täysistunto)
30 päivänä huhtikuuta 2024(*)
Sisällysluettelo
Asiaa koskevat oikeussäännöt
Unionin oikeus
Henkilötietojen suojaa koskeva yleisesti sovellettava säännöstö
– Direktiivi 95/46/EY
– Yleinen tietosuoja-asetus
Henkilötietojen suojaa koskeva alakohtainen säännöstö
– Direktiivi 2002/58
– Direktiivi (EU) 2016/680
Teollis- ja tekijänoikeuksien suojaa koskeva säännöstö
Ranksan oikeus
CPI
Asetus nro 2010-236
Postista ja sähköisestä viestinnästä annettu koodeksi
Pääasia ja ennakkoratkaisukysymykset
Ennakkoratkaisukysymysten tarkastelu
Alustavat toteamukset
Direktiivin 2002/58 15 artiklan 1 kohtaan perustuvan oikeuttamisen, joka koskee viranomaisen pääsyä sähköisten viestintäpalvelujen tarjoajien säilyttämiin IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin verkossa tapahtuvan väärentämisen torjumiseksi, olemassaolo
Vaatimukset, jotka koskevat sähköisten viestintäpalvelujen tarjoajien toteuttamaa henkilöllisyyttä koskevien tietojen ja niitä vastaavien IP-osoitteiden säilyttämistä
Vaatimukset, jotka koskevat oikeutta saada sähköisten viestintäpalvelujen tarjoajien säilyttämiä IP-osoitetta vastaavia henkilöllisyyttä koskevia tietoja
Vaatimus tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamasta valvonnasta ennen viranomaisen pääsyä IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin
Aineellisia ja menettelyllisiä edellytyksiä sekä tietojen väärinkäytön riskin ja lainvastaisen tietoihin pääsyn ja tietojen käytön estämiseen tähtääviin takeisiin liittyvät vaatimukset, joita on noudatettava, jotta viranomainen voi saada käyttöönsä IP-osoitetta vastaavia henkilöllisyyttä koskevia tietoja
Oikeudenkäyntikulut
Ennakkoratkaisupyyntö – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58/EY – Sähköisen viestinnän luottamuksellisuus – Suoja – 5 artikla ja 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – Kansallinen lainsäädäntö, jonka tarkoituksena on viranomaistoimilla torjua verkossa tehtäviä oikeudenloukkauksia – Niin sanottu porrastetun reagoinnin menettely – Oikeudenhaltijoita edustavat järjestöt keräävät ensin IP-osoitteet, joita on käytetty tekijänoikeuksia tai lähioikeuksia loukkaavaan toimintaan – Tekijänoikeuksien ja lähioikeuksien suojaamisesta vastaavan viranomaisen oikeus saada jälkikäteen sähköisten viestintäpalvelujen tarjoajien säilyttämiä IP-osoitteita vastaavia henkilöllisyyttä koskevia tietoja – Automaattinen käsittely – Tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa etukäteisvalvontaa koskeva vaatimus – Aineelliset ja menettelylliset edellytykset – Takeet väärinkäytön riskejä sekä lainvastaista tietoihin pääsyä tai tietojen käyttöä vastaan
Asiassa C‑470/21,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Conseil d’État (ylin hallintotuomioistuin, Ranska) on esittänyt 5.7.2021 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 30.7.2021, saadakseen ennakkoratkaisun asiassa
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net ja
French Data Network
vastaan
Premier ministre ja
Ministre de la Culture,
UNIONIN TUOMIOISTUIN (täysistunto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti L. Bay Larsen, jaostojen puheenjohtajat A. Arabadjiev, A. Prechal (esittelevä tuomari), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra ja Z. Csehi sekä tuomarit M. Ilešič, J.-C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M. L. Arastey Sahún ja M. Gavalec,
julkisasiamies: M. Szpunar,
kirjaajat: hallintovirkamiehet V. Giacobbo ja M. Krausenböck,
ottaen huomioon kirjallisessa käsittelyssä ja 5.7.2022 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network, edustajanaan A. Fitzjean Ó Cobhthaigh, avocat,
– Ranskan hallitus, asiamiehinään A. Daniel, A.-L. Desjonquères ja J. Illouz,
– Tanskan hallitus, asiamiehinään J. F. Kronborg ja V. Pasternak Jørgensen,
– Viron hallitus, asiamiehenään M. Kriisa,
– Suomen hallitus, asiamiehenään H. Leppo,
– Ruotsin hallitus, asiamiehenään H. Shev,
– Norjan hallitus, asiamiehinään F. Bergsjø, S.-E. Dahl, J. T. Kaasin ja P. Wennerås
– Euroopan komissio, asiamiehinään S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal ja F. Wilman,
kuultuaan julkisasiamiehen 27.10.2022 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
ottaen huomioon 23.3.2023 annetun määräyksen suullisen käsittelyn aloittamisesta uudelleen ja 15.5.2023 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network, edustajanaan A. Fitzjean Ó Cobhthaigh, avocat,
– Ranskan hallitus, asiamiehinään R. Bénard, J. Illouz ja T. Stéhelin,
– Tšekin hallitus, asiamiehinään T. Suchá ja J. Vláčil,
– Tanskan hallitus, asiamiehinään J. F. Kronborg ja C. A.-S. Maertens,
– Viron hallitus, asiamiehenään M. Kriisa,
– Irlanti, asiamiehinään M. Browne, Chief State Solicitor, A. Joyce ja D. O’Reilly, avustajanaan D. Fenelly, BL,
– Espanjan hallitus, asiamiehenään A. Gavela Llopis,
– Kyproksen hallitus, asiamiehenään I. Neophytou,
– Latvian hallitus, asiamiehinään J. Davidoviča ja K. Pommere,
– Alankomaiden hallitus, asiamiehinään E. M. Besselink, K. Bultermann ja A. Hanje,
– Suomen hallitus, asiamiehinään A. Laine ja H. Leppo,
– Ruotsin hallitus, asiamiehinään F.-D. Göransson ja H. Shev,
– Norjan hallitus, asiamiehinään S.-E. Dahl ja P. Wennerås,
– Euroopan komissio, asiamiehinään S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal ja F. Wilman,
– Euroopan tietosuojavaltuutettu, asiamiehinään V. Bernardo, C.-A. Marnier, D. Nardi ja M. Pollmann,
– Euroopan unionin kyberturvallisuusvirasto, asiamiehenään A. Bourka,
kuultuaan julkisasiamiehen 28.9.2023 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11; jäljempänä direktiivi 2002/58), luettuna yhdessä Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) kanssa, tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa vastakkain ovat yhtäältä yhdistykset La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net ja French Data Network sekä toisaalta Premier ministre (pääministeri, Ranska) ja ministre de la Culture (kulttuuriministeri, Ranska) ja joka koskee henkisestä omaisuudesta annetun koodeksin L. 331-29 §:ssä sallitusta henkilötietojen automaattisesta käsittelystä, josta käytetään nimitystä ”Système de gestion des mesures pour la protection des œuvres sur internet” (teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä) 5.3.2010 annetun asetuksen nro 2010-236 (JORF nro 56, 7.3.2010, teksti nro 19), sellaisena kuin se on muutettuna 6.5.2017 annetulla asetuksella nro 2017-924 (JORF nro 109, 10.5.2017; jäljempänä asetus nro 2010-236), lainmukaisuutta.
Asiaa koskevat oikeussäännöt
Unionin oikeus
Henkilötietojen suojaa koskeva yleisesti sovellettava säännöstö
– Direktiivi 95/46/EY
3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY (EYVL 1995, L 281, s. 31) II luvun II jaksossa, jonka otsikko on ”Tietojenkäsittelyn laillisuutta koskevat periaatteet”, olevassa 7 artiklassa säädettiin seuraavaa:
” Jäsenvaltioiden on säädettävä siitä, että henkilötietoja voidaan käsitellä ainoastaan,
– –
f) jos käsittely on tarpeen rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun intressin toteuttamiseksi, paitsi milloin tämän intressin syrjäyttävät rekisteröidyn 1 artiklan 1 kohdan perusteella suojaa tarvitsevat intressit ja perusoikeudet ja ‑vapaudet.”
4 Mainitun direktiivin 13 artiklan 1 kohdassa säädettiin seuraavaa:
” Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla pyritään rajoittamaan 6 artiklan 1 kohdassa, 10 artiklassa, 11 artiklan 1 kohdassa sekä 12 ja 21 artiklassa säädettyjen oikeuksien ja velvoitteiden alaa, jos tällaiset rajoitukset ovat välttämättömiä, jotta varmistettaisiin
– –
g) rekisteröidyn suojelu tai muiden oikeudet ja vapaudet.”
– Yleinen tietosuoja-asetus
5 Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1; jäljempänä yleinen tietosuoja-asetus) 2 artiklan, jonka otsikko on ”Aineellinen soveltamisala”, 1 ja 2 kohdassa säädetään seuraavaa:
” 1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
– –
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.”
6 Yleisen tietosuoja-asetuksen 4 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
” Tässä asetuksessa tarkoitetaan
1) ’henkilötiedoilla’ kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä ’rekisteröity’, liittyviä tietoja; – –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –”
7 Kyseisen asetuksen 6 artiklan, jonka otsikko on ”Käsittelyn lainmukaisuus”, 1 kohdassa säädetään seuraavaa:
”Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:
– –
f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja ‑vapaudet syrjäyttävät tällaiset edut – –
Ensimmäisen alakohdan f alakohtaa ei sovelleta tietojenkäsittelyyn, jota viranomaiset suorittavat tehtäviensä yhteydessä.”
8 Mainitun asetuksen 9 artiklassa, jonka otsikko on ”Erityisiä henkilötietoryhmiä koskeva käsittely”, 2 kohdan e ja f alakohdassa säädetään, että tiettyjen henkilötietojen käsittelyä koskevaa kieltoa, jonka piiriin kuuluvat muun muassa luonnollisen henkilön seksuaalista käyttäytymistä ja suuntautumista koskevat tiedot, ei sovelleta, jos käsittely koskee henkilötietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi, tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
9 Yleisen tietosuoja-asetuksen 23 artiklan, jonka otsikko on ”Rajoitukset”, 1 kohdassa säädetään seuraavaa:
” Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa niiden velvollisuuksien ja oikeuksien soveltamisalaa, joista säädetään 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja ‑vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata
– –
i) rekisteröidyn suojelu tai muille kuuluvat oikeudet ja vapaudet;
j) yksityisoikeudellisten vaateiden täytäntöönpano.”
Henkilötietojen suojaa koskeva alakohtainen säännöstö
– Direktiivi 2002/58
10 Direktiivin 2002/58 johdanto-osan 2, 6, 7, 11, 26 ja 30 perustelukappaleessa todetaan seuraavaa:
”(2) Tässä direktiivissä pyritään kunnioittamaan perusoikeuksia ja siinä noudatetaan erityisesti [perusoikeuskirjassa] tunnustettuja periaatteita. Tässä direktiivissä pyritään erityisesti varmistamaan mainitun perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen.
– –
(6) Internet mullistaa markkinoiden perinteisiä rakenteita tarjoamalla käyttöön yhteisen ja maailmanlaajuisen infrastruktuurin, jossa voidaan jakaa laajaa valikoimaa sähköisiä viestintäpalveluja. Internetissä yleisesti saatavilla olevat sähköiset viestintäpalvelut avaavat käyttäjille uusia mahdollisuuksia, mutta aiheuttavat samalla heidän henkilötietoihinsa ja yksityisyyteensä liittyviä uusia riskejä.
(7) Yleisten viestintäverkkojen osalta olisi annettava erityiset lait, asetukset ja tekniset määräykset, jotta luonnollisten henkilöiden perusoikeudet ja ‑vapaudet sekä oikeushenkilöiden oikeutetut edut voidaan suojata ottaen erityisesti huomioon tilaajia ja käyttäjiä koskevien tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntyminen.
– –
(11) Tämä direktiivi, samoin kuin direktiivi [95/46], ei koske perusoikeuksien ja ‑vapauksien turvaamista sellaisessa toiminnassa, joka ei kuulu yhteisön oikeuden soveltamisalaan. Tästä syystä se ei vaikuta tasapainoon, joka tällä hetkellä vallitsee yksittäisten henkilöiden yksityisyyden suojan ja niiden tämän direktiivin 15 artiklan 1 kohdassa tarkoitettujen toimenpiteiden välillä, joita jäsenvaltiot voivat toteuttaa yleisen turvallisuuden, maanpuolustuksen tai valtion turvallisuuden (valtion taloudellinen hyvinvointi mukaan lukien, kun toimet liittyvät valtion turvallisuuteen) suojelemiseksi sekä rikosoikeuden täytäntöönpanemiseksi. Näin ollen tämä direktiivi ei vaikuta jäsenvaltioiden mahdollisuuteen harjoittaa sähköisen viestinnän laillista telekuuntelua tai toteuttaa muita toimenpiteitä, jos ne ovat välttämättömiä edellä mainittuja tarkoituksia varten ja jos noudatetaan [Roomassa 4.11.1950 allekirjoitettua] ihmisoikeuksien ja perusvapauksien suojaamiseksi tehtyä eurooppalaista yleissopimusta sellaisena kuin sitä on Euroopan ihmisoikeustuomioistuimen päätöksissä tulkittu. Näiden toimenpiteiden on oltava asianmukaisia, niiden on ehdottomasti oltava oikeassa suhteessa niiden tarkoitukseen nähden sekä välttämättömiä demokraattisessa yhteiskunnassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaisia asianmukaisia suojamääräyksiä olisi sovellettava niihin.
– –
(26) Tilaajiin liittyvät tiedot, joita käsitellään sähköisissä viestintäverkoissa liittymien luomiseksi ja tietojen välittämiseksi, sisältävät tietoja luonnollisten henkilöiden yksityiselämästä ja koskevat heidän oikeuttaan viestintänsä suojaan tai oikeushenkilöiden oikeutettuja etuja. Tällaista tietoa voidaan tallentaa vain siinä määrin, kuin se on palvelun tarjoamisen kannalta välttämätöntä laskutuksen tai yhteenliittämismaksujen vuoksi ja vain rajoitetun ajan. Kaikki muu tällaisen tiedon jatkokäsittely – – sallitaan ainoastaan, jos tilaaja on tähän suostunut yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajan hänelle antamien täsmällisten ja täydellisten tietojen perusteella, jotka koskevat näitä suunniteltuja jatkokäsittelymuotoja ja tilaajan oikeutta olla antamatta suostumustaan tai peruuttaa suostumuksensa tällaiseen käsittelyyn. – –
– –
(30) Sähköisiä viestintäverkkoja ja ‑palveluita tarjoavat järjestelmät olisi suunniteltava niin, että tarvittavien henkilötietojen määrä rajoitetaan mahdollisimman pieneksi. – –”
11 Direktiivin 2002/58 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
” – –
Lisäksi tässä direktiivissä tarkoitetaan
a) ’käyttäjällä’ luonnollisia henkilöitä, jotka käyttävät yleisesti saatavilla olevaa sähköistä viestintäpalvelua yksityis- tai liikeasioihin olematta välttämättä tämän palvelun tilaajia;
b) ’liikennetiedoilla’ tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten;
c) ’paikkatiedoilla’ sähköisessä viestintäverkossa tai sähköisen viestintäpalvelun avulla käsiteltäviä tietoja, jotka ilmaisevat yleisesti saatavilla olevan sähköisen viestintäpalvelun käyttäjän päätelaitteen maantieteellisen sijainnin;
– –”
12 Kyseisen direktiivin 3 artiklassa, jonka otsikko on ”Palvelut”, säädetään seuraavaa:
” Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa yhteisössä, mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot.”
13 Mainitun direktiivin 5 artiklassa, jonka otsikko on ”Viestinnän luottamuksellisuus”, säädetään seuraavaa:
” 1. Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti. Mitä tässä kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista.
– –
3. Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. – –”
14 Direktiivin 6 artiklassa, jonka otsikko on ”Liikennetiedot”, säädetään seuraavaa:
” 1. Tilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan sekä 15 artiklan 1 kohdan soveltamista.
2. Tilaajalaskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan käsitellä. Tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä.
3. Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja voi sähköisten viestintäpalvelujen markkinoimiseksi tai lisäarvopalvelujen tarjoamiseksi käsitellä 1 kohdassa tarkoitettuja tietoja siinä määrin ja niin kauan kuin tällainen palvelu tai markkinointi sitä edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen ennakolta suostumuksensa. Käyttäjille tai tilaajille on annettava mahdollisuus perua liikennetietojen käsittelyä koskeva suostumuksensa milloin tahansa.
– –
5. Liikennetietojen käsittely 1, 2, 3 ja 4 kohdan mukaisesti on rajoitettava yleisten viestintäverkkojen ja yleisesti saatavilla olevien palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät laskutusta tai liikenteenhallintaa, asiakastiedusteluja, petosten paljastamista, sähköisten viestintäpalvelujen markkinoimista tai lisäarvopalvelujen tarjoamista, ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa.”
15 Direktiivin 2002/58 15 artiklan, jonka otsikko on ”Direktiivin [95/46] tiettyjen säännösten soveltaminen”, 1 kohdassa säädetään seuraavaa:
” 1. Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin [95/46] 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä. Kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava yhteisön oikeuden yleisten periaatteiden mukaisia, mukaan lukien [SEU] 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet.
– –
2. Direktiivin [95/46] III jakson säännöksiä oikeuskeinoista, vastuista ja seuraamuksista sovelletaan ottaen huomioon tämän direktiivin mukaisesti annetut kansalliset säännökset ja tästä direktiivistä johtuvat henkilökohtaiset oikeudet.
– –”
– Direktiivi (EU) 2016/680
16 Luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (EUVL 2016, L 119, s. 89) 1 artiklan, jonka otsikko on ”Kohde ja tavoitteet”, 1 kohdassa säädetään seuraavaa:
” Tässä direktiivissä vahvistetaan säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.”
17 Mainitun direktiivin 3 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
” Tässä direktiivissä tarkoitetaan
– –
7. ’toimivaltaisella viranomaisella’
a) kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai
b) kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;
– –”
Teollis- ja tekijänoikeuksien suojaa koskeva säännöstö
18 Teollis- ja tekijänoikeuksien noudattamisen varmistamisesta 29.4.2004 annetun Euroopan parlamentin ja neuvoston direktiivin 2004/48/EY (EUVL 2004, L 157, s. 45 ja oikaisu EUVL 2004, L 195, s. 16) 8 artiklassa, jonka otsikko on ”Tiedonsaantioikeus”, säädetään seuraavaa:
” 1. Jäsenvaltioiden on varmistettava, että toimivaltaiset oikeusviranomaiset voivat teollis- tai tekijänoikeuden loukkausta koskevan oikeudenkäynnin yhteydessä kantajan perustellusta ja oikeasuhteisesta pyynnöstä määrätä, että sellaisten tavaroiden ja palvelujen alkuperästä ja jakeluverkosta, jotka loukkaavat teollis- tai tekijänoikeutta, annetaan tietoja. – –
2. Edellä 1 kohdassa tarkoitettuihin tietoihin sisältyvät tapauksen mukaan:
a) tuotteen tai palvelujen tuottajien, valmistajien, jakelijoiden, toimittajien ja muiden aikaisempien haltijoiden sekä aiottujen tukku- ja vähittäiskauppiaiden nimet ja osoitteet;
– –
3. Edellä 1 ja 2 kohdan säännökset eivät rajoita muita laissa annettuja säännöksiä, jotka
a) antavat oikeuden haltijalle oikeuden saaja laajempia tietoja;
b) koskevat tämän artiklan nojalla ilmoitettujen tietojen käyttöä rikos- tai siviilioikeudellisessa menettelyssä;
c) koskevat vastuuta tiedonsaantioikeuden väärinkäytöstä;
d) antavat mahdollisuuden kieltäytyä sellaisten tietojen antamisesta, jotka pakottaisivat 1 kohdassa tarkoitetun henkilön myöntämään oman tai lähisukulaisensa osallistumisen teollis- tai tekijänoikeuden loukkaukseen; tai
e) koskevat tietolähteiden luottamuksellisuuden suojaa tai henkilötietojen käsittelyä.”
Ranskan oikeus
CPI
19 Teollis- ja tekijänoikeuskoodeksin (code de la propriété intellectuelle), sellaisena kuin se oli voimassa pääasian kantajien riitauttaman päätöksen tekohetkellä (jäljempänä CPI), L. 331–12 §:ssä säädetään seuraavaa:
”Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [(Internetissä tapahtuvasta teosten jakelusta ja oikeuksien suojaamisesta vastaava korkea viranomainen, Ranska; jäljempänä Hadopi)] on riippumaton viranomainen.” – – ”
20 Tämän koodeksin L. 331-13 §:ssä säädetään seuraavaa:
”[Hadopi] hoitaa seuraavia tehtäviä:
1° Yleisölle tarkoitettujen verkkoviestintäpalvelujen tarjontaan käytettävissä sähköisissä viestintäverkoissa tekijänoikeudella tai lähioikeuksilla suojattujen teosten ja aineistojen laillisen tarjonnan kehittäminen ja aineiston laillisen ja lainvastaisen käytön seuraaminen;
2° Näiden teosten ja aineistojen suojaaminen yleisölle tarkoitettujen verkkoviestintäpalvelujen tarjontaan käytettävissä sähköisissä viestintäverkoissa tapahtuvilta oikeudenloukkauksilta; – –”
– – ”
21 Mainitun koodeksin L. 331-15 §:ssä säädetään seuraavaa:
”[Hadopi] muodostuu viranomaiskollegiosta ja oikeuksien suojaamisesta vastaavasta lautakunnasta. – –
– –
Toimivaltuuksiaan käyttäessään viranomaiskollegion ja oikeuksien suojaamisesta vastaavan lautakunnan jäsenet eivät saa ottaa ohjeita miltään muulta viranomaiselta.”
22 Mainitun koodeksin L. 331-17 §:n ensimmäisessä momentissa säädetään seuraavaa:
”Oikeuksien suojaamisesta vastaavan lautakunnan tehtävänä on toteuttaa L. 331-25 §:ssä tarkoitetut toimenpiteet.”
23 CPI:n L. 331-21 §:ssä säädetään seuraavaa:
”[Hadopilla] on oikeuksien suojaamisesta vastaavan lautakunnan toimivaltuuksien käyttämistä varten valantehneitä julkisoikeudellisessa palvelussuhteessa olevia työntekijöitä, jotka [Hadopin] puheenjohtaja on valtuuttanut Conseil d’État’n [(ylin hallintotuomioistuin, Ranska)] antamassa asetuksessa vahvistetuin edellytyksin. – –
Oikeuksien suojaamisesta vastaavassa lautakunnassa L. 331-24 §:ssä säädetyillä edellytyksillä vireille pannut asiat toimitetaan kyseisen lautakunnan jäsenille ja ensimmäisessä momentissa mainituille työntekijöille. He suorittavat tosiseikkojen tutkinnan.
He voivat saada kaikki menettelyn kannalta tarpeelliset asiakirjat riippumatta siitä, missä muodossa ne ovat, mukaan lukien sähköisen viestinnän operaattorien postista ja sähköisestä viestinnästä annetun koodeksin [(code des postes et des communications électroniques)] L. 34-1 §:n mukaisesti säilyttämät ja käsittelemät tiedot ja luottamuksesta digitaalitaloudessa 21.6.2004 annetun lain nro 2004 575 [(loi no 2004 575 du 21 juin 2004 pour la confiance dans l’économie numérique)] 6 §:n I momentin 1 ja 2 kohdassa mainittujen palveluntarjoajien säilyttämät ja käsittelemät tiedot.
He voivat myös saada jäljennöksen edellisessä momentissa mainituista asiakirjoista.
He voivat muun muassa saada sähköisen viestinnän toimijoilta sellaisen tilaajan henkilötiedot, postiosoitteen, sähköpostiosoitteen ja puhelinyhteystiedot, jonka yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin on käytetty kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan.”
24 Tämän koodeksin L. 331-24 §:ssä säädetään seuraavaa:
”Oikeuksien suojaamisesta vastaava lautakunta toimii
– lainmukaisesti perustettujen alan edunvalvonnasta vastaavien elinten,
– yhteishallinnointiorganisaatioiden ja
– Centre national du cinéma et de l’image animéen [(kansallinen elokuva- ja animaatiokuvakeskus, Ranska)]
nimeämien – – valantehneiden ja valtuutettujen työntekijöiden kyseisessä lautakunnassa vireille panemissa asioissa. Oikeuksien suojaamisesta vastaava lautakunta voi toimia asiassa myös syyttäjän [(procureur de la République)] sille toimittamien tietojen perusteella.
Lautakunnan käsiteltäväksi ei voida saattaa asiaa, joka koskee yli kuuden kuukauden takaisia tekoja.”
25 CPI:n L. 331-25 §:ssä, joka koskee menettelyä, josta käytetään nimitystä ”porrastettu reagointi” (”réponse graduée”), säädetään seuraavaa:
”Kun oikeuksien suojaamisesta vastaavan lautakunnan käsiteltäväksi saatetaan asia, jossa kyseessä olevat teot voivat merkitä [CPI:n] L. 336-3 §:ssä määritellyn velvoitteen laiminlyöntiä, se voi antaa tilaajalle – – suosituksen, jossa muistutetaan L. 336-3 §:n säännöksistä, kehotetaan tilaajaa noudattamaan kyseisissä säännöksissä määriteltyä velvoitetta ja varoitetaan L. 335-7 ja L. 335-7-1 §:n mukaisesti määrättävistä seuraamuksista. Suosituksessa myös annetaan tilaajalle tietoja kulttuurisisältöjen lainmukaisesta verkkotarjonnasta ja ilmoitetaan suojaamiskeinoista, joiden avulla L. 336 3 §:ssä määritellyn velvoitteen laiminlyöntejä voidaan ehkäistä, ja riskeistä, joita tekijänoikeutta ja lähioikeuksia loukkaavista käytännöistä aiheutuu luovan taiteellisen työn jatkumiselle ja kulttuurielinkeinolle.
Jos teot, jotka voivat merkitä L. 336-3 §:ssä määritellyn velvoitteen laiminlyöntiä, toistuvat kuuden kuukauden kuluessa ensimmäisessä momentissa tarkoitetun suosituksen antamisesta, lautakunta voi antaa sähköisesti uuden suosituksen, joka sisältää samat tiedot kuin edellinen – –. Lautakunnan on toimitettava tämä suositus allekirjoitusta vastaan luovutettavalla kirjeellä tai muulla välineellä, jolla voidaan osoittaa suosituksen antamispäivämäärä.
Tämän pykälän perusteella annettavissa suosituksissa mainitaan päivämäärä ja kellonaika, joina teot, jotka voivat merkitä L. 336-3 §:ssä määritellyn velvollisuuden laiminlyöntiä, on todettu. Suosituksissa ei kuitenkaan ilmaista niiden teosten tai suojattujen aineistojen sisältöä, joita tämä laiminlyönti koskee. Suosituksissa ilmoitetaan puhelinyhteystiedot, postiosoite ja sähköpostiosoite, joihin vastaanottaja voi ottaa yhteyttä halutessaan esittää oikeuksien suojaamisesta vastaavalle lautakunnalle huomautuksia ja joista hän voi saada pyynnöstä lisätietoja niiden teosten tai suojattujen aineistojen sisällöstä, joita laiminlyönti, josta häntä moititaan, koskee.”
26 CPI:n L. 331-29 §:ssä säädetään seuraavaa:
”[Hadopilla] on oikeus sellaisten henkilötietojen automaattisen käsittelyjärjestelmän luomiseen, jotka koskevat menettelyn kohteena olevia henkilöitä tämän alajakson yhteydessä.
Kyseisen tietojenkäsittelyn tarkoituksena on oikeuksien suojaamisesta vastaavan lautakunnan toimesta tapahtuva tässä alajaksossa säädettyjen toimenpiteiden ja kaikkien menettelyyn liittyvien toimien toteuttaminen ja yksityiskohtaisten sääntöjen, jotka koskevat alan edunvalvonnasta vastaaville elimille ja yhteishallinnointiorganisaatioille tiedottamista asian mahdollisesta saattamisesta oikeusviranomaisen käsiteltäväksi, täytäntöönpano sekä L. 335-7 §:n viidennessä momentissa säädettyjen tiedoksiantojen toteuttaminen.
Tämän pykälän soveltamista koskevat yksityiskohtaiset säännöt vahvistetaan – – asetuksella. Kyseisessä asetuksessa täsmennetään erityisesti
– tallennettujen tietojen ryhmät ja niiden säilyttämisaika
– vastaanottajat, jolla on oikeus saada näitä tietoja, erityisesti henkilöt, joiden toimintaan kuuluu pääsyn tarjoaminen yleisölle tarkoitettuihin verkkoviestintäpalveluihin;
– edellytykset, joilla asianomaiset henkilöt voivat käyttää [Hadopissa] oikeuttaan saada heitä koskevia tietoja – –”
27 Kyseisen koodeksin L. 335–2 §:n 1 ja 2 momentissa täsmennetään seuraavaa:
”Kirjoitusten, sävellysten, piirustusten, maalausten tai minkä tahansa muun teoksen julkaiseminen kokonaan tai osittain painettuna tai kaiverrettuna tekijänoikeuksia koskevien lakien ja asetusten vastaisesti on oikeudenloukkaus, ja oikeudenloukkaus on rikos.
Ranskassa tai ulkomailla julkaistuja teoksia koskevien oikeuksien loukkaamisesta voidaan määrätä kolmen vuoden vankeusrangaistus ja 300 000 euron sakkorangaistus.”
28 Mainitun koodeksin L. 335-4 §:n ensimmäisessä momentissa säädetään seuraavaa:
”Esityksen, äänitteen, videotallenteen, ohjelman tai lehtijulkaisun tallentamisesta, kopioinnista, välittämisestä tai yleisön saataviin saattamisesta maksua vastaan tai maksutta taikka televisiossa esittämisestä ilman lupaa esittäjältä, äänitteiden tai videotallenteiden tuottajalta, audiovisuaalista viestintää harjoittavalta yritykseltä, lehtikustantajalta tai uutistoimistolta, voidaan määrätä kolmen vuoden vankeusrangaistus ja 300 000 euron sakkorangaistus.”
29 CPI:n L. 335-7 §:ssä säädetään säännöistä, jotka koskevat muun muassa kyseisen koodeksin L. 335-2 ja L. 335-4 §:ssä tarkoitettuihin rikoksiin syyllistyneille henkilöille määrättävää lisäseuraamusta, jolla keskeytetään pääsy yleisölle tarkoitettuun verkkoviestintäpalveluun enintään yhdeksi vuodeksi.
30 Mainitun koodeksin L. 335-7-1 §:n 1 momentissa säädetään seuraavaa:
”Tässä koodeksissa säädettyjen viidennen luokan rikkomusten osalta, jos asetuksessa niin säädetään, L. 335-7 §:ssä määritelty lisäseuraamus voidaan määrätä samoin edellytyksin törkeästä tuottamuksesta yleisölle tarkoitettuja verkkoviestintäpalveluja koskevan yhteyden haltijalle, jolle oikeuksien suojaamisesta vastaava lautakunta on L. 331-25 §:n nojalla aiemmin antanut allekirjoitusta vastaan toimitetulla kirjeellä tai muulla sellaisella tavalla, jolla todistetaan esityspäivä, suosituksen, jossa tätä henkilöä kehotetaan ottamaan käyttöön keino internetyhteytensä suojaamiseksi.”
31 Tämän koodeksin L. 336-3 §:n sanamuoto on seuraava:
”Yleisölle tarkoitettuja verkkoviestintäpalveluja koskevan yhteyden haltija on velvollinen huolehtimaan siitä, ettei kyseistä yhteyttä käytetä kappaleen valmistamiseen tekijänoikeudella tai lähioikeudella suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan.
Se, että yhteyden haltija laiminlyö ensimmäisessä momentissa tarkoitetun velvollisuuden, ei johda asianomaisen henkilön rikosoikeudelliseen vastuuseen – –”
32 CPI:n R. 331–37 §:n 1 momentissa säädetään seuraavaa:
” Sähköisen viestinnän operaattoreilla ja – – palveluntarjoajilla on velvollisuus välittää yhteydellä L. 331-29 §:ssä mainittuun henkilötietojen automaattiseen käsittelyjärjestelmään tai käyttämällä tallennusvälinettä, joka varmistaa tietojen koskemattomuuden ja tietoturvan, henkilötiedot ja [asetuksen nro 2010 236] liitteen 2 kohdassa mainitut tiedot kahdeksan päivän kuluessa sen jälkeen, kun oikeuksien suojaamisesta vastaava lautakunta on välittänyt sellaisen tilaajan tunnistamiseen tarvittavat tekniset tiedot, jonka yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin on käytetty kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan. ”
33 Tämän koodeksin R. 331-40 §:ssä säädetään seuraavaa:
”Kun oikeuksien suojaamisesta vastaava lautakunta saa vuoden kuluessa L. 335–7-1 §:n 1 momentissa mainitun suosituksen esittämisestä tietoonsa uusia tosiseikkoja, jotka voivat merkitä R. 335–5 §:ssä määriteltyä törkeää tuottamusta, se ilmoittaa tilaajalle allekirjoitusta vastaan toimitetulla kirjeellä, että tällaista teoista voidaan nostaa syyte. Kirjeessä kehotetaan asianomaista henkilöä esittämään huomautuksensa 15 päivän kuluessa. Siinä täsmennetään, että asianomainen henkilö voi samassa määräajassa pyytää L. 331-21-1 §:n mukaista kuulemista ja että hänellä on oikeus käyttää avustajaa. Siinä kehotetaan häntä myös täsmentämään perheensä kulut sekä varansa.
Lautakunta voi omasta aloitteestaan kutsua asianomaisen henkilön kuultavaksi. Kutsukirjeessä täsmennetään, että hänellä on oikeus käyttää avustajaa.”
34 CPI:n R. 335-5 §:ssä säädetään seuraavaa:
”I. – Törkeänä tuottamuksena, josta rangaistaan viidennen luokan rikkomuksista säädetyllä sakolla, pidetään sitä, että yleisölle tarkoitettuja verkkoviestintäpalveluja koskevan yhteyden haltija on ilman perusteltua syytä ja jäljempänä II momentin mukaisten edellytysten täyttyessä menetellyt seuraavasti:
1° ei ole ottanut käyttöön mitään keinoa yhteyden suojaamiseksi tai
2° on toiminut huolimattomasti ottaessaan käyttöön kyseisen keinon.
II. – Edellä olevan I momentin säännöksiä ei sovelleta, jos seuraavat kaksi edellytystä täyttyvät:
1° Yhteyden haltija on L. 331-25 §:n mukaisesti ja kyseisessä pykälässä tarkoitetuilla tavoilla saanut oikeuksien suojaamisesta vastaavalta lautakunnalta suosituksen ottaa yhteyden suojaamiseksi käyttöön keinon, jolla varmistetaan, ettei kyseistä yhteyttä enää toistamiseen käytetä kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman – – oikeuksien haltijoiden lupaa, jos lupa vaaditaan;
2° Kyseisen suosituksen antamista seuraavana vuonna kyseistä yhteyttä on toistamiseen käytetty tämän II momentin 1 kohdassa mainittuihin tarkoituksiin.”
35 Kulttuuriteosten saatavuuden sääntelystä ja suojaamisesta digitaalisen aikakauden aikana 25.10.2021 annetun lain nro 2021–1382 (JORF nro 250, 26.10.2021, teksti nro 2) mukaisesti Hadopi ja audiovisuaalisen alan neuvoston (CSA), joka on toinen riippumaton viranomainen, yhdistyivät 1.1.2022 ja muodostivat audiovisuaalisen ja digitaalisen viestinnän sääntelystä vastaavan viranomaisen (ARCOM).
36 Tämän tuomion 25 kohdassa mainittu porrastetun reagoinnin menettely on kuitenkin pysynyt olennaisilta osin muuttumattomana, vaikka sitä ei enää toteuta Hadopin oikeuksien suojaamisesta vastaava lautakunta, joka koostui kolmesta Conseil d’État’n, tilintarkastustuomioistuimen (Cour des comptes) ja Cour de cassationin nimittämästä jäsenestä, vaan kaksi ARCOMin kollegion jäsentä, joista toisen nimittää Conseil d’État ja toisen Cour de cassation.
Asetus nro 2010-236
37 Asetuksen nro 2010–236, joka on annettu muun muassa CPI:n L. 331–29 §:n nojalla, 1 §:ssä säädetään seuraavaa:
”Henkilötietojen automaattisen käsittelyn, josta käytetään nimitystä ’teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä’, tarkoituksena on, että oikeuksien suojaamisesta vastaava [Hadopin] lautakunta
1° toteuttaa [CPI:n] lait sisältävän osion III osassa (III osaston I luvun 3 jakson 3 alajakso) ja [CPI:n] asetukset sisältävän osion III osassa (III osaston I luvun 2 jakson 2 alajakso) tarkoitetut toimenpiteet ja
2° saattaa teot, jotka voivat olla [CPI:n] L. 335-2, L. 335-3, L. 335-4 ja R. 335-5 §:ssä tarkoitettuja rikoksia, syyttäjän käsiteltäväksi ja ilmoittaa tästä käsiteltäväksi saattamisesta alan edunvalvonnasta vastaaville elimille ja yhteishallinnointiorganisaatioille
– – ”
38 Kyseisen asetuksen 4 §:ssä säädetään seuraavaa:
”I. – [Hadopin] puheenjohtajan [CPI:n] L. 331-21 §:n mukaisesti valtuuttamilla valantehneillä julkisoikeudellisessa palvelussuhteessa olevilla työtekijöillä ja edellä 1 §:ssä mainitun oikeuksien suojaamisesta vastaavan lautakunnan jäsenillä on suoraan pääsy henkilötietoihin ja tämän asetuksen liitteessä mainittuihin tietoihin.
II. – Seuraavien tietojen vastaanottajia ovat sähköisen viestinnän operaattorit ja tämän asetuksen liitteessä olevassa 2 kohdassa mainitut palveluntarjoajat:
– tilaajan tunnistamiseen tarvittavat tekniset tiedot;
– [CPI:n] L. 331-25 §:ssä tarkoitetut suositukset, jotka on tarkoitettu lähetettäväksi sähköisesti tilaajille;
– tiedot, jotka syyttäjän ilmoitettua oikeuksien suojaamisesta vastaavalle lautakunnalle lisärangaistuksista, joilla keskeytetään yhteys yleisölle tarkoitettuun verkkoviestintäpalveluun, ovat tarpeen niiden täytäntöönpanoa varten.
III – Sellaisten tietojen, jotka koskevat asian saattamista syyttäjän käsiteltäväksi, vastaanottajia ovat alan edunvalvonnasta vastaavat elimet ja yhteishallinnointiorganisaatiot.
IV – Sellaisten tekojen toteamista, jotka voivat olla [CPI:n] L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 ja R. 335-5 §:ssä tarkoitettuja rikoksia, koskevien pöytäkirjojen vastaanottajia ovat oikeusviranomaiset.
Yhteyden keskeyttämistä koskevan rangaistuksen täytäntöönpanosta tehdään merkintä automaattiseen rikosrekisteriin.”
39 Mainitun asetuksen liitteessä säädetään seuraavaa:
”Tietojenkäsittelyjärjestelmään nimeltä ’teosten suojaamista internetissä koskevien toimenpiteiden hallintajärjestelmä’ tallennetaan seuraavat henkilötiedot ja muut tiedot:
1° Henkilötiedot ja lainmukaisesti perustetuilta alan edunvalvonnasta vastaavilta elimiltä, yhteishallinnointiorganisaatioilta ja Centre national du cinéma et de l’image animéelta sekä syyttäjältä saadut tiedot:
teoista, jotka voivat merkitä [CPI:n] L. 336-3 §:ssä määritellyn velvollisuuden laiminlyöntiä:
tekojen päivämäärä ja kellonaika;
asianomaisten tilaajien IP-osoitteet;
käytetty vertaisverkkoprotokolla;
tilaajan käyttämä peitenimi;
tiedot suojatuista teoksista tai aineistoista, joita teot koskevat;
tiedostonimi, sellaisena kuin se ilmenee tilaajan laitteen yksilöintitunnuksesta (tarvittaessa);
internetyhteyden tarjoaja, jolta yhteys on tilattu tai joka on toimittanut teknisen IP-resurssin.
– –
2° Henkilötiedot ja tilaajaan liittyvät muut tiedot, jotka on kerätty sähköisen viestinnän operaattoreilta – – ja palveluntarjoajilta – –:
sukunimi, etunimet;
posti- ja sähköpostiosoite;
puhelinyhteystiedot;
tilaajan puhelinlaitteiston osoite;
internetyhteyden tarjoaja, joka käyttää sen edellä 1° kohdassa mainitun internetyhteyden tarjoajan teknisiä resursseja, jonka kanssa tilaaja on tehnyt sopimuksen;
päivämäärä, josta alkaen yhteys yleisölle tarkoitettuun verkkoviestintäpalveluun keskeytetään.
– – ”
Postista ja sähköisestä viestinnästä annettu koodeksi
40 Postista ja sähköisestä viestinnästä annetun koodeksin (code des postes et des communications électroniques) L. 34–1 §:n II bis momentissa säädetään seuraavaa:
”Sähköisen viestinnän operaattoreiden on säilytettävä
1° rikosoikeudellisia menettelyjä, yleiseen turvallisuuteen kohdistuvien uhkien ehkäisemistä ja kansallisen turvallisuuden takaamista varten käyttäjän henkilöllisyyttä koskevat tiedot, kunnes viisi vuotta on kulunut hänen sopimuksensa voimassaolon päättymisestä;
2° edellä 1 kohdassa mainittuja tarkoituksia varten muut tiedot, jotka käyttäjä antaa sopimusta tehtäessä tai tiliä perustettaessa, sekä tiedot maksusta, kunnes vuosi on kulunut hänen sopimuksensa voimassaolon päättymisestä tai tilinsä päättämisestä;
3° rikollisuuden ja vakavan rikollisuuden torjumista, yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemistä ja kansallisen turvallisuuden takaamista varten tekniset tiedot, joiden avulla voidaan yksilöidä liittymän lähde, tai käytettyjä päätelaitteita koskevat tekniset tiedot, kunnes vuosi on kulunut päätelaitteiden liittämisestä tai käytöstä.”
Pääasia ja ennakkoratkaisukysymykset
41 Koska pääministeri hylkäsi implisiittisesti kantajien vaatimuksen asetuksen nro 2010-236 kumoamisesta, pääasian kantajat nostivat 12.8.2019 päivätyllä kannekirjelmällä Conseil d’État’ssa kanteen, jossa ne vaativat tämän implisiittisen hylkäyspäätöksen kumoamista. Ne väittivät, että CPI:n L. 331–21 §:n 3–5 momentissa, jotka ovat osa kyseisen asetuksen oikeusperustaa, yhtäältä loukataan Ranskan perustuslaissa vahvistettua oikeutta yksityiselämän kunnioittamiseen ja toisaalta rikotaan unionin oikeutta ja erityisesti direktiivin 2002/58 15 artiklaa sekä perusoikeuskirjan 7, 8, 11 ja 52 artiklaa.
42 Kanteen perustuslain väitettyä rikkomista koskevan osan osalta Conseil d’État saattoi Conseil constitutionnelin (perustuslakituomioistuin, Ranska) käsiteltäväksi perustuslainmukaisuutta koskevan ensisijaisesti käsiteltävän kysymyksen.
43 Conseil constitutionnel totesi 20.5.2020 antamassaan ratkaisussa nro 2020–841 QPC La Quadrature du Net ym. (Tietojen välittämistä Hadopille koskeva oikeus) perustuslain vastaisiksi CPI:n L. 331-21 §:n kolmannen ja neljännen momentin mutta totesi kyseisen pykälän viidennen momentin perustuslain mukaiseksi lukuun ottamatta siinä esiintyvää sanaa ”muun muassa”.
44 Pääasian kantajat väittivät unionin oikeuden väitettyä noudattamatta jättämistä koskevasta kanteen osasta erityisesti, että asetuksessa nro 2010–236 ja sen oikeusperustan muodostavissa säännöksissä sallitaan yhteystietojen saaminen suhteettomalla tavalla sellaisten internetissä tapahtuneiden tekijänoikeusrikkomusten osalta, jotka eivät ole vakavia, ilman tuomioistuimen tai viranomaisen etukäteisvalvontaa, joka tarjoaa takeet riippumattomuudesta ja puolueettomuudesta. Erityisesti nämä rikkomukset eivät kuulu 21.12.2016 annetussa tuomiossa Tele2 Sverige ja Watson ym. (C‑203/15 ja C‑698/15, EU:C:2016:970) tarkoitetun vakavan rikollisuuden alaan.
45 Tältä osin Conseil d’État, joka on ennakkoratkaisua pyytänyt tuomioistuin, huomauttaa yhtäältä, että unionin tuomioistuin on 6.10.2020 antamassaan tuomiossa La Quadrature du Net ym. (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) todennut muun muassa, että direktiivin 2002/58 15 artiklan 1 kohta, kun sitä luetaan perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, ei ole esteenä lainsäädännöllisille toimenpiteille, joissa säädetään kansallisen turvallisuuden suojaamiseksi, rikollisuuden torjumiseksi ja yleisen turvallisuuden suojaamiseksi sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevien tietojen yleisestä ja erotuksetta tapahtuvasta säilyttämisestä. Niinpä kun kyse on sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevista tiedoista, tällainen säilyttäminen on mahdollista ilman erityistä määräaikaa rikosten tutkintaa, selvittämistä ja syyteharkintaa yleisesti koskeviin tarkoituksiin. Direktiivi 2002/58 ei myöskään ole esteenä näihin tietoihin pääsylle tällaisia tarkoituksia varten.
46 Ennakkoratkaisua pyytänyt tuomioistuin päättelee tästä, että siltä osin kuin on kyse pääsystä sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskeviin tietoihin, pääasian kantajien kanneperuste, jonka mukaan asetus nro 2010–236 on lainvastainen siltä osin kuin se on annettu sellaisten rikosten torjumisen yhteydessä, jotka eivät ole vakavia, on hylättävä.
47 Se huomauttaa toisaalta, että 21.12.2016 antamassaan tuomiossa Tele2 Sverige ja Watson ym. (C‑203/15 ja C‑698/15, EU:C:2016:970) unionin tuomioistuin on katsonut muun muassa, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa säännellään liikenne- ja paikkatietojen suojaa ja turvaa, erityisesti toimivaltaisten kansallisten viranomaisten oikeutta saada säilytettäviä tietoja, ja jossa tietojen saannin edellytykseksi ei aseteta tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa ennakkovalvontaa.
48 Ennakkoratkaisua pyytänyt tuomioistuin viittaa tarkemmin kyseisen tuomion 120 kohtaan, jossa unionin tuomioistuin on täsmentänyt, että on olennaista, että tällainen oikeus saada säilytettyjä tietoja edellyttää lähtökohtaisesti asianmukaisesti perusteltuja kiireellisiä tapauksia lukuun ottamatta joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa ja sitä, että kyseisen tuomioistuimen tai elimen ratkaisu annetaan perustellusta pyynnöstä, jonka nämä viranomaiset esittävät rikoksen estämis-, selvittämis- tai syyteharkintamenettelyssä.
49 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan unionin tuomioistuin on huomauttanut tästä vaatimuksesta 6.10.2020 annetussa tuomiossa La Quadrature du Net ym. (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791), jossa oli kyse tiedustelupalvelun suorittamasta yhteystietojen keräämisestä reaaliajassa, ja 2.3.2021 annetussa tuomiossa Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset) (C‑746/18, EU:C:2021:152), jossa oli kyse kansallisten viranomaisten pääsystä yhteystietoihin.
50 Ennakkoratkaisua pyytänyt tuomioistuin toteaa myös, että Hadopi on perustamisestaan eli vuodesta 2009 lähtien lähettänyt liittymien haltijoille yli 12,7 miljoonaa suositusta, joista 827 791 pelkästään vuoden 2019 osalta, CPI:n L 331-25 §:ssä tarkoitetussa porrastetun reagoinnin menettelyssä. Tämä merkitsee sitä, että Hadopin oikeuksien suojaamisesta vastaavan lautakunnan virkamiesten on väistämättä täytynyt kerätä joka vuosi huomattava määrä asianomaisten käyttäjien henkilöllisyyttä koskevia tietoja. Kyseinen tuomioistuin katsoo, että näiden suositusten lukumäärän huomioon ottaen se, että tämä tietojenkeruu alistetaan etukäteisvalvonnalle, saattaa tehdä mainittujen suositusten täytäntöönpanon mahdottomaksi.
51 Tässä tilanteessa Conseil d’État on päättänyt lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
” 1) Kuuluvatko IP-osoitetta vastaavat henkilöllisyyttä koskevat tiedot liikenne- tai paikkatietoihin, jotka edellyttävät lähtökohtaisesti tuomioistuimen tai riippumattoman hallinnollisen elimen, jolla on velvoittava toimivalta, suorittamaa ennakkovalvontaa?
2) Jos ensimmäiseen kysymykseen vastataan myöntävästi ja kun otetaan huomioon käyttäjien henkilöllisyyttä koskevien tietojen, mukaan lukien heidän yhteystietonsa, vähäinen arkaluonteisuus, onko [direktiiviä 2002/58], luettuna [perusoikeuskirjan] valossa, tulkittava siten, että se on esteenä kansalliselle lainsäädännölle, jossa säädetään hallinnollisen viranomaisen suorittamasta näiden tietojen, jotka vastaavat käyttäjien IP-osoitetta, keräämisestä ilman tuomioistuimen tai riippumattoman hallinnollisen elimen, jolla on velvoittava toimivalta, suorittamaa ennakkovalvontaa?
3) Jos toiseen kysymykseen vastataan myöntävästi ja kun otetaan huomioon henkilöllisyyttä koskevien tietojen vähäinen arkaluonteisuus, se seikka, että vain näitä tietoja voidaan kerätä ainoastaan kansallisessa oikeudessa täsmällisesti, tyhjentävästi ja rajoittavasti määriteltyjen velvollisuuksien rikkomisen torjuntaa koskevia tarpeita varten, ja se seikka, että tuomioistuimen tai kolmannen hallinnollisen elimen, jolla on velvoittava toimivalta, suorittama jokaisen käyttäjän tietojen saantia koskeva systemaattinen valvonta olisi omiaan vaarantamaan sen julkisen palvelun tehtävän suorittamisen, joka on uskottu hallintoviranomaiselle, joka itse on riippumaton ja joka suorittaa tämän keräämisen, onko direktiivi [direktiiviä 2002/58] esteenä sille, että tämä valvonta suoritetaan soveltuvilla tavoilla, kuten automaattisena valvontana, tarvittaessa sellaisen elimen sisäisen yksikön valvonnassa, joka tarjoaa takeet riippumattomuudesta ja puolueettomuudesta tästä keräämisestä vastaavien virkamiesten suhteen?”
Ennakkoratkaisukysymysten tarkastelu
52 Kolmella ennakkoratkaisukysymyksellään, joita on tarkasteltava yhdessä, ennakkoratkaisua pyytänyt tuomioistuin tiedustelee, onko direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä kansalliselle säännöstölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, pääsy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien säilyttämiin, oikeudenhaltijoita edustavien järjestöjen ennalta keräämiä IP-osoitteita vastaaviin henkilöllisyyttä koskeviin tietoihin, jotta tämä viranomainen voi yksilöidä niiden IP-osoitteiden haltijat, joita on mahdollisesti käytetty tällaisiin oikeudenloukkauksiin, ja jotta se voi tarvittaessa kohdistaa näihin haltijoihin toimenpiteitä, ilman, että tämä tietoihin pääsy edellyttää tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvontaa.
Alustavat toteamukset
53 Pääasiassa on kyse kahdesta erillisestä ja peräkkäisestä henkilötietojen käsittelystä, jotka suoritetaan Hadopin toiminnan yhteydessä; Hadopi on riippumaton viranomainen, jonka tehtävänä CPI:n L. 331–13 §:n mukaan on tekijänoikeudella tai lähioikeuksilla suojattujen teosten ja aineistojen suojaaminen yleisölle tarkoitettujen verkkoviestintäpalvelujen tarjontaan käytettävissä sähköisissä viestintäverkoissa tapahtuvilta oikeudenloukkauksilta.
54 Ensimmäinen käsittely, jonka toteuttavat oikeudenhaltijoita edustavien järjestöjen valantehneet ja valtuutetut työntekijät alkuvaiheessa, on kaksivaiheinen. Vertaisverkoissa kerätään aluksi IP-osoitteita, joita on ilmeisesti käytetty toimintaan, joka saattaa loukata tekijänoikeutta tai lähioikeutta. Tämän jälkeen Hadopille annetaan joukko henkilötietoja ja muita tietoja raporttien muodossa. Nämä tiedot ovat asetuksen nro 2010-236 liitteessä olevan 1 kohdan luettelon mukaan tekojen päivämäärä ja kellonaika, asianomaisten tilaajien IP-osoitteet, käytetty vertaisverkkoprotokolla, tilaajan käyttämä peitenimi, tiedot suojatuista teoksista tai aineistoista, joita teot koskevat, tiedostonimi, sellaisena kuin se ilmenee tilaajan laitteen yksilöintitunnuksesta (tarvittaessa) ja internetyhteyden tarjoaja, jolta yhteys on tilattu tai joka on toimittanut teknisen IP-resurssin.
55 Toinen käsittely, jonka internetyhteyden tarjoajat suorittavat Hadopin pyynnöstä myöhemmässä vaiheessa, tapahtuu niin ikään kahdessa vaiheessa. Alkuvaiheessa kerätyt IP-osoitteet yhdistetään näiden osoitteiden haltijoihin. Toisessa vaiheessa kyseisen viranomaisen käyttöön annetaan joukko kyseisiä osoitteenhaltijoita koskevia henkilötietoja ja muita tietoja, jotka pääasiallisesti heidän henkilöllisyyttään. Näitä tietoja ovat asetuksen nro 2010-236 liitteessä olevan 2 kohdan luettelon mukaan lähinnä sukunimi ja etunimet, postiosoite ja sähköpostiosoite, puhelinyhteystiedot sekä tilaajan puhelinlaitteiston osoite.
56 Tästä säädetään CPI:n L. 331–21 §:n viidennessä momentissa, sellaisena kuin se on muutettuna tämän tuomion 43 kohdassa mainitulla Conseil constitutionnelin ratkaisulla, että Hadopin oikeuksien suojaamisesta vastaavan lautakunnan jäsenet ja tämän viranomaisen puheenjohtajan valtuuttamat valantehneet työntekijät voivat saada sähköisen viestinnän toimijoilta sellaisen tilaajan henkilötiedot, postiosoitteen, sähköpostiosoitteen ja puhelinyhteystiedot, jonka yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin on käytetty kappaleen valmistamiseen suojatuista teoksista tai aineistoista, niiden esittämiseen, saattamiseen yleisön saataville tai yleisölle välittämiseen ilman oikeuksien haltijoiden lupaa, jos lupa vaaditaan.
57 Näiden henkilötietojen erilaisten käsittelyjen tarkoituksena on mahdollistaa se, että Hadopi voi toteuttaa näin yksilöityjen IP-osoitteiden haltijoiden osalta toimenpiteet, joista säädetään CPI:n L. 331–25 §:ssä säännellyn niin sanotun porrastetun reagoinnin menettelyn yhteydessä. Näitä toimenpiteitä ovat ensinnäkin varoitusta muistuttavan suosituksen lähettäminen; toiseksi, mikäli asia saatetaan Hadopin oikeuksien suojaamisesta vastaavan lautakunnan käsiteltäväksi vuoden kuluessa toisen suosituksen lähettämisestä teoista, jotka voivat merkitä todetun oikeudenloukkauksen toistumista, CPI:n R. 331–40 §:ssä tarkoitettu tilaajalle annettu tieto siitä, että teot voivat merkitä CPI:n R. 335–5 §:ssä määriteltyä törkeällä tuottamuksella aiheutettua rikkomusta, josta voidaan rangaista enintään 1500 euron ja rikkomisen uusimisen tapauksessa 3000 euron suuruisella sakolla; lopuksi asian käsittelyn jälkeen syyttäjäviranomaisen käsiteltäväksi saatetaan teot, jotka voivat merkitä tällaista rikkomusta tai mahdollisesti CPI:n L. 335–2 §:ssä tai kyseisen lain L. 335–4 §:ssä tarkoitettua oikeudenloukkausta, joista voidaan määrätä kolmen vuoden vankeusrangaistus ja 300 000 euron sakkorangaistus.
58 Ennakkoratkaisua pyytäneen tuomioistuimen esittämät kysymykset koskevat kuitenkin ainoastaan tämän tuomion 55 kohdassa kuvattua myöhemmässä vaiheessa suoritettua käsittelyä eivätkä alkuvaiheen käsittelyä, jonka olennaiset ominaispiirteet on esitetty tämän tuomion 54 kohdassa.
59 On kuitenkin todettava, että jos se, että kyseessä olevat oikeudenhaltijoita edustavat järjestöt keräävät ensin IP-osoitteet, olisi unionin oikeuden vastaista, unionin oikeus olisi esteenä myös sille, että sähköisten viestintäpalvelujen tarjoajat hyödyntävät näitä tietoja myöhemmässä käsittelyssä, jossa kyseiset osoitteet yhdistetään näiden osoitteiden haltijoiden henkilöllisyyttä koskeviin tietoihin.
60 Tässä yhteydessä on huomautettava aluksi, että unionin tuomioistuimen oikeuskäytännön mukaan IP-osoitteet ovat sekä direktiivissä 2002/58 tarkoitettuja liikennetietoja että yleisessä tietosuoja-asetuksessa tarkoitettuja henkilötietoja (ks. vastaavasti tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 102 ja 113 kohta oikeuskäytäntöviittauksineen).
61 Se, että oikeudenhaltijoita edustavien järjestöjen työntekijät keräävät julkisia ja kaikkien saatavilla olevia IP-osoitteita, ei kuitenkaan kuulu direktiivin 2002/58 soveltamisalaan, koska tällainen käsittely ei selvästikään liity kyseisen direktiivin 3 artiklassa tarkoitetulla tavalla ”sähköisten viestintäpalvelujen tarjoamiseen”.
62 Sitä vastoin tällainen IP-osoitteiden kerääminen, jonka Commission nationale de l’informatique et des libertés (CNIL) (tietojenkäsittelystä ja perusvapauksista vastaava kansallinen elin, Ranska) on tietyin määrällisin rajoituksin ja tietyin edellytyksin hyväksynyt, kuten unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta ilmenee, niiden siirtämiseksi Hadopille niiden mahdolliseksi käyttämiseksi myöhemmissä hallinnollisissa tai oikeudellisissa menettelyissä, joiden tarkoituksena on torjua tekijänoikeuksia ja lähioikeuksia loukkaava toiminta, on yleisen tietosuoja-asetuksen 4 artiklan 2 alakohdassa tarkoitettua käsittelyä, jonka lainmukaisuus riippuu tämän asetuksen 6 artiklan 1 kohdan ensimmäisen alakohdan f alakohdassa asetetuista edellytyksistä, luettuna erityisesti unionin tuomioistuimen 17.6.2021 antamassa tuomiossa M.I.C.M. (C‑597/19, EU:C:2021:492, 102 ja 103 kohta) ja 4.7.2023 antamassa tuomiossa Meta Platforms ym. (Yhteisöpalvelun yleiset käyttöehdot) (C‑252/21, EU:C:2023:537, 106–112 kohta oikeuskäytäntöviittauksineen) vahvistetun oikeuskäytännön valossa.
63 Tämän tuomion 55 kohdassa kuvattu myöhemmässä vaiheessa toteutettu käsittely puolestaan kuuluu direktiivin 2002/58 soveltamisalaan, koska se liittyy kyseisen direktiivin 3 artiklassa tarkoitetulla tavalla ”sähköisten viestintäpalvelujen tarjoamiseen”, kunhan kyseessä olevat tiedot on hankittu sähköisten viestintäpalvelujen tarjoajilta CPI:n L. 331–21 §:n mukaisesti.
Direktiivin 2002/58 15 artiklan 1 kohtaan perustuvan oikeuttamisen, joka koskee viranomaisen pääsyä sähköisten viestintäpalvelujen tarjoajien säilyttämiin IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin verkossa tapahtuvan väärentämisen torjumiseksi, olemassaolo
64 Edellä esitettyjen alustavien huomautusten perusteella nousee esiin kysymys siitä, voidaanko – kuten ennakkoratkaisua pyytänyt tuomioistuin tiedustelee – perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistettujen perusoikeuksien rajoittaminen, joka merkitsee sitä, että Hadopin kaltaisella viranomaisella on pääsy sen jo käytettävissä olevaa IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin, oikeuttaa direktiivin 2002/58 15 artiklan 1 kohdan nojalla.
65 Pääsy tällaisiin henkilötietoihin voidaan kuitenkin myöntää vain siltä osin kuin niitä on säilytetty direktiivin 2002/58 mukaisesti (ks. vastaavasti tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset) (C‑746/18, EU:C:2021:152, 29 kohta).
Vaatimukset, jotka koskevat sähköisten viestintäpalvelujen tarjoajien toteuttamaa henkilöllisyyttä koskevien tietojen ja niitä vastaavien IP-osoitteiden säilyttämistä
66 Direktiivin 2002/58 15 artiklan 1 kohdan mukaan jäsenvaltiot voivat säätää poikkeuksista kyseisen direktiivin 5 artiklan 1 kohdassa vahvistetusta periaatteellisesta velvollisuudesta taata henkilötietojen luottamuksellisuus ja muun muassa saman direktiivin 6 ja 9 artiklassa mainituista vastaavista velvollisuuksista, jos tällainen rajoitus on välttämätön, asianmukainen ja oikeasuhteinen demokraattisen yhteiskunnan toimenpide kansallisen turvallisuuden sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä rajoitetuksi ajaksi, kun tämä on perusteltua jostakin näistä syistä. Mahdollisuus poiketa direktiivin 2002/58 5, 6 ja 9 artiklassa säädetyistä oikeuksista ja velvollisuuksista ei kuitenkaan voi olla perusteena sille, että sähköisen viestinnän ja siihen liittyvien tietojen luottamuksellisuuden takaamista koskevasta periaatteellisesta velvollisuudesta ja erityisesti kyseisen direktiivin 5 artiklassa nimenomaisesti säädetystä näiden tietojen tallentamista koskevasta kiellosta poikkeamisesta tulisi sääntö (tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 110 ja 111 kohta).
67 Kyseisen säännöksen nojalla toteutetun lainsäädännöllisen toimenpiteen on siis oltava tosiasiallisesti ja ehdottomasti edellisessä kohdassa mainituista tavoitteista jonkin mukainen, koska niiden luettelo direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä on tyhjentävä, ja toimenpiteen on oltava unionin oikeuden yleisten periaatteiden, joihin kuuluu suhteellisuusperiaate, ja perusoikeuskirjassa taattujen perusoikeuksien mukainen. Unionin tuomioistuin on tältä osin jo katsonut, että jäsenvaltion sähköisten viestintäpalvelujen tarjoajille kansallisella säännöstöllä asettama velvollisuus säilyttää liikennetiedot, jotta toimivaltaiset kansalliset viranomaiset voivat tarvittaessa saada niitä, herättää kysymyksiä paitsi perusoikeuskirjan 7 ja 8 artiklaan, jotka koskevat yksityisyyden suojaa ja henkilötietojen suojaa, myös sananvapautta koskevaan perusoikeuskirjan 11 artiklaan nähden (ks. tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 112 ja 113 kohta).
68 Direktiivin 2002/58 15 artiklan 1 kohdan tulkinnassa on siten otettava huomioon sekä perusoikeuskirjan 7 artiklassa taatun yksityiselämän kunnioittamista koskevan oikeuden ja perusoikeuskirjan 8 artiklassa taatun henkilötietojen suojaa koskevan oikeuden tärkeys, sellaisena kuin se ilmenee unionin tuomioistuimen oikeuskäytännöstä, sekä sananvapautta koskevan oikeuden tärkeys; tämä perusoikeuskirjan 11 artiklassa taattu perusoikeus on eräs demokraattiseen ja moniarvoiseen yhteiskuntaan liittyvä olennainen perusta ja kuuluu arvoihin, joille unioni SEU 2 artiklan mukaisesti perustuu (tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 114 kohta oikeuskäytäntöviittauksineen).
69 Tältä osin on korostettava, että liikenne- ja paikkatietojen säilyttäminen merkitsee sinänsä yhtäältä poikkeusta direktiivin 2002/58 5 artiklan 1 kohdassa säädetystä kiellosta, jonka mukaan muut henkilöt kuin käyttäjät eivät saa tallentaa näitä tietoja, ja toisaalta puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin yksityiselämän kunnioittamista ja henkilötietojen suojaa koskeviin perusoikeuksiin, eikä merkitystä ole sillä, ovatko kyseessä olevat yksityiselämään liittyvät tiedot arkaluonteisia, tai onko asianomaisille mahdollisesti aiheutunut haittaa tästä puuttumisesta. Merkitystä ei ole myöskään sillä, käytetäänkö säilytettyjä tietoja myöhemmin, koska oikeus saada tällaisia tietoja merkitsee siitä riippumatta, miten niitä käytetään myöhemmin, erillistä puuttumista edellä olevassa kohdassa tarkoitettuihin perusoikeuksiin (tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 115 ja 116 kohta).
70 Koska direktiivin 2002/58 15 artiklan 1 kohdassa annetaan kuitenkin jäsenvaltioille mahdollisuus ottaa käyttöön tiettyjä poikkeavia toimenpiteitä, kuten tämän tuomion 66 kohdassa on todettu, kyseinen säännös ilmentää sitä, että perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistetut oikeudet eivät ole ehdottomia vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa. Kuten perusoikeuskirjan 52 artiklan 1 kohdasta ilmenee, siinä sallitaan näet näiden oikeuksien käyttämisen rajoittaminen, kunhan näistä rajoituksista säädetään lailla mainittujen oikeuksien keskeistä sisältöä kunnioittaen ja kunhan ne suhteellisuusperiaatteen mukaisesti ovat tarpeellisia ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia (tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 120 ja 121 kohta).
71 Nyt käsiteltävässä asiassa on todettava, että vaikka Hadopilla on muodollisesti pääsy ainoastaan IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin, tähän oikeuteen liittyy se erityispiirre, että se edellyttää, että kyseessä olevien sähköisten viestintäpalvelujen tarjoajien on ensin yhdistettävä IP-osoite sen haltijan henkilöllisyyttä koskeviin tietoihin. Mainittu pääsy edellyttää siis väistämättä sitä, että palveluntarjoajilla on käytettävissään IP-osoitteet ja niiden haltijoiden henkilöllisyyttä koskevat tiedot.
72 Lisäksi tämä viranomainen pyrkii saamaan pääsyn kyseisiin tietoihin yksinomaan sen IP-osoitteen haltijan tunnistamiseksi, jota on käytetty toimintaan, joka saattaa loukata tekijänoikeuksia tai lähioikeuksia, kun osoitteen haltija on saattanut internetissä laittomasti saataville suojattuja teoksia muiden henkilöiden ladattavaksi. Tällaisissa olosuhteissa henkilöllisyyttä koskevien tietojen on katsottava liittyvän läheisesti sekä IP-osoitteeseen että Hadopin käytettävissä oleviin internetissä saataville asetettua teosta koskeviin tietoihin.
73 Tällaista erityistä asiayhteyttä ei voida jättää huomiotta tutkittaessa henkilötietojen säilyttämistoimenpiteen mahdollista perusteltavuutta direktiivin 2002/58 15 artiklan 1 kohdan, tulkittuna perusoikeuskirjan 7, 8 ja 11 artiklan valossa, nojalla (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 24.4.2018, Benedik v. Slovenia, CE:ECHR:2018:0424JUD006235714, 109 kohta).
74 Näin ollen perusoikeuskirjan 7, 8 ja 11 artikloissa vahvistettuihin perusoikeuksiin puuttumisen, joka seuraa siitä, että yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat säilyttävät tietoja, joihin Hadopilla on oikeus tutustua, mahdollista oikeutusta on tutkittava mainitun 15 artiklan 1 kohdasta, tulkittuna perusoikeuskirjan mainittujen artiklojen valossa, johtuvien IP-osoitteiden säilyttämistä koskevien vaatimusten valossa.
75 Tässä yhteydessä on huomautettava, että unionin tuomioistuimen oikeuskäytännön mukaan on niin, että vaikka – kuten edellä 60 kohdassa on todettu – IP-osoitteet ovat direktiivissä 2002/58 tarkoitettuja liikennetietoja, nämä osoitteet eroavat muista liikennetietojen ryhmistä ja paikkatiedoista.
76 Tältä osin unionin tuomioistuin on todennut, että IP-osoitteet luodaan ilman, että ne liittyvät tiettyyn viestintään, ja niiden ensisijaisena tarkoituksena on tunnistaa sähköisten viestintäpalvelujen tarjoajien välityksellä henkilö, joka omistaa päätelaitteen, jonka kautta viestintä internetin välityksellä tapahtuu. Sähköpostin ja internetin välityksellä tarjottavien puhelinpalvelujen osalta on siis todettava, että siltä osin kuin pelkästään viestinnän lähteen eikä viestinnän vastaanottajan IP-osoitteet säilytetään, nämä osoitteet eivät paljasta sellaisinaan mitään tietoa niistä kolmansista henkilöistä, jotka ovat olleet yhteydessä viestinnän alullepanijana olevaan henkilöön. Tältä osin tähän ryhmään kuuluvat tiedot eivät ole siis yhtä arkaluonteisia kuin muut liikennetiedot (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 152 kohta).
77 Unionin tuomioistuin on kyllä katsonut 6.10.2020 annetun tuomion La Quadrature du Net ym. (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) 156 kohdassa, että huolimatta IP-osoitteiden vähäisemmän arkaluonteisuuden toteamisesta silloin, kun niitä käytetään yksinomaan sähköisen viestintäpalvelun käyttäjän yksilöimiseen, direktiivin 2002/58 15 artiklan 1 kohta on esteenä pelkkien liittymän lähteelle annettujen IP-osoitteiden yleiselle ja erotuksettomalle säilyttämiselle, joka tapahtuu muussa tarkoituksessa kuin kansallisen turvallisuuden takaamiseksi, vakavan rikollisuuden torjumiseksi ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemiseksi. Unionin tuomioistuin on kuitenkin tämän päätelmän tehdessään tukeutunut nimenomaisesti perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistettuihin perusoikeuksiin puuttumisen, jota IP-osoitteiden säilyttäminen voi merkitä, vakavaan luonteeseen.
78 Unionin tuomioistuin nimittäin on katsonut kyseisen tuomion 153 kohdassa, että koska IP-osoitteita voidaan käyttää muun muassa ”internetin käyttäjän selailupolun ja siten hänen verkkotoimintansa kattavaan jäljittämiseen”, ja näin selvittää internetin käyttäjän ”yksityiskohtainen profiili”, mainittujen IP-osoitteiden säilyttäminen ja analysointi, jota tällainen jäljittäminen edellyttää, merkitsee siten sellaista vakavaa puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin internetin käyttäjän perusoikeuksiin, joka on omiaan vaikuttamaan ennalta ehkäisevästi siihen, miten sähköisten viestintävälineiden käyttäjät käyttävät perusoikeuskirjan 11 artiklassa taattua sananvapauttaan.
79 On kuitenkin korostettava, että henkilön tiettynä ajanjaksona käyttämien staattisten ja dynaamisten IP-osoitteiden muodostaman, mahdollisesti laajan kokonaisuuden yleinen ja erotuksetta tapahtuva säilyttäminen ei välttämättä merkitse vakavaa puuttumista perusoikeuskirjan 7, 8 ja 11 artiklassa taattuihin perusoikeuksiin.
80 Tästä on todettava aluksi, että 6.10.2020 annettuun tuomioon La Quadrature du Net ym. (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) johtaneet asiat koskivat kansallisia säännöstöjä, joihin liittyi velvollisuus säilyttää joukko tietoja, jotka olivat tarpeen viestinnän päivämäärän, kellonajan, keston ja tyypin määrittämiseksi, käytetyn viestintälaitteen tunnistamiseksi sekä päätelaitteiden ja viestinnän paikallistamiseksi; näihin tietoihin kuuluvat muun muassa käyttäjän nimi ja osoite, puhelun soittajan puhelinnumero ja valittu numero sekä internetpalvelujen osalta IP-osoite. Lisäksi kahdessa näistä asioista kyseessä olevat kansalliset säännöstöt näyttivät kattavan myös tiedot, jotka koskivat sähköisen viestinnän välittämistä verkoissa, ja niiden avulla voitiin myös yksilöidä verkossa haettujen tietojen luonne (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 82 ja 83 kohta).
81 IP-osoitteiden säilyttäminen tällaisten kansallisten säännöstöjen puitteissa oli siis niiden muiden tietojen, joiden säilyttämisestä kyseisissä säännöstöissä edellytettiin, ja näiden eri tietojen yhdistämismahdollisuuden kannalta omiaan mahdollistamaan täsmällisten päätelmien tekemisen niiden henkilöiden yksityiselämästä, joita koskevista tiedoista oli kyse, ja näin ollen vakavaa puuttumista niihin perusoikeuksiin, jotka on vahvistettu perusoikeuskirjan 7 ja 8 artiklassa ja jotka koskevat kyseisten henkilöiden yksityiselämän ja henkilötietojen suojaa, sekä perusoikeuskirjan 11 artiklassa, joka koskee heidän sananvapauttaan.
82 Sitä vastoin sähköisten viestintäpalvelujen tarjoajille direktiivin 2002/58 15 artiklan 1 kohdan nojalla toteutetulla lainsäädäntötoimenpiteellä asetettu velvollisuus varmistaa IP-osoitteiden yleinen ja erotuksetta tapahtuva säilyttäminen voidaan tarvittaessa oikeuttaa rikosten torjuntaa yleisesti koskevalla tavoitteella, kun on tosiasiallisesti suljettu pois se, että tämä säilyttäminen voisi merkitä vakavaa puuttumista rekisteröidyn yksityiselämään, koska olisi mahdollista tehdä häntä koskevia täsmällisiä päätelmiä muun muassa yhdistämällä nämä IP-osoitteet joukkoon liikenne- ja paikkatietoja, joita nämä palveluntarjoajat ovat myös säilyttäneet.
83 Näin ollen jäsenvaltion, joka aikoo asettaa sähköisten viestintäpalvelujen tarjoajille velvollisuuden säilyttää yleisesti ja erotuksetta IP-osoitteet rikosten torjuntaan yleisesti liittyvän tavoitteen saavuttamiseksi, on varmistuttava siitä, että kyseisten tietojen säilytysmenetelmät ovat omiaan takaamaan sen, että direktiivin 2002/58 mukaisesti suljetaan pois sellainen kyseisten IP-osoitteiden yhdistäminen muihin säilytettyihin tietoihin, jonka perusteella voitaisiin tehdä täsmällisiä päätelmiä niiden henkilöiden yksityiselämästä, joiden tiedot näin säilytettäisiin.
84 Sen varmistamiseksi, että tällainen tietojen yhdistäminen, joka mahdollistaa päätelmien tekemisen kyseessä olevan henkilön yksityiselämästä, suljetaan pois, säilytysmenetelmien on koskettava itse säilyttämisen rakennetta, joka on pääasiallisesti toteutettava siten, että taataan säilytettyjen eri tietoryhmien tosiasiallinen erottelu.
85 Tältä osin jäsenvaltion, joka aikoo asettaa sähköisten viestintäpalvelujen tarjoajille velvollisuuden säilyttää IP-osoitteet yleisesti ja erotuksetta rikosten torjuntaan yleisesti liittyvän tavoitteen saavuttamiseksi, on tosin säädettävä lainsäädännössään näitä säilytysmenetelmiä koskevista selvistä ja täsmällisistä säännöistä, ja näiden menetelmien on täytettävä tiukat vaatimukset. Unionin tuomioistuin voi kuitenkin antaa näitä menetelmiä koskevia täsmennyksiä.
86 Ensinnäkin edellisessä kohdassa mainituilla kansallisilla säännöillä on varmistettava, että kutakin tietoryhmää, mukaan lukien henkilöllisyyttä koskevat tiedot ja IP-osoitteet, säilytetään täysin erillään muista säilytettävien tietojen ryhmistä.
87 Toiseksi näillä säännöillä on taattava, että säilytettyjen tietojen eri ryhmien, kuten henkilöllisyyttä koskevien tietojen, IP-osoitteiden, muiden liikennetietojen kuin IP-osoitteiden ja erilaisten paikkatietojen, erottaminen toisistaan tapahtuu tosiasiallisesti aukottomasti suojatun ja luotettavan tietojärjestelmän avulla.
88 Kolmanneksi siltä osin kuin mainituissa säännöissä säädetään mahdollisuudesta yhdistää säilytetyt IP-osoitteet rekisteröidyn henkilöllisyyden kanssa direktiivin 2002/58 15 artiklan 1 kohdasta, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan valossa, johtuvien vaatimusten mukaisesti, niissä on sallittava tällainen yhdistäminen ainoastaan käyttämällä tehokasta teknistä menettelyä, joka ei vaaranna näiden tietoryhmien aukottoman erottelun tehokkuutta.
89 Neljänneksi muun viranomaisen kuin sen viranomaisen, joka pyrkii saamaan sähköisten viestintäpalvelujen tarjoajien säilyttämiä henkilötietoja, on valvottava säännöllisesti tämän aukottoman erottelun luotettavuutta.
90 Siltä osin kuin sovellettavassa kansallisessa lainsäädännössä säädetään tällaisista tiukoista vaatimuksista, jotka koskevat IP-osoitteiden ja muiden sähköisten viestintäpalvelujen tarjoajien säilyttämien tietojen yleistä ja erotuksetta tapahtuvaa säilyttämistä, tästä IP-osoitteiden säilyttämisestä johtuvaa puuttumista ei voida itse säilyttämisen rakenteen vuoksi pitää vakavana.
91 On nimittäin niin, että jos tällainen säännös otetaan käyttöön, näin säädetyt IP-osoitteiden säilytysmenetelmät sulkevat pois sen, että näitä tietoja voitaisiin yhdistää muihin direktiivin 2002/58 mukaisesti säilytettyihin tietoihin, mikä mahdollistaisi täsmällisten päätelmien tekemisen rekisteröidyn yksityiselämästä.
92 Näin ollen silloin, kun on olemassa tämän tuomion 86–89 kohdassa esitetyt vaatimukset täyttävä säännös, jolla taataan se, että minkäänlaisen tietojen yhdistämisen perusteella ei voida tehdä täsmällisiä päätelmiä kyseessä olevan henkilön yksityiselämästä, direktiivin 2002/58 15 artiklan 1 kohta, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan valossa, ei ole esteenä sille, että asianomainen jäsenvaltio asettaa velvollisuuden säilyttää IP-osoitteet yleisesti ja erotuksetta rikosten torjuntaan yleisesti liittyvän tavoitteen saavuttamiseksi.
93 Lopuksi on todettava, että kuten 6.10.2020 annetun tuomion La Quadrature du Net ym. (C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791) 168 kohdasta ilmenee, tällaisessa säännöksessä on kuitenkin säädettävä, että säilytyksen kesto on rajoitettu täysin välttämättömään, ja varmistettava selvin ja täsmällisin säännöin, että kyseessä olevien tietojen säilyttämisen ehtona on, että näihin toimenpiteisiin liittyviä aineellisia ja menettelyllisiä edellytyksiä noudatetaan, ja että rekisteröidyillä on tehokkaat takeet väärinkäytön vaaroja vastaan.
94 Ennakkoratkaisua pyytäneen tuomioistuimen on arvioitava, onko pääasiassa kyseessä oleva kansallinen säännöstö tämän tuomion 85–93 kohdassa mainittujen edellytysten mukainen.
Vaatimukset, jotka koskevat oikeutta saada sähköisten viestintäpalvelujen tarjoajien säilyttämiä IP-osoitetta vastaavia henkilöllisyyttä koskevia tietoja
95 Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että rikosten torjunnan alalla ainoastaan vakavan rikollisuuden torjumista tai yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemistä koskevilla tavoitteilla voidaan perustella perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin puuttuminen, jota se, että viranomaisille annetaan oikeus saada joukko sellaisia liikenne- ja paikkatietoja, jotka ovat omiaan antamaan tietoja sähköisen viestintävälineen käyttäjän harjoittamasta viestinnästä tai tämän käyttämien päätelaitteiden sijainnista ja joista voidaan tehdä täsmällisiä asianomaisten henkilöiden yksityiselämää koskevia päätelmiä, merkitsee, ja muista tietoihin pääsyä koskevan pyynnön oikeasuhtaisuutta koskevista tekijöistä, kuten sen ajanjakson pituudesta, jolta tällaisiin tietoihin pääsyä pyydetään, ei voi seurata, että tällainen tietoihin pääsy voidaan perustella rikosten ehkäisemistä, tutkintaa, selvittämistä ja syyteharkintaa yleisesti koskevalla tavoitteella (tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset), C‑746/18, EU:C:2021:152, 35 kohta).
96 Sitä vastoin silloin, kun puuttuminen perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin, jota viranomaisten oikeus saada sähköisten viestintäpalvelujen tarjoajien säilyttämiin henkilöllisyyttä koskeviin tietoihin merkitsee, ilman, että mainittuja tietoja voidaan yhdistää suoritettua viestintää koskeviin tietoihin, ei ole vakavaa, koska näiden tietojen perusteella ei voida kokonaisuutena tarkasteltuna tehdä täsmällisiä päätelmiä niiden henkilöiden yksityiselämästä, joiden tiedoista on kyse, mainittu oikeus saada tiedot voidaan oikeuttaa yleisesti rikosten ehkäisemisen, tutkinnan, selvittämisen ja syyteharkinnan alalla (ks. vastaavasti tuomio 2.10.2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 54, 57 ja 60 kohta).
97 On myös lisättävä, että unionin tuomioistuimen vakiintuneessa oikeuskäytännössä vahvistetun periaatteen mukaan oikeutta saada liikenne- ja paikkatietoja voidaan perustella direktiivin 2002/58 15 artiklan 1 kohdan nojalla ainoastaan sillä yleisen edun mukaisella tavoitteella, jonka tähden sähköisten viestintäpalvelujen tarjoajille on asetettu tämä säilyttämisvelvollisuus, paitsi jos tämä oikeus on perusteltu tärkeämmällä yleisen edun mukaisella tavoitteella. Tästä periaatteesta seuraa muun muassa, että tällaista tiedonsaantioikeutta rikosten torjumiseksi yleisesti ei voida missään tapauksessa myöntää, jos tietojen säilyttämistä on perusteltu vakavan rikollisuuden torjuntaa tai varsinkin kansallisen turvallisuuden takaamista koskevalla tavoitteella (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 166 kohta).
98 Tällainen rikosten torjumista yleisesti koskeva tavoite sitä vastoin oikeuttaa sen, että annetaan oikeus saada liikenne- ja paikkatietoja, jotka on tallennettu ja joita on siis säilytetty vain siinä määrin ja niin kauan kuin palvelujen laskuttaminen, niiden markkinoiminen tai lisäarvopalvelujen tarjoaminen sitä edellyttävät, kuten direktiivin 2002/58 6 artiklassa sallitaan (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 108 ja 167 kohta).
99 Nyt käsiteltävässä asiassa pääasiassa kyseessä olevasta kansallisesta säännöstöstä ilmenee ensinnäkin, että Hadopilla ei ole oikeutta saada tämän tuomion 95 kohdassa mainitussa oikeuskäytännössä tarkoitettua ”joukkoa liikenne- tai paikkatietoja”, joten se ei lähtökohtaisesti voi tehdä täsmällisiä päätelmiä asianomaisten henkilöiden yksityiselämästä. Sellainen pääsy tietoihin, joka ei mahdollista tällaisten päätelmien tekemistä, ei merkitse vakavaa puuttumista perusoikeuskirjan 7 ja 8 artiklassa taattuihin perusoikeuksiin.
100 Kyseisen säännöstön ja Ranskan hallituksen tältä osin esittämien selitysten mukaan kyseiselle viranomaiselle myönnetty pääsy tietoihin rajoittuu nimittäin tiukasti tiettyihin IP-osoitteen haltijan henkilöllisyyttä koskeviin tietoihin, ja se sallitaan ainoastaan kyseisen haltijan, jonka epäillään ryhtyneen tekijänoikeutta tai lähioikeuksia loukkaavaan toimintaan, tunnistamiseksi, kun hän on laittomasti saattanut internetissä saataville suojattuja teoksia, jotta muut henkilöt voisivat ladata niitä. Tämän tietoihin pääsyn tarkoituksena on tarvittaessa toteuttaa kyseistä haltijaa vastaan yksi porrastetun reagoinnin menettelyssä määrätyistä pedagogisista toimenpiteistä tai täytäntöönpanotoimenpiteistä eli lähettää ensimmäinen ja toinen suositus ja tämän jälkeen kirje, jossa tälle ilmoitetaan, että kyseinen toiminta voi merkitä törkeällä tuottamuksella aiheutettua rikkomusta ja lopuksi saattaa asia syyttäjän käsiteltäväksi kyseistä rikkomusta tai oikeudenloukkausta koskevaa menettelyä varten.
101 Kyseisessä kansallisessa säännöstössä on lisäksi säädettävä selkeistä ja täsmällisistä säännöistä, joilla voidaan varmistaa, että direktiivin 2002/58 mukaisesti säilytettyjä IP-osoitteita voidaan käyttää ainoastaan sen henkilön tunnistamiseen, jolle tietty IP-osoite on osoitettu, mutta suljetaan pois käyttö, joka mahdollistaa tämän henkilön verkkotoiminnan valvonnan yhden tai useamman tällaisen osoitteen avulla. Kun IP-osoitetta käytetään siten ainoastaan osoitteen haltijan yksilöimiseen erityisessä hallinnollisessa menettelyssä, joka saattaa johtaa tätä vastaan aloitettavaan rikosoikeudelliseen menettelyyn, eikä tarkoituksiin, jotka koskevat esimerkiksi tämän haltijan yhteydenpitoa tai sijaintia, oikeus saada tämä osoite yksinomaan tätä tarkoitusta varten koskee mainittua osoitetta pikemminkin henkilöllisyyttä koskevana tietona kuin liikennetietona.
102 Lisäksi tämän tuomion 97 kohdassa mainitussa vakiintuneessa oikeuskäytännössä vahvistetusta periaatteesta seuraa, että Hadopilla pääasiassa kyseessä olevan kansallisen säännöstön nojalla olevan kaltainen pääsy tietoihin, kun sillä on rikosten torjuntaa yleisesti koskeva tavoite, voi olla perusteltua vain, jos se koskee IP-osoitteita, jotka sähköisten viestintäpalvelujen tarjoajien on säilytettävä tämän tavoitteen saavuttamiseksi eikä vakavan rikollisuuden torjuntaa koskevan tavoitteen kaltaisen tärkeämmän tavoitteen saavuttamiseksi, sanotun kuitenkaan rajoittamatta tällaiseen rikosten torjuntaa yleisesti koskevaan tavoitteeseen perustuvaa oikeutta silloin, kun se koskee tallennettuja IP-osoitteita ja siis direktiivin 2002/58/EY 6 artiklassa säädetyin edellytyksin säilytettyjä IP-osoitteita.
103 Lisäksi on todettava, että kuten tämän tuomion 85–92 kohdasta ilmenee, IP-osoitteiden säilyttäminen, joka perustuu direktiivin 2002/58 15 artiklan 1 kohtaan perustuvaan lainsäädäntötoimenpiteeseen rikosten torjuntaa yleisesti koskevaa tavoitetta varten, voi olla perusteltua silloin, kun asianomaisella lainsäädännöllä käyttöön otetut säilyttämistä koskevat yksityiskohtaiset säännöt vastaavat joukkoon vaatimuksia, joilla pyritään varmistamaan säilytettyjen tietojen tosiasiallisesti aukoton erottelu eri ryhmiin siten, että eri ryhmiin kuuluvien tietojen yhdisteleminen on todellakin poissuljettu. Siinä tapauksessa, että sähköisten viestintäpalvelujen tarjoajille asetetaan tällaisia säilyttämistapoja koskevia velvollisuuksia, IP-osoitteiden yleinen ja erotuksetta tapahtuva säilyttäminen ei merkitse vakavaa puuttumista osoitteiden haltijoiden yksityiselämään, koska näiden tietojen perusteella ei voida tehdä täsmällisiä päätelmiä heidän yksityiselämästään.
104 Kun otetaan huomioon tämän tuomion 95–97 kohdassa mainittu oikeuskäytäntö, on siis niin, että jos tällainen säännöstö on otettu käyttöön, pääsy säilytettyihin IP-osoitteisiin rikosten torjuntaa yleisesti koskevan tavoitteen toteutumiseksi voi olla oikeutettua direktiivin 2002/58 15 artiklan 1 kohdan nojalla, kun tämä pääsy sallitaan ainoastaan sen henkilön yksilöimiseksi, jonka epäillään osallistuneen tällaisiin rikoksiin.
105 Lisäksi sen salliminen, että Hadopin kaltaisella viranomaisella on pääsy julkista IP-osoitetta, jonka haltijat ovat sille toimittaneet, vastaavaa henkilöllisyyttä koskeviin tietoihin ainoastaan siinä tarkoituksessa, että se voi yksilöidä tämän osoitteen haltijan, kun osoitetta käytetään verkossa tapahtuvaan toimintaan, joka saattaa loukata tekijänoikeuksia tai lähioikeuksia, jotta häneen voidaan kohdistaa jokin porrastetun reagoinnin menettelyn yhteydessä määrättävistä toimenpiteistä, on yhteensopivaa unionin tuomioistuimen sen oikeuskäytännön kanssa, joka koskee tiedonsaantioikeutta direktiivin 2004/48 8 artiklassa säädetyn kaltaisen teollis- ja tekijänoikeuden loukkausta koskevan oikeudenkäynnin yhteydessä (ks. vastaavasti tuomio 29.1.2008, Promusicae, C‑275/06, EU:C:2008:54, 47 kohta ja sitä seuraavat kohdat).
106 Unionin tuomioistuin nimittäin on korostanut tämän oikeuskäytännön yhteydessä, että direktiivissä 2004/48 säädettyjen toimenpiteiden soveltaminen ei voi vaikuttaa yleiseen tietosuoja-asetukseen eikä direktiiviin 2002/58, mutta on katsonut, että direktiivin 2004/48 8 artiklan 3 kohta, luettuna yhdessä direktiivin 2002/58 15 artiklan 1 kohdan ja direktiivin 95/46 7 artiklan f alakohdan kanssa, ei ole esteenä sille, että jäsenvaltiot säätävät sähköisten viestintäpalvelujen tarjoajien velvollisuudesta luovuttaa yksityisille henkilötietoja, jotta siviilituomioistuimessa voidaan panna vireille menettely tekijänoikeuksien loukkauksien vuoksi, mutta siinä ei myöskään edellytetä, että kyseiset valtiot säätävät tällaisesta velvollisuudesta (ks. vastaavasti tuomio 17.6.2021, M.I.C.M., C‑597/19, EU:C:2021:492, 124 ja 125 kohta oikeuskäytäntöviittauksineen).
107 Toiseksi on kuitenkin niin, että arvioitaessa konkreettisesti sitä, kuinka vakavaa puuttumista yksityiselämään viranomaisen pääsy henkilötietoihin merkitsee, ei voida jättää huomiotta sen asiayhteyden erityispiirteitä, jossa tämä pääsy tietoihin toteutuu, ja erityisesti kaikkia kyseiselle viranomaiselle sovellettavan kansallisen säännöstön nojalla toimitettuja tietoja, mukaan lukien jo olemassa olevat sisällön paljastavat tiedot (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 24.4.2018, Benedik v. Slovenia, CE:ECHR:2018:0424JUD006235714, 109 kohta).
108 Nyt käsiteltävässä asiassa on näin ollen otettava mainitussa arvioinnissa huomioon se, että ennen kuin Hadopi saa käyttöönsä kyseessä olevaa henkilöllisyyttä koskevia tietoja, se saa oikeudenhaltijoita edustavilta järjestöiltä muun muassa ”tiedot suojatuista teoksista tai aineistoista”, ja ”tarvittaessa” ”tiedostonim[en], sellaisena kuin se ilmenee tilaajan laitteen yksilöintitunnuksesta” asetuksen nro 2010-236 liitteessä olevan 1 kohdan mukaisesti.
109 Unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta ilmenee, että – jollei ennakkoratkaisua pyytäneen tuomioistuimen suorittamasta selvityksestä muuta johdu – kyseistä teosta koskevat tiedot, sellaisina kuin ne on kirjattu raporttiin, jonka sisältö määräytyy CNILin 10.6.2010 tekemien päätösten perusteella, rajoittuvat lähinnä kyseessä olevaan teokseen sekä ”chunk”-nimiseen otteeseen, joka esitetään aakkosnumeerisena sarjana eikä teoksen ääni- tai videonäytteenä.
110 Tältä osin ei tosin voida yleisesti sulkea pois sitä, että viranomaisen pääsy rajalliseen määrään sähköisten viestintäpalvelujen tarjoajan sille ilmoittaman IP-osoitteen haltijan henkilöllisyyttä koskevia tietoja vain kyseisen haltijan tunnistamiseksi siinä tapauksessa, että tätä osoitetta on käytetty toimintaan, joka voi loukata tekijänoikeuksia tai lähioikeuksia, jos siihen yhdistetään internetissä laittomasti saataville asetetun teoksen sisältöä koskevien – jopa rajallisten – tietojen analyysi, jonka oikeudenhaltijat ovat sille aiemmin toimittaneet, voi antaa kyseiselle viranomaiselle tietoja tietyistä IP-osoitteen haltijan yksityiselämään liittyvistä seikoista, mukaan lukien arkaluonteiset tiedot, kuten seksuaalinen suuntautuminen, poliittiset mielipiteet, uskonnolliset, filosofiset, yhteiskunnalliset tai muut vakaumukset sekä terveydentila, vaikka tällaiset tiedot saavat erityistä suojaa unionin oikeudessa.
111 Nyt käsiteltävässä asiassa on kuitenkin todettava, että kun otetaan huomioon tietojen luonne ja Hadopin käytettävissä olevien tietojen rajallisuus, ne voivat vain epätavallisissa tilanteissa paljastaa kyseessä olevan henkilön yksityiselämään liittyviä mahdollisesti arkaluonteisia seikkoja, joiden perusteella kyseinen viranomainen voisi yhdessä tarkasteltuina tehdä täsmällisiä päätelmiä hänen yksityiselämästään laatimalla esimerkiksi hänen yksityiskohtaisen profiilinsa.
112 Näin voisi olla muun muassa sellaisen henkilön osalta, jonka IP-osoitetta on käytetty vertaisverkossa toistuvasti tai jopa laajamittaisesti tekijänoikeuksia tai lähioikeuksia loukkaavassa toiminnassa, joka liittyy tietyntyyppisiin suojattuihin teoksiin, jotka voidaan ryhmitellä niiden otsikon perusteella ja jotka voivat paljastaa mahdollisesti arkaluonteisia tietoja hänen yksityiselämäänsä liittyvistä seikoista.
113 Useiden seikkojen perusteella voidaan kuitenkin katsoa, että pääasiassa kyseessä olevan kaltaisella säännöstöllä sallittu puuttuminen sellaisen henkilön yksityiselämään, jonka epäillään ryhtyneen toimintaan, jolla loukataan tekijänoikeuksia tai lähioikeuksia, ei välttämättä ole erittäin vakavaa. Ensinnäkin tällaisen säännöstön mukaan Hadopin pääsy kyseisiin henkilötietoihin on varattu rajatulle määrälle kyseisen viranomaisen valtuutettuja ja valantehneitä työntekijöitä, ja tämä viranomainen on CPI:n L. 331–12 §:n mukaan riippumaton. Tämän jälkeen on todettava, että kyseisen tietoihin pääsyn ainoana tarkoituksena on yksilöidä henkilö, jonka epäillään ryhtyneen tekijänoikeutta tai lähioikeuksia loukkaavaan toimintaan, kun todetaan, että suojattu teos on asetettu laittomasti saataville hänen internetyhteydestään. Lopuksi on todettava, että Hadopin pääsy kyseisiin henkilötietoihin rajoittuu tiukasti tätä tarkoitusta varten tarvittaviin tietoihin (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 17.10.2019, López Ribalda ym. v. Espanja, CE:ECHR:2019:1017JUD000187413, 126 ja 127 kohta).
114 Toinen seikka, joka on omiaan entisestään heikentämään mainitusta Hadopin oikeudesta seuraavan yksityisyyden ja henkilötietojen suojaa koskeviin perusoikeuksiin puuttumisen vakavuutta, joka näyttää ilmenevän unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta mutta joka ennakkoratkaisua pyytäneen tuomioistuimen on tarkistettava, koskee sitä, että sovellettavan kansallisen säännöstön nojalla Hadopin työntekijöitä, joilla on pääsy kyseisiin tietoihin, sitoo salassapitovelvollisuus, joka kieltää heitä paljastamasta niitä missään muodossa, paitsi ainoastaan syyttäjälle toimittamista varten, ja käyttämästä niitä muuhun tarkoitukseen kuin sen IP-osoitteen haltijan yksilöimiseen, jonka epäillään syyllistyneen tekijänoikeutta tai lähioikeutta loukkaavaan toimintaan, jotta häneen voidaan kohdistaa jokin porrastetun reagoinnin menettelyn yhteydessä määrättävistä toimenpiteistä (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 17.12.2009, Gardel v. Ranska, CE:ECHR:2009:1217JUD001642805, 70 kohta).
115 Näin ollen on todettava, että siltä osin kuin kansallinen säännöstö täyttää tämän tuomion 101 kohdassa mainitut edellytykset, Hadopin kaltaiselle viranomaiselle annetut IP-osoitteet eivät mahdollista osoitteiden haltijan selailupolun jäljittämistä, mikä on omiaan vahvistamaan toteamuksen, jonka mukaan puuttumista, jota kyseisen viranomaisen oikeus saada pääasiassa kyseessä olevat tunnistetiedot merkitsee, ei voida pitää vakavana.
116 Kolmanneksi on huomautettava, että vaikka sananvapaus ja henkilötietojen luottamuksellisuus ovat keskeisiä huolenaiheita ja vaikka televiestinnän ja internetpalvelujen käyttäjillä on oltava takeet siitä, että heidän yksityisyyttään ja sananvapauttaan kunnioitetaan, kyseiset perusoikeudet eivät kuitenkaan ole ehdottomia direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä asetetun oikeasuhteisuuden periaatteen edellyttämän kyseessä olevien oikeuksien ja intressien välttämättömän yhteensovittamisen kannalta. Kun kyseessä olevat oikeudet ja edut on punnittu, niiden on nimittäin toisinaan väistyttävä muiden perusoikeuksien ja yleisen edun mukaisten pakottavien syiden kuten yleisen järjestyksen säilyttämisen ja rikosten estämisen tai muiden henkilöiden oikeuksien ja vapauksien suojelemisen tieltä. Näin on erityisesti silloin, kun näille keskeisille huolenaiheille annettu etusija on omiaan haittaamaan rikostutkinnan tehokkuutta muun muassa tekemällä rikoksentekijän tunnistamisen ja hänelle määrättävän seuraamuksen mahdottomaksi tai liiallisen vaikeaksi (ks. analogisesti Euroopan ihmisoikeustuomioistuimen tuomio 2.3.2009, K.U. v. Suomi, CE:ECHR:2008:1202JUD000287202, 49 kohta).
117 Tässä yhteydessä on otettava asianmukaisesti huomioon se, että – kuten unionin tuomioistuin on jo todennut verkossa tehtyjen oikeudenloukkausten osalta – pääsy IP-osoitteisiin voi olla ainoa tutkintakeino, jonka avulla voidaan tosiasiallisesti tunnistaa henkilö, jolle kyseinen osoite oli annettu rikoksen tekohetkellä (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 154 kohta).
118 Kuten myös julkisasiamies on todennut 28.9.2023 antamansa ratkaisuehdotuksen 59 kohdassa, tämä seikka on omiaan osoittamaan, että näiden osoitteiden säilyttäminen ja niihin pääsy ovat verkossa tapahtuvasta tekijänoikeuksia tai lähioikeuksia loukkaavasta toiminnasta rangaistavien rikosten kaltaisten rikosten torjunnassa ehdottoman välttämättömiä tavoitellun päämäärän saavuttamiseksi ja vastaavat näin ollen direktiivin 2002/58 15 artiklan 1 kohdassa, luettuna kyseisen direktiivin johdanto-osan 11 perustelukappaleen ja perusoikeuskirjan 52 artiklan 2 kohdan valossa, asetettua oikeasuhteisuuden vaatimusta.
119 Se, ettei tällaista pääsyä tietoihin anneta, sisältäisi lisäksi – kuten julkisasiamies on korostanut 27.10.2022 antamansa ratkaisuehdotuksen 78–80 kohdassa ja 28.9.2023 antamansa ratkaisuehdotuksen 80 ja 81 kohdassa – todellisen riskin siitä, että rankaisematta jäisivät järjestelmällisesti paitsi tekijänoikeuksia tai lähioikeuksia loukkaavasta toiminnasta rangaistavat rikokset myös muun tyyppiset rikokset, jotka on tehty verkossa tai joiden tekemistä tai valmistelua internetin ominaispiirteet helpottavat. Tällaisen riskin olemassaolo on merkityksellinen seikka arvioitaessa kyseessä olevien eri oikeuksien ja intressien punninnan yhteydessä sitä, onko puuttuminen perusoikeuskirjan 7, 8 ja 11 artiklassa taattuihin oikeuksiin oikeasuhteinen toimenpide rikosten torjuntaa koskevaan tavoitteeseen nähden.
120 On totta, että Hadopin kaltaisen viranomaisen pääsy henkilöllisyyttä koskeviin tietoihin, jotka vastaavat IP-osoitetta, josta verkkorikos on tehty, ei välttämättä ole ainoa mahdollinen tutkintakeino sen henkilön tunnistamiseksi, joka on kyseisen osoitteen haltijan mainitun rikoksen tekohetkellä. Tällainen tunnistaminen voisi nimittäin lähtökohtaisesti olla mahdollista myös tutkimalla rekisteröidyn kaikkia verkkotoimintoja, erityisesti analysoimalla ”jälkiä”, joita hänestä on voinut jäädä verkkoyhteisöpalveluihin, kuten näissä palveluissa käytettävät kirjautumistunnukset tai hänen yhteystietonsa.
121 Kuten julkisasiamies on todennut 28.9.2023 antamansa ratkaisuehdotuksen 83 kohdassa, tällainen tutkintakeino olisi kuitenkin erityisen intrusiivinen, koska se voisi paljastaa täsmällisiä tietoja rekisteröityjen yksityiselämästä. Se merkitsisi näin ollen vakavampaa puuttumista näille henkilöille perusoikeuskirjan 7, 8 ja 11 artiklassa taattuihin oikeuksiin kuin mikä seuraa pääasiassa kyseessä olevan kaltaisesta säännöstöstä.
122 Edellä esitetystä seuraa, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, ettei se lähtökohtaisesti ole esteenä kansalliselle säännöstölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, pääsy oikeudenhaltijoita edustavien järjestöjen ennalta keräämiä IP-osoitteita vastaaviin henkilöllisyyttä koskeviin tietoihin, joita yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajat ovat säilyttäneet erillään ja tosiasiallisesti aukottomasti, vain sitä varten, että tämä viranomainen voi yksilöidä näiden osoitteiden haltijat, joiden epäillään syyllistyneen näihin oikeudenloukkauksiin, ja ryhtyä tarvittaessa heitä koskeviin toimenpiteisiin. Tällaisessa tapauksessa sovellettavassa kansallisessa lainsäädännössä on kiellettävä työntekijöitä, joilla on pääsy tällaisiin tietoihin, ensinnäkin paljastamasta missään muodossa tietoja osoitteiden haltijoiden käyttämien tiedostojen sisällöstä paitsi ainoastaan asian saattamiseksi syyttäjän käsiteltäväksi, toiseksi jäljittämästä näiden henkilöiden selailupolkua ja kolmanneksi käyttämästä näitä IP-osoitteita muihin tarkoituksiin kuin näiden toimenpiteiden toteuttamiseksi.
Vaatimus tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamasta valvonnasta ennen viranomaisen pääsyä IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin
123 Herää kuitenkin kysymys siitä, onko lisäksi tuomioistuimen tai riippumattoman hallinnollisen elimen suorittama etukäteisvalvonta asetettava edellytykseksi viranomaisen pääsylle IP-osoitetta vastaaviin henkilöllisyyttä koskeviin tietoihin.
124 Tässä yhteydessä on todettava, että unionin tuomioistuin on katsonut, että sen takaamiseksi, että näitä edellytyksiä noudatetaan käytännössä täysimääräisesti, on ”olennaista” se, että toimivaltaisten kansallisten viranomaisten oikeus saada liikenne- ja paikkatietoja edellyttää joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa (ks. vastaavasti tuomio 21.12.2016, Tele2 Sverige ja Watson ym., C‑203/15 ja C‑698/15, EU:C:2016:970, 120 kohta; tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 189 kohta; tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset), C‑746/18, EU:C:2021:152, 51 kohta ja tuomio 5.4.2022, Commissioner of An Garda Síochána ym., C‑140/20, EU:C:2022:258, 106 kohta).
125 Kyseinen etukäteisvalvonta edellyttää ensinnäkin sitä, että sen suorittamisesta vastaavalla tuomioistuimella tai riippumattomalla hallinnollisella elimellä on kaikki valtuudet ja kaikki takeet, jotka ovat välttämättömiä sen varmistamiseksi, että kyseessä olevat eri legitiimit intressit ja oikeudet sovitetaan yhteen. Tarkemmin ottaen rikostutkinnan osalta tällainen valvonta edellyttää sitä, että kyseinen tuomioistuin tai elin pystyy turvaamaan oikeudenmukaisen tasapainon yhtäältä rikollisuuden torjumiseksi tehtävän tutkinnan tarpeisiin liittyvien legitiimien intressien ja toisaalta henkilöiden, joita tietojensaanti koskee, yksityiselämän kunnioittamista ja henkilötietojen suojelua koskevien perusoikeuksien välillä (tuomio 5.4.2022, Commissioner of An Garda Síochána ym., C‑140/20, EU:C:2022:258, 107 kohta oikeuskäytäntöviittauksineen).
126 Toiseksi siinä tapauksessa, että kyseisen valvonnan suorittaa tuomioistuimen sijaan riippumaton hallinnollinen elin, kyseisellä elimellä on oltava asema, jossa se voi suorittaa tehtävänsä objektiivisesti ja puolueettomasti, ja sen on tätä varten oltava suojattu kaikelta ulkopuoliselta vaikuttamiselta. Niinpä riippumattomuutta koskeva vaatimus, joka etukäteisvalvonnasta vastaavan elimen on täytettävä, edellyttää sitä, että kyseinen elin on ulkopuolinen siihen elimeen nähden, joka pyytää kyseisten tietojen saantia, jotta ensiksi mainittu voi suorittaa valvonnan objektiivisesti ja puolueettomasti suojattuna kaikelta ulkopuoliselta vaikuttamiselta. Erityisesti rikosasioissa riippumattomuuden vaatimus tarkoittaa, että tästä etukäteisvalvonnasta vastaava viranomainen ei yhtäältä osallistu kyseisen rikostutkinnan suorittamiseen ja toisaalta on neutraalissa asemassa rikosprosessin asianosaisiin nähden (ks. vastaavasti tuomio 5.4.2022, Commissioner of An Garda Síochána ym., C‑140/20, EU:C:2022:258, 108 kohta oikeuskäytäntöviittauksineen).
127 Kolmanneksi direktiivin 2002/58 15 artiklan 1 kohdan mukaisesti edellytettävä riippumaton valvonta on tehtävä ennen kaikenlaista pääsyä kyseisiin tietoihin asianmukaisesti perusteltua kiireellistä tapausta lukuun ottamatta, missä tapauksessa valvonnan tulee tapahtua ensi tilassa. Tällainen myöhemmin tapahtuva valvonta ei nimittäin vastaa etukäteisvalvonnan tavoitteeseen estää se, että myönnetään kyseessä oleviin tietoihin pääsy, joka on täysin välttämätöntä laajempi (tuomio 5.4.2022, Commissioner of An Garda Síochána ym., C‑140/20, EU:C:2022:258, 110 kohta).
128 On kuitenkin niin, että vaikka – kuten tämän tuomion 124 kohdassa mainitusta oikeuskäytännöstä ilmenee – unionin tuomioistuin on katsonut olevan ”olennaista”, että toimivaltaisten kansallisten viranomaisten oikeus saada liikenne- ja paikkatietoja edellyttää joko tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa, kyseinen oikeuskäytäntö on kehittynyt sellaisten kansallisten toimenpiteiden yhteydessä, jotka mahdollistavat vakavan rikollisuuden torjumiseen liittyvän tavoitteen saavuttamiseksi yleisen pääsyn kaikkiin säilytettyihin liikenne- ja paikkatietoihin riippumatta siitä, onko niillä edes välillinen yhteys tavoiteltuun päämäärään, ja jotka näin ollen merkitsevät vakavaa tai jopa ”erityisen vakavaa” puuttumista kyseisiin perusoikeuksiin.
129 Sitä vastoin silloin, kun kyse oli edellytyksistä, joiden täyttyessä pääsy henkilöllisyyttä koskeviin tietoihin saattoi olla oikeutettua direktiivin 2002/58 15 artiklan 1 kohdan, luettuna yhdessä perusoikeuskirjan 7, 8 ja 11 artiklan kanssa. nojalla, unionin tuomioistuin ei ole maininnut nimenomaisesti vaatimusta tällaisesta etukäteisvalvonnasta (ks. vastaavasti tuomio 2.10.2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 59, 60 ja 62 kohta; tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 157 ja 158 kohta ja tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset), C‑746/18, EU:C:2021:152, 34 kohta).
130 Unionin tuomioistuimen oikeuskäytännöstä, joka koskee suhteellisuusperiaatetta, jonka noudattamista direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä edellytetään, ja erityisesti oikeuskäytännöstä, jonka mukaan jäsenvaltioiden mahdollisuutta oikeuttaa muun muassa kyseisen direktiivin 5, 6 ja 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien rajoittaminen on arvioitava määrittämällä perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistettuihin perusoikeuksiin puuttumisen vakavuus ja tarkistamalla, että tällä rajoituksella tavoitellun yleisen edun mukaisen tavoitteen tärkeys on suhteessa tähän vakavuuteen (tuomio 6.10.2020, tuomio 6.10.2020, s. 1). La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 131 kohta), käy ilmi, että henkilötietoihin pääsystä aiheutuvan kyseessä oleviin perusoikeuksiin puuttumisen vakavuuden sekä henkilötietojen arkaluonteisuuden asteen on myös vaikutettava aineellisiin ja menettelyllisiin takeisiin, jotka on liitettävä tähän tietoihin pääsyyn ja joihin kuuluu vaatimus tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamasta etukäteisvalvonnasta.
131 Kun otetaan huomioon tämä suhteellisuusperiaate, on näin ollen katsottava, että vaatimus tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamasta etukäteisvalvonnasta on välttämätön silloin, kun kansallisen säännöstön, jossa säädetään viranomaisen pääsystä henkilötietoihin, yhteydessä tämä pääsy sisältää vaaran vakavasta puuttumisesta asianomaisen henkilön perusoikeuksiin siten, että se voisi mahdollistaa sen, että kyseinen viranomainen voi tehdä täsmällisiä päätelmiä tämän henkilön yksityiselämästä ja tarvittaessa laatia hänestä yksityiskohtaisen profiilin.
132 Käänteisesti tätä ennakkovalvonnan vaatimusta ei voida soveltaa silloin, kun viranomaisen pääsystä henkilötietoihin aiheutuvaa puuttumista kyseisiin perusoikeuksiin ei voida pitää vakavana.
133 Näin on silloin, kun on kyse pääsystä sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskeviin tietoihin pelkästään asianomaisen käyttäjän tunnistamista varten ilman, että mainittuja tietoja voidaan yhdistää suoritettua viestintää koskeviin tietoihin, koska unionin tuomioistuimen oikeuskäytännön mukaan näiden tietojen käsittelystä aiheutuvaa puuttumista ei siten lähtökohtaisesti voida pitää vakavana (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 157 ja 158 kohta).
134 Näin ollen tilanteessa, jossa otetaan käyttöön tämän tuomion 86–89 kohdassa kuvatun kaltainen säilytysmenetelmä, viranomaisen pääsy näin säilytettyjä IP-osoitteita vastaaviin henkilöllisyyttä koskeviin tietoihin ei lähtökohtaisesti edellytä tuomioistuimen tai riippumattoman hallinnollisen elimen etukäteisvalvontaa.
135 Kuten tämän tuomion 110 ja 111 kohdassa on jo todettu, ei kuitenkaan voida sulkea pois sitä, että epätyypillisissä tilanteissa viranomaisen käyttöön pääasiassa kyseessä olevan porrastetun reagoinnin menettelyn kaltaisessa menettelyssä annetut rajalliset tiedot voivat paljastaa rekisteröidyn yksityiselämään liittyviä seikkoja koskevia mahdollisesti arkaluonteisia tietoja, jotka yhdessä voivat antaa viranomaiselle mahdollisuuden tehdä täsmällisiä johtopäätöksiä tämän henkilön yksityiselämästä ja mahdollisesti laatia hänen yksityiskohtaisen profiilinsa.
136 Kuten tämän tuomion 112 kohdasta ilmenee, tällainen yksityisyyteen kohdistuva vaara voi syntyä muun muassa silloin, kun henkilö harjoittaa vertaisverkossa toistuvasti tai jopa laajamittaisesti tekijänoikeuksia tai lähioikeuksia loukkaavaa toimintaa, joka liittyy tietyntyyppisiin suojattuihin teoksiin, jotka voidaan ryhmitellä niiden otsikon perusteella ja jotka voivat paljastaa mahdollisesti arkaluonteisia tietoja hänen yksityiselämäänsä liittyvistä seikoista.
137 Nyt käsiteltävässä asiassa IP-osoitteen haltija voi siis hallinnollisessa porrastetun reagoinnin menettelyssä olla erityisen alttiina tällaiselle yksityiselämälle aiheutuvalle riskille silloin, kun kyseinen menettely saavuttaa sen vaiheen, jossa Hadopin on päätettävä siitä, saattaako se asian syyttäjälle mahdollisen syytteen nostamiseksi tätä haltijaa vastaan teoista, jotka voidaan luokitella törkeällä tuottamuksella aiheutetuksi rikkomukseksi tai oikeudenloukkaukseksi.
138 Tämä asian saattaminen syyttäjän käsiteltäväksi edellyttää nimittäin, että IP-osoitteen haltijalle on jo annettu kaksi suositusta ja tiedoksianto, jossa hänelle ilmoitetaan, että hänen toimintansa saattaa johtaa rikossyytteisiin, ja nämä toimenpiteet merkitsevät sitä, että Hadopilla on joka kerta ollut pääsy sen haltijan henkilöllisyyttä koskeviin tietoihin, jonka IP-osoitetta on käytetty tekijänoikeuksia tai lähioikeuksia loukkaavassa toiminnassa, sekä kyseistä teosta koskevaan tiedostoon, joka sisältää erityisesti sen nimen.
139 Ei voida kuitenkaan sulkea pois sitä, että kokonaisuutena tarkasteltuna ja sitä mukaa kuin porrastetun reagoinnin menettely toteutetaan, menettelyn eri vaiheissa näin toimitetut tiedot saattavat paljastaa rekisteröidyn yksityiselämään liittyviä yhtäpitäviä ja mahdollisesti arkaluonteisia tietoja, joiden avulla voidaan tarvittaessa laatia hänen profiilinsa.
140 Näin ollen yksityiselämän kunnioittamista koskevan oikeuden loukkauksen vakavuus voi kasvaa sitä mukaa kuin porrastetun reagoinnin menettelyä, jossa noudatetaan yhtäjaksoista prosessia, toteutetaan sen muodostavissa eri vaiheissa.
141 Nyt käsiteltävässä asiassa se, että Hadopilla on pääsy kaikkiin menettelyn eri vaiheissa kertyneisiin rekisteröityä koskeviin tietoihin, voi näiden tietojen yhdistämisen myötä mahdollistaa tarkkojen päätelmien tekemisen rekisteröidyn yksityiselämästä. Näin ollen kansallisessa lainsäädännössä on pääasiassa kyseessä olevan kaltaisen porrastetun reagoinnin menettelyn yhteydessä säädettävä myös siitä, että menettelyn tietyssä vaiheessa tuomioistuin tai riippumaton hallinnollinen elin, joka täyttää tämän tuomion 125–127 kohdassa asetetut edellytykset, voi harjoittaa etukäteisvalvontaa, jotta voidaan sulkea pois riski siitä, että rekisteröidyn yksityiselämän suojaa ja henkilötietojen suojaa koskeviin perusoikeuksiin puututaan suhteettomasti. Tämä merkitsee käytännössä sitä, että tällainen valvonta on toteutettava ennen kuin Hadopi voi yhdistää henkilön henkilöllisyyttä koskevat tiedot, jotka vastaavat IP-osoitetta ja jotka on saatu sähköisten viestintäpalvelujen tarjoajalta, kun tälle henkilölle on jo osoitettu kaksi suositusta, ja siihen teokseen liittyvän tiedoston, joka on asetettu verkossa muiden henkilöiden ladattavaksi. Mainitun valvonnan on näin ollen tapahduttava ennen CPI:n R-331–40 §:ssä tarkoitetun sellaisen tiedoksiantokirjeen mahdollista lähettämistä, jossa todetaan, että kyseinen henkilö on syyllistynyt tekoihin, jotka voivat merkitä törkeällä tuottamuksella aiheutettua rikkomusta. Hadopi voi vasta tuomioistuimen tai riippumattoman hallinnollisen elimen suorittaman etukäteisvalvonnan jälkeen ja niiltä luvan saatuaan lähettää tällaisen kirjeen ja saattaa asian sen jälkeen tarvittaessa syyttäjän käsiteltäväksi syytteen nostamiseksi tästä rikoksesta.
142 Hadopin olisi sallittava yksilöidä tapaukset, joissa kyseisen IP-osoitteen haltija saavuttaa tämän porrastetun reagoinnin menettelyn kolmannen vaiheen. Kyseinen menettely on näin ollen järjestettävä ja jäsenneltävä siten, että Hadopissa tosiseikkojen tutkinnasta vastaavat henkilöt eivät pysty automaattisesti yhdistämään sähköisten viestintäpalvelujen tarjoajilta kerättyjä, internetistä aiemmin kerättyjä IP-osoitteita vastaavia henkilön henkilöllisyyttä koskevia tietoja tiedostoihin, jotka sisältävät tietoja, joiden perusteella voidaan saada selville niiden teosten nimet, joiden asettaminen saataville internetiin on oikeuttanut tämän keräämisen.
143 Tämä yhdistäminen porrastetun reagoinnin menettelyn kolmatta vaihetta varten on siten keskeytettävä, jos näiden henkilöllisyyttä koskevien tietojen kerääminen, joka vastaa tekijänoikeutta tai lähioikeuksia loukkaavan toiminnan mahdollista toista uusimistapausta, edellyttää tuomioistuimen tai riippumattoman hallinnollisen elimen toteuttamaa etukäteisvalvontaa, joka on kuvattu tämän tuomion 141 kohdassa.
144 Lisäksi tämän tuomion 141–143 kohdassa esitetyn ennakkovalvontaa koskevan vaatimuksen mukauttaminen siten, että se rajoittuu mainitun porrastetun reagoinnin menettelyn kolmanteen vaiheeseen eikä sitä sovelleta menettelyn aikaisempiin vaiheisiin, mahdollistaa myös sen argumentin huomioon ottamisen, jonka mukaan on syytä turvata kyseisen menettelyn toteutettavuus; menettelylle on ominaista erityisesti tiedoksiantokirjeen mahdollista lähettämistä ja mahdollista syyttäjän käsiteltäväksi saattamista edeltävissä vaiheissa se, että viranomaisen tiedonsaantipyynnöt ovat määrältään valtavia, mikä johtuu yhtä suuresta määrästä oikeudenhaltijoiden sen käsiteltäväksi toimittamia raportteja.
145 Tämän tuomion 141–143 kohdassa tarkoitetun etukäteisvalvonnan kohteesta on vielä todettava, että tämän tuomion 95 ja 96 kohdassa mainitusta oikeuskäytännöstä ilmenee, että tapauksissa, joissa rekisteröidyn epäillään syyllistyneen CPI:n R. 335–5 §:ssä määriteltyyn törkeällä tuottamuksella aiheutettuun rikkomukseen, joka yleisesti on rangaistava teko, tuomioistuimen tai riippumattoman hallinnollisen elimen, joka vastaa tästä valvonnasta, on evättävä pääsy tietoihin, jos pääsy antaisi sitä pyytäneelle viranomaiselle mahdollisuuden tehdä täsmällisiä johtopäätöksiä rekisteröidyn yksityiselämästä.
146 Sitä vastoin jopa pääsy, joka mahdollistaa tällaisten täsmällisten johtopäätösten tekemisen, olisi sallittava tapauksissa, joissa kyseisen tuomioistuimen tai riippumattoman hallinnollisen elimen tietoon saatettujen seikkojen perusteella voidaan epäillä, että rekisteröity on syyllistynyt CPI:n L. 335–2 §:ssä tai kyseisen lain L. 335–4 §:ssä tarkoitettuun oikeudenloukkaukseen, koska jäsenvaltio voi vapaasti katsoa, että tällainen oikeudenloukkaus, siltä osin kuin se vaarantaa yhteiskunnan olennaisen edun, kuuluu vakavaan rikollisuuteen.
147 Tätä etukäteisvalvontaa koskevien yksityiskohtaisten sääntöjen osalta Ranskan hallitus katsoo, että kun otetaan huomioon Hadopin kyseessä oleviin tietoihin pääsyn erityispiirteet ja erityisesti sen laaja-alaisuus, olisi asianmukaista, että etukäteisvalvonta, jos sitä edellytetään, on täysin automatisoitu. Tällaisen valvonnan, joka on puhtaasti objektiivista, pääasiallisena tarkoituksena on kyseisen hallituksen mukaan varmistaa, että raportti asian saattamisesta Hadopin käsiteltäväksi sisältää kaikki vaaditut tiedot ilman, että kyseisen viranomaisen olisi arvioitava niitä.
148 Etukäteisvalvonta ei kuitenkaan voi missään tapauksessa olla täysin automatisoitua, koska – kuten tämän tuomion 125 kohdassa mainitusta oikeuskäytännöstä ilmenee – rikostutkinnan osalta tällainen valvonta edellyttää joka tapauksessa, että asianomainen tuomioistuin tai riippumaton hallinnollinen elin kykenee varmistamaan asianmukaisen tasapainon yhtäältä rikollisuuden torjunnan yhteydessä suoritettavan tutkinnan tarpeisiin liittyvien oikeutettujen intressien ja toisaalta henkilöiden, joiden tietoja tämä tietoihin pääsy koskee, yksityiselämän kunnioittamista ja henkilötietojen suojaa koskevien perusoikeuksien välillä.
149 Tällainen kyseessä olevien eri oikeutettujen intressien ja oikeuksien vertailu edellyttää nimittäin luonnollisen henkilön toimintaa, ja tämä on tarpeen sitä suuremmalla syyllä, kun kyseessä olevan tietojenkäsittelyn automaattisuudesta ja laaja-alaisuudesta aiheutuu vaaraa yksityiselämälle.
150 On myös todettava, että täysin automatisoidulla valvonnalla ei lähtökohtaisesti voida varmistaa, että tietoihin pääsy ei ylitä täysin välttämättömän rajoja ja että henkilöillä, joiden henkilötiedot ovat kyseessä, on tehokkaat takeet väärinkäytön vaaroja sekä kaikkea näihin tietoihin pääsyä ja niiden laitonta käyttöä vastaan.
151 Vaikka automatisoidulla valvonnalla voidaan siis tarkistaa tietyt oikeudenhaltijoiden etuja ajavien järjestöjen raportteihin sisältyvät tiedot, tällaiseen valvontaan on joka tapauksessa liityttävä luonnollisten henkilöiden tekemiä tarkastuksia, jotka vastaavat täysin tämän tuomion 125–127 kohdassa mainittuja vaatimuksia.
Aineellisia ja menettelyllisiä edellytyksiä sekä tietojen väärinkäytön riskin ja lainvastaisen tietoihin pääsyn ja tietojen käytön estämiseen tähtääviin takeisiin liittyvät vaatimukset, joita on noudatettava, jotta viranomainen voi saada käyttöönsä IP-osoitetta vastaavia henkilöllisyyttä koskevia tietoja
152 Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että pääsy henkilötietoihin voi olla direktiivin 2002/58 15 artiklan 1 kohdassa asetetun oikeasuhteisuutta koskevan vaatimuksen mukainen vain, jos sen sallivassa lainsäädäntötoimenpiteessä säädetään selvin ja täsmällisin säännöin, että tämä tietoihin pääsy edellyttää siihen liittyvien aineellisten ja menettelyllisten vaatimusten noudattamista ja sitä, että näiden tietojen väärinkäytön vaaroja vastaan on tehokkaat takeet (ks. vastaavasti tuomio 6.10.2020, La Quadrature du Net ym., C‑511/18, C‑512/18 ja C‑520/18, EU:C:2020:791, 132 ja 173 kohta ja tuomio 2.3.2021, Prokuratuur (Sähköiseen viestintään liittyvien tietojen saannin edellytykset), C‑746/18, EU:C:2021:152, 49 kohta oikeuskäytäntöviittauksineen).
153 Kuten unionin tuomioistuin on korostanut, tarve tällaisista takeista on tärkeä varsinkin silloin, kun henkilötietoja käsitellään automaattisesti (tuomio 16.7.2020, Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, 176 kohta oikeuskäytäntöviittauksineen).
154 Tältä osin Ranskan hallitus vahvisti vastauksena unionin tuomioistuimen 5.7.2022 pidettyä istuntoa varten esittämään kysymykseen, että – kuten CPI:n L. 331–29 §:ssä todetaan – Hadopin pääsy henkilöllisyyttä koskeviin tietoihin porrastetun reagoinnin menettelyssä perustuu olennaisilta osin automaattiseen tietojenkäsittelyyn, mikä selittyy sillä, että oikeudenhaltijoita edustavat järjestöt havaitsevat vertaisverkoissa laajamittaisia oikeudenloukkauksia ja nämä havainnot toimitetaan Hadopille raportteina.
155 Unionin tuomioistuimen käytettävissä olevasta asiakirja-aineistosta ilmenee erityisesti, että tätä tietojenkäsittelyä suorittaessaan Hadopin työntekijät tarkastavat lähinnä automaattisesti ja arvioimatta itse kyseessä olevia tosiseikkoja, sisältävätkö Hadopin käsiteltäväksi saatetut raportit kaikki asetuksen nro 2010–236 liitteessä olevassa 1 kohdassa mainitut tiedot ja erityisesti asianomaiset lainvastaiset verkossa saataville asettamista koskevat toimet ja tähän tarkoitukseen käytetyt IP-osoitteet. Tällaisten käsittelyjen on kuitenkin oltava yhteydessä luonnollisten henkilöiden suorittamiin tarkastuksiin.
156 Koska tällainen automatisoitu käsittely voi sisältää tietyn määrän vääriä positiivisia tapauksia ja ennen kaikkea riskin siitä, että kolmannet käyttävät väärin tai lainvastaisiin tarkoituksiin mahdollisesti hyvin suurta määrää henkilötietoja, on tärkeää, että viranomaisen käyttämän tietojenkäsittelyjärjestelmän tarkastaa säännöllisin väliajoin lainsäädäntötoimen nojalla riippumaton elin, joka on kyseiseen viranomaiseen nähden kolmas osapuoli, jotta voidaan varmistaa järjestelmän eheys, mukaan lukien tehokkaat suojatoimet tietojen, jotka järjestelmän on tarjottava, väärinkäytön riskiä vastaan ja laitonta saatavuutta tai käyttöä vastaan, sekä järjestelmän tehokkuus ja luotettavuus sellaisten rikkomusten havaitsemisessa, joita voitaisiin uusimistapauksessa pitää törkeänä tuottamuksena tai oikeudenloukkauksena.
157 Lopuksi on lisättävä, että viranomaisen suorittamassa henkilötietojen käsittelyssä, kuten Hadopin porrastetun reagoinnin menettelyssä suorittamassa henkilötietojen käsittelyssä, on noudatettava direktiivissä 2016/680 säädettyjä näiden tietojen suojaa koskevia erityisiä sääntöjä; direktiivin tarkoituksena on sen 1 artiklan mukaan vahvistaa säännöt luonnollisten henkilöiden suojelulle toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
158 Nyt käsiteltävässä asiassa on nimittäin niin, että vaikka Hadopilla ei sovellettavan kansallisen oikeuden nojalla ole omaa päätösvaltaa, kun se käsittelee henkilötietoja porrastetun reagoinnin menettelyssä ja toteuttaa rekisteröidylle annettavan suosituksen tai ilmoituksen, jonka mukaan kyseessä olevat teot voivat johtaa rikosoikeudelliseen menettelyyn, Hadopia on pidettävä direktiivin 2016/680 3 artiklassa tarkoitettuna viranomaisena, joka osallistuu rikosten eli törkeällä tuottamuksella aiheutetun rikkomuksen tai oikeudenloukkauksen ehkäisemiseen ja paljastamiseen, ja se kuuluu näin ollen kyseisen direktiivin soveltamisalaan sen 1 artiklan mukaisesti.
159 Ranskan hallitus on tältä osin todennut vastauksena unionin tuomioistuimen 5.7.2022 pidettyä istuntoa varten esittämään kysymykseen, että koska toimenpiteet, jotka Hadopi on toteuttanut porrastetun reagoinnin menettelyn täytäntöönpanon yhteydessä, ”koska ne edeltävät välittömästi rikosoikeudellista menettelyä ja liittyvät välittömästi oikeudenkäyntimenettelyyn”, Hadopin käyttöön ottamaan teosten suojaamista internetissä koskevien toimenpiteiden hallinnointijärjestelmään sovelletaan – kuten ennakkoratkaisua pyytäneen tuomioistuimen oikeuskäytännöstä ilmenee – kansallisen oikeuden säännöksiä, joilla direktiivi 2016/680 on tarkoitus saattaa osaksi kansallista oikeusjärjestystä.
160 Tällainen Hadopin suorittama tietojen käsittely ei sitä vastoin kuulu yleisen tietosuoja-asetuksen soveltamisalaan. Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan d alakohdassa nimittäin säädetään, että tätä asetusta ei sovelleta henkilötietojen käsittelyyn, jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
161 Kuten julkisasiamies on todennut 27.10.2022 antamansa ratkaisuehdotuksen 104 kohdassa, Hadopin on noudatettava direktiiviä 2016/680 porrastetun reagoinnin menettelyssä, joten tällaisen menettelyn kohteena olevilla henkilöillä on oltava käytettävissään joukko aineellisia ja menettelyllisiä takeita, joihin kuuluvat oikeus saada Hadopin käsittelemiä henkilötietoja ja oikeus pyytää kyseisten henkilötietojen oikaisemista tai poistamista sekä mahdollisuus tehdä valitus riippumattomalle valvontaviranomaiselle ja tarvittaessa käyttää muita oikeussuojakeinoja yleisen lainsäädännön edellytysten mukaisesti.
162 Pääasiassa kyseessä olevasta kansallisesta lainsäädännöstä ilmenee tässä yhteydessä, että porrastetun reagoinnin menettelyssä, tarkemmin sanottuna toisen suosituksen ja sitä seuraavan tiedoksiannon, joissa todetaan, että todettuja tosiseikkoja voidaan pitää rikoksina, yhteydessä näiden ilmoitusten vastaanottajalla on tiettyjä menettelyllisiä takeita, kuten oikeus esittää huomautuksia, oikeus saada tarkempia tietoja siitä laiminlyönnistä, josta häntä moititaan, sekä mainitun tiedoksiannon osalta oikeus pyytää kuulemista ja saada avustajan apua.
163 Ennakkoratkaisua pyytäneen tuomioistuimen on joka tapauksessa tarkastettava, säädetäänkö kyseisessä kansallisessa lainsäädännössä kaikista direktiivissä 2016/680 edellytetyistä aineellisista ja menettelyllisistä takeista.
164 Kaiken edellä esitetyn perusteella kolmeen ennakkoratkaisukysymykseen on vastattava, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, on tulkittava siten, ettei se ole esteenä kansalliselle säännöstölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, pääsy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien säilyttämiin, oikeudenhaltijoita edustavien järjestöjen ennalta keräämiä IP-osoitteita vastaaviin henkilöllisyyttä koskeviin tietoihin, jotta tämä viranomainen voi yksilöidä niiden IP-osoitteiden haltijat, joita on käytetty toimintaan, joka saattaa merkitä tällaisia oikeudenloukkauksia, ja jotta se voi tarvittaessa kohdistaa näihin haltijoihin toimenpiteitä, edellyttäen, että tämän säännöstön nojalla
– nämä tiedot säilytetään sellaisissa olosuhteissa ja sellaisten teknisten järjestelmien mukaisesti, joilla varmistetaan, ettei tällainen säilyttäminen mahdollista täsmällisten päätelmien tekemistä näiden haltijoiden yksityiselämästä esimerkiksi laatimalla heidän yksityiskohtainen profiilinsa, ja tämä voidaan toteuttaa erityisesti asettamalla sähköisten viestintäpalvelujen tarjoajille velvollisuus säilyttää eri henkilötietoryhmiä kuten henkilöllisyyttä koskevia tietoja, IP-osoitteita sekä liikenne- ja paikkatietoja varmistaen näiden eri tietoryhmien tosiasiallinen aukoton erottelu siten, että säilyttämisen aikana estetään näiden eri tietoryhmien kaikenlainen yhdistetty käyttö ja että säilyttämisen kesto ei ylitä ehdottoman välttämätöntä,
– kyseisen viranomaisen pääsyä tällaisiin erillään ja tosiasiallisesti aukottomasti säilytettyihin tietoihin käytetään yksinomaan rikoksesta epäillyn henkilön yksilöimiseen, ja siihen liittyy tarvittavat takeet sen poissulkemiseksi, että muissa kuin epätyypillisissä tilanteissa tietoihin pääsy voisi mahdollistaa täsmällisten päätelmien tekemisen IP-osoitteiden haltijoiden yksityiselämästä esimerkiksi laatimalla heidän yksityiskohtainen profiilinsa, ja tämä edellyttää erityisesti sitä, että kyseisen viranomaisen työntekijöitä, joilla on tällainen pääsy tietoihin, kielletään paljastamasta missään muodossa tietoja näiden haltijoiden käyttämien tiedostojen sisällöstä paitsi ainoastaan asian saattamiseksi syyttäjän käsiteltäväksi, jäljittämästä näiden haltijoiden selailupolkua ja yleisemmin käyttämästä näitä IP-osoitteita muihin tarkoituksiin kuin mahdollisten toimenpiteiden toteuttamiseksi kyseisiä IP-osoitteiden haltijoita vastaan,
– se, että kyseisessä viranomaisessa tosiseikkojen tutkinnasta vastaavilla henkilöillä on mahdollisuus yhdistää tällaiset tiedot tiedostoihin, jotka sisältävät tietoja, joiden perusteella voidaan saada selville niiden suojattujen teosten nimet, joiden internetiin saataville asettaminen on oikeuttanut sen, että oikeudenhaltijoita edustavat järjestöt ovat keränneet IP-osoitteet, edellyttää tilanteessa, jossa sama henkilö toistaa tekijänoikeuksia tai lähioikeuksia loukkaavan toiminnan, tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa valvontaa, joka ei voi olla täysin automatisoitua ja jonka on tapahduttava ennen tällaista yhdistämistä, kun tällainen yhdistäminen voi tällaisissa tilanteissa mahdollistaa täsmällisten päätelmien tekemisen kyseisen henkilön, jonka IP-osoitetta on käytetty toiminnassa, joka saattaa loukata tekijänoikeuksia tai lähioikeuksia, yksityiselämästä,
– viranomaisen käyttämän tietojenkäsittelyjärjestelmän tarkastaa säännöllisin väliajoin lainsäädäntötoimen nojalla riippumaton elin, joka on kyseiseen viranomaiseen nähden kolmas osapuoli, jotta voidaan varmistaa järjestelmän eheys, mukaan lukien tehokkaat suojatoimet näiden tietojen väärinkäytön riskin ja lainvastaisen tietoihin pääsyn ja tietojen käytön estämiseksi, sekä sen tehokkuus ja luotettavuus mahdollisten rikkomusten havaitsemisessa.
Oikeudenkäyntikulut
165 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (täysistunto) on ratkaissut asian seuraavasti:
Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY, 15 artiklan 1 kohtaa, luettuna Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa,
on tulkittava siten, että
se ei ole esteenä kansalliselle säännöstölle, jossa annetaan hallintoviranomaiselle, joka vastaa tekijän- ja lähioikeuksien suojaamisesta internetissä tapahtuvilta oikeudenloukkauksilta, pääsy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoajien säilyttämiin, oikeudenhaltijoita edustavien järjestöjen ennalta keräämiä IP-osoitteita vastaaviin henkilöllisyyttä koskeviin tietoihin, jotta tämä viranomainen voi yksilöidä niiden IP-osoitteiden haltijat, joita on käytetty toimintaan, joka saattaa merkitä tällaisia oikeudenloukkauksia, ja jotta se voi tarvittaessa kohdistaa näihin haltijoihin toimenpiteitä, edellyttäen, että tämän säännöstön nojalla
– nämä tiedot säilytetään sellaisissa olosuhteissa ja sellaisten teknisten järjestelmien mukaisesti, joilla varmistetaan, ettei tällainen säilyttäminen mahdollista täsmällisten päätelmien tekemistä näiden haltijoiden yksityiselämästä esimerkiksi laatimalla heidän yksityiskohtainen profiilinsa, ja tämä voidaan toteuttaa erityisesti asettamalla sähköisten viestintäpalvelujen tarjoajille velvollisuus säilyttää eri henkilötietoryhmiä kuten henkilöllisyyttä koskevia tietoja, IP-osoitteita sekä liikenne- ja paikkatietoja varmistaen näiden eri tietoryhmien tosiasiallinen aukoton erottelu siten, että säilyttämisen aikana estetään näiden eri tietoryhmien kaikenlainen yhdistetty käyttö ja että säilyttämisen kesto ei ylitä ehdottoman välttämätöntä
– kyseisen viranomaisen pääsyä tällaisiin erillään ja tosiasiallisesti aukottomasti säilytettyihin tietoihin käytetään yksinomaan rikoksesta epäillyn henkilön yksilöimiseen, ja siihen liittyy tarvittavat takeet sen poissulkemiseksi, että muissa kuin epätyypillisissä tilanteissa tietoihin pääsy voisi mahdollistaa täsmällisten päätelmien tekemisen IP-osoitteiden haltijoiden yksityiselämästä esimerkiksi laatimalla heidän yksityiskohtainen profiilinsa, ja tämä edellyttää erityisesti sitä, että kyseisen viranomaisen työntekijöitä, joilla on tällainen pääsy tietoihin, kielletään paljastamasta missään muodossa tietoja näiden haltijoiden käyttämien tiedostojen sisällöstä paitsi ainoastaan asian saattamiseksi syyttäjän käsiteltäväksi, jäljittämästä näiden haltijoiden selailupolkua ja yleisemmin käyttämästä näitä IP-osoitteita muihin tarkoituksiin kuin mahdollisten toimenpiteiden toteuttamiseksi kyseisiä IP-osoitteiden haltijoita vastaan,
– se, että kyseisessä viranomaisessa tosiseikkojen tutkinnasta vastaavilla henkilöillä on mahdollisuus yhdistää tällaiset tiedot tiedostoihin, jotka sisältävät tietoja, joiden perusteella voidaan saada selville niiden suojattujen teosten nimet, joiden internetiin saataville asettaminen on oikeuttanut sen, että oikeudenhaltijoita edustavat järjestöt ovat keränneet IP-osoitteet, edellyttää tilanteessa, jossa sama henkilö toistaa tekijänoikeuksia tai lähioikeuksia loukkaavan toiminnan, tuomioistuimen tai riippumattoman hallinnollisen elimen suorittamaa valvontaa, joka ei voi olla täysin automatisoitua ja jonka on tapahduttava ennen tällaista yhdistämistä, kun tällainen yhdistäminen voi tällaisissa tilanteissa mahdollistaa täsmällisten päätelmien tekemisen kyseisen henkilön, jonka IP-osoitetta on käytetty toiminnassa, joka saattaa loukata tekijänoikeuksia tai lähioikeuksia, yksityiselämästä,
– viranomaisen käyttämän tietojenkäsittelyjärjestelmän tarkastaa säännöllisin väliajoin riippumaton elin, joka on kyseiseen viranomaiseen nähden kolmas osapuoli, jotta voidaan varmistaa järjestelmän eheys, mukaan lukien tehokkaat suojatoimet näiden tietojen väärinkäytön riskin ja lainvastaisen tietoihin pääsyn ja tietojen käytön estämiseksi, sekä sen tehokkuus ja luotettavuus mahdollisten rikkomusten havaitsemisessa.
Allekirjoitukset