MANUEL CAMPOS SÁNCHEZ‑BORDONA
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2020. január 15.(1)
C‑511/18. és C‑512/18. sz. egyesített ügyek
La Quadrature du Net,
French Data Network,
Fédération des fournisseurs d’accès à Internet associatifs,
Igwan.net (C‑511/18)
kontra
Premier ministre,
Garde des Sceaux, ministre de la Justice,
Ministre de l’Intérieur,
Ministre des Armées
(a Conseil d’État [államtanács, Franciaország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – A személyes adatok kezelése és a magánélet védelme az elektronikus hírközlési ágazatban – A nemzetbiztonság védelme és a terrorizmus elleni küzdelem – 2002/58/EK irányelv – Hatály – Az 1. cikk (3) bekezdése – A 15. cikk (3) bekezdése – Az EUSZ 4. cikk (2) bekezdése – Az Európai Unió Alapjogi Chartája – A 6., 7., 8., 11., 47. cikk, valamint az 52. cikk (1) bekezdése – A csatlakozási adatok, és azon adatok általános és különbségtétel nélküli megőrzése, amelyek lehetővé teszik a tartalmakat létrehozó személyek azonosítását – A forgalmi és helymeghatározó adatok gyűjtése – Az adatokhoz való hozzáférés”
1. A Bíróság az utóbbi években a személyes adatok megőrzésével és az ezen adatokhoz való hozzáféréssel kapcsolatos ítélkezési gyakorlatában olyan állandó irányvonalat követett, amelynek legfontosabb mérföldkövei a következők:
– A 2014. április 8‑i Digital Rights Ireland és társai ítélet,(2) amelyben megállapította a 2006/24/EK irányelv(3) érvénytelenségét, mert az az Európai Unió Alapjogi Chartájának 7. és 8. cikke által elismert jogokba való aránytalan beavatkozást tett lehetővé.
– A 2016. december 21‑i Tele2 Sverige és Watson és társai ítélet,(4) amelyben a Bíróság a 2002/58/EK irányelv(5) 15. cikkének (1) bekezdését értelmezte.
– A 2018. október 2‑i Ministerio Fiscal ítélet,(6) amelyben a Bíróság megerősítette a 2002/58 irányelv ugyanezen rendelkezésének értelmezését.
2. Ezen ítéletek (különösen a második) aggodalmat keltenek néhány tagállam hatóságaiban, mivel véleményük szerint az ítéletek következtében megfosztják őket egy olyan eszköztől, amelyet szükségesnek tartanak a nemzetbiztonság védelme és a bűnözés, illetve a terrorizmus elleni küzdelem céljából. Ezért e tagállamok közül néhány a hivatkozott ítélkezési gyakorlat visszavonását vagy pontosítását támogatja.
3. Bizonyos tagállami bíróságok ugyanezt az aggodalmat hangsúlyozták négy előzetes döntéshozatal iránti kérelemben,(7) amelyekre az indítványaim – a jelen indítvánnyal együtt – vonatkoznak.
4. A négy ügy elsősorban a 2002/58 irányelvnek a nemzetbiztonsággal és a terrorizmus elleni küzdelemmel kapcsolatos tevékenységekre történő alkalmazásának kérdésével foglalkozik. Ha a hivatkozott irányelv ebben a kontextusban irányadó, ezt követően azt kell tisztázni, hogy a tagállamok milyen mértékben korlátozhatják az irányelv által védett magánélethez való jogot. Végül azt kell megvizsgálni, hogy az e tárgykörre vonatkozó különböző nemzeti (a brit,(8) a belga(9) és a francia(10)) szabályozások mennyiben felelnek meg az uniós jognak, ahogyan ezt a jogot a Bíróság értelmezi.
I. Jogi háttér
A. Az uniós jog
1. A 2002/58 irányelv
5. Az 1. cikk („Hatály és cél”):
„(1) Ez az irányelv előírja azon nemzeti rendelkezések összehangolását, amelyekre azért van szükség, hogy biztosítsák az elektronikus hírközlési ágazatban a személyes adatok kezelése vonatkozásában az alapvető jogok és szabadságok védelmének egyenértékű szintjét – különös tekintettel a magánélethez és a bizalmas adatkezeléshez való jogra –, valamint biztosítsák az ilyen adatoknak, az elektronikus hírközlő berendezéseknek és az elektronikus hírközlési szolgáltatásoknak a Közösségen belüli szabad mozgását.
[…]
(3) Ez az irányelv nem alkalmazható azokra a tevékenységekre, amelyek nem tartoznak az Európai Közösséget létrehozó szerződés hatálya alá, – így az Európai Unióról szóló szerződés V. és VI. címe alá tartozó tevékenységekre –, valamint nem alkalmazható a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységekre, valamint a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre.”
6. A 3. cikk („Az érintett szolgáltatások”) megállapítja:
„Ezt az irányelvet a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”
7. Az 5. cikk (1) bekezdése („A közlések titkossága”) szerint:
„A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.”
8. A 6. cikk („Forgalmi adatok”) előírja:
„(1) E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.
(2) Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.”
9. A 15. cikk („A 95/46/EK irányelv[(11)] egyes rendelkezéseinek alkalmazása”) (1) bekezdése megállapítja:
„A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a 95/46/EK irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a közösségi jog általános elveivel, beleértve az Európai Unióról szóló szerződés 6. cikkének (1) és (2) bekezdésében említetteket.”
2. A 2000/31/EK irányelv(12)
10. A 14. cikk előírja:
„(1) Ha az információs társadalommal összefüggő olyan szolgáltatásról van szó, amely a szolgáltatás igénybe vevője által küldött információ tárolásából áll, a tagállamok biztosítják, hogy a szolgáltatót ne terhelje felelősség a szolgáltatás igénybe vevőjének kérésére tárolt információért, azzal a feltétellel, hogy:
[…]
(3) Ez a cikk nem érinti a bíróságok vagy közigazgatási hatóságok arra vonatkozó lehetőségét, hogy a tagállamok jogrendszereivel összhangban a szolgáltatót a jogsértés megszüntetésére vagy megelőzésére kötelezzék, nem érinti továbbá a tagállamoknak azt a lehetőségét sem, hogy eljárásokat alakítsanak ki az információ eltávolításának vagy a hozzáférés megszüntetésének szabályozására.”
11. A 15. cikk szerint:
„(1) A tagállamok nem állapítanak meg a szolgáltatókat terhelő olyan általános kötelezettséget, amely szerint a 12., 13. és 14. cikk hatálya alá tartozó szolgáltatások nyújtása során az általuk továbbított vagy tárolt információkat nyomon kellene követniük, sem olyan általános kötelezettséget, amely szerint jogellenes tevékenységre utaló tényeket vagy körülményeket kellene kivizsgálniuk.
(2) A tagállamok az információs társadalommal összefüggő szolgáltatások nyújtói számára megállapíthatnak olyan kötelezettségeket, amelyek szerint azonnal tájékoztatniuk kell az illetékes közigazgatási hatóságokat a szolgáltatásuk igénybe vevői által folytatott, jogellenesnek vélt tevékenységekről vagy nyújtott információkról, illetve olyan kötelezettségeket, amelyek szerint az illetékes hatóságokkal, azok kérésére, közölniük kell azokat az adatokat, amelyek lehetővé teszik szolgáltatásuk olyan igénybe vevőinek azonosítását, akikkel, illetve amelyekkel adattárolási megállapodásaik vannak.”
3. Az (EU) 2016/679 rendelet(13)
12. A 2. cikk („Tárgyi hatály”) értelmében:
„(1) E rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:
a) az uniós jog hatályán kívül eső tevékenységek során végzik;
b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;
c) természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;
d) az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését.
[…]”
13. A 23. cikk („Korlátozások”) (1) bekezdésének értelmében
„Az adatkezelőre vagy adatfeldolgozóra alkalmazandó uniós vagy tagállami jog jogalkotási intézkedésekkel korlátozhatja a 12–22. cikkben és a 34. cikkben foglalt, valamint a 12–22. cikkben meghatározott jogokkal és kötelezettségekkel összhangban lévő rendelkezései tekintetében az 5. cikkben foglalt jogok és kötelezettségek hatályát, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát, valamint az alábbiak védelméhez szükséges és arányos intézkedés egy demokratikus társadalomban:
a) nemzetbiztonság;
b) honvédelem;
c) közbiztonság;
d) bűncselekmények megelőzése, nyomozása, felderítése vagy a vádeljárás lefolytatása, illetve büntetőjogi szankciók végrehajtása, beleértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését;
e) az Unió vagy valamely tagállam egyéb fontos, általános közérdekű célkitűzései, különösen az Unió vagy valamely tagállam fontos gazdasági vagy pénzügyi érdeke, beleértve a monetáris, a költségvetési és az adózási kérdéseket, a népegészségügyet és a szociális biztonságot;
f) a bírói függetlenség és a bírósági eljárások védelme;
g) a szabályozott foglalkozások esetében az etikai vétségek megelőzése, kivizsgálása, felderítése és az ezekkel kapcsolatos eljárások lefolytatása;
h) ellenőrzési, felügyeleti vagy szabályozási tevékenység, amely az a) és b) pontban említett esetekben – akár alkalmilag – hatósági feladatok ellátásához kapcsolódik.
i) az érintett védelme, vagy mások jogainak és szabadságainak védelme;
j) polgári jogi követelések érvényesítése.”
14. A 95. cikk („Kapcsolat a 2002/58/EK irányelvvel”) így szól:
„E rendelet nem ró további kötelezettségeket a természetes vagy jogi személyekre az Unión belüli nyilvános hírközlési hálózatokon keresztül történő nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében azon kérdésekkel kapcsolatban, amelyek vonatkozásában ők a 2002/58/EK irányelvben megállapított, azonos célkitűzésekkel bíró különös kötelezettségek hatálya alá tartoznak.”
B. A nemzeti jog
1. Code de la sécurité intérieure (a belbiztonságról szóló törvénykönyv)
15. Az L. 851‑1. cikk alapján:
„A jelen könyv II. címének I. fejezetében előírt feltételek mellett az elektronikus hírközlési szolgáltatók, valamint a code des postes et des communications électroniques (a postáról és az elektronikus hírközlésről szóló törvénykönyv) L. 34‑1. cikkében említett személyek, valamint a confiance dans l’économie numérique (a digitális gazdaságba vetett bizalomról szóló […] 2004‑575. sz. törvény) 6. cikke I. részének 1. és 2. pontjában említett személyek esetében engedélyezhető a hálózatuk vagy az elektronikus hírközlési szolgáltatók által kezelt vagy megőrzött adatok gyűjtése, beleértve azokat a műszaki adatokat, amelyek az elektronikus hírközlési szolgáltatóknál történő előfizetések vagy csatlakozások számának azonosítására, valamely kijelölt személy valamennyi előfizetési vagy csatlakozási számának gyűjtésére, a felhasznált végberendezések helymeghatározására, továbbá valamely előfizető hívott és fogadott számainak jegyzékével, a közlések időtartamával és időpontjával kapcsolatos közlésekre vonatkoznak […].”
16. Az L. 851‑2. és L. 851‑4. cikke – különböző célok érdekében és eltérő módon – szabályozza az így megőrzött csatlakozási adatokhoz történő, valós idejű adminisztratív hozzáférést.
17. Az L. 851‑2. cikk kizárólag a terrorizmus megelőzése céljából felhatalmazást biztosít az L. 851‑1. cikkben előírt információknak vagy dokumentumoknak ugyanezen személyeknél történő gyűjtésére. Ezen adatgyűjtés, amely csak egy vagy több olyan egyént érint, akiket korábban valamilyen terrorfenyegetéssel kapcsolatba hozható személyként azonosítottak, valós időben zajlik. Ugyanez a helyzet az L. 851‑4. cikk esetében, amely feljogosítja a szolgáltatókat, hogy kizárólag a végberendezések helymeghatározására vonatkozó műszaki adatokat valós időben továbbítsák.(14)
18. Az L. 851‑3. cikke lehetővé teszi az elektronikus hírközlési szolgáltatók és a technikai szolgáltatók számára annak előírását, hogy „a hálózatukon a valamely terrorfenyegetés felfedésére alkalmas csatlakozásoknak az engedélyben pontosan meghatározott szempontok szerint történő kiszűrésére irányuló gépi adatfeldolgozásokat végezzenek”.(15)
19. Az L. 851‑5. cikk kifejezetten úgy rendelkezik, hogy meghatározott feltételek mellett „engedélyezhető olyan műszaki eszköz használata, amely lehetővé teszi valamely személy, gépjármű vagy tárgy valós időben történő helymeghatározását”.
20. Az L. 851‑6. cikk I. bekezdése értelmében, bizonyos feltételek mellett, „a code pénal [büntetőtörvénykönyv] 226–3. cikkének (1) bekezdésében szereplő műszaki készülék vagy eszköz segítségével közvetlenül […] gyűjthetők azok a csatlakozási műszaki adatok, amelyek lehetővé teszik valamely végberendezés vagy felhasználója előfizetési számának, valamint a felhasznált végberendezések helymeghatározására vonatkozó adatok azonosítását”.
2. A postáról és az elektronikus hírközlésről szóló törvénykönyv
21. Az L. 34‑1. cikknek a tényállásra alkalmazandó változata értelmében:
„I. Ez a cikk az elektronikus hírközlési szolgáltatások nyilvánosság számára történő nyújtása keretében a személyes adatok kezelésére, többek között az adatgyűjtésre és az adatok azonosítására szolgáló eszközöket biztosító hálózatokra alkalmazandó.
II. Az elektronikus hírközlési szolgáltatók, valamint különösen a nyilvánosság számára a hírközlési szolgáltatásokhoz online hozzáférést biztosító tevékenységet végző személyek – a III., IV., V. és VI. bekezdés rendelkezéseire figyelemmel – valamennyi forgalmi adatot törölnek vagy anonimizálnak.
A nyilvánosság számára elektronikus hírközlési szolgáltatásokat nyújtó személyek az előző albekezdés rendelkezéseinek betartása mellett meghatározzák az illetékes hatóságok kérelmére való válaszadást lehetővé tevő belső eljárásokat.
Azok a személyek, akik fő vagy kiegészítő szakmai tevékenységként hálózati hozzáférés útján online hírközlést lehetővé tevő csatlakozást biztosítanak – beleértve, amikor arra díjmentesen kerül sor – a nyilvánosság számára, kötelesek betartani az elektronikus hírközlési szolgáltatókra e cikk értelmében alkalmazandó rendelkezéseket.
III. A bűncselekmények vagy a code de la propriété intellectuelle [a szellemi tulajdonról szóló törvénykönyv] L.336‑3. cikkében meghatározott kötelezettség megsértésének vagy mulasztásnak a kivizsgálása, megállapítása és üldözése érdekében, illetve az automatizált adatkezelési rendszerek elleni, a büntető törvénykönyv 323‑1–323‑3‑1. cikkében előírt és büntetendővé tett jogsértések megelőzése érdekében, valamint szükség esetén kizárólag a bíróság, a szellemi tulajdonról szóló törvénykönyv L.331‑12. cikkében említett magas szintű hatóság vagy a code de la défense [a honvédelemről szóló törvénykönyv] L.2321‑1. cikkében említett, az információs rendszerek biztonságáért felelős nemzeti hatóság rendelkezésére bocsátásának lehetővé tétele érdekében egyes technikai adatkategóriák törlésére vagy anonimizálására irányuló műveletek legfeljebb egy évvel elhalaszthatók. A Conseil d’État [államtanács] által a Commission nationale de l’informatique et des libertés [az informatika és a szabadságjogok nemzeti bizottsága] véleményének kikérését követően hozott rendelete a VI. bekezdésben foglalt korlátozások mellett meghatározza ezeket az adatkategóriákat és a megőrzésük időtartamát – a gazdasági szereplők tevékenysége és a hírközlés jellege szerint –, valamint adott esetben az állam kérésére a gazdasági szereplők által ilyen jogcímen nyújtott szolgáltatások azonosítható és különleges többletköltségei ellentételezésének feltételeit.”
[…]
VI. A III., IV. és V. bekezdésben meghatározott feltételek szerint megőrzött és kezelt adatok kizárólag a gazdasági szereplők által nyújtott szolgáltatások felhasználóinak azonosítására, az említett szolgáltatók által végzett hírközlések műszaki jellemzőire és a végberendezések helymeghatározására vonatkoznak.
Semmiképpen sem vonatkozhatnak az említett hírközlések keretében bármilyen módon történő levelezések tartalmára vagy lehívott információkra.
Az adatok megőrzését és kezelését az informatikáról, az iratokról és a szabadságjogokról szóló, 1978. január 6‑i 78‑17. sz. törvény rendelkezéseire figyelemmel kell végezni.
A szolgáltatók az adatok e cikkben előírtaktól eltérő célú felhasználásának megakadályozásához szükséges valamennyi intézkedést megtesznek.
22. Az R. 10‑13. cikk I. bekezdése értelmében a szolgáltatók kötelesek az alábbi adatokat megőrizni a bűncselekmények nyomozása, megállapítása és üldözése céljából:
„a) A felhasználó azonosítására alkalmas információk;
b) A felhasznált hírközlési végberendezésekre vonatkozó adatok;
c) A műszaki jellemzők, valamint az egyes közlések dátuma, időpontja és időtartama;
d) A kért vagy felhasznált kiegészítő szolgáltatásokra és a szolgáltatóikra vonatkozó adatok;
e) A kommunikáció címzettjének vagy címzettjeinek azonosítását lehetővé tevő adatokat.”
23. Ugyanezen rendelkezés II. bekezdése alapján, a telefonos szolgáltatások esetén, a szolgáltatónak egyébként meg kell őriznie azokat az adatokat, amelyek lehetővé teszik a közlés kiindulópontjának és helymeghatározásának azonosítását.
24. Ugyanezen cikk III. bekezdése alapján az említett adatokat a nyilvántartásba vételüktől számított egy évig meg kell őrizni.
3. Loi du 21 juin 2004 pour la confiance dans l’économie numérique (A digitális gazdaságba vetett bizalomról szóló 2004. június 21‑i törvény)
25. A 2004-575. sz. törvény 6. cikke II. bekezdésének első albekezdése arról rendelkezik, hogy a nyilvánosság számára a hírközlési szolgáltatásokhoz való online hozzáférést biztosító személyek, valamint az ezen szolgáltatások igénybevevői által továbbított bármilyen jellegű jel, írás, kép, hang vagy üzenet tárolását a nyilvánosság rendelkezésére bocsátás céljából – akár díjmentesen – a nyilvánosság számára online hírközlési szolgáltatások útján biztosító természetes vagy jogi személyek „oly módon birtokolják és őrzik meg az adatokat, hogy azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy egyik tartalmának a létrehozásához”.
26. Ugyanezen cikk II. bekezdésének harmadik albekezdése megállapítja, hogy a bíróság kérheti ezektől a személyektől az első albekezdésben említett adatok közlését.
27. A II. bekezdés utolsó albekezdése szerint a Conseil d’État (államtanács) rendelete „határozza meg az első albekezdésben említett adatokat, valamint a megőrzésük időtartamát és feltételeit”.(16)
II. A tényállás és az előzetes döntéshozatalra előterjesztett kérdések
A. C‑511/18. sz. ügy
28. A Quadrature du Net, a French Data Network, Igwan.net és a Fédération des fournisseurs d’accès à internet associatifs (a továbbiakban: felperesek) keresetet nyújtottak be a Conseil d’État‑hoz (államtanács) a belbiztonságról szóló törvénykönyv egyes rendelkezéseinek végrehajtásáról szóló több rendelet megsemmisítése érdekében.(17)
29. A felperesek lényegében azt állították, hogy a megtámadott rendeletek és a belbiztonságról szóló törvénykönyv említett rendelkezései egyaránt ellentétesek a magánélet tiszteletben tartásához, a személyes adatok védelméhez és a hatékony jogorvoslathoz való joggal, amelyet a Charta 7., 8. és 47. cikke biztosít.
30. Ilyen körülmények alapján, a Conseil d’État (államtanács, Franciaország) az alábbi kérdéseket terjesztette a Bíróság elé:
„1) A 2002/58 irányelv 15. cikke (1) bekezdésének megengedő rendelkezései alapján a szolgáltatókra előírt általános és különbségtétel nélküli megőrzési kötelezettséget a nemzetbiztonságra súlyos és tartós fenyegetést, különösen terrorveszélyt jelentő összefüggésben nem kell‑e úgy tekinteni, mint a […] Charta 6. cikkében biztosított biztonsághoz való jog és a nemzetbiztonsági követelmények – amelynek felelőssége az [EUSZ] 4. cikk alapján kizárólag a tagállamokra hárul – által igazolt beavatkozást?
2) A 2002/58 irányelvet a […] Chartával összefüggésben úgy kell‑e értelmezni, hogy az felhatalmazást biztosít olyan jogalkotási intézkedésekre, mint a forgalmi adatok és a meghatározott egyének helymeghatározására vonatkozó adatok valós időben történő gyűjtésével kapcsolatos intézkedések, amelyek bár érintik az elektronikus hírközlési szolgáltatók jogait és kötelezettségeit, nem írnak elő velük szemben az adataik megőrzésére vonatkozó különös kötelezettséget?
3) A 2002/58 irányelvet a […] Chartával összefüggésben úgy kell‑e értelmezni, hogy az minden esetben alárendeli a csatlakozási adatok gyűjtésére vonatkozó eljárás szabályszerűségét az érintett személyek tájékoztatására vonatkozó követelménynek, ha egy ilyen tájékoztatás már nem veszélyezteti az illetékes hatóságok által végzett nyomozást, vagy az ilyen eljárások tekinthetők‑e szabályszerűnek, figyelemmel a meglévő egyéb eljárási garanciákra, amennyiben ez utóbbiak biztosítják a jogorvoslathoz való jog hatékonyságát?”
B. A C‑512/18. sz. ügy
31. A C‑511/18. sz. ügy alapját képező jogvita felperesei – az Igwan.net kivételével – azt is kérték a Conseil d’État‑tól (államtanács), hogy helyezze hatályon kívül a code des postes et des communications électroniques (a postáról és az elektronikus hírközlésről szóló törvénykönyv) R.10‑13. cikkének, valamint a 2011. február 25‑i 2011‑219. sz. rendeletnek megsemmisítése iránti kérelmükre vonatkozó (a közigazgatási szerv hallgatásából eredő) elutasító határozatot.
32. A felperesek véleménye szerint a vitatott szabályok a forgalmi, helymeghatározó és csatlakozási adatok megőrzésére vonatkozó kötelezettséget írnak elő, amely általános jellege miatt a Charta 7., 8. és 11. cikke által védett, a magán‑ és családi élet tiszteletben tartásához, a személyes adatok védelméhez való jog, valamint a véleménynyilvánítás szabadsága aránytalan sérelmének minősül, a 2002/58 irányelv 15. cikke (1) bekezdésének megsértésével együtt.
33. Az említett kereset alapján indult ügyben a Conseil d’État (államtanács, Franciaország) előzetes döntéshozatal céljából az alábbi kérdéseket terjesztette elő:
„1) A 2002/58 irányelv 15. cikke (1) bekezdésének megengedő rendelkezései alapján a szolgáltatókra előírt általános és különbségtétel nélküli megőrzési kötelezettséget nem kell‑e úgy tekinteni – különösen azokra a garanciákra és felülvizsgálatokra tekintettel, amelyek ezután e csatlakozási adatok gyűjtéséhez és felhasználásához kapcsolódnak –, mint a [Charta] 6. cikkében biztosított biztonsághoz való jog és a nemzetbiztonsági követelmények – amelynek felelőssége az [EUSZ] 4. cikk alapján kizárólag a tagállamokra hárul – által igazolt beavatkozást?
2) A 2000/31 irányelvnek a […] Charta 6., 7., 8. és 11. cikke, valamint 52. cikkének (1) bekezdése tükrében értelmezett rendelkezéseit úgy kell‑e értelmezni, hogy azok lehetővé teszik az állam számára olyan nemzeti szabályozás bevezetését, amely a nyilvánosság számára a hírközlési szolgáltatásokhoz való online hozzáférést biztosító személyek, valamint az ezen szolgáltatások igénybevevői által továbbított bármilyen jellegű jel, írás, kép, hang vagy üzenet tárolását a nyilvánosság rendelkezésére bocsátás céljából – akár díjmentesen – a nyilvánosság számára online hírközlési szolgáltatások útján biztosító természetes vagy jogi személyek számára előírja, hogy oly módon őrizzék meg az adatokat, hogy azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy egyik tartalmának a létrehozásához, mégpedig azért, hogy a bíróság adott esetben, a polgári jogi vagy büntetőjogi felelősségre vonatkozó szabályok betartásának biztosítása érdekében az adatok közlését kérhesse tőlük?”
III. A Bíróság előtti eljárás és a felek álláspontjai
34. Az előzetes döntéshozatal iránti kérelmek 2018. augusztus 3‑án érkeztek a Bírósághoz.
35. A Quadrature du Net, a Fédération des fournisseurs d’accès à Internet associatifs, a French Data Network, a német, a belga, a brit, a cseh, a dán, a spanyol, az észt, a francia, a magyar, az ír és a svéd kormány, valamint a Bizottság nyújtott be írásbeli észrevételeket.
36. A 2019. szeptember 9‑én tartott tárgyaláson az ügyet a Privacy International üggyel (C‑623/17) és az Ordre des barreaux francophones et germanophone és társai üggyel (C‑520/18) együtt tárgyalták, amely tárgyaláson részt vettek a négy előzetes döntéshozatal iránti kérelem alapeljárásainak felei, az előbbiekben felsoroltakon kívül a holland és a norvég kormány, valamint a Bizottság és az európai adatvédelmi biztos.
IV. Elemzés
37. A Conseil d’État (államtanács) kérdései három csoportba sorolhatók:
– Elsősorban, összeegyeztethető‑e az uniós joggal az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatók számára előírja, hogy általánosan és különbségtétel nélkül kötelesek megőrizni a csatlakozási adatokat (a C‑511/18. és a C‑512/18. sz. ügy első kérdése), és különösen azon adatokat, amelyek lehetővé teszik az említett szolgáltatók által közzétett tartalmakat létrehozó személyek azonosítását (a C‑512/18. sz. ügy második kérdése).
– Másodsorban, a csatlakozási adatok gyűjtésére vonatkozó eljárások szabályszerűsége minden esetben az érintett személyek tájékoztatására vonatkozó kötelezettségtől függ‑e, ha azok nem veszélyeztetik a nyomozást (a C‑511/18. sz. ügy harmadik kérdése).
– Harmadsorban, a forgalmi és a helymeghatározó adatok valós időben történő gyűjtése, az azok megőrzésére vonatkozó kötelezettség nélkül, összeegyeztethető‑e – és milyen feltételekkel – a 2002/58 irányelvvel (a C‑511/18. sz. ügy második kérdése).
38. Végeredményben annak meghatározásáról van szó, hogy összeegyeztethető‑e az uniós joggal az olyan nemzeti szabályozás, amely az elektronikus hírközlési szolgáltatóknak kétfajta kötelezettséget ír elő: a) egyfelől, bizonyos adatok gyűjtését, de nem a megőrzésüket; b) másfelől, a csatlakozási adatok, és azon adatok megőrzését, amelyek lehetővé teszik az ilyen szolgáltatók által nyújtott szolgáltatások tartalmait létrehozó személyek azonosítását.
39. Előzetesen azt kell eldönteni, hogy éppen azon kontextus okán,(18) amelyben az említett nemzeti szabályozást elfogadták (azaz olyan körülmények között, amelyben a nemzeti biztonság sérülhet), a 2002/58 irányelvet kell‑e alkalmazni.
A. A 2002/58 irányelv alkalmazhatóságáról
40. A kérdést előterjesztő bíróság meg van győződve arról, hogy a jogvita tárgyát képező szabályozás a 2002/58 irányelv hatálya alá tartozik. Véleménye szerint ez a Tele2 Sverige és Watson ítéletben meghatározott és a Ministerio Fiscal ítéletben megerősített ítélkezési gyakorlatból következik.
41. Ezzel szemben az eljárásban részt vevő egyes kormányok azt állítják, hogy a vitatott szabályozás nem tartozik az említett jogszabály hatálya alá. Álláspontjuk alátámasztására egyéb érvek mellett a 2006. május 30‑i Parlament kontra Tanács és Bizottság ítéletre hivatkoznak.(19)
42. Egyetértek a Conseil d’État (államtanács) álláspontjával abban, hogy a Tele2 Sverige és Watson ítélet a vita e részét megoldotta, és megerősítette, hogy a 2002/58 irányelvet alapvetően akkor kell alkalmazni, ha az elektronikus hírközlési szolgáltatókat a törvény kötelezi az előfizetőik adatainak megőrzésére, és annak lehetővé tételére, hogy a hatóságok az adatokhoz hozzáférhessenek. Ezen az állásponton nem változtat az, hogy a kötelezettségeket nemzetbiztonsági okokra való hivatkozással írják elő a szolgáltatókkal szemben.
43. Már ennél a pontnál előre kell bocsátanom, hogy ha a Tele2 Sverige és Watson ítélet és a korábbi ítéletek között eltérés volna, az előbbit kellene elsődlegesnek tekinteni, mivel ez későbbi hatályú, és azt a Ministerio Fiscal ítélet is megerősíti. Úgy vélem azonban, hogy az említett eltérés nem áll fenn, amint azt a továbbiakban megpróbálom elmagyarázni.
1. A Parlament kontra Tanács és Bizottság ítélet
44. A Parlament kontra Tanács és Bizottság ítélet által elbírált ügyek tárgya a következő volt:
– Az Európai Unió és az Egyesült Államok közötti, a PNR‑adatoknak a légi szállítók általi kezeléséről és az Egyesült Államok hatóságainak történő továbbításáról szóló megállapodás.(20)
– A légi utasok utasnyilvántartási adatállományában tárolt azon személyes adatok megfelelő védelme, amelyeket az említett hatóságok rendelkezésére bocsátottak.(21)
45. A Bíróság megállapította, hogy az említett adatok továbbítása a közbiztonsággal és a büntetőjog területén végzett állami tevékenységekkel kapcsolatos adatfeldolgozásnak minősül. A 95/46 irányelv 3. cikke (2) bekezdésének első franciabekezdése szerint a két vitatott határozat nem tartozik a 95/46 irányelv hatálya alá.
46. Az adatokat eredetileg a légitársaságok gyűjtötték az uniós jog alkalmazási körébe tartozó tevékenységük végzése – azaz repülőjegyértékesítés – során. Az adatkezelés azonban, ahogy azt a vitatott határozat tartalmazta, „nem a szolgáltatás nyújtásához és igénybevételéhez […], hanem a közbiztonság fenntartása és a bűnüldözés érdekében szükséges […]”.(22)
47. A Bíróság ezzel teleologikus megközelítést alkalmazott, figyelemmel az adatkezeléssel elérni kívánt célra: ha a közbiztonság védelmét ezen adatkezeléssel biztosítják, úgy kell tekinteni, hogy az nem tartozik a 95/46 irányelv hatálya alá. Márpedig, az említett cél nem az egyetlen meghatározó kritérium volt,(23) ezért az ítélet kiemelte, hogy „annak háttere […] közhatalmi jellegű és közbiztonsági célú”.(24)
48. A Parlament kontra Tanács és Bizottság ítélet lehetővé teszi ugyanis a 95/46 irányelv kizárási és megszorító vagy korlátozó záradékai közötti különbségtételt (hasonlóan a 2002/58 irányelv záradékaihoz). Igaz azonban, hogy mind a két fajta záradék a közérdeken alapuló hasonló célkitűzésekre hivatkozik, ami némi zavart okoz a hatályaik tekintetében, ahogyan arra Bot főtanácsnok akkor felhívta a figyelmet.(25)
49. Valószínűleg e bizonytalanság áll a tagállamok által képviselt álláspont hátterében, amelyek a 2002/58 irányelv e kontextusra történő alkalmazásának kizárását támogatják. Véleményük szerint a nemzetbiztonsági érdek csak a 2002/58 irányelv 1. cikkének (3) bekezdésében szereplő kizárással biztosítható. Kétségtelen azonban, hogy ugyanezen érdeket szolgálják a már hivatkozott irányelv 15. cikkének (1) bekezdése által megengedett korlátozások, többek között a nemzetbiztonságra vonatkozó korlátozás. Ez utóbbi rendelkezés felesleges lenne, ha a 2002/58 irányelv nem lenne alkalmazható a nemzetbiztonságra történő bármely hivatkozás esetén.
2. A Tele2 Sverige és Watson ítélet
50. A Tele2 Sverige és Watson ítélet azt tárgyalta, hogy összeegyeztethető‑e az uniós joggal néhány olyan nemzeti szabályozás, amely a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatóival szemben a hírközlési adatok megőrzésére vonatkozó általános kötelezettséget ír elő. Alapvetően tehát azonos előfeltételekről volt szó, mint amelyek a jelen előzetes döntéshozatali eljárások tárgyát képezik.
51. Az uniós jog alkalmazhatósága kérdésének ismételt felvetése kapcsán – a jelen ügyben már a 2002/58 irányelv alkalmazási körét illetően – a Bíróság először is megjegyezte, hogy „a 2002/58 irányelv hatályának terjedelmét különösen annak általános rendszerét figyelembe véve kell értelmezni”.(26)
52. E tekintetben a Bíróság kiemelte, hogy „[k]étségtelen, hogy a 2002/58 irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedések az államok vagy az állami hatóságok tevékenységeire vonatkoznak, amelyek nem kapcsolódnak a magánszemélyek tevékenységeihez […]. Továbbá azok a célkitűzések, amelyeknek e rendelkezés értelmében az ilyen intézkedéseknek meg kell felelniük – a jelen esetben a nemzetbiztonság […] védelme […] – lényegében az ezen irányelv 1. cikkének (3) bekezdésében említett tevékenységek által követett célokat ismétlik meg”.(27)
53. Ennélfogva azon intézkedések célja, amelyeket a 2002/58 irányelv 15. cikkének (1) bekezdése alapján a tagállamok elfogadhatnak a magánélethez való jog korlátozása céljából, (ebben a pontban) megegyezik azzal a céllal, amely igazolja bizonyos állami tevékenységeknek az irányelv szabályozása alóli kivonását ezen irányelv 1. cikkének (3) bekezdése alapján.
54. A Bíróság azonban úgy értelmezte, hogy „a 2002/58 irányelv általános rendszerére tekintettel” a hivatkozott körülményekből „nem vonható le az a következtetés, hogy a 2002/58 irányelv 15. cikkének (1) bekezdésében említett jogszabályi intézkedések ki vannak zárva ezen irányelv hatálya alól, különben az e rendelkezés hatékony érvényesüléstől való megfosztását eredményezné. Az említett rendelkezés ugyanis szükségképpen feltételezi, hogy az abban említett nemzeti intézkedések […] ugyanezen irányelv hatálya alá tartoznak, mivel ez utóbbi kizárólag az abban foglalt feltételek tiszteletben tartása mellett hatalmazza fel a tagállamokat azok elfogadására.”(28)
55. Ehhez még hozzá kell tenni, hogy a 2002/58 irányelv 15. cikkének (1) bekezdése által megengedett korlátozások „e rendelkezésben említett célból szabályozzák az elektronikus hírközlési szolgáltatók tevékenységét”. Ennélfogva az említett rendelkezést – annak 3. cikkével összefüggésben – „úgy kell értelmezni, hogy az ilyen jogszabályi intézkedések ugyanezen irányelv hatálya alá tartoznak”.(29)
56. Következésképpen, a Bíróság azt állította, hogy a 2002/58 irányelv hatálya alá tartozik az olyan jogszabályi intézkedés, amely „a forgalmi és helymeghatározó adatok megőrzésére kötelezi a szolgáltatókat, mivel az ilyen tevékenység szükségképpen maga után vonja a személyes adatok e szolgáltatók általi kezelését”,(30) és az olyan jogszabályi intézkedés is, amely a hatóságoknak az említett szolgáltatók által megőrzött adatokhoz való hozzáférésére vonatkozik.(31)
57. A Ministerio Fiscal ítélet megismétli a Bíróság által a Tele2 Sverige és Watson ítéletben a 2002/58 irányelv tekintetében képviselt értelmezést.
58. Kijelenthető‑e, hogy a Tele2 Sverige és Watson ítélet – többé‑kevésbé hallgatólagos – fordulatot jelent a Parlament kontra Tanács és Bizottság ítéletben kialakított ítélkezési gyakorlathoz képest? Ezt így értelmezi például az ír kormány, amely szerint csak ez utóbbi egyeztethető össze a 2002/58 irányelv jogalapjával és áll összhangban az EUSZ 4. cikk (2) bekezdésével.(32)
59. A francia kormány viszont úgy véli, hogy feloldható az ellentmondás, ha figyelembe vesszük, hogy a Tele2 Sverige és Watson ítélet szerinti ítélkezési gyakorlat a büntetőjog területén végzett tagállami tevékenységekre vonatkozik, míg a Parlament kontra Tanács és Bizottság ítéletben meghatározott ítélkezési gyakorlat a nemzetbiztonsággal és a honvédelemmel kapcsolatos. A Tele2 Sverige és Watson ítélet így nem alkalmazható a jelenleg vizsgálandó ügyre, amelyben a Parlament kontra Tanács és Bizottság ítéletben elfogadott megoldást kell alkalmazni.(33)
60. Ahogy azt már előrebocsátottam, úgy vélem, hogy meg lehet találni a két ítélet összehangolásának módját, amely eltér a francia kormány által támogatott megoldástól. Ez utóbbival nem értek egyet, mivel véleményem szerint a Tele2 Sverige és Watson ítéletnek kifejezetten a terrorizmus elleni küzdelemre vonatkozó megállapításai(34) kiterjeszthetők a nemzetbiztonság elleni bármely egyéb fenyegetésre (amelyek közül a terrorizmus csak az egyik).
3. A Parlament kontra Tanács és Bizottság ítélet, illetve a Tele2 Sverige és Watson ítélet egységes értelmezésének lehetősége
61. Véleményem szerint a Tele2 Sverige és Watson ítéletben, illetve a Ministerio Fiscal ítéletben a Bíróság figyelembe vette a kizárási és a korlátozó záradékok lényegét, valamint a kétfajta záradék közötti rendszertani kapcsolatot.
62. Bár a Parlament kontra Tanács és Bizottság ügyben a Bizottság megállapította, hogy az adatkezelés nem tartozik a 95/46 irányelv hatálya alá, ez – ahogy arra már emlékeztettem – annak volt tulajdonítható, hogy az Európai Unió és az Egyesült Államok közötti együttműködés körülményei között, amely jellegzetesen nemzetközi keretben történt, a tevékenység állami jellegét kellett elsődlegesnek tekinteni azon ténnyel szemben, miszerint a hivatkozott adatkezelés üzleti vagy magán jelleget is hordoz. Az egyik vitatott kérdés akkor éppen a megtámadott határozat tekintetében megfelelő jogalap volt.
63. Ezzel szemben a Tele2 Sverige és Watson ítéletben és a Ministerio Fiscal ítéletben vizsgált nemzeti intézkedések tekintetében a Bíróság előtérbe helyezte az adatkezelés belső hatályát: a szabályozási keret, amelyben ez megvalósult, kizárólag nemzeti jellegű volt, és ennélfogva nem volt külső vetülete, amely a Parlament kontra Tanács és Bizottság ítélet tárgyát jellemezte.
64. Az adatkezelés nemzetközi és nemzeti (üzleti és magán) jellege eltérő súlyának következménye az volt, hogy az első ügyben az uniós jog hatálya alóli kizárásra vonatkozó záradékot írtak elő, mint a nemzetbiztonságban rejlő közérdek védelmére megfelelőbb záradékot. A második ügyben ezzel szemben ugyanazon érdeket hatékonyabban lehetett érvényesíteni a 2002/58 irányelv 15. cikkének (1) bekezdésében foglalt korlátozó záradékkal.
65. Még egy másik eltérés is megállapítható a különböző szabályozási környezethez kapcsolódóan: ezen ítéletek mindegyike két olyan rendelkezés értelmezésére összpontosított, amelyek a látszat ellenére nem azonosak.
66. A Parlament kontra Tanács és Bizottság ítélet így a 95/46 irányelv 3. cikke (2) bekezdésének értelmezéséről határozott, míg a Tele2 Sverige és Watson ítélet a 2002/58 irányelv 1. cikkének (3) bekezdése tekintetében tette ezt meg. Az említett cikkek alaposabb olvasatából olyan különbség tűnik ki, amely elegendő a Bíróság által az egyes ügyekben hozott határozatok értelmének alátámasztására.
67. A 95/46 irányelv 3. cikkének (1) bekezdése alapján, „[a]z irányelv nem alkalmazandó az alábbi személyesadat‑feldolgozásokra [helyesen: személyesadat‑kezelésekre] […] a közösségi jog hatályán kívül eső tevékenységek, […], valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási [helyesen: az adatkezelési] művelet nemzetbiztonsági ügyre vonatkozik [helyesen: nemzetbiztonsági üggyel kapcsolatos]), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási [helyesen: adatkezelési] műveletek”.(35)
68. A 2002/58 irányelv 1. cikkének (3) bekezdése alapján pedig ez utóbbi irányelv „nem alkalmazható azokra a tevékenységekre, amelyek nem tartoznak az Európai Közösséget létrehozó szerződés hatálya alá […], valamint nem alkalmazható a közbiztonsággal, a nemzetvédelemmel, a nemzetbiztonsággal (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását) összefüggő tevékenységekre, valamint a büntetőjogi szankciók végrehajtása terén kifejtett állami tevékenységekre”.(36)
69. Míg a 95/46 irányelv 3. cikkének (1) bekezdése kizárja a – jelen ügy szempontjából releváns – nemzetbiztonsággal kapcsolatos adatkezelési műveleteket, a 2002/58 irányelv 1. cikkének (3) bekezdése pedig – szintén a jelen ügy szempontjából releváns – nemzetbiztonság fenntartására irányuló tevékenységekkel kapcsolatban teszi ezt meg.
70. A különbség nem jelentéktelen. A 95/46 irányelv hatálya nem terjed ki olyan tevékenységre (a „személyes adatok kezelése”), amelyet bárki végezhet. Kifejezetten nem tartoznak az említett tevékenység körébe azon adatkezelések, amelyek többek között a nemzetbiztonsággal függnek össze. Az adatok kezelését végző alany típusának azonban nincs jelentősége. A kizárt cselekmények azonosításánál alkalmazott megközelítés tehát teleologikus vagy célirányos volt, és nem tett különbséget az adatkezelő személyét illetően.
71. Ezért ezt úgy kell érteni, hogy a Parlament kontra Tanács és Bizottság ügyben a Bíróság elsődlegesen az adatkezeléssel követett célt vette figyelembe. Nem volt jelentősége annak, hogy „az […] adatokat gazdasági szereplők kereskedelmi célból gyűjtik, és harmadik államba történő továbbításukat e gazdasági szereplők szervezik meg”, mivel az volt a fontos, hogy „ezen adattovábbítás háttere […] közhatalmi jellegű és közbiztonsági célú”.(37)
72. Ezzel szemben a 2002/58 irányelvnek a Tele2 Sverige és Watson ügyben vizsgált hatálya alá nem tartozó, „a nemzetbiztonsággal összefüggő tevékenységeket” nem végezheti bármely személy, hanem kizárólag maga az állam. Továbbá, e tevékenységek körébe nem az állam normatív vagy szabályozási feladatai, hanem szigorúan véve a közhatalmi szervek materiális tevékenységei tartoznak.
73. A 2002/58 irányelv 1. cikkének (3) bekezdésében felsorolt tevékenységek ugyanis „minden esetben az állam vagy az állami hatóságok saját tevékenységei, és távol esnek a magánszemélyek tevékenységeitől”.(38) Márpedig, e „tevékenységek” nem lehetnek normatív jellegűek. Amennyiben ez így volna, a tagállamok által a személyes adatok kezelésével kapcsolatban hozott valamennyi rendelkezés a 2002/58 irányelv hatályán kívül esne, kivéve, ha azokat a nemzetbiztonság biztosítása céljából szükséges rendelkezésként szándékoznának igazolni.
74. Egyfelől, ez azt vonná maga után, hogy az említett irányelv hatékony érvényesülése jelentősen csökkenne, hiszen egy olyan meghatározatlan jogi fogalomra, mint a nemzetbiztonság fogalmára történő puszta hivatkozás elegendő lenne ahhoz, hogy a tagállamokkal szemben alkalmazhatatlanná tegye az uniós jogalkotó által az állampolgárok személyes adatainak védelme céljából kidolgozott biztosítékokat. E védelem nem valósítható meg a tagállamok közreműködése nélkül, és biztosítása a nemzeti közhatalmi szervekkel szemben is garantált az állampolgár számára.
75. Másfelől, az „állami tevékenységek” fogalmának olyan értelmezése, amely a jogszabályok és jogi rendelkezések elfogadásában megnyilvánuló tevékenységeket foglalná magában, a 2002/58 irányelv 15. cikke értelmének a kiüresedéséhez vezetne, amely cikk éppen hogy felhatalmazza a tagállamokat arra, hogy – többek között a nemzetbiztonság védelméhez kapcsolódó indokok miatt –„jogszabályi intézkedéseket” fogadjanak el ugyanezen irányelvben foglalt bizonyos jogok és kötelezettségek alkalmazási körének megnyirbálása céljából.(39)
76. Ahogyan azt a Bíróság a Tele2 Sverige és Watson ítéletben kiemelte, „a 2002/58 irányelv hatályának terjedelmét különösen annak általános rendszerét figyelembe véve kell értelmezni”.(40) Ebből a szempontból a 2002/58 irányelv 1. cikke (3) bekezdésének és 15. cikke (1) bekezdésének értelmezése, amely a hatékony érvényesülésük csökkenése nélkül ad e bekezdéseknek jelentést, az első rendelkezés esetében meghatározza a tárgyi hatály alóli kizárást a nemzetbiztonság (és ezzel egyenértékű okok) területén a tagállamok által végzett tevékenységekre vonatkozóan, a második rendelkezés esetében pedig olyan jogszabályi intézkedések (azaz általános hatályú szabályok) elfogadására irányuló felhatalmazást ad, amelyek a nemzetbiztonság érdekében a tagállamok hatalma alá tartozó egyének tevékenységére vonatkozik, a 2002/58 irányelv által biztosított jogok korlátozásával.
4. A nemzetbiztonság kizárása a 2002/58 irányelvben
77. A nemzetbiztonság (vagy ennek rokon értelmű kifejezése, az „állambiztonság”, ahogy azt a 15. cikk (1) bekezdése kiemeli) a 2002/58 irányelvben kettős megfontolás tárgyát képezi. Egyfelől (az irányelv hatálya alóli) kizáró oknak minősül a tagállamok összes olyan tevékenysége tekintetében, amelyek a nemzetbiztonsággal kifejezetten „összefüggnek”. Másfelől, mint törvénybe foglalt korlátozó ok jelenik meg a 2002/58 irányelvben megállapított jogokra és kötelezettségekre vonatkozóan, azaz a magán‑ és üzleti jellegű tevékenységek tekintetében, amelyek az állami jellegű tevékenységek körén kívül esnek.(41)
78. Milyen tevékenységekre vonatkozik a 2002/58 irányelv 1. cikkének (3) bekezdése? Véleményem szerint, a Conseil d’État (államtanács) jó példát nyújt a belbiztonságról szóló törvénykönyv L.851‑5. és L.851‑6. cikkének említésével, amikor arra hivatkozik, hogy azok „a tagállamok által közvetlenül végrehajtott, a hírszerzéssel szerzett ismeretek gyűjtésére vonatkozó technikákra vonatkoznak, azonban nem szabályozzák az elektronikus hírközlési szolgáltatók tevékenységeit sajátos kötelezettségek előírásával”.(42)
79. Úgy vélem, hogy ebben rejlik a megoldás a 2002/58 irányelv 1. cikke (3) bekezdése alkalmazási köréből való kizárás hatályának megállapítása tekintetében. Nem tartoznak a szabályozása alá azok a nemzetbiztonság megőrzésére irányuló tevékenységek, amelyeket közhatalmi szervek saját maguk végeznek el, az egyének közreműködése iránti igény és ennélfogva anélkül, hogy kötelezettségeket írnának elő velük szemben az üzletvitelük során.
80. A közhatalmi szervek azon tevékenységeinek körét azonban, amely nem tartozik a személyes adatok kezelésére vonatkozó általános szabályozás hatálya alá, megszorítóan kell értelmezni. Konkrétan a nemzeti biztonság fogalma, amelynek kizárólagos felelőssége az EUSZ 4. cikk (2) bekezdése szerint az egyes tagállamokat terheli, nem terjeszthető ki a közélet más, többé‑kevésbé egymáshoz közel álló területeire.
81. Mivel ezen előzetes döntéshozatalra előterjesztett kérdések esetén fennáll a magánszemélyeknek (vagyis azon személyeknek, akik elektronikus hírközlési szolgáltatásokat nyújtanak a felhasználóknak) az érintettsége, és nem pusztán az állami hatóságok beavatkozásáról van szó, a szigorúan vett nemzetbiztonság területének elhatárolását nem kell tovább fejtegetni.
82. Úgy vélem azonban, hogy iránymutatásként szolgálhat a 2006/960/IB kerethatározat(43) szerinti kritérium, amelynek 2. cikkének a) pontja különbséget tesz egyfelől a tágabb értelemben vett bűnüldöző hatóságok – amely fogalom magában foglalja az „olyan nemzeti rendőrséget, vám‑ vagy más hatóság[ot], amely a nemzeti jog alapján bűncselekmények vagy bűnözői tevékenység felderítésére, megelőzésére és kivizsgálására, valamint felügyelet gyakorlására és ilyen cselekmények vonatkozásában kényszerítő intézkedések meghozatalára jogosult” –,másfelől, „a különösen nemzetbiztonsági kérdésekkel foglalkozó ügynökségek[…] vagy egységek[…]” között.(44)
83. A 2002/58 irányelv (11) preambulumbekezdése megállapítja, hogy ez az irányelv, „a 95/46 […] irányelvhez hasonlóan, […] nem szól a[z uniós] jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről”. Ezért a 2002/58 irányelv „nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy […] a nemzetbiztonság […] érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák”.
84. A 95/46 irányelv és a 2002/58 irányelv között ugyanis folytonosság áll fenn a tagállamoknak a nemzetbiztonsággal kapcsolatos hatásköreit illetően. A két irányelv közül egyiknek sem célja az alapvető jogok védelme az említett konkrét területen, amelyen a tagállami tevékenységeket nem az „[uniós] jog szabályozza”.
85. Az idézett preambulumbekezdésben hivatkozott „egyensúly” abból ered, hogy tiszteletben kell tartani a tagállamok hatásköreit a nemzetbiztonság területén, ha azokat közvetlen módon és saját eszközeikkel gyakorolják. Ezzel szemben, ha akár ugyanúgy a nemzetbiztonság okán szükség van azon egyének részvételére, akik számára bizonyos kötelezettségeket előírtak, e körülmény olyan területre (a magánszemélyekkel szemben megkövetelt, a magánélethez való jog védelme) történő belépést biztosít, amelyet az uniós jog szabályoz.
86. A 95/46 irányelv és a 2002/58 irányelv is az említett egyensúlyt igyekeznek elérni, és lehetővé teszik, hogy a tagállamok által elfogadott jogszabályi intézkedések értelmében korlátozhassák az egyének jogait a 13. cikk (1) bekezdése, illetve a 15. cikk (1) bekezdése alapján. Ebben a kérdésben egyáltalán nincs különbség a két irányelv között.
87. A 2016/679 rendeletet illetően, amely (új) általános keretet alakít ki a személyes adatok védelméhez, a 2. cikkének (2) bekezdése kizárja a „személyes adatok kezelését”, ha azt a tagállamok „az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik”.
88. Amíg a 95/46 irányelv a személyes adatok kezelését csak a célkitűzése alapján, az adatkezelést végző alanytól elvonatkoztatva minősítette, a 2016/679 rendelet a kizárt adatkezeléseket a céljuk és az adatkezelőik alapján is azonosítja: kivételt képeznek a tagállamok által végzett adatkezelések, amelyeket az uniós jog hatályán kívül eső tevékenységek során végeznek [2. cikk (2) bekezdésének a) és b) pontja], és a hatóságok által a bűncselekmények elleni küzdelem és a közbiztonságot fenyegető veszélyekkel szembeni védelem céljából végzett adatkezelések.(45)
89. A közhatalom említett tevékenységeit szükségszerűen megszorítóan kell azonosítani, különben az uniós szabályozást megfosztanák a hatékony érvényesüléstől a magánélet védelme területén. A 2016/679 rendelet a 23. cikkében megállapítja – a 2002/58 irányelv 15. cikkének (1) bekezdésével összhangban – az irányelvben meghatározott jogok és kötelezettségek jogalkotási intézkedésekkel történő korlátozását, ha – egyéb célok mellett – az a nemzetbiztonság, a honvédelem vagy a közbiztonság védelme érdekében szükséges. Ha az említett célok védelme szintén elegendő volna a 2016/679 rendelet hatálya alóli kizárás megállapításához, felesleges lenne úgy hivatkozni a nemzetbiztonságra, mint a szóban forgó rendelet által biztosított jogok jogalkotási intézkedésekkel történő korlátozásának igazolására.
90. A 2002/58 irányelv esetéhez hasonlóan, nem lenne koherens, hogy a 2016/679 rendelet 23. cikkében előírt jogalkotási intézkedések (amely hangsúlyozom, engedélyezi az állampolgárok magánélethez való jogainak nemzetbiztonságra való hivatkozással történő állami korlátozásait) e rendelet hatálya alá tartozzanak, és ezzel egyidőben a nemzetbiztonságra való hivatkozás minden további nélkül alkalmazhatatlanná tegye magát a rendeletet, ami valamely alanyi jog elismerésének hiányát vonja maga után.
B. A Tele2 Sverige és Watson ítéletben kialakított ítélkezési gyakorlat megerősítése és fejlesztési lehetőségei
91. A C‑520/18. sz. ügyre vonatkozó indítványomban részletesen elemzem(46) a Bíróság e tárgykörre vonatkozó ítélkezési gyakorlatát, amely alapján annak megerősítését indítványozom, és ezzel egyidőben javaslatot teszek egy értelmezési módra annak további pontosítása céljából.
92. Az említett elemzésre, amelynek átvételét nem tartom elengedhetetlennek, most pusztán gazdaságossági célból utalok. A Conseil d’Etat (államtanács) által előzetes döntéshozatalra előterjesztett kérdésekkel kapcsolatban a továbbiakban általam kifejtett megfontolásokat tehát a C‑520/18. sz. ügyre vonatkozó indítvány megfelelő szakaszainak figyelembevételével kell értelmezni.
C. Az előzetes döntéshozatalra előterjesztett kérdések megválaszolása
1. Az adatok megőrzésére vonatkozó kötelezettségről (a C‑511/18. és a C‑512/18. sz. ügyben előzetes döntéshozatalra előterjesztett első kérdés és a C‑512/18. sz. ügyben előzetes döntéshozatalra előterjesztett második kérdés)
93. Az elektronikus hírközlési szolgáltatókkal szemben előírt adatmegőrzési kötelezettséget illetően a kérdést előterjesztő bíróság konkrétan azt kívánja megtudni, hogy:
– A 2002/58 irányelv 15. cikkének (1) bekezdése alapján megkövetelt szóban forgó kötelezettség a Charta 6. cikkében biztosított „biztonsághoz való jog” és a nemzetbiztonsági követelmények által igazolt beavatkozásnak minősül‑e (a C‑511/18. és a C‑512/18. sz. ügy első kérdése, valamint a C‑511/18. sz. ügy harmadik kérdése).
– A 2000/31 irányelv megengedi‑e az adatok oly módon való megőrzését, hogy azonosítani lehessen bárkit, aki hozzájárult a nyilvánosság számára online elérhető tartalmak létrehozásához (a C‑512/18. sz. ügy második kérdése).
a) Előzetes megfontolás
94. A Conseil d’État (államtanács) a Charta 7. cikke (a magán‑ és a családi élet tiszteletben tartása), 8. cikke (a személyes adatok védelme) és a 11. cikke (a véleménynyilvánítás és a tájékozódás szabadsága) által elismert alapvető jogokra hivatkozik. A Bíróság szerint ugyanis ezeket a jogokat sértheti a forgalmi adatok megőrzésére vonatkozó azon kötelezettség, amelyet a nemzeti hatóságok írnak elő az elektronikus hírközlési szolgáltatókkal szemben.(47)
95. A kérdést előterjesztő bíróság a Charta 6. cikke által védett biztonsághoz való jogra is utal. Inkább olyan tényezőként említi, amely a hivatkozott kötelezettség előírását jogszerűvé tehetné, mintsem esetlegesen érintett jogként.
96. Egyetértek a Bizottsággal abban, hogy a 6. cikkre ilyen módon történő hivatkozás félrevezetőnek bizonyulhat. A Bizottsághoz hasonlóan úgy vélem, hogy a rendelkezést nem úgy kell értelmezni, hogy az lehetővé teszi, hogy „az Unió számára pozitív kötelezettséget írjon elő a személyek bűncselekményekkel szembeni védelmére irányuló intézkedések elfogadására vonatkozóan”.(48)
97. A Charta hivatkozott cikke által szavatolt biztonság nem egyezik meg a közbiztonsággal. Vagy ha úgy tetszik, ugyanannyi köze van ez utóbbihoz, mint bármely más alapvető jognak, amennyiben a közbiztonság az alapvető jogok és szabadságok érvényesülésének elengedhetetlen feltétele.
98. Ahogy arra a Bizottság emlékeztet, a Charta 6. cikke megfelel az Emberi Jogok Európai Egyezménye (a továbbiakban: EJEE) 5. cikkének, amint az a hozzáfűzött magyarázatokban is kifejtésre kerül. Az EJEE 5. cikkéből kitűnik, hogy az e cikk által védett „biztonság” szigorúan véve személyes biztonságot jelent, amelyet az önkényes letartóztatással vagy őrizetbe vétellel szembeni, fizikai értelemben vett szabadsághoz való jog biztosítékaként kell érteni. Végeredményben annak biztosításáról van szó, hogy szabadságától senkit sem lehet megfosztani, a törvényben meghatározott eseteket kivéve, a törvényben meghatározott feltételek és eljárások mellett.
99. Ennélfogva a személyes biztonságról van szó – amely azon feltételekre utal, amelyek esetén a személyek fizikai értelemben vett szabadsága korlátozható –,(49) nem pedig az állam létéhez szorosan kapcsolódó közbiztonságról, amely egy fejlett társadalomban nélkülözhetetlen előfeltételt jelent a közhatalom gyakorlásának a személyhez fűződő jogok érvényesülésével való összeegyeztetéséhez.
100. Néhány kormány azonban inkább a második értelemben vett biztonsághoz való jog fokozottabb figyelembevételét kéri. A Bíróság valójában nem hagyta figyelmen kívül, sőt, ítéleteiben(50) és véleményeiben(51) azt kifejezetten megemlítette. Soha nem tagadta a nemzetbiztonság és a közrend védelme,(52) a nemzetközi béke és biztonság fenntartása érdekében a terrorizmus elleni küzdelem és a súlyos bűncselekmények elleni, a közbiztonság biztosítása érdekében folytatott küzdelem(53) általános érdekű célkitűzésének jelentőségét, amelyet helytállóan „elsőrendűnek” minősített.(54) Ahogy azt akkor megállapította, „a közbiztonság védelme hozzájárul mások jogainak és szabadságainak védelméhez is”.(55)
101. A jelen előzetes döntéshozatalra utalások nyújtotta lehetőséget meg lehet ragadni arra, hogy egyértelműbben javasoljuk egyfelől a biztonsághoz való jog, másfelől pedig a magánélethez és a személyes adatok védelméhez való jog közötti egyensúly keresését. Ezzel elkerülhetők volnának az utóbbi kettőnek az előbbi hátrányára történő előnyben részesítésére irányuló kritikák.
102. Véleményem szerint az említett egyensúlyra utal a 2002/58 irányelv (11) preambulumbekezdése és 15. cikkének (1) bekezdése, amikor azon feltételekről szólnak, miszerint az intézkedéseknek egy demokratikus társadalomban szükségeseknek és arányosaknak kell lenniük. A biztonsághoz való jog, ismétlem, a demokrácia fennállásának és fennmaradásának lényegéhez tartozik, ami azt igazolja, hogy azt teljes mértékben figyelembe kell venni a hivatkozott arányosság értékelésének keretében. Másképp fogalmazva, bár az adatok titkossága elvének védelme elsőrendű egy demokratikus társadalomban, biztonságuk jelentőségét sem kell alábecsülni.
103. A nemzetbiztonságra súlyos és tartós fenyegetéseket, különösen terrorveszélyt jelentő kontextust tehát figyelembe kell venni a Tele2 Sverige és Watson ítélet 119. pontjának utolsó mondatában tett megállapítással összhangban. Egy nemzeti rendszer a rá irányuló fenyegetések jellegével és erejével arányos választ adhat, anélkül hogy e válasznak szükségképpen meg kellene egyeznie más tagállamok által adottakkal.
104. Végül hozzá kell tennem, hogy az előző megfontolások nem akadályozzák azt, hogy közvetlen veszéllyel vagy rendkívüli kockázattal fenyegető ténylegesen kivételes helyzetekben, amelyek igazolják valamely tagállamban a vészhelyzet hivatalos kihirdetését, a nemzeti jogalkotás korlátozott ideig biztosítsa az olyan széles körű és általános adatmegőrzési kötelezettség előírásának lehetőségét, amelyet elengedhetetlennek tekint.(56)
105. Következésképpen, a két előzetes döntéshozatal iránti kérelem első kérdését úgy kell átfogalmazni, hogy az inkább a beavatkozás nemzetbiztonsági indokon alapuló igazolásának lehetőségére irányuljon. Azzal kapcsolatban merül fel tehát kétség, hogy az elektronikus hírközlési szolgáltatókkal szemben előírt kötelezettség összeegyeztethető‑e a 2002/58 irányelv 15. cikkének (1) bekezdésével.
b) Elemzés
1) A két előzetes döntéshozatal iránti kérelemben ismertetett belső szabályok bemutatása a Bíróság ítélkezési gyakorlatának tükrében
106. Az előzetes döntéshozatalra utaló határozatok alapján az alapeljárásokban vitatott szabályozás adatmegőrzésre kötelezi:
– az elektronikus hírközlési szolgáltatókat és különösen a nyilvánosság számára a hírközlési szolgáltatásokhoz való online hozzáférést biztosító személyeket; és
– az ezen szolgáltatások igénybevevői által továbbított bármilyen jellegű jel, írás, hang vagy kép tárolását a nyilvánosság rendelkezésére bocsátás céljából – akár díjmentesen – biztosító természetes vagy jogi személyeket.(57)
107. A szolgáltatóknak az adatok nyilvántartásba vételének időpontját követő egy évig meg kell őrizniük a felhasználó azonosítására alkalmas információkat, a felhasznált hírközlési végberendezésekre vonatkozó adatokat, a műszaki jellemzőket, az egyes hírközlések dátumát, időpontját és időtartamát, a kért vagy felhasznált kiegészítő szolgáltatásokra és a szolgáltatóikra vonatkozó adatokat, valamint a közlések címzettjének azonosítását lehetővé tevő adatokat, és a telefonos szolgáltatások esetén a közlés eredetét és helymeghatározását.(58)
108. Mivel többek között internet‑hozzáférési szolgáltatásokról és adattárolási szolgáltatásokról van szó, úgy tűnik, hogy a nemzeti szabályozás megköveteli az IP‑címek,(59) a jelszavak, és – ha szerződéskötésre került sor vagy fizetési számlát nyitottak ‑– a teljesített kifizetés típusának, valamint a közlemény hivatkozásának, az összeg, és a tranzakció napjának és pontos idejének tárolását.(60)
109. Ezen adatmegőrzési kötelezettséget a bűncselekmények nyomozása, megállapítása és üldözése céljából követelik meg.(61) Vagyis, ahogy azt a későbbiekben kifejtem, a forgalmi és helymeghatározó adatok gyűjtésére vonatkozó kötelezettségtől eltérően, az adatmegőrzési kötelezettségnek nem a terrorizmus megelőzése az egyetlen célja.(62)
110. A megőrzött adatokhoz való hozzáférésre vonatkozó feltételeket illetően az iratokhoz csatolt információból kitűnik, hogy azok vagy a közös rendszer (igazságügyi hatóság beavatkozása) keretében előírt feltételeknek minősülnek, vagy pedig az ilyen hozzáférés a miniszterelnök által valamely független közigazgatási hatóság nem kötelező erejű véleménye alapján kiadott előzetes engedélyt követően egyedileg kijelölt és felhatalmazott tisztviselőkre korlátozódik.(63)
111. Könnyen megállapítható, hogy – ahogyan azt a Bizottság(64) megjegyezte – azon adatok, amelyek megőrzését a nemzeti szabályok előírják, lényegében megegyeznek a Bíróság által a Digital Rights ítéletben és a Tele2 Sverige és Watson ítéletben vizsgált adatokkal.(65) Éppen úgy mint akkor, az említett adatokra „általános és különbségtétel nélküli megőrzési kötelezettség” vonatkozik, ahogy azt a Conseil d’État (államtanács) nyíltan kiemeli az előzetes döntéshozatalra előterjesztett kérdései elején.
112. Amennyiben ez így van, abból, amit a kérdést előterjesztő bíróságnak kell végső soron értékelnie, csak az a következtetés vonható le, hogy a szóban forgó szabályozás magában foglalja „a beavatkozás[t], […] a Charta 7. és 8. cikkében kimondott alapvető jogokba, [amely] széles körű, és azt különösen súlyosnak kell tekinteni”.(66)
113. A személyesen megjelent felek közül egyik fél sem vitatta, hogy az ilyen jellemzőkkel bíró szabályozás a hivatkozott jogokba való beavatkozással jár. Nem kell ennél a pontnál elidőzni, és emlékeztetni sem arra, hogy az említett jogok megsértése elkerülhetetlenül károsítja egy olyan társadalom alapjait, amelynek célja – az egyéb értékek mellett – a magánélet tiszteletben tartása, amelyet a Charta is támogat.
114. A Tele2 Sverige és Watson ítéletben kidolgozott és a Ministerio Fiscal ítéletben megerősített ítélkezési gyakorlat alkalmazása természetesen annak megállapításához vezetne, hogy a jelen ügyben szereplőhöz hasonló nemzeti szabályozás „túllép a feltétlenül szükséges mérték korlátain, és egy demokratikus társadalomban nem tekinthető igazoltnak, amint azt a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (1) bekezdése megköveteli”.(67)
115. Ugyanis a Tele2 Sverige és Watson ítéletben vizsgálthoz és a jelen ügyben szereplőhöz is hasonló nemzeti szabályozás „általánosan vonatkozik minden előfizetőre és nyilvántartott felhasználóra, továbbá minden elektronikus hírközlési berendezésre és az összes forgalmi adatra kiterjed, [és] nem ír elő semmilyen különbségtételt, korlátozást vagy kivételt a követett cél alapján.(68) Következésképpen, „[o]lyan személyekre is alkalmazandó […], akik tekintetében semmilyen jel nem utal arra, hogy magatartásuk súlyos bűncselekményekkel akár közvetett vagy távoli kapcsolatban állhat”, és az – anélkül, hogy bármiféle kivétel alkalmazását lehetővé tenné – „így olyan személyekre is alkalmazandó, akiknek a közlései a nemzeti jog szabályai alapján szakmai titoktartás körébe tartoznak”.(69)
116. Így a jogvita tárgyát képező szabályozás azt sem „követeli meg, hogy kapcsolat álljon fenn a megőrizendő adatok és a közbiztonság elleni fenyegetés között. E szabályozás különösen nem korlátozódik olyan meghatározott időszakkal és/vagy földrajzi területtel és/vagy adott személyi körrel kapcsolatos adatok megőrzésére, amelyek valamilyen módon valamely súlyos bűncselekménnyel hozhatók kapcsolatba, vagy olyan személyekre, akik egyéb okokból – adataik megőrzése révén – hozzájárulhatnak a bűnözés elleni küzdelemhez”.(70)
117. A fenti megállapításokból az következik, hogy az említett nemzeti szabályozás „túllép a feltétlenül szükséges mérték korlátain, és egy demokratikus társadalomban nem tekinthető igazoltnak, amint azt a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 2002/58 irányelv 15. cikkének (1) bekezdése megköveteli”.(71)
118. A fenti megállapítások elegendők voltak ahhoz, hogy a Bíróság levonja azt a következtetést, hogy az egymással összefüggő nemzeti szabályok nem egyeztethetők össze a 2002/58 irányelv 15. cikkének (1) bekezdésével, amennyiben azok „a bűnözés elleni küzdelem céljából [rögzítik] minden elektronikus hírközlési berendezés tekintetében valamennyi […] nyilvántartott előfizető és felhasználó összes forgalmi és helymeghatározó adatának általános és különbségtétel nélküli megőrzését”.(72)
119. A jelen ügyben felmerülő kérdés az, hogy a Bíróságnak a személyes adatok megőrzésére vonatkozó ítélkezési gyakorlata újragondolható‑e, vagy legalább árnyalható‑e, ha az „általános és különbségtétel nélküli” megőrzéssel követendő cél a terrorizmus elleni küzdelem. A C‑511/18. sz. ügyben előterjesztett első kérdést éppen „a nemzetbiztonságra súlyos és tartós fenyegetést, különösen terror veszélyt jelentő összefüggésben” fogalmazták meg.
120. Márpedig, mivel ez az a ténybeli kontextus, amelyben az adatmegőrzési kötelezettséget előírták, kétségtelen, hogy ez a kötelezettség a szabályozási kontextusában nem kizárólag a terrorizmussal függ össze. A megőrzésre és az adatokhoz való hozzáférésre vonatkozó szabályozás, amely a Conseil d’État (államtanács) előtti eljárásban vitatott, a hivatkozott kötelezettséget általánosságban a bűncselekmények nyomozása, megállapítása és üldözése céljától teszi függővé.
121. Mindenesetre emlékeztetek arra, hogy a terrorizmus elleni küzdelem a Tele2 Sverige és Watson ítélet okfejtéseiben sem volt marginális kérdés, anélkül, hogy a Bíróság akkor úgy ítélte volna meg, hogy ez a fajta bűnelkövetési mód valamiféle árnyalást tenne szükségessé az ítélkezési gyakorlatában.(73)
122. Ennélfogva lényegében úgy vélem, hogy a kérdést előterjesztő bíróság kérdését, amely a terrorfenyegetés sajátos jellegére összpontosít, azonos módon kellene megválaszolni, mint ahogyan azt a Bíróság a Tele2 Sverige és Watson ítéletben tette.
123. Ahogy azt a Stichting Brein ügyre vonatkozó indítványban állítottam, „a jog alkalmazására vonatkozó bizonyosság nem arra kötelezi a bíróságokat, hogy abszolút értelemben alkalmazzák a precedenshez kötöttség elvét, hanem óvatosságra inti azokat, hogy vegyék figyelembe egy adott jogi probléma kapcsán a higgadt megfontolást követően saját maguk által hozott döntéseket”.(74)
2) Az adatok korlátozott megőrzése a nemzetbiztonság elleni fenyegetések esetén, beleértve a terrorfenyegetéseket is
124. Lehetséges‑e mégis ezen ítélkezési gyakorlat árnyalása vagy kiegészítése, annak a terrorizmus elleni küzdelemre vagy az államnak a nemzetbiztonság ellen irányuló, más hasonló fenyegetésekkel szembeni védelmére gyakorolt következményeire figyelemmel?
125. Már hangsúlyoztam, hogy a személyes adatok megőrzése a Charta 7., 8. és 11. cikke által biztosított jogokba történő beavatkozással jár.(75) Függetlenül attól, hogy végeredményben ennek célja, hogy lehetővé tegye az adatokhoz meghatározott időpontban történő, visszamenőleges vagy egyidejű hozzáférést,(76) a valamely közlés továbbításához vagy a szolgáltató által nyújtott szolgáltatások számlázásához szigorúan véve nélkülözhetetlen adatokat meghaladó adatok puszta megőrzése a 2002/58 irányelv 5. és 6. cikkében előírt korlátok figyelmen kívül hagyását tételezi fel.
126. Az említett szolgáltatások igénybevevőinek (a fejlettebb társadalmakban valójában szinte az összes állampolgár) jogos elvárásuk van, vagy jogos elvárásuknak kell lennie abban az értelemben, hogy ha nem adják a hozzájárulásukat, akkor az adataik közül csak a hivatkozott rendelkezések alapján tárolt adatokat kell megőrizni. A 2002/58 irányelv 15. cikkének (1) bekezdése szerinti kivételeket ezen előfeltevésből kiindulva kell értelmezni.
127. Ahogy azt már kifejtettem, a Bíróság a Tele2 Sverige és Watson ítéletben, szintén a terrorizmus elleni küzdelemmel kapcsolatban, elutasította a személyes adatok általános és különbségtétel nélküli megőrzését.(77)
128. A kapott kritikák ellenére nem hiszem, hogy a hivatkozott ítéletben kidolgozott ítélkezési gyakorlat alábecsülné a terrorfenyegetést, mint olyan különösen súlyos bűnözési formát, amely az állam hatalom tagadására, és az állami intézmények destabilizálására vagy megsemmisítésére irányuló egyértelmű szándékot takar. A terrorizmus elleni küzdelem szó szerint létfontosságú az állam számára, és annak sikeressége olyan közérdekű célt jelent a jogállam számára, amelyről nem mondhat le.
129. Gyakorlatilag az eljárásban részt vevő valamennyi kormány és emellett a Bizottság is egyetértett annak megállapításában, hogy a műszaki nehézségeken túl a személyes adatok részleges és differenciált megőrzése megfosztaná a nemzeti hírszerző szolgálatokat az olyan információkhoz való hozzáférés lehetőségétől, amelyek nélkülözhetetlenek a közbiztonságot és a nemzetvédelmet fenyegető veszélyek azonosításához, valamint a terrortámadások elkövetőinek üldözéséhez.(78)
130. E megállapítással szemben számomra relevánsnak tűnik megjegyezni, hogy a terrorizmus elleni küzdelemnek nem kizárólag annak hatékonysága kapcsán kell felmerülnie. Ebből ered a nehézsége, de a nagysága is, ha eszközei és módszerei a jogállam követelményeihez igazodnak, amely mindenekelőtt a hatalomnak és az erőnek a jog korlátainak, különösen egy olyan jogrendnek való alávetését jelenti, amelynek lényege és célja az alapvető jogok védelmében rejlik.
131. Bár a terrorizmus esetében az eszközök igazolása során csak a fennálló rend elleni támadások puszta (és maximális) hatékonyságának kritériumát kell figyelembe venni, a jogállam esetében a hatékonyságot olyan feltételekben kell mérni, amelyek a jogállam védelme érdekében nem tűrik el azon eljárások és biztosítékok mellőzését, amelyek ezt a jogállamot törvényes rendnek minősítik. Ha a jogállam minden további nélkül alávetné magát a puszta hatékonyságnak, elvesztené azon jellemzőjét, amely őt megkülönbözteti, és szélsőséges esetben az állam maga is fenyegetéssé válhatna az állampolgár számára. Semmi nem biztosíthatná, hogy ha a bűnüldözéshez szükséges eszközök túlzott mértékben állnak a közhatalom rendelkezésére, amelyekkel semmibe veheti vagy gyengítheti az alapvető jogokat, az ellenőrzés nélküli és teljesen szabad eljárása végül mindenki szabadságának kárára válhatna.
132. A közhatalom hatékony érvényesülése – ismétlem – az állampolgárok alapvető jogaiban megnyilvánuló leküzdhetetlen akadályba ütközik, amely a Charta 52. cikkének (1) bekezdésében foglalt előírás szerint csak a törvény által, és e jogok lényeges tartalmának tiszteletben tartásával korlátozható, „ha és amennyiben az elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja”.(79)
133. Azon feltételekkel kapcsolatban, amelyek alapján a Tele2 Sverige és Watson ítélet szerint elfogadható lenne az adatok célzott megőrzése, a C‑520/18. sz. ügyre vonatkozó indítványomra hivatkozom.(80)
134. Azon körülmények, amelyek között a biztonsági szolgálatoknál rendelkezésre álló információ alapján terrortámadás előkészítésének megalapozott gyanúja merülhet fel, bizonyos adatok megőrzésére vonatkozó kötelezettség jogszerű előírását támaszthatják alá. Még inkább megtehető mindez valamely merénylet tényleges elkövetése esetén. Ha ez utóbbi esetben a bűncselekmény elkövetése önmagában a hivatkozott intézkedés elfogadását igazoló tényezőnek minősülhet, egy esetleges merénylet puszta gyanúja esetén szükség volna arra, hogy a gyanút megalapozó körülmények minimális szintű valószínűséget mutassanak, amely elengedhetetlen a gyanú igazolását lehetővé tevő bizonyítékok objektív mérlegeléséhez.
135. Bár nehéz, de nem lehetetlen pontosan és objektív kritériumok alapján meghatározni mind az adatkategóriákat, amelyek megőrzését nélkülözhetetlennek ítélik, mind az érintett személyek körét. Legcélszerűbb és leghatékonyabb kétségtelenül annyi adat általános és különbségtétel nélküli megőrzése lenne, amennyit az elektronikus hírközlési szolgáltatók csak gyűjthetnek, de már rámutattam arra, hogy a kérdést nem a gyakorlati hatékonyság, hanem a joghatás tekintetében és a jogállam kontextusában kell eldönteni.
136. E meghatározás jellemzően jogalkotási feladat, amelyet a Bíróság ítélkezési gyakorlata által meghatározott kereten belül kell elvégezni. Ismét arra hivatkozom, amit e kérdéssel kapcsolatban a C‑520/18. sz. ügyre vonatkozó indítványomban kifejtettem.(81)
3) A megőrzött adatokhoz való hozzáférés
137. Feltételezve, hogy a szolgáltatók a 2002/58 irányelv rendelkezéseinek megfelelően gyűjtötték az adatokat és a 15. cikk (1) bekezdése alapján végezték a megőrzésüket,(82) az illetékes hatóságok számára a Bíróság által megkövetelt feltételek szerint kell az említett információkhoz hozzáférést biztosítani, amely feltételeket az általam hivatkozott, C‑520/18. sz. ügyre vonatkozó indítványban vizsgálok meg.(83)
138. Ennélfogva a nemzeti szabályozásnak a jelen ügyben is tartalmaznia kell az illetékes nemzeti hatóságok adatokhoz való hozzáférését szabályozó anyagi jogi és eljárásjogi feltételeket.(84) A jelen előzetes döntéshozatalra utalás kontextusában az említett feltételek azon személyek adataihoz biztosíthatnak hozzáférést, akiket azzal gyanúsítanak, hogy terrorcselekmény elkövetését tervezik, ilyen bűncselekményt követnek vagy követtek el, vagy pedig részesek ilyen bűncselekmény elkövetésében.(85)
139. Alapvető fontosságú azonban, hogy a szóban forgó adatokhoz való hozzáférés – a kellően indokolt sürgős esetek kivételével – valamely olyan bíróság vagy független közigazgatási szerv által végzett előzetes ellenőrzés tárgyát képezze, amely az illetékes hatóságok által előterjesztett indokolt kérelem alapján hozza meg határozatát.(86) Ez alapján, amennyiben a törvény szerinti absztrakt felülvizsgálat nem elérhető, biztosítani kell a független hatóságnak a konkrét ügyre vonatkozó felülvizsgálatát, amely hatóság egyaránt elkötelezett a nemzetbiztonság és az állampolgárok alapvető jogainak védelme iránt.
4) A tartalmak szerzőinek azonosítását lehetővé tevő adatok megőrzésére vonatkozó kötelezettség a 2000/31 irányelv alapján (a C‑512/18. sz. ügyben előzetes döntéshozatalra előterjesztett második kérdés)
140. A kérdést előterjesztő bíróság hivatkozási alapként a 2000/31 irányelvre utal annak megállapítása céljából, hogy kötelezhetők‑e bizonyos személyek(87) és a nyilvánosság számára hírközlési szolgáltatásokat nyújtó szolgáltatók arra, hogy oly módon őrizzék meg az adatokat, hogy „azonosítani lehessen bárkit, aki hozzájárult az általuk nyújtott szolgáltatások tartalmának vagy azok közül egyes tartalmaknak a létrehozásához, mégpedig azért, hogy a bíróság adott esetben, a polgári jogi vagy büntetőjogi felelősségre vonatkozó szabályok betartásának biztosítása érdekében az adatok közlését kérhesse tőlük.
141. Egyetértek a Bizottsággal abban, hogy nem helytálló annak vizsgálata, hogy az említett kötelezettség összeegyeztethető‑e a 2000/31 irányelvvel,(88) mivel ez utóbbi 1. cikke (5) bekezdésének b) pontja kizárja a hatálya alól „az információs társadalommal összefüggő szolgáltatásokkal kapcsolatos, a 95/46/EK és a 97/66/EK irányelvben szabályozott kérdések[et]”, amely jogszabályok jelenleg a 2006/679 rendeletnek és a 2002/58 irányelvnek felelnek meg,(89) és amelyek vonatkozó rendelkezéseit, a 23. cikk (1) bekezdését és a 15. cikk (1) bekezdését – véleményem szerint – a fent kifejtettek szerint kell értelmezni.
2. A forgalmi és a helymeghatározó adatok valós időben történő gyűjtésére vonatkozó kötelezettség (a C‑511/18. sz. ügyben előzetes döntéshozatalra előterjesztett második kérdés)
142. A kérdést előterjesztő bíróság szerint a belbiztonságról szóló törvénykönyv L. 851‑2. cikke kizárólag a terrorizmus megelőzése céljából megengedi az olyan személyekkel kapcsolatos információ valós időben történő gyűjtését, akiket korábban valamilyen terrorfenyegetéssel kapcsolatba hozható személyként azonosítottak. Ugyanígy, az említett törvénykönyv L. 851‑4. cikke lehetővé teszi a szolgáltatók számára, hogy kizárólag a végberendezések helymeghatározására vonatkozó műszaki adatokat valós időben továbbítsák.
143. A kérdést előterjesztő bíróság szerint e technikák nem teremtenek a szolgáltatókra nézve további megőrzési követelményt ahhoz képest, amely a szolgáltatásaik számlázásához, forgalmazásához szükséges.
144. Továbbá, a belbiztonságról szóló törvénykönyv L. 851‑3. cikke értelmében, az elektronikus hírközlési szolgáltatókat és a műszaki szolgáltatókat kötelezhetik arra, hogy „a hálózatukon a valamely terrorfenyegetés felfedésére alkalmas csatlakozásoknak az engedélyben pontosan meghatározott szempontok szerint történő kiszűrésére irányuló gépi adatkezeléseket végezzenek”. Ez a technika nem von maga után általános és különbségtétel nélküli adatmegőrzést, és célja, hogy korlátozott ideig gyűjtse azon hivatkozott csatlakozási adatokat, amelyek terrorcselekményekkel lehetnek kapcsolatosak.
145. Véleményem szerint a megőrzött személyes adatokhoz való hozzáférés tekintetében megkövetelt feltételeket egyaránt alkalmazni kell az elektronikus hírközlés folyamán keletkezett adatokhoz valós időben történő hozzáférésre is. E tekintetben tehát a megállapítottakra hivatkozom. Nincs jelentősége annak, hogy megőrzött adatokról vagy az adott pillanatban megszerzett adatokról van‑e szó, mert mind a két esetben személyes adatokról való tudomásszerzés történik, anélkül hogy fontos lenne, hogy az adatok múltbeliek vagy aktuálisak.
146. Konkrétan, ha a valós idejű hozzáférés a gépi adatkezelés során azonosított csatlakozások eredménye, ahogy az a belbiztonságról szóló törvénykönyv L. 851‑3. cikkében szerepel, elő kell írni, hogy az adatkezelés tekintetében előre meghatározott modelleknek és szempontoknak konkrétaknak, megbízhatóaknak és hátrányos megkülönböztetéstől mentesnek kell lenniük, olyan módon, hogy lehetővé tegyék azon személyek azonosítását, akik vonatkozásában fennállhat a terrorcselekményekben való részvétel észszerű gyanúja.(90)
3. Az érintett személyek tájékoztatására vonatkozó követelményről (a C‑511/18. sz. ügyben előzetes döntéshozatalra előterjesztett harmadik kérdés)
147. A Bíróság megállapította, hogy azon hatóságok, amelyek számára hozzáférést adnak az adatokhoz, e körülményről tájékoztatniuk kell az érintett személyeket, amikor az már nem veszélyezteti a folyamatban lévő nyomozást. E kötelezettség oka az, hogy az említett információ szükséges ahhoz, hogy az érintett személyek a jogaik megsértése esetén gyakorolhassák a 2002/58 irányelv 15. cikkének (2) bekezdésében kifejezetten előírt jogorvoslati jogukat.(91)
148. A Conseil d’État (államtanács) a C‑511/18. sz. ügyben előterjesztett harmadik kérdésével azt kívánja megtudni, hogy a tájékoztatásra vonatkozó követelmény mindenképpen nélkülözhetetlen‑e, vagy pedig mentesülni lehet a követelmény alól, ha az előzetes döntéshozatalra utaló határozatban leírtakhoz hasonló, egyéb garanciákat írtak elő.
149. A kérdést előterjesztő bíróság előadása alapján(92) az említett garanciák azon lehetőségben rejlenek, hogy minden olyan személy, aki ellenőrizni kívánja, hogy valamely hírszerző technikát nem szabálytalanul alkalmaztak‑e, a Conseil d’État‑hoz (államtanács) fordulhasson. E szerv adott esetben visszavonhatja az intézkedés engedélyezését és elrendelheti az összegyűjtött adatok megsemmisítését olyan eljárás keretében, amelyet nem a bírósági eljárások szokásos kontradiktórius elve szerint folytatnak le.
150. A kérdést előterjesztő bíróság szerint az említett szabályozás nem sérti a hatékony jogorvoslathoz való jogot. Úgy vélem azonban, hogy elvileg ezt azon személyek tekintetében lehetne elfogadni, akik úgy döntenek, hogy ellenőrzik azt, hogy végeznek‑e rájuk vonatkozó hírszerzési műveletet. Ezzel szemben, a hivatkozott jogot nem tartják tiszteletben, ha azon személyeket, akik tekintetében hírszerzési műveletet végeznek vagy végeztek, nem tájékoztatják az említett körülményről, és ennélfogva fel sem merül bennük, hogy esetleg megsértették a jogaikat.
151. Úgy tűnik, hogy a kérdést előterjesztő bíróság által hivatkozott eljárási garanciák azon személy kérelmétől függnek, aki azt gyanítja, hogy személyével kapcsolatban adatgyűjtés történik. Mindenki számára biztosítani kell azonban, hogy jogai védelme érdekében hatékonyan tudjon a bírósághoz fordulni, ami magában foglalja, hogy a személyes adat kezelésével érintett személynek rendelkeznie kell azon lehetőséggel, hogy bíróság előtt vitathassa a szóban forgó kezelés jogszerűségét, és ebből következően, tájékoztatni kell őt az adatkezelés tényéről.
152. A rendelkezésre bocsátott információkból kétségtelenül kitűnik, hogy a bírósági eljárás hivatalból vagy a közigazgatási szerv bejelentése alapján is megindulhat, de mindenképpen lehetőséget kell biztosítani az érintett számára, hogy ő maga indítsa meg az eljárást, amelyhez fel kell tárni számára, hogy a személyes adatait bizonyos módon kezelték. Jogainak védelme nem bízható azon körülményre, hogy harmadik személyektől vagy saját eszközein keresztül tudomást szerezzen az említett adatkezelésről.
153. Így, amennyiben az már nem veszélyezteti azon nyomozás lefolytatását, amelynek tekintetében a megőrzött adatokhoz való hozzáférést megadták, az érintett személlyel közölni kell az említett hozzáférést.
154. Más kérdés, hogy miután az érintett személy megindította a bírósági eljárást az alapján, hogy tudomást szerzett az adataihoz való hozzáférésről, az ezt követő bírósági eljárásnak meg kell felelnie a közhatalmi szervek eljárására irányuló ellenőrzések szerves részét képező titoktartás és fenntartás követelményeinek, olyan érzékeny területeken, mint a nemzetbiztonság és a nemzetvédelem. Ez a kérdés azonban a jelen előzetes döntéshozatal iránti kérelemnek nem képezi tárgyát, ezért véleményem szerint a Bíróságnak e tekintetben nem kell állást foglalnia.
V. Végkövetkeztetés
155. A fent kifejtettek értelmében azt javaslom a Bíróságnak, hogy a következő választ adja a Conseil d’État (államtanács, Franciaország) számára:
„Az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről szóló, 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelvnek (Elektronikus hírközlési adatvédelmi irányelv) a Charta 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben értelmezett 15. cikkének (1) bekezdését úgy kell értelmezni, hogy:
1) Azzal ellentétes az olyan nemzeti szabályozás, amely a nemzetbiztonságra súlyos és tartós fenyegetést, különösen terrorveszélyt jelentő kontextusban az elektronikus hírközlési szolgáltatások üzemeltetői és szolgáltatói számára előírja, hogy általánosan és különbségtétel nélkül kötelesek megőrizni az összes előfizető forgalmi és helymeghatározó adatait, valamint azon adatokat, amelyek lehetővé teszik az említett szolgáltatások nyújtói által közzétett tartalmakat létrehozó személyek azonosítását.
2) Azzal ellentétes az olyan nemzeti szabályozás, amely nem írja elő az érintett személyek azzal kapcsolatos tájékoztatására vonatkozó kötelezettséget, hogy az illetékes hatóságok a személyes adataik kezelését végzik, kivéve ha az említett közlés veszélyeztetné az említett hatóságok eljárását.
3) Azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi az egyének forgalmi és helymeghatározó adatainak valós idejű gyűjtését, amennyiben az ilyen tevékenységeket a jogszerűen megőrzött személyes adatokhoz való hozzáférésre vonatkozóan meghatározott eljárásoknak megfelelően és ugyanazon biztosítékok mellett végzik.”