EUROOPA KOHTU OTSUS (suurkoda)
6. oktoober 2020(*)
Eelotsusetaotlus – Isikuandmete töötlemine elektroonilise side sektoris – Elektroonilise side teenuste osutajad – Liiklus- ja asukohaandmete üldine ja vahet tegemata edastamine – Riigi julgeoleku kaitse – Direktiiv 2002/58/EÜ – Kohaldamisala – Artikli 1 lõige 3 ja artikkel 3 – Elektroonilise side konfidentsiaalsus – Kaitse – Artikkel 5 ja artikli 15 lõige 1 – Euroopa Liidu põhiõiguste harta – Artiklid 7, 8 ja 11 ning artikli 52 lõige 1 – ELL artikli 4 lõige 2
Kohtuasjas C‑623/17,
mille ese on ELTL artikli 267 alusel Investigatory Powers Tribunali (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus, Ühendkuningriik) 18. oktoobri 2017. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 31. oktoobril 2017, menetluses
Privacy International
versus
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service,
Secret Intelligence Service,
EUROOPA KOHUS (suurkoda),
koosseisus: president K. Lenaerts, asepresident R. Silva de Lapuerta, kodade presidendid J.‑C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb ja L. S. Rossi, kohtunikud J. Malenovský, L. Bay Larsen, T. von Danwitz (ettekandja), C. Toader, K. Jürimäe, C. Lycourgos ja N. Piçarra,
kohtujurist: M. Campos Sánchez‑Bordona,
kohtusekretär: ametnik C. Strömholm,
arvestades kirjalikus menetluses ning 9. ja 10. septembri 2019. aasta kohtuistungil esitatut,
arvestades seisukohti, mille esitasid:
– Privacy International, esindajad: B. Jaffey, QC, ja T. de la Mare, QC, solicitor D. Cashman ja avocat H. Roy,
– Ühendkuningriigi valitsus, esindajad: Z. Lavery, D. Guðmundsdóttir ja S. Brandon, keda abistasid G. Facenna, QC, ja D. Beard, QC, ning barristers C. Knight ja R. Palmer,
– Belgia valitsus, esindajad: P. Cottin ja J.‑C. Halleux, keda abistasid advocaat J. Vanpraet ja avocat E. de Lophem,
– Tšehhi valitsus, esindajad: M. Smolek, J. Vláčil ja O. Serdula,
– Saksamaa valitsus, esindajad: M. Hellmann, R. Kanitz, D. Klebs ja T. Henze, hiljem J. Möller, M. Hellmann, R. Kanitz ja D. Klebs,
– Eesti valitsus, esindaja: A. Kalbus,
– Iiri valitsus, esindajad: M. Browne, G. Hodge ja A. Joyce, keda abistas barrister D. Fennelly,
– Hispaania valitsus, esindajad: L. Aguilera Ruiz ja M. J. García-Valdecasas Dorrego, hiljem L. Aguilera Ruiz,
– Prantsuse valitsus, esindajad: E. de Moustier, E. Armoët, A.‑L. Desjonquères, F. Alabrune, D. Colas ja D. Dubois, hiljem E. de Moustier, E. Armoët, A.‑L. Desjonquères, F. Alabrune ja D. Dubois,
– Küprose valitsus, esindajad: E. Symeonidou ja E. Neofytou,
– Läti valitsus, esindajad: V. Soņeca ja I. Kucina, hiljem V. Soņeca,
– Ungari valitsus, esindajad: G. Koós, Z. Fehér, G. Tornyai ja Z. Wagner, hiljem G. Koós ja Z. Fehér,
– Madalmaade valitsus, esindajad: C. S. Schillemans ja K. Bulterman,
– Poola valitsus, esindajad: B. Majczyna, J. Sawicka ja M. Pawlicka,
– Portugali valitsus, esindajad: L. Inez Fernandes, M. Figueiredo ja F. Aragão Homem,
– Rootsi valitsus, esindajad: A. Falk, H. Shev, C. Meyer-Seitz, L. Zettergren ja A. Alriksson, hiljem H. Shev, C. Meyer-Seitz, L. Zettergren ja A. Alriksson,
– Norra valitsus, esindajad: T. B. Leming, M. Emberland ja J. Vangsnes,
– Euroopa Komisjon, esindajad: H. Kranenborg, M. Wasmeier, D. Nardi ja P. Costa de Oliveira, hiljem H. Kranenborg, M. Wasmeier ja D. Nardi,
– Euroopa Andmekaitseinspektor, esindajad: T. Zerdick ja A. Buchta,
olles 15. jaanuari 2020. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,
on teinud järgmise
otsuse
1 Eelotsusetaotlus puudutab seda, kuidas tõlgendada Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11) (edaspidi „direktiiv 2002/58“)), artikli 1 lõiget 3 ja artikli 15 lõiget 1 tõlgendatuna lähtuvalt ELL artikli 4 lõikest 2 ning Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklitest 7 ja 8 ja artikli 52 lõikest 1.
2 Taotlus on esitatud ühelt poolt Privacy Internationali ning teiselt poolt Secretary of State for Foreign and Commonwealth Affairsi (välisminister ja Rahvaste Ühenduse asjade minister, Ühendkuningriik), Secretary of State for the Home Departmenti (siseminister, Ühendkuningriik), Government Communications Headquartersi (valitsusside peakorter, Ühendkuningriik; edaspidi „GCHQ“), Security Service’i (julgeolekuteenistus, Ühendkuningriik, edaspidi „MI5“) ja Secret Intelligence Service’i (salaluureteenistus, Ühendkuningriik; edaspidi „MI6“) vahelises kohtuvaidluses selliste õigusnormide seaduslikkuse üle, mis lubavad julgeoleku- ja luureteenistustel omandada ja kasutada sidealaseid massandmeid (bulk communications data).
Õiguslik raamistik
Liidu õigus
Direktiiv 95/46
3 Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tunnistati alates 25. maist 2018 kehtetuks Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (ELT 2016, L 119, lk 1). Nimetatud direktiivi artikkel 3 „Reguleerimisala“ oli sõnastatud järgmiselt:
„1. Käesolevat direktiivi kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad kataloogi või kui nad kavatsetakse hiljem sellesse kanda.
2. Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:
– kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks [ELL] V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku [julgeoleku] [täpsustatud sõnastus, mõiste „avalik kord“ asemel on edaspidi kasutatud täpsemat vastet „avalik julgeolek“], riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,
– kui seda teeb füüsiline isik isiklikel või kodustel eesmärkidel.“
Direktiiv 2002/58
4 Direktiivi 2002/58 põhjendustes 2, 6, 7, 11, 22, 26 ja 30 on märgitud:
„(2) Käesoleva direktiiviga püütakse austada põhiõigusi ja selles järgitakse eelkõige […] hartas tunnustatud põhimõtteid. Eelkõige püütakse käesoleva direktiiviga tagada [harta] artiklites 7 ja 8 sätestatud õiguste täielik austamine.
[…]
(6) Internet muudab radikaalselt traditsioonilisi turustruktuure, sest ühise globaalse infrastruktuurina võimaldab ta pakkuda suurt hulka erinevaid elektroonilisi sideteenuseid. Interneti vahendusel pakutavad üldkasutatavad elektroonilised sideteenused loovad kasutajatele uusi võimalusi, kuid samas tekitavad ka uusi ohte kasutajate isikuandmetele ja eraelu puutumatusele.
(7) Üldkasutatavate elektrooniliste sidevõrkude puhul tuleks ette näha konkreetsed õigusnormid ja tehnilised normid, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning juriidiliste isikute õigustatud huve, arvestades eelkõige abonentide ja kasutajate andmete automatiseeritud salvestamise ja töötlemise suurenevat mahtu.
[…]
(11) Nagu direktiivis [95/46], ei käsitleta ka käesolevas direktiivis põhiõiguste ja -vabaduste kaitsmist selliste toimingute puhul, mis ei kuulu [liidu] õiguse reguleerimisalasse. Seega ei muuda käesolev direktiiv senist tasakaalu üksikisiku eraelu puutumatuse õiguse ja liikmesriikide võimaluse vahel võtta käesoleva direktiivi artikli 15 lõikes 1 osutatud meetmeid, mis on vajalikud avaliku [julgeoleku], riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja kriminaalõiguse rakendamise seisukohast. Seega ei mõjuta käesolev direktiiv liikmesriikide võimalust kuulata õiguspäraselt pealt elektroonilist sidet või võtta vajaduse korral meetmeid eespool nimetatud eesmärkidel ja kooskõlas [4. novembril 1950 Roomas allkirjastatud] inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga nii, nagu seda on tõlgendatud Euroopa Inimõiguste Kohtu otsustes. Sellised meetmed peavad olema asjakohased, rangelt proportsionaalsed kavandatud eesmärgiga ja vajalikud demokraatlikus ühiskonnas ning nendega peaksid kaasnema piisavad tagatised kooskõlas inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga.
[…]
(22) Sidet ja sellega seotud liiklusandmeid ei või salvestada muud kui ainult kasutajad ja isikud, kellel on nende nõusolek; selle keeluga ei taheta keelustada igasugust automaatset, vahepealset või lühiajalist teabe salvestamist, kui selle ainus eesmärk on edastuse toimumine elektroonilises sidevõrgus, tingimusel, et teavet ei salvestata kauemaks, kui on vaja edastuse ja liikluse haldamise seisukohast, ning et selle konfidentsiaalsus tagatakse ka salvestatuna. Kui see on vajalik üldkasutatava teabe tõhusamaks edasisaatmiseks teistele side vastuvõtjatele nende taotluse korral, ei tohiks käesolev direktiiv takistada sellise teabe hoidmist salvestatuna, kui kõnealune teave oleks üldsusele igal juhul ilma piiranguteta kättesaadav ja kui kustutatakse kõik andmed sellist teavet soovinud individuaalsete abonentide ja kasutajate kohta.
[…]
(26) Abonentide kohta käivad andmed, mida töödeldakse elektroonilistes sidevõrkudes ühenduse loomiseks ja teabe edastamiseks, sisaldavad teavet füüsiliste isikute eraelu kohta ja on seotud õigusega vabale kirjavahetusele või on seotud juriidiliste isikute õigustatud huvidega. Selliseid andmeid võib säilitada ainult sel määral, kui on vaja teenuse osutamise puhul arveldamiseks ja sidumistasude maksmiseks, ning piiratud aja jooksul. Selliste andmete igasugust täiendavat töötlemist […] võib lubada ainult siis, kui abonent on sellega nõustunud täpse ja täieliku teabe põhjal, mille üldkasutatavate elektrooniliste sideteenuste osutaja on talle edastanud kavandatud täiendavate töötlemisviiside kohta ja abonendi õiguste kohta jätta oma nõusolek selliseks töötlemiseks andmata või tühistada selline nõusolek. Sideteenuste turustamiseks […] kasutatavad liiklusandmed tuleks pärast teenuse osutamist kustutada või muuta anonüümseks.
[…]
(30) Elektrooniliste sidevõrkude pakkumise ja elektrooniliste sideteenuste osutamise süsteemid peaksid olema välja töötatud nii, et vajalike isikuandmete hulk oleks minimaalne. […]“.
5 Direktiivi 2002/58 artiklis 1 „Reguleerimisala ja eesmärk“ on sätestatud:
„1. Käesoleva direktiiviga nähakse ette nende siseriiklike sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris ja selliste andmete ning elektrooniliste sideseadmete ja -teenuste vaba liikumise tagamiseks [Euroopa Liidus].
2. Käesoleva direktiivi sätted täpsustavad ja täiendavad direktiivi [95/46] sätteid lõikes 1 nimetatud eesmärkidel. Lisaks sellele nähakse nende sätetega ette juriidilistest isikutest abonentide õigustatud huvide kaitse.
3. Käesolevat direktiivi ei kohaldata tegevuse suhtes, mis jääb väljapoole [ELTL] reguleerimisala, nagu näiteks Euroopa Liidu lepingu V ja VI jaotise kohane tegevus, ja igal juhul sellise tegevuse suhtes, mis on seotud avaliku [julgeoleku], riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja riigi sunnijõuga kriminaalõiguse valdkonnas.“
6 Direktiivi artiklis 2 „Mõisted“ on märgitud:
„Kui ei ole sätestatud teisiti, kohaldatakse direktiivis [95/46] ning Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivis 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv) [EÜT 2002, L 108, lk 33; ELT eriväljaanne 13/29, lk 349] sätestatud mõisteid.
Kasutatakse ka järgmisi mõisteid:
a) kasutaja – füüsiline isik, kes kasutab üldkasutatavat elektroonilist sideteenust isiklikel või ärilistel eesmärkidel, ilma et ta oleks tingimata kõnealust teenust tellinud;
b) liiklusandmed – andmed, mida töödeldakse side edastamiseks elektroonilises sidevõrgus või sellise edastamisega seotud arveldamiseks;
c) asukohaandmed – elektroonilises sidevõrgus või elektrooniliste sideteenuste poolt töödeldavad andmed, mis näitavad üldkasutatavate elektrooniliste sideteenuste kasutaja lõppseadme geograafilist asukohta;
d) side – teave, mida vahetatakse või edastatakse määratud hulga osaliste vahel üldkasutatava elektroonilise side teenuse abil. Mõiste ei hõlma teavet, mida edastatakse üldsusele ringhäälinguteenuse raames elektroonilise sidevõrgu kaudu, välja arvatud juhul, kui sellist teavet võib seostada tuvastatava abonendi või kasutajaga, kes teavet saab;
[…]“.
7 Nimetatud direktiivi artiklis 3 „Asjaomased teenused“ on ette nähtud:
„Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega [liidu] üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes.“
8 Direktiivi 2002/58 artikli 5 „Side konfidentsiaalsus“ kohaselt:
„1. Liikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt. Käesolev lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet.
[…]
3. Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.“
9 Direktiivi 2002/58 artiklis 6 „Liiklusandmed“ on sätestatud:
„1. Abonentide ja kasutajatega seotud liiklusandmed, mida töötleb üldkasutatava sidevõrgu pakkuja või üldkasutatavate elektrooniliste sideteenuste osutaja, tuleb kustutada või muuta anonüümseks, kui neid ei ole enam vaja side edastamiseks, ilma et see piiraks käesoleva artikli lõigete 2, 3 ja 5 ning artikli 15 lõike 1 kohaldamist.
2. Töödelda võib liiklusandmeid, mis on vajalikud abonentide arvete ja sidumistasude jaoks. Selline töötlemine on lubatud ainult selle tähtaja lõpuni, mille jooksul võib arve õiguspäraselt vaidlustada või mille jooksul võib võtta meetmeid arve sissenõudmiseks.
3. Elektrooniliste sideteenuste turustamiseks ja lisaväärtusteenuste osutamiseks võib üldkasutatavate elektrooniliste sideteenuste osutaja töödelda lõikes 1 osutatud andmeid selliste teenuste või turustamise jaoks vajalikul määral ja vajaliku aja jooksul, kui abonent või kasutaja, kelle kohta andmed käivad, on andnud oma eelneva nõusoleku. Kasutajatele ja abonentidele antakse võimalus oma liiklusandmete töötlemiseks antud nõusolek igal ajal tühistada.
[…]
5. Lõigete 1, 2, 3 ja 4 kohaselt võivad liiklusandmeid töödelda ainult üldkasutatavate sidevõrkude pakkuja ja üldkasutatavate elektrooniliste sideteenuste osutaja loal tegutsevad isikud, kes tegelevad arveldamise või andmeliikluse korraldamise, klientide küsimustele vastamise, pettuste avastamise, elektrooniliste sideteenuste turustamise või lisaväärtusteenuste osutamisega, ja selline töötlemine peab toimuma ainult kõnealusteks toiminguteks vajalikul määral.“
10 Direktiivi artikli 9 „Asukohaandmed (v.a liiklusandmed)“ lõikes 1 on sätestatud:
„Kui üldkasutatavate sidevõrkude või üldkasutatavate elektrooniliste sideteenuste kasutajate või abonentidega seotud asukohaandmeid (v.a liiklusandmed) võib töödelda, töödeldakse neid andmeid ainult pärast nende anonüümseks muutmist või kasutajate või abonentide nõusolekul ning lisaväärtusteenuse osutamiseks vajalikul määral ja selleks vajaliku aja jooksul. Teenuseosutaja peab enne kasutajate või abonentide nõusoleku saamist teatama neile töödeldavate asukohaandmete (v.a liiklusandmed) liigi, töötlemise eesmärgi, kui kaua see kestab ja kas andmed edastatakse lisaväärtusteenuste osutamiseks kolmandatele isikutele. […]“.
11 Direktiivi artikli 15 „Direktiivi [95/46] teatavate sätete rakendamine“ lõikes 1 on ette nähtud:
„Liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse käesoleva direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust, kui selline piiramine on [demokraatlikus ühiskonnas] [täpsustatud sõnastus] vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi [95/46] artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (st riigi julgeolekut), riigikaitset, avalikku [julgeolekut], kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel. Kõik käesolevas lõikes osutatud meetmed on kooskõlas [liidu] õiguse üldpõhimõtetega, kaasa arvatud Euroopa Liidu lepingu artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega.“
Määrus 2016/679
12 Määruse 2016/679 artiklis 2 on sätestatud:
„1. Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
2. Käesolevat määrust ei kohaldata, kui
a) isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;
b) liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;
[…]
d) isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.
[…]“.
13 Selle määruse artiklis 4 on ette nähtud:
„Käesoleva määruse kohaldamisel kasutatakse järgmisi mõisteid:
[…]
2) „isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;
[…]“.
14 Sama määruse artikli 23 lõike 1 kohaselt:
„Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada
a) riigi julgeolek;
b) riigikaitse;
c) avalik julgeolek;
d) süütegude tõkestamine, uurimine, avastamine ja nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;
e) liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;
f) kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;
g) reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;
h) jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a–e ja g osutatud juhtudel;
i) andmesubjekti kaitse või muude isikute õiguste ja vabaduste kaitse;
j) tsiviilõiguslike nõuete täitmise tagamine.“
15 Määruse 2016/679 artikli 94 lõike 2 kohaselt:
„Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi [95/46] artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.“
Ühendkuningriigi õigus
16 1984. aasta telekommunikatsiooniseaduse (Telecommunications Act 1984) põhikohtuasja asjaoludele kohaldatava redaktsiooni (edaspidi „1984. aasta seadus“) §-is 94 „Riigi julgeoleku huvides toimuv uurimine“ on ette nähtud:
„(1) Minister võib pärast seda, kui on konsulteerinud käesoleva paragrahvi kohaldamisalasse kuuluva isikuga, anda sellele isikule üldkorraldusi, mis ministri hinnangul on vajalikud riigi julgeoleku huvides või suhetes teise riigi või väljaspool Ühendkuningriiki asuva territooriumi valitsusega.
(2) Kui minister peab seda vajalikuks riigi julgeoleku huvides või suhetes teise riigi või väljaspool Ühendkuningriiki asuva territooriumi valitsusega, võib ta pärast seda, kui on konsulteerinud käesoleva paragrahvi kohaldamisalasse kuuluva isikuga, anda sellele isikule korraldusi, millega ta kohustab seda isikut (olenevalt juhtumi asjaoludest) korralduses nimetatud teatava toimingu tegema või selle tegemisest hoiduma.
(2A) Minister võib anda lõikes 1 või 2 osutatud korraldusi ainult juhul, kui ta leiab, et nendes korraldustes nõutud tegevus on selle abil saavutada soovitava eesmärgiga proportsionaalne.
(3) Käesoleva paragrahvi kohaldamisalasse kuuluv isik peab täitma kõik korraldused, mis minister talle käesoleva paragrahvi alusel annab, olenemata mis tahes muust kohustusest, mis tal on 2003. aasta sideseaduse (Communications Act 2003) 1. osa või 2. osa 1. peatüki alusel, ja juhul, kui korraldused antakse üldkasutatava elektroonilise side võrgu pakkujale, peab viimane need täitma ka juhul, kui need on antud talle mitte kui sellise võrgu pakkujale, vaid tema mingi muu tunnuse tõttu.
(4) Minister edastab kummalegi parlamendi kojale koopia kõigist käesoleva paragrahvi alusel antud korraldustest, välja arvatud juhul, kui ta leiab, et nende korralduste avalikustamine oleks vastuolus riigi julgeoleku huvidega või ohustaks suhteid teise riigi või väljaspool Ühendkuningriiki asuva territooriumi valitsusega või kahjustaks mõne isiku ärihuve.
(5) Isik ei tohi avalikustada ning teda ei tohi seadusega või muul moel kohustada avalikustama mis tahes teavet käesoleva paragrahvi alusel võetud meetmete kohta, kui minister on talle teada andnud, et ta on arvamusel, et selle teabe avalikustamine oleks vastuolus riigi julgeoleku huvidega või ohustaks suhteid teise riigi või väljaspool Ühendkuningriiki asuva territooriumi valitsusega või kahjustaks teise isiku ärihuve.
[…]
(8) Käesolev paragrahv on kohaldatav Office of communicationsile (sideamet, edaspidi „OFCOM“) ja üldkasutatavate elektroonilise side võrkude pakkujatele.“
17 2000. aasta uurimisvolituste reguleerimise seaduse (Regulation of Investigatory Powers Act 2000; edaspidi „RIPA“) § 21 lõigetes 4 ja 6 on ette nähtud:
„(4) „[S]ideandmed“ [hõlmavad] järgmisi mõisteid:
(a) mis tahes liiklusandmeid, mis sisalduvad sides või on sellele lisatud (saatja poolt või muul viisil) mis tahes postiteenuse või telekommunikatsioonisüsteemi puhul, mille vahendusel seda edastatakse või võidakse edastada;
(b) mis tahes teavet, mis ei hõlma side sisu (välja arvatud kogu punkti a alla kuuluv teave) ja mis puudutab isiku poolt:
(i) mis tahes posti- või elektroonilise side teenuse kasutamist; või
(ii) elektroonilise side süsteemi mis tahes osa kasutamist seoses ükskõik millise elektroonilise side teenuse kasutamisega ükskõik millise inimese poolt või sellise teenuse osutamisega ükskõik millisele isikule;
(c) mis tahes teavet, mis ei kuulu punkti a või b alla ja mida postiteenust või elektroonilise side teenust osutav isik omab või saab teenuseid saavate isikute kohta.
[…]
(6) [M]õiste „liiklusandmed“ [hõlmab] seoses igasuguse sidega:
(a) mis tahes andmeid, mis tuvastavad või millega saab tuvastada isikut, seadet või asukohta, kelle või mille suunas või kellest või millest lähtuvalt sidet edastatakse või saab edastada;
(b) mis tahes andmeid, mis tuvastavad või eristavad või millega saab tuvastada või eristada seadme, millega sidet edastatakse või saab edastada;
(c) mis tahes andmeid, mis hõlmavad signaale sidesüsteemis igasuguse side edastamiseks kasutatava seadme käivitamiseks; ja
(d) mis tahes andmeid, millega tuvastatakse konkreetses sides sisalduvaid või sellele lisatud andmeid või muid andmeid, mida konkreetne side sisaldab või mis on sellele lisatud.
[…]“.
18 RIPA §-des 65–69 sisalduvad sätted Investigatory Powers Tribunali (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus, Ühendkuningriik) tegutsemise korra ja pädevuse kohta. Selle seaduse § 65 alusel võib sellele kohtule kaebuse esitada, kui on alust arvata, et andmed saadi sobimatul viisil.
Põhikohtuasi ja eelotsuse küsimused
19 2015. aasta alguses sai eelkõige tänu Intelligence and Security Committee of Parliamenti (parlamendi luure‑ ja julgeolekukomitee, Ühendkuningriik) raportile avalikuks Ühendkuningriigi erinevate julgeoleku- ja luureteenistuste ehk GCHQ, MI5 ja MI6 praktika koguda ja kasutada sidealaseid massandmeid. Valitsusväline organisatsioon Privacy International esitas 5. juunil 2015 Investigatory Powers Tribunalile (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus, Ühendkuningriik) kaebuse Secretary of State Foreign and Commonwealth Affairsi (välisminister ja Rahvaste Ühenduse asjade minister), Secretary of State for the Home Departmenti (siseminister) ja nimetatud julgeoleku- ja luureteenistuste peale, väites, et kõnealune praktika on õigusvastane.
20 Eelotsusetaotluse esitanud kohus analüüsis selle praktika õiguspärasust kõigepealt riigisisese õiguse ning 4. novembril 1950 Roomas alla kirjutatud Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni (edaspidi „EIÕK“) sätete ning seejärel liidu õiguse alusel. 17. oktoobri 2016. aasta kohtuotsuses tõdes nimetatud kohus, et põhikohtuasja vastustajad möönsid, et oma tegevuse käigus koguvad ja kasutavad mainitud julgeoleku- ja luureteenistused eri kategooriatesse kuuluvaid massandmeid üksikisikute kohta (bulk personal data), näiteks andmeid eluloo või reiside kohta, finants- või kaubanduslikku teavet, ametisaladuse alla kuuluvat tundlikku teavet sisaldada võivaid sidealaseid andmeid või ka ajakirjanduslikku materjali. Neid erineval teel omandatud – sealhulgas salajasi – andmeid analüüsitakse nii ristkontrolli meetodil kui ka automaattöötluse teel, neid võidakse avaldada teistele isikutele ja ametiasutustele ning jagada välispartneritega. Selle tegevuse käigus kasutavad julgeoleku- ja luureteenistused ka sidealaseid massandmeid, mida saadakse üldkasutatavate elektroonilise side võrkude pakkujatelt eelkõige ministri korralduste alusel, mis on antud 1984. aasta seaduse § 94 alusel. GCHQ ja MI5 toimivad sel viisil alates vastavalt 2001. aastast ja 2005. aastast.
21 Nimetatud kohtu hinnangul on need andmete kogumise ja kasutamise meetmed kooskõlas riigisisese õigusega ja alates 2015. aastast ka EIÕK artikliga 8, kui vastupidine ei tulene seni veel lahendamata küsimustest, mis puudutavad nende meetmete proportsionaalsust ja andmete edastamist kolmandatele isikutele. Viimati nimetatud küsimuse kohta täpsustas ta, et talle on esitatud tõendid tagatiste kohta, mida kohaldatakse julgeoleku- ja luureteenistuste välistes juurdepääsu- ja avaldamismenetlustes, andmete säilituskorra kohta ning sõltumatu kontrolli olemasolu kohta.
22 Seoses põhikohtuasjas vaidluse all olevate kogumis- ja kasutamismeetmete õiguspärasusega liidu õiguse seisukohast analüüsis eelotsusetaotluse esitanud kohus 8. septembri 2017. aasta kohtuotsuses, kas need meetmed kuuluvad liidu õiguse kohaldamisalasse, ja kui see on nii, siis kas need on selle õigusega kooskõlas. Nimetatud kohus tõdes seoses sidealaste massandmetega, et 1984. aasta seaduse § 94 kohaselt peavad üldkasutatavate elektroonilise side võrkude pakkujad juhul, kui minister väljastab sellekohase korralduse, esitama julgeoleku- ja luureteenistustele andmed, mis nad on kogunud liidu õiguse kohaldamisalasse jääva majandustegevuse käigus. Nii ei ole see muude andmete kogumise puhul, mille need teenistused saavad ilma selliseid siduvaid volitusi kasutamata. Selle järelduse põhjal peab eelotsusetaotluse esitanud kohus vajalikuks pöörduda Euroopa Kohtu poole, et teha kindlaks, kas selline kord, nagu tuleneb nimetatud §-ist 94, kuulub liidu õiguse kohaldamisalasse, ja kui see on nii, siis kas ja mil viisil on sellele korrale kohaldatavad nõuded, mis sõnastati 21. detsembri 2016. aasta kohtuotsusega Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, edaspidi „kohtuotsus Tele2“, EU:C:2016:970) välja kujundatud kohtupraktikas.
23 Eelotsusetaotluse esitanud kohus märgib sellega seoses, et nimetatud § 94 kohaselt võib minister anda elektroonilise side teenuste osutajatele üld- või erikorraldusi, mis ministri hinnangul on vajalikud riigi julgeoleku huvides või suhetes välisriigi valitsusega. Nimetatud kohus täpsustab viitega RIPA § 21 lõigetes 4 ja 6 olevatele määratlustele, et asjaomaste andmete hulka kuuluvad nii liiklusandmed kui ka teave kasutatud teenuste kohta viimati nimetatud sätte tähenduses, välja on jäetud ainult side sisu. Need andmed ja see teave võimaldavad side kohta muu hulgas teada saada „kes, kus, millal ja kuidas“. Kõnealused andmed edastatakse julgeoleku- ja luureteenistustele ning viimased säilitavad need oma tegevuse tarbeks.
24 Nimetatud kohtu sõnul erineb põhikohtuasjas kõne all olev kord korrast, mis kehtestati 2014. aasta seadusega andmete säilitamise ja uurimisvolituste kohta (Data Retention and Investigatory Powers Act 2014), mida käsitleti kohtuasjas, milles tehti 21. detsembri 2016. aasta kohtuotsus Tele2 (C‑203/15 ja C‑698/15, EU:C:2016:970), kuna viimati nimetatud kord nägi ette, et elektroonilise side teenuste osutajad peavad andmeid säilitama ja tegema need kättesaadavaks nii julgeoleku- ja luureteenistustele riigi julgeoleku huvides kui ka teistele avaliku võimu asutustele vastavalt nende vajadustele. Pealegi puudutas nimetatud kohtuotsus kriminaaluurimist, mitte riigi julgeolekut.
25 Eelotsusetaotluse esitanud kohus lisab, et julgeoleku- ja luureteenistuste moodustatud andmebaasid läbivad konkreetse sihtmärgita automatiseeritud masstöötluse, mille eesmärk on avastada võimalikke seni teadmata ohte. Nimetatud kohus täpsustab, et sel viisil koostatud metaandmete kogumid peaksid olema võimalikult täielikud, et tekiks „heinakuhi“, kust oleks võimalik leida selles peidus olev „nõel“. Seoses nimetatud teenistuste poolt massandmete kogumise ja nende andmete analüüsimeetodite kasulikkusega viitab eelotsusetaotluse esitanud kohus eelkõige toonase United Kingdom Independent Reviewer of Terrorism Legislationi (Ühendkuningriigi terrorismialaste õigusaktide sõltumatu kontrolör) David Andersoni, QC, 19. augusti 2016. aasta aruande järeldustele, milles aruande koostaja tugines luurespetsialiste meeskonna tehtud analüüsile ning julgeoleku- ja luureteenistuste töötajate tähelepanekutele.
26 Eelotsusetaotluse esitanud kohus täpsustab veel, et Privacy Internationali väitel on põhikohtuasjas kõne all olev kord liidu õiguse seisukohalt õigusvastane, samas kui põhikohtuasja vastustajad leiavad, et selle korraga ette nähtud kohustus neid andmeid edastada ning juurdepääs nendele andmetele ja nende kasutamine ei kuulu liidu pädevusse eelkõige tulenevalt ELL artikli 4 lõikest 2, mille kohaselt jääb riigi julgeolek iga liikmesriigi ainuvastutusalasse.
27 Eelotsusetaotluse esitanud kohus leiab selle kohta 30. mai 2006. aasta kohtuotsuse parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346, punktid 56–59) põhjal, milles käsitleti broneeringuinfo (Passenger Name Record) edastamist avaliku julgeoleku kaitsmiseks, et äriühingute tegevus andmete töötlemisel ja edastamisel riigi julgeoleku kaitse eesmärgil ei tundu kuuluvat liidu õiguse kohaldamisalasse. Tema hinnangul ei ole vaja analüüsida mitte seda, kas kõnealune tegevus kujutab endast andmete töötlemist, vaid üksnes seda, kas sellise tegevuse sisu ja mõju arvestades on selle eesmärk toetada avaliku võimu asutuste poolt avaliku julgeoleku huvides loodud raamistikus riigi põhifunktsiooni ELL artikli 4 lõike 2 tähenduses.
28 Juhul kui põhikohtuasjas kõne all olevad meetmed siiski kuuluvad liidu õiguse kohaldamisalasse, leiab eelotsusetaotluse esitanud kohus, et 21. detsembri 2016. aasta kohtuotsuse Tele2 (C‑203/15 ja C‑698/15, EU:C:2016:970) punktides 119–125 nimetatud nõuded tunduvad riigi julgeoleku kontekstis ebasobivad ning need takistaksid julgeoleku- ja luureteenistustel ohjata teatavaid riske riigi julgeolekule.
29 Neil asjaoludel otsustas Investigatory Powers Tribunal (ametiasutuste järelevalve kohta esitatud kaebusi lahendav kohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:
„Võttes arvesse, et:
a) [julgeoleku- ja luureteenistuste] võimalused kasutada neile antavaid [sidealaseid massandmeid] on hädavajalikud Ühendkuningriigi riikliku julgeoleku kaitseks, sealhulgas terrorismivastases võitluses, vastuluures ja tuumarelvade leviku tõkestamises;
b) [julgeoleku- ja luureteenistuste poolt sidealaste massandmete] kasutamise üks põhijoon on avastada seni teadmata ohtusid riigi julgeolekule, rakendades konkreetse sihtmärgita masstöötlustehnikaid, mis eeldavad sidealaste massandmete koondamist ühte kohta. Selle kasulikkus seisneb peamiselt kiires objekti tuvastamises ja piiritlemises, aga ka selles, et annab aluse tegutsemiseks vahetu ohu korral;
c) elektroonilise side võrgu operaator ei ole seejärel kohustatud [sidealaseid massandmeid] säilitama (kauem kui tavapäraselt majandustegevuses nõutava aja vältel) ning neid säilitab riik ([julgeoleku- ja luureteenistused]) üksi;
d) liikmesriigi kohus on tuvastanud (kui teatud analüüsimata küsimustest ei tulene teisiti), et kaitsemeetmed [sidealaste massandmete] kasutamisel [julgeoleku- ja luureteenistuste] poolt on EIÕK nõuetega kooskõlas; ja
e) liikmesriigi kohus on tuvastanud, et [21. detsembri 2016. aasta kohtuotsuse Tele2 (C‑203/15 ja C‑698/15, EU:C:2016:970)] punktides 119–125 nimetatud nõuete kehtestamine nende kohaldatavuse korral nurjaks meetmed, mida [julgeoleku- ja luureteenistused] võtavad riigi julgeoleku kaitseks, ja seaks seega ohtu Ühendkuningriigi riikliku julgeoleku;
1. Kas ELL artiklit 4 ning direktiivi [2002/58] artikli 1 lõiget 3 arvestades kuulub ministri korraldusega elektroonilise side võrgu operaatorile esitatud nõue anda liikmesriigi [julgeoleku- ja luureteenistustele] sidealaseid massandmeid liidu õiguse ja direktiivi [2002/58] kohaldamisalasse?
2. Kas juhul, kui vastus esimesele küsimusele on jaatav, on ministri niisuguse korralduse suhtes kohaldatav mõni [21. detsembri 2016. aasta kohtuotsuse Tele2 (C‑203/15 ja C‑698/15, EU:C:2016:970) punktides 119–125 nimetatud nõue, mis kehtib säilitatavate sideandmete suhtes] või muu nõue lisaks EIÕK nõuetele? Ja kui on, siis kuidas ja mil määral on need nõuded kohaldatavad, võttes arvesse, et [julgeoleku- ja luureteenistustel] on tingimata vaja kasutada massandmete omandamist ja automatiseeritud töötlemistehnikaid riigi julgeoleku kaitseks, ning seda, mil määral võib selliste nõuete kehtestamine niisuguseid võimalusi, kui need on muidu [EIÕKga] kooskõlas, kriitiliselt pärssida?“
Eelotsuse küsimuste analüüs
Esimene küsimus
30 Esimese küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 1 lõiget 3 tuleb lähtuvalt ELL artikli 4 lõikest 2 tõlgendada nii, et selle direktiivi kohaldamisalasse kuuluvad liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada julgeoleku- ja luureteenistustele liiklus- ja asukohaandmeid.
31 Privacy International väidab sellega seoses sisuliselt, et arvestades Euroopa Kohtu praktikas antud selgitusi direktiivi 2002/58 kohaldamisala kohta, kuuluvad nii see, et julgeoleku- ja luureteenistused koguvad 1984. aasta seaduse § 94 alusel teenusepakkujatelt andmeid, kui ka see, et need teenistused neid andmeid kasutavad, selle direktiivi kohaldamisalasse olenemata sellest, kas nende andmete kogumiseks edastatakse need ajalise viitega või reaalajas. Täpsemalt leiab ta, et asjaolu, et eesmärk kaitsta riigi julgeolekut on selle direktiivi artikli 15 lõikes 1 sõnaselgelt loetletud, ei too kaasa selle direktiivi kohaldamatust sellistele olukordadele, ja ELL artikli 4 lõige 2 ei mõjuta seda hinnangut.
32 Seevastu Ühendkuningriigi, Tšehhi ja Eesti valitsus, Iirimaa ning Prantsuse, Küprose, Ungari, Poola ja Rootsi valitsus väidavad sisuliselt, et direktiiv 2002/58 ei ole põhikohtuasjas kõne all olevatele õigusnormidele kohaldatav, sest nende normide eesmärk on kaitsta riigi julgeolekut. Nende väitel kuulub julgeoleku- ja luuretegevus liikmesriikide põhifunktsioonide hulka, mis on seotud avaliku korra säilitamise ning sisejulgeoleku ja riigi territoriaalse terviklikkuse kaitsega, ning seega kuulub see tegevus liikmesriikide ainupädevusse, nagu kinnitab ka ELL artikli 4 lõike 2 kolmas lause.
33 Nende valitsuste väitel ei saa direktiivi 2002/58 seega tõlgendada nii, et riigi julgeoleku kaitsmiseks kehtestatud riigisisesed meetmed kuuluvad selle direktiivi kohaldamisalasse. Selle direktiivi artikli 1 lõige 3 piiritleb direktiivi kohaldamisala ja välistab sellest – sama moodi, nagu oli ette nähtud juba direktiivi 95/46 artikli 3 lõike 2 esimeses taandes – avalikku julgeolekut, riigikaitset ja riigi julgeolekut puudutava tegevuse. Need sätted peegeldavad pädevuse jaotust, mis on ette nähtud ELL artikli 4 lõikes 2, ning need kaotaksid soovitava toime, kui riigi julgeoleku valdkonda kuuluvate meetmete puhul tuleks järgida direktiivi 2002/58 nõudeid. Nende väitel on 30. mai 2006. aasta kohtuotsusest parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346) tulenev Euroopa Kohtu praktika, mis puudutab direktiivi 95/46 artikli 3 lõike 2 esimest taanet, ülekantav direktiivi 2002/58 artikli 1 lõikele 3.
34 Selle kohta tuleb märkida, et direktiivi 2002/58 artikli 1 lõike 1 kohaselt nähakse selles direktiivis ette liikmesriikide selliste sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris.
35 Selle direktiivi artikli 1 lõike 3 kohaselt on direktiivi kohaldamisalast välistatud „riigi tegevus“ selles sättes nimetatud valdkondades, mille hulgas on tegevus kriminaalõiguse valdkonnas ning tegevus, mis on seotud avaliku julgeoleku, riigikaitse ja riigi julgeolekuga, kaasa arvatud riigi majandusliku heaoluga, kui tegevus puudutab riigi julgeolekut. Need näitena mainitud tegevused kujutavad endast igal juhul toiminguid, mis on omased riigile või riigivõimu kandjatele ega ole omased eraõiguslike isikute tegevusvaldkondadele (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 32 ja seal viidatud kohtupraktika).
36 Lisaks on direktiivi 2002/58 artiklis 3 ette nähtud, et seda direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektroonilise side teenuste osutamisega liidu üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes (edaspidi „elektroonilise side teenused“). Järelikult tuleb seda direktiivi käsitada nii, et see reguleerib niisuguste teenuste osutajate tegevust (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 33 ja seal viidatud kohtupraktika).
37 Sellises raamistikus lubab direktiivi 2002/58 artikli 15 lõige 1 liikmesriikidel võtta selles direktiivis ette nähtud tingimustel „seadusandlikke meetmeid, millega piiratakse [selle] direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust“ (21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punkt 71).
38 Direktiivi 2002/58 artikli 15 lõige 1 eeldab aga tingimata, et selles nimetatud riigisisesed seadusandlikud meetmed kuuluvad selle direktiivi kohaldamisalasse, sest direktiiv annab sõnaselgelt liikmesriikidele loa võtta neid meetmeid ainult selles ette nähtud tingimustel. Lisaks reguleerivad sellised meetmed – selles sättes nimetatud eesmärke arvestades – elektroonilise side teenuste osutajate tegevust (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 34 ja seal viidatud kohtupraktika).
39 Euroopa Kohus järeldas eelkõige nende kaalutluste põhjal, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb koostoimes sama direktiivi artikliga 3 tõlgendada nii, et selle direktiivi kohaldamisalasse ei kuulu mitte ainult seadusandlik meede, mis paneb elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmeid ja asukohaandmeid, vaid ka seadusandlik meede, mis paneb neile kohustuse anda liikmesriigi pädevatele ametiasutustele juurdepääs neile andmetele. Nimelt nõuavad sellised seadusandlikud meetmed paratamatult nende andmete töötlemist teenuseosutajate poolt ja kuna need reguleerivad teenuseosutajate tegevust, ei saa neid võrdsustada riigile omaste tegevustega, millele on viidatud selle direktiivi artikli 1 lõikes 3 (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 35 ja 37 ning seal viidatud kohtupraktika).
40 Mis puudutab sellist seadusandlikku meedet nagu 1984. aasta seaduse § 94, mille alusel võib pädev ametiasutus anda elektroonilise side teenuste osutajatele korralduse teha julgeoleku- ja luureteenistustele edastamise teel kättesaadavaks massandmeid, siis tuleb märkida, et määruse 2016/679 artikli 4 punktis 2 sisalduva määratluse kohaselt, mis on kohaldatav tulenevalt direktiivi 2002/58 artiklist 2 koostoimes nimetatud määruse artikli 94 lõikega 2, tähistab mõiste „isikuandmete töötlemine“ „isikuandmete või nende kogumitega tehtav[at] automatiseeritud või automatiseerimata toiming[ut] või toimingute kogum[it], nagu kogumine, […] säilitamine, […] lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine […]“.
41 Sellest järeldub, et isikuandmete edastamise teel kättesaadavaks tegemine kujutab endast – sama moodi nagu andmete säilitamine või mis tahes muul viisil kättesaadavaks tegemine – töötlemist direktiivi 2002/58 artikli 3 tähenduses ja kuulub seega selle direktiivi kohaldamisalasse (vt selle kohta 29. jaanuari 2008. aasta kohtuotsus Promusicae, C‑275/06, EU:C:2008:54, punkt 45).
42 Lisaks, arvestades käesoleva kohtuotsuse punktis 38 esitatud kaalutlusi ja direktiivi 2002/58 üldist ülesehitust, võtaks selle direktiivi selline tõlgendus, mille kohaselt on selle artikli 15 lõikes 1 osutatud seadusandlikud meetmed direktiivi kohaldamisalast välistatud, sest eesmärgid, millele need meetmed peavad vastama, kattuvad suuresti sama direktiivi artikli 1 lõikes 3 osutatud tegevusega taotletavate eesmärkidega, nimetatud artikli 15 lõikelt 1 kogu soovitava toime (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 72 ja 73).
43 Nagu sisuliselt märkis ka kohtujurist liidetud kohtuasjades La Quadrature du Net jt (C‑511/18 ja C‑512/18, EU:C:2020:6) tehtud ettepaneku (millele ta viitab käesolevas asjas tehtud ettepaneku punktis 24) punktis 75, ei või mõistet „tegevus“, mis sisaldub direktiivi 2002/58 artikli 1 lõikes 3, seega tõlgendada nii, et see hõlmab selle direktiivi artikli 15 lõikes 1 nimetatud seadusandlikke meetmeid.
44 Seda järeldust ei kummuta ELL artikli 4 lõike 2 sätted, millele viitavad käesoleva kohtuotsuse punktis 32 nimetatud valitsused. Euroopa Kohtu väljakujunenud praktikas on nimelt selgitatud, et ehkki liikmesriikide pädevusse kuulub oma oluliste julgeolekuhuvide määratlemine ja asjakohaste meetmete kehtestamine oma sise- ja välisjulgeoleku tagamiseks, ei saa üksnes asjaolu, et liikmesriigi meede on võetud riigi julgeoleku kaitsmise eesmärgil, tingida seda, et liidu õigus ei ole kohaldatav, ning vabastada liikmesriike vajadusest seda õigust järgida (vt selle kohta 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punkt 38 ja seal viidatud kohtupraktika; 20. märtsi 2018. aasta kohtuotsus komisjon vs. Austria, C‑187/16, EU:C:2018:194 (riigi trükikoda), punktid 75 ja 76, ning 2. aprilli 2020. aasta kohtuotsus komisjon vs. Poola, Ungari ja Tšehhi Vabariik (ajutine mehhanism rahvusvahelise kaitse taotlejate ümberpaigutamiseks), C‑715/17, C‑718/17 ja C‑719/17, EU:C:2020:257, punktid 143 ja 170).
45 On tõsi, et Euroopa Kohus otsustas 30. mai 2006. aasta kohtuotsuses parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346, punktid 56–59), et see, kui lennuettevõtjad edastavad kolmandate riikide ametiasutustele isikuandmeid terrorismi ja raskete kuritegude ärahoidmiseks ja nende vastu võitlemiseks, ei kuulu tulenevalt direktiivi 95/46 artikli 3 lõike 2 esimesest taandest selle direktiivi kohaldamisalasse, sest niisugune edastamine toimub avaliku julgeoleku tagamiseks avaliku võimu loodud raamistikus.
46 Arvestades aga käesoleva kohtuotsuse punktides 36, 38 ja 39 esitatud kaalutlusi, ei ole see kohtupraktika ülekantav direktiivi 2002/58 artikli 1 lõike 3 tõlgendamisele. Nagu sisuliselt märkis ka kohtujurist liidetud kohtuasjades La Quadrature du Net jt (C‑511/18 ja C‑512/18, EU:C:2020:6) tehtud ettepaneku punktides 70–72, välistas direktiivi 95/46 artikli 3 lõike 2 esimene taane selle direktiivi kohaldamisalast üldiselt „töötlemise […], mis on seotud avaliku [julgeoleku], riigikaitse, riigi julgeoleku[ga]“, tegemata vahet sellel, kes andmetöötluse läbi viib. Seevastu direktiivi 2002/58 artikli 1 lõike 3 tõlgendamisel osutub selline vahetegu vajalikuks. Käesoleva kohtuotsuse punktidest 37–39 ja 42 nähtub nimelt, et selle direktiivi kohaldamisalasse kuulub igasugune isikuandmete töötlemine, mille viivad läbi elektroonilise side teenuste osutajad, sealhulgas töötlemine, mis toimub neile avaliku võimu asutuste poolt pandud ülesannete täitmiseks, samas kui viimati nimetatud töötlemine oleks olenevalt asjaoludest võinud kuuluda direktiivi 95/46 artikli 3 lõike 2 esimese taande kohaldamisalasse, võttes arvesse, et see säte oli sõnastatud laiemalt ja hõlmas olenemata töötluse läbiviijast mis tahes töötlemist, mille eesmärk on tagada avalik julgeolek, riigikaitse või riigi julgeolek.
47 Olgu lisatud, et direktiiv 95/46, mida käsitleti kohtuasjas, milles tehti 30. mai 2006. aasta kohtuotsus parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346), tunnistati alates 25. maist 2018 määruse 2016/679 artikli 94 lõikega 1 kehtetuks ja asendati selle määrusega. Olgugi et nimetatud määruse artikli 2 lõike 2 punktis d on sätestatud, et seda määrust ei kohaldata, kui isikuandmeid töötlevad „pädevad asutused“ muu hulgas süütegude tõkestamise ja avastamise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, nähtub sama määruse artikli 23 lõike 1 punktidest d ja h siiski, et kui nimetatud eesmärkidel töötlevad isikuandmeid eraõiguslikud isikud, kuulub see töötlemine nimetatud määruse kohaldamisalasse. Sellest järeldub, et direktiivi 2002/58 artikli 1 lõikele 3, artiklile 3 ja artikli 15 lõikele 1 eespool antud tõlgendus on kooskõlas sellega, kuidas on piiritletud määruse 2016/679 – mida see direktiiv täiendab ja täpsustab – kohaldamisala.
48 Seevastu juhul, kui liikmesriigid rakendavad elektroonilise side konfidentsiaalsusest kõrvale kalduvaid meetmeid otse, panemata sellise side teenuste osutajatele töötlemiskohustust, ei reguleeri asjaomaste isikuandmete kaitset mitte direktiiv 2002/58, vaid üksnes liikmesriigi õigus, kui Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), kohaldamisest ei tulene teisiti, mistõttu peavad asjasse puutuvad meetmed eelkõige järgima liikmesriigi põhiseadusliku tasandi õigusnorme ja EIÕK nõudeid.
49 Eeltoodud kaalutlusi arvestades tuleb esimesele küsimusele vastata, et direktiivi 2002/58 artikli 1 lõiget 3, artiklit 3 ja artikli 15 lõiget 1 tuleb lähtuvalt ELL artikli 4 lõikest 2 tõlgendada nii, et selle direktiivi kohaldamisalasse kuuluvad liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada julgeoleku- ja luureteenistustele liiklus- ja asukohaandmeid.
Teine küsimus
50 Teise küsimusega palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb lähtuvalt ELL artikli 4 lõikest 2 ning harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et selle sättega on vastuolus liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada üldiselt ja vahet tegemata liiklus- ja asukohaandmeid julgeoleku- ja luureteenistustele.
51 Sissejuhatuseks tuleb meelde tuletada, et eelotsusetaotluses esitatu kohaselt võimaldab 1984. aasta seaduse § 94 ministril juhul, kui tema hinnangul on seda vaja riigi julgeoleku huvides või suhetes teise riigi valitsusega, anda korraldusi, millega ta kohustab elektroonilise side teenuste osutajaid edastama julgeoleku- ja luureteenistustele sidealaseid massandmeid, mis hõlmavad liiklus- ja asukohaandmeid ning teavet kasutatud teenuste kohta RIPA § 21 lõigete 4 ja 6 tähenduses. Viimati nimetatud säte hõlmab muu hulgas andmeid, mida on vaja side lähte- ja sihtkoha tuvastamiseks, side toimumise kuupäeva, kellaaja ja kestuse ning side liigi kindlakstegemiseks, kasutatud vahendi väljaselgitamiseks ning lõppseadmete ja ühenduste lokaliseerimiseks; nende andmete hulka kuuluvad eelkõige kasutaja nimi ja aadress, helistaja telefoninumber ja valitud number, side lähte- ja sihtkoha IP‑aadress ning külastatud veebisaitide aadressid.
52 Selline andmete edastamise teel kättesaadavaks tegemine puudutab kõiki elektroonilise side vahendite kasutajaid, ilma et oleks täpsustatud, kas edastamine peab toimuma reaalajas või ajalise viitega. Eelotsusetaotluses antud selgituste kohaselt säilitavad julgeoleku- ja luureteenistused neile edastatud andmeid ning sama moodi nagu muud nende teenistuste peetavad andmebaasid jäävad ka need andmed nende teenistuste tegevuse tarbeks nende valdusesse. Täpsemalt võidakse sel viisil kogutud andmeid, mis läbivad automatiseeritud masstöötluse ja ‑analüüsi, võrrelda teiste andmebaasidega, mis sisaldavad erinevaid isikustatud massandmete liike, või avaldada nendest teenistustest väljapoole ja kolmandatele riikidele. Viimaks, nende toimingute tegemiseks ei ole vaja saada kohtu või sõltumatu haldusasutuse eelnevat luba ning puudub kohustus andmesubjekte nendest teavitada.
53 Nagu nähtub direktiivi 2002/58 põhjendustest 6 ja 7, on selle direktiivi eesmärk kaitsta elektroonilise side teenuste kasutajaid nende isikuandmeid ja eraelu puudutavate ohtude eest, mis on tingitud uuest tehnoloogiast ning eelkõige andmete automatiseeritud salvestamise ja töötlemise suurenevast mahust. Eelkõige püütakse selle direktiiviga nähtuvalt selle põhjendusest 2 tagada harta artiklites 7 ja 8 sätestatud õiguste täielik austamine. Selle kohta ilmneb seletuskirjast ettepanekule võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (KOM(2000) 385 (lõplik)), millel direktiiv 2002/58 põhineb, et liidu seadusandja soovis „teha nii, et isikuandmete ja eraelu kõrgetasemeline kaitse jätkuks kõigi elektroonilise side teenuste puhul, olenemata kasutatavast tehnoloogiast“.
54 Direktiivi 2002/58 artikli 5 lõikes 1 on sellega seoses märgitud, et „[l]iikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega“. Samas sättes on ühtlasi rõhutatud, et „[e]elkõige [keelavad liikmesriigid] nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt“, ning täpsustatud, et „[see] lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet“.
55 Seega kehtestab nimetatud artikli 5 lõige 1 nii elektroonilise side kui ka sellega seotud liiklusandmete konfidentsiaalsuse põhimõtte, ja eelkõige tähendab see peale kasutajate kõigi muude isikute suhtes üldjuhul kehtivat keeldu seda sidet ja neid andmeid ilma nimetatud kasutajate nõusolekuta salvestada. Kuna see säte on sõnastatud üldiselt, hõlmab see tingimata kõiki toiminguid, mis võimaldavad kolmandatel isikutel saada sidest ja sellega seotud andmetest teada muul kui side edastamise eesmärgil.
56 Direktiivi 2002/58 artikli 5 lõikes 1 sätestatud keeld sidet ja sellega seotud liiklusandmeid salaja pealt kuulata hõlmab seega elektroonilise side teenuste osutajate poolt liiklus- ja asukohaandmete mis tahes viisil kättesaadavaks tegemist avaliku võimu asutustele, näiteks julgeoleku- ja luureteenistustele, ning nimetatud andmete säilitamist nende asutuste poolt, olenemata sellest, kuidas neid andmeid hiljem kasutatakse.
57 Seega täpsustas liidu seadusandja selle direktiiviga õigusi, mis on kaitstud harta artiklitega 7 ja 8, mistõttu elektroonilise side vahendite kasutajatel on põhimõtteliselt õigus eeldada, et nende side ja sellega seotud andmed jäävad anonüümseks ja neid ei salvestata, kui nad ei ole selleks oma nõusolekut andnud (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punkt 109).
58 Samas võimaldab direktiivi 2002/58 artikli 15 lõige 1 liikmesriikidel teha erandeid selle direktiivi artikli 5 lõikes 1 ette nähtud põhimõttelisest kohustusest tagada isikuandmete konfidentsiaalsus ja sellele vastavatest kohustustest, mida on mainitud eelkõige selle direktiivi artiklites 6 ja 9, kui selline piiramine on demokraatlikus ühiskonnas vajalik, otstarbekas ja proportsionaalne meede selleks, et tagada riigi julgeolek, riigikaitse ja avalik julgeolek või kuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamine, uurimine, avastamine ja kohtus menetlemine. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul, kui see on mõnel nimetatud põhjusel õigustatud.
59 Samas ei saa võimalus kalduda kõrvale direktiivi 2002/58 artiklites 5, 6 ja 9 ette nähtud õigustest ja kohustustest õigustada seda, et erand põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus ja iseäranis selle direktiivi artiklis 5 sätestatud keelust neid andmeid salvestada muutuks reegliks (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 89 ja 104, ning 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punkt 111).
60 Lisaks ilmneb direktiivi 2002/58 artikli 15 lõike 1 kolmandast lausest, et liikmesriikidel on lubatud võtta selle direktiivi artiklites 5, 6 ja 9 ette nähtud õigusi ja kohustusi piiravaid seadusandlikke meetmeid ainult juhul, kui see on kooskõlas liidu õiguse üldpõhimõtetega, mille hulka kuulub proportsionaalsuse põhimõte, ja hartaga tagatud põhiõigustega. Euroopa Kohus on sellega seoses juba otsustanud, et kui liikmesriik paneb oma riigisiseste õigusnormidega elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmeid, et teha need vajaduse korral liikmesriigi pädevatele ametiasutustele kättesaadavaks, ei muuda see küsitavaks mitte ainult seda, kas seejuures järgitakse harta artikleid 7 ja 8, mis tagavad vastavalt eraelu puutumatuse kaitse ja isikuandmete kaitse, vaid ka seda, kas seejuures järgitakse harta artiklit 11, mis kaitseb sõnavabadust (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 25 ja 70, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 91 ja 92 ning seal viidatud kohtupraktika).
61 Samad küsimused tekivad ka teiste andmetöötluse liikide puhul, näiteks kui andmed edastatakse muudele isikutele kui kasutajad või andmetele antakse nende kasutamiseks juurdepääs (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 122 ja 123 ning seal viidatud kohtupraktika).
62 Seega tuleb direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisel arvesse võtta nii harta artikliga 7 tagatud õiguse eraelu puutumatusele kui ka artikliga 8 tagatud õiguse isikuandmete kaitsele tähtsust, mida on rõhutatud Euroopa Kohtu praktikas, ja samuti õiguse sõnavabadusele tähtsust, kuna see harta artikliga 11 tagatud põhiõigus on üks demokraatliku ja pluralistliku ühiskonna alustaladest ning see kuulub väärtuste hulka, millel liit ELL artikli 2 kohaselt rajaneb (vt selle kohta 6. märtsi 2001. aasta kohtuotsus Connolly vs. komisjon, C‑274/99 P, EU:C:2001:127, punkt 39, ja 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 93 ja seal viidatud kohtupraktika).
63 Samas ei ole harta artiklites 7, 8 ja 11 tunnustatud õigused siiski absoluutsed eelisõigused, vaid nende arvessevõtmisel tuleb silmas pidada nende ülesannet ühiskonnas (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 172 ja seal viidatud kohtupraktika).
64 Nimelt lubab harta artikli 52 lõige 1 nende õiguste teostamist piirata, tingimusel et piirangud on ette nähtud seaduses, arvestavad nimetatud õiguste olemust ning on proportsionaalsuse põhimõtte kohaselt vajalikud ja teenivad tegelikult liidu poolt tunnustatud üldisele huvile vastavaid eesmärke või vajadust kaitsta teiste isikute õigusi ja vabadusi.
65 Olgu lisatud, et nõue, mille kohaselt peab põhiõiguste teostamise igasugune piirang olema sätestatud seaduses, tähendab, et õiguslik alus, mis võimaldab nendesse õigustesse sekkuda, peab ise määratlema, kui ulatuslikult tohib asjaomase õiguse teostamist piirata (16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 175 ja seal viidatud kohtupraktika).
66 Mis puudutab proportsionaalsuse põhimõtte järgimist, siis direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on sätestatud, et liikmesriigid võivad võtta meetmeid, mis kalduvad kõrvale side ja sellega seotud liiklusandmete konfidentsiaalsuse põhimõttest, kui selline meede on demokraatlikus ühiskonnas „vajalik, otstarbekas ja proportsionaalne“ viidatud sättes loetletud eesmärkide seisukohalt. Direktiivi põhjenduses 11 on aga märgitud, et seda laadi meetmed peavad olema „rangelt“ proportsionaalsed kavandatud eesmärgiga.
67 Sellega seoses tuleb rõhutada, et vastavalt Euroopa Kohtu väljakujunenud praktikale on eraelu puutumatuse põhiõiguse kaitsmiseks nõutav, et isikuandmete kaitse erandid ja piirangud piirduksid sellega, mis on tingimata vajalik. Peale selle ei tohi üldisest huvist lähtuvat eesmärki taotledes jätta arvesse võtmata, et see peab olema kooskõlas põhiõigustega, mida meede puudutab, ning selleks tuleb saavutada tasakaal nimetatud eesmärgi ning asjasse puutuvate huvide ja õiguste vahel (vt selle kohta 16. detsembri 2008. aasta kohtuotsus Satakunnan Markkinapörssi ja Satamedia, C‑73/07, EU:C:2008:727, punkt 56; 9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, punktid 76, 77 ja 86; 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 52, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 140).
68 Proportsionaalsuse nõude järgimiseks peavad õigusaktis olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, millest tulenevalt on isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta. See õigusakt peab olema riigisiseses õiguses õiguslikult siduv ja eeskätt peab selles olema märgitud, millistel asjaoludel ja tingimustel võib selliste andmete töötlemist ette nägeva meetme võtta, tagades seeläbi, et riive piirdub sellega, mis on tingimata vajalik. Niisuguste tagatiste olemasolu on veel vajalikum siis, kui isikuandmeid töödeldakse automatiseeritult ja kui esineb suur oht, et neile andmetele pääsetakse juurde ebaseaduslikult. Need kaalutlused kehtivad iseäranis juhul, kui tegemist on sellist erilist liiki isikuandmete kaitsega nagu tundlikud andmed (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 54 ja 55; 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punkt 117, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 141).
69 Seoses küsimusega, kas sellised liikmesriigi õigusnormid, nagu on kõne all põhikohtuasjas, vastavad nõuetele, mis tulenevad direktiivi 2002/58 artikli 15 lõikest 1, tõlgendatuna harta artiklite 7, 8 ja 11 ning artikli 52 lõike 1 alusel, tuleb märkida, et liiklus- ja asukohaandmete edastamine muudele isikutele kui kasutajatele endile, näiteks julgeoleku- ja luureteenistustele, kaldub kõrvale konfidentsiaalsuse põhimõttest. Kui selline toiming tehakse nii nagu käesoleva juhtumi puhul üldiselt ja vahet tegemata, toob see kaasa tagajärje, et kõrvalekaldumine põhimõttelisest kohustusest tagada andmete konfidentsiaalsus muutub reegliks, samas kui direktiiviga 2002/58 kehtestatud süsteem nõuab, et selline kõrvalekaldumine jääks erandiks.
70 Peale selle on Euroopa Kohtu väljakujunenud praktikas selgitatud, et liiklus- ja asukohaandmete edastamine kolmandale isikule kujutab endast harta artiklitega 7 ja 8 tagatud põhiõiguste riivet, olenemata sellest, kuidas neid andmeid hiljem kasutatakse. Seejuures ei ole oluline, kas asjasse puutuvad eraelulised andmed on tundlikud või mitte või kas andmesubjektid on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 124 ja 126 ning seal viidatud kohtupraktika, ja 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punktid 115 ja 116).
71 Harta artikliga 7 kaitstud õiguse riivet, mille toob kaasa liiklus- ja asukohaandmete edastamine julgeoleku- ja luureteenistustele, tuleb pidada eriti raskeks, võttes arvesse, et need andmed võivad anda tundlikku teavet ja sealhulgas võib nende põhjal olla võimalik koostada andmesubjektide profiil, mistõttu on selline teave sama tundlik kui side sisu. Peale selle võib see tekitada andmesubjektides tunde, et nende eraelu on pideva jälgimise all (vt analoogia alusel 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 27 ja 37, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punktid 99 ja 100).
72 Tuleb veel lisada, et liiklus- ja asukohaandmete julgeoleku kaalutlustel avaliku võimu asutustele edastamine võib juba iseenesest riivata õigust edastatavate sõnumite saladusele, mis on tagatud harta artikliga 7, ja mõjuda pärssivalt sellele, kuidas kasutajad kasutavad elektroonilise side vahendeid harta artikliga 11 tagatud sõnavabaduse väljendamiseks. Selline pärssiv mõju võib eelkõige avalduda isikute suhtes, kelle sõnumid kuuluvad liikmesriigi õigusnormide kohaselt ametisaladuse alla, ning rikkumisest teatajate suhtes, kelle tegevus on kaitstud Euroopa Parlamendi ja nõukogu 23. oktoobri 2019. aasta direktiiviga (EL) 2019/1937 liidu õiguse rikkumisest teavitavate isikute kaitse kohta (ELT 2019, L 305, lk 17). Selline mõju on seda suurem, kuna säilitatavate andmete hulk on suur ja andmed väga erinevat liiki (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 28; 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 101, ning 6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punkt 118).
73 Viimaks, võttes arvesse, kui suurt kogust liiklus- ja sideandmeid võidakse üldise säilitamismeetme tõttu pidevalt säilitada, ning nendest andmetest saada võidavat tundlikku teavet, tähendab juba ainuüksi see, et elektroonilise side teenuste osutajad neid andmeid säilitavad, kuritarvitamise ja õigusvastase juurdepääsu ohtu.
74 Seoses eesmärkidega, mis võivad selliseid riiveid õigustada, ja täpsemalt seoses põhikohtuasjas kõne all oleva eesmärgiga kaitsta riigi julgeolekut tuleb kõigepealt märkida, et ELL artikli 4 lõikes 2 on sätestatud, et riigi julgeolek jääb iga liikmesriigi ainuvastutusse. See vastutus vastab esmatähtsale huvile kaitsta riigi põhifunktsioone ja ühiskonna põhihuve ning hõlmab selliste tegevuste – nagu terrorism – ennetamist ja mahasurumist, mis võivad tõsiselt destabiliseerida riigi põhilisi põhiseaduslikke, poliitilisi, majanduslikke või sotsiaalseid struktuure, eriti juhul, kui need kujutavad endast otsest ohtu ühiskonnale, elanikkonnale või riigile kui sellisele (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punkt 135).
75 Eesmärk kaitsta riigi julgeolekut, nii nagu seda tuleb mõista ELL artikli 4 lõike 2 alusel, on aga tähtsam kui direktiivi 2002/58 artikli 15 lõikes 1 nimetatud teised eesmärgid, sealhulgas eesmärk võidelda üldiselt kuritegevuse ja ka raske kuritegevusega ning eesmärk kaitsta avalikku julgeolekut. Sellised ohud nagu need, mida on nimetatud eelmises punktis, on oma laadi ja erilise tõsiduse tõttu teistsugused kui üldine avalikku julgeolekut kahjustada võivate – sh raskete – pingete või häirete tekkimise oht. Eesmärk kaitsta riigi julgeolekut võib seega eeldusel, et järgitakse muid harta artikli 52 lõikest 1 tulenevaid nõudeid, põhjendada meetmeid, mis toovad kaasa raskemaid põhiõiguste riiveid kui need, mida oleks võimalik põhjendada nende teiste eesmärkidega (6. oktoobri 2020. aasta kohtuotsus La Quadrature du Net jt, C‑511/18, C‑512/18 ja C‑520/18, punkt 136).
76 Sellele vaatamata peab liikmesriigi õigusnorm, mis toob kaasa harta artiklitega 7 ja 8 kaitstud põhiõiguste riive, järgima käesoleva kohtuotsuse punktides 65, 67 ja 68 viidatud kohtupraktikast tulenevaid nõudeid, selleks et see vastaks käesoleva kohtuotsuse punktis 67 käsitletud proportsionaalsuse nõudele, mille kohaselt peavad isikuandmete kaitse erandid ja piirangud piirduma sellega, mis on tingimata vajalik.
77 Täpsemalt ei või õigusnormid, mis käsitlevad ametiasutuse juurdepääsu isikuandmetele, piirduda üksnes nõudega, et ametiasutuste juurdepääs nendele andmetele peab vastama selle õigusaktiga taotletavale eesmärgile, vaid nendes peavad olema ette nähtud ka andmete kasutamist reguleerivad materiaal- ja menetlusõiguslikud tingimused (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 192 ja seal viidatud kohtupraktika).
78 Seega, kuna üldist juurdepääsu kõigile säilitatavatele andmetele ei saa – kuivõrd puudub igasugune, isegi kaudne seos taotletava eesmärgiga – lugeda piirduvaks tingimata vajalikuga, peavad juurdepääsu liiklus- ja asukohaandmetele reguleerivad liikmesriigi õigusnormid lähtuma objektiivsetest kriteeriumidest, et määratleda asjaolud ja tingimused, mille esinemise korral tuleb riigi pädevatele ametiasutustele anda juurdepääs kõnealustele andmetele (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 119 ja seal viidatud kohtupraktika).
79 Need nõuded kehtivad veelgi enam sellise seadusandliku meetme suhtes, mis on kõne all põhikohtuasjas ja mis võimaldab liikmesriigi pädeval asutusel panna elektroonilise side teenuste osutajatele kohustuse edastada julgeoleku- ja luureteenistustele üldiselt ja vahet tegemata liiklus- ja asukohaandmeid. Niisuguse edastamise tulemusel saavad need andmed nimelt avaliku võimu asutustele kättesaadavaks (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi‑Kanada broneeringuinfo leping), EU:C:2017:592, punkt 212).
80 Kuna liiklus- ja asukohaandmete edastamine toimub üldiselt ja vahet tegemata, puudutab see üldiselt kõiki isikuid, kes kasutavad elektroonilise side teenuseid. Järelikult on see kohaldatav ka isikutele, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel võib olla kas või kaudne või kauge seos eesmärgiga kaitsta riigi julgeolekut, ja täpsemalt ilma, et oleks tõendatud seos andmete, mis tuleb edastada, ja riigi julgeolekut ähvardava ohu vahel (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights Ireland jt, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 57 ja 58; ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punkt 105). Arvestades asjaolu, et selliste andmete edastamine avaliku võimu asutustele võrdub käesoleva kohtuotsuse punktis 79 tuvastatu kohaselt juurdepääsu andmisega, tuleb asuda seisukohale, et õigusnormid, mis võimaldavad andmeid üldiselt ja vahet tegemata avaliku võimu asutustele edastada, tähendavad üldise juurdepääsu andmist.
81 Sellest tuleneb, et liikmesriigi õigusnormid, mis panevad elektroonilise side teenuste osutajatele kohustuse teha julgeoleku- ja luureteenistustele üldise ja vahet tegemata edastamise teel kättesaadavaks liiklus- ja asukohaandmeid, väljuvad selle piiridest, mis on tingimata vajalik, ja neid ei saa pidada demokraatlikus ühiskonnas põhjendatuks, nagu nõuab direktiivi 2002/58 artikli 15 lõige 1, tõlgendatuna ELL artikli 4 lõike 2 ning harta artiklite 7, 8 ja 11 ning artikli 52 lõike 1 alusel.
82 Kõiki eeltoodud kaalutlusi arvestades tuleb teisele küsimusele vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb lähtuvalt ELL artikli 4 lõikest 2 ning harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et selle sättega on vastuolus liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada üldiselt ja vahet tegemata liiklus- ja asukohaandmeid julgeoleku- ja luureteenistustele.
Kohtukulud
83 Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtus pooleli oleva asja üks staadium, otsustab kohtukulude jaotuse liikmesriigi kohus. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.
Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:
1. Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ), artikli 1 lõiget 3, artiklit 3 ja artikli 15 lõiget 1 tuleb lähtuvalt ELL artikli 4 lõikest 2 tõlgendada nii, et selle direktiivi kohaldamisalasse kuuluvad liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada julgeoleku- ja luureteenistustele liiklus- ja asukohaandmeid.
2. Direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 15 lõiget 1 tuleb lähtuvalt ELL artikli 4 lõikest 2 ning Euroopa põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et selle sättega on vastuolus liikmesriigi õigusnormid, mis võimaldavad riigivõimu kandjal panna elektroonilise side teenuste osutajatele riigi julgeoleku kaitsmise eesmärgil kohustuse edastada üldiselt ja vahet tegemata liiklus- ja asukohaandmeid julgeoleku- ja luureteenistustele.
Allkirjad