UNIONIN TUOMIOISTUIMEN TUOMIO (suuri jaosto)
6 päivänä lokakuuta 2020(*)
Ennakkoratkaisupyyntö – Henkilötietojen käsittely sähköisen viestinnän alalla – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen siirtäminen yleisesti ja erotuksetta – Kansallisen turvallisuuden takaaminen – Direktiivi 2002/58/EY – Soveltamisala – 1 artiklan 3 kohta ja 3 artikla – Sähköisen viestinnän luottamuksellisuus – Suojaaminen – 5 artikla ja 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta
Asiassa C-623/17,
jossa on kyse SEUT 267 artiklaan perustuvasta ennakkoratkaisupyynnöstä, jonka Investigatory Powers Tribunal (tutkintavaltuuksia koskevia asioita käsittelevä tuomioistuin, Yhdistynyt kuningaskunta) on esittänyt 18.10.2017 tekemällään päätöksellä, joka on saapunut unionin tuomioistuimeen 31.10.2017, saadakseen ennakkoratkaisun asiassa
Privacy International
vastaan
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service ja
Secret Intelligence Service,
UNIONIN TUOMIOISTUIN (suuri jaosto),
toimien kokoonpanossa: presidentti K. Lenaerts, varapresidentti R. Silva de Lapuerta, jaostojen puheenjohtajat J.-C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb ja L. S. Rossi sekä tuomarit J. Malenovský, L. Bay Larsen, T. von Danwitz (esittelevä tuomari), C. Toader, K. Jürimäe, C. Lycourgos ja N. Piçarra,
julkisasiamies: M. Campos Sánchez-Bordona,
kirjaaja: hallintovirkamies C. Strömholm,
ottaen huomioon kirjallisessa käsittelyssä ja 9. ja 10.9.2019 pidetyssä istunnossa esitetyn,
ottaen huomioon huomautukset, jotka sille ovat esittäneet
– Privacy International, edustajinaan B. Jaffey ja T. de la Mare, QC, D. Cashman, solicitor, ja H. Roy, avocat,
– Yhdistyneen kuningaskunnan hallitus, asiamiehinään Z. Lavery, D. Guðmundsdóttir ja S. Brandon, avustajinaan G. Facenna ja D. Beard, QC, sekä C. Knight ja R. Palmer, barristers,
– Belgian hallitus, asiamiehinään P. Cottin ja J.-C. Halleux, avustajinaan J. Vanpraet, advocaat, ja E. de Lophem, avocat,
– Tšekin hallitus, asiamiehinään M. Smolek, J. Vláčil ja O. Serdula,
– Saksan hallitus, asiamiehinään aluksi M. Hellmann, R. Kanitz, D. Klebs ja T. Henze, sittemmin J. Möller, M. Hellmann, R. Kanitz ja D. Klebs,
– Viron hallitus, asiamiehenään A. Kalbus,
– Irlannin hallitus, asiamiehinään M. Browne, G. Hodge ja A. Joyce, avustajanaan D. Fennelly, barrister,
– Espanjan hallitus, asiamiehinään aluksi L. Aguilera Ruiz ja M. J. García-Valdecasas Dorrego, sittemmin L. Aguilera Ruiz,
– Ranskan hallitus, asiamiehinään aluksi E. de Moustier, E. Armoët, A.-L. Desjonquères, F. Alabrune, D. Colas ja D. Dubois, sittemmin E. de Moustier, E. Armoët, A.-L. Desjonquères, F. Alabrune ja D. Dubois,
– Kyproksen hallitus, asiamiehinään E. Symeonidou ja E. Neofytou,
– Latvian hallitus, asiamiehinään aluksi V. Soņeca ja I. Kucina, sittemmin V. Soņeca,
– Unkarin hallitus, asiamiehinään aluksi G. Koós, M. Z. Fehér, G. Tornyai ja Z. Wagner, sittemmin G. Koós ja M. Z. Fehér,
– Alankomaiden hallitus, asiamiehinään C. S. Schillemans ja K. Bulterman,
– Puolan hallitus, asiamiehinään B. Majczyna, J. Sawicka ja M. Pawlicka,
– Portugalin hallitus, asiamiehinään L. Inez Fernandes, M. Figueiredo ja F. Aragão Homem,
– Ruotsin hallitus, asiamiehinään aluksi A. Falk, H. Shev, C. Meyer-Seitz, L. Zettergren ja A. Alriksson, sittemmin H. Shev, C. Meyer-Seitz, L. Zettergren ja A. Alriksson
– Norjan hallitus, asiamiehinään T. B. Leming, M. Emberland ja J. Vangsnes,
– Euroopan komissio, asiamiehinään aluksi H. Kranenborg, M. Wasmeier, D. Nardi ja P. Costa de Oliveira, sittemmin H. Kranenborg, M. Wasmeier ja D. Nardi,
– Euroopan tietosuojavaltuutettu, asiamiehinään T. Zerdick ja A. Buchta,
kuultuaan julkisasiamiehen 15.1.2020 pidetyssä istunnossa esittämän ratkaisuehdotuksen,
on antanut seuraavan
tuomion
1 Ennakkoratkaisupyyntö koskee henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11) (jäljempänä direktiivi 2002/58), 1 artiklan 3 kohdan ja 15 artiklan 1 kohdan, luettuina SEU 4 artiklan 2 kohdan sekä Euroopan unionin perusoikeuskirjan (jäljempänä perusoikeuskirja) 7 ja 8 artiklan sekä 52 artiklan 1 kohdan valossa, tulkintaa.
2 Tämä pyyntö on esitetty asiassa, jossa asianosaisina ovat yhtäältä Privacy International ja toisaalta Secretary of State for Foreign and Commonwealth Affairs (ulko- ja kansainyhteisöasiain ministeri, Yhdistynyt kuningaskunta), Secretary of State for the Home Departement (sisäasiainministeri, Yhdistynyt kuningaskunta), Government Communications Headquarters (hallituksen tiedustelupalvelu, Yhdistynyt kuningaskunta) (jäljempänä GCHQ), Security Service (turvallisuuspalvelu, Yhdistynyt kuningaskunta, jäljempänä MI5) ja Secret Intelligence Service (salainen tiedustelupalvelu, Yhdistynyt kuningaskunta, jäljempänä MI6) ja jossa on kyse sellaisen lainsäädännön lainmukaisuudesta, jonka nojalla turvallisuus- ja tiedustelupalvelut voivat hankkia ja käyttää valikoimattomia viestintätietoja (bulk communications data).
Asiaa koskevat oikeussäännöt
Unionin oikeus
Direktiivi 95/46
3 Yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24.10.1995 annettu Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (EYVL 1995, L 281, s. 31) on kumottu 25.5.2018 alkaen luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annetulla Euroopan parlamentin ja neuvoston asetuksella (EU) 2016/679 (EUVL 2016, L 119, s. 1). Mainitun direktiivin 3 artiklassa, jonka otsikko on ”Soveltamisala”, säädettiin seuraavaa:
”1. Tätä direktiiviä sovelletaan osittain tai kokonaan automatisoituun tietojenkäsittelyyn sekä sellaisten henkilötietojen manuaaliseen käsittelyyn, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä direktiiviä ei sovelleta henkilötietojen käsittelyyn,
– joka suoritetaan sellaisessa toiminnassa, joka ei kuulu [unionin] oikeuden soveltamisalaan, kuten toiminta, josta on määrätty [SEU] V ja VI osastossa, ja kaikissa tapauksissa käsittely, joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta (myös valtion taloudellista hyvinvointia, kun käsittelyoperaatio on sidoksissa valtion turvallisuutta koskeviin kysymyksiin) ja rikosoikeuden alalla tapahtuvaa valtion toimintaa,
– jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisessa tai kotitalouttaan koskevassa toiminnassa.”
Direktiivi 2002/58
4 Direktiivin 2002/58 johdanto-osan 2, 6, 7, 11, 22, 26 ja 30 perustelukappaleessa todetaan seuraavaa:
”(2) Tässä direktiivissä pyritään kunnioittamaan perusoikeuksia ja siinä noudatetaan erityisesti [perusoikeuskirjassa] tunnustettuja periaatteita. Tässä direktiivissä pyritään erityisesti varmistamaan [perusoikeuskirjan] 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen.
– –
(6) Internet mullistaa markkinoiden perinteisiä rakenteita tarjoamalla käyttöön yhteisen ja maailmanlaajuisen infrastruktuurin, jossa voidaan jakaa laajaa valikoimaa sähköisiä viestintäpalveluja. Internetissä yleisesti saatavilla olevat sähköiset viestintäpalvelut avaavat käyttäjille uusia mahdollisuuksia, mutta aiheuttavat samalla heidän henkilötietoihinsa ja yksityisyyteensä liittyviä uusia riskejä.
(7) Yleisten viestintäverkkojen osalta olisi annettava erityiset lait, asetukset ja tekniset määräykset, jotta luonnollisten henkilöiden perusoikeudet ja -vapaudet sekä oikeushenkilöiden oikeutetut edut voidaan suojata ottaen erityisesti huomioon tilaajia ja käyttäjiä koskevien tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntyminen.
– –
(11) Tämä direktiivi, samoin kuin direktiivi [95/46], ei koske perusoikeuksien ja -vapauksien turvaamista sellaisessa toiminnassa, joka ei kuulu [unionin] oikeuden soveltamisalaan. Tästä syystä se ei vaikuta tasapainoon, joka tällä hetkellä vallitsee yksittäisten henkilöiden yksityisyyden suojan ja niiden tämän direktiivin 15 artiklan 1 kohdassa tarkoitettujen toimenpiteiden välillä, joita jäsenvaltiot voivat toteuttaa yleisen turvallisuuden, maanpuolustuksen tai valtion turvallisuuden (valtion taloudellinen hyvinvointi mukaan lukien, kun toimet liittyvät valtion turvallisuuteen) suojelemiseksi sekä rikosoikeuden täytäntöönpanemiseksi. Näin ollen tämä direktiivi ei vaikuta jäsenvaltioiden mahdollisuuteen harjoittaa sähköisen viestinnän laillista telekuuntelua tai toteuttaa muita toimenpiteitä, jos ne ovat välttämättömiä edellä mainittuja tarkoituksia varten ja jos noudatetaan [Roomassa 4.11.1950 allekirjoitettua] ihmisoikeuksien ja perusvapauksien suojaamiseksi tehtyä eurooppalaista yleissopimusta sellaisena kuin sitä on Euroopan ihmisoikeustuomioistuimen päätöksissä tulkittu. Näiden toimenpiteiden on oltava asianmukaisia, niiden on ehdottomasti oltava oikeassa suhteessa niiden tarkoitukseen nähden sekä välttämättömiä demokraattisessa yhteiskunnassa ja ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn eurooppalaisen yleissopimuksen mukaisia asianmukaisia suojamääräyksiä olisi sovellettava niihin.
– –
(22) Muiden kuin käyttäjien toimesta tai ilman käyttäjän suostumusta tapahtuvan viestinnän ja siihen liittyvien liikennetietojen tallentamisen kiellolla ei ole tarkoitus kieltää näiden tietojen automaatti-, väli- tai väliaikaistallennusta, jos sen ainoana tarkoituksena on välittää viestintää sähköisessä viestintäverkossa, edellyttäen, että tietoja ei tallenneta pidempään kuin on tarpeen niiden välittämistä ja liikenteen hallintaa varten ja että niiden luottamuksellisuus voidaan taata myös niiden ollessa tallennettuina. Jos tallentaminen on välttämätöntä yleisesti saatavilla olevan tiedon tehokkaammaksi edelleen siirtämiseksi palvelun muille vastaanottajille heidän pyynnöstään, tällä direktiivillä ei olisi estettävä kyseisen tiedon pitämistä tallennettuna, mikäli tiedot ovat joka tapauksessa rajoituksetta yleisesti saatavilla ja jos kaikki tiedot, jotka viittaavat tällaisia tietoja pyytäneisiin yksittäisiin tilaajiin ja käyttäjiin, poistetaan.
– –
(26) Tilaajiin liittyvät tiedot, joita käsitellään sähköisissä viestintäverkoissa liittymien luomiseksi ja tietojen välittämiseksi, sisältävät tietoja luonnollisten henkilöiden yksityiselämästä ja koskevat heidän oikeuttaan viestintänsä suojaan tai oikeushenkilöiden oikeutettuja etuja. Tällaista tietoa voidaan tallentaa vain siinä määrin, kuin se on palvelun tarjoamisen kannalta välttämätöntä laskutuksen tai yhteenliittämismaksujen vuoksi ja vain rajoitetun ajan. Kaikki muu tällaisen tiedon jatkokäsittely – – sallitaan ainoastaan, jos tilaaja on tähän suostunut yleisesti saatavilla olevan sähköisen viestintäpalvelun tarjoajan hänelle antamien täsmällisten ja täydellisten tietojen perusteella, jotka koskevat näitä suunniteltuja jatkokäsittelymuotoja ja tilaajan oikeutta olla antamatta suostumustaan tai peruuttaa suostumuksensa tällaiseen käsittelyyn. Viestintäpalvelujen markkinointiin – – käytettävät liikennetiedot olisi myös poistettava tai tehtävä nimettömiksi – –.
– –
(30) Sähköisiä viestintäverkkoja ja -palveluita tarjoavat järjestelmät olisi suunniteltava niin, että tarvittavien henkilötietojen määrä rajoitetaan mahdollisimman pieneksi. – –”
5 Direktiivin 2002/58 1 artiklassa, jonka otsikko on ”Soveltamisala ja tavoite”, säädetään seuraavaa:
”1. Tässä direktiivissä säädetään sellaisten kansallisten säännösten yhdenmukaistamisesta, joita tarvitaan samantasoisen perusoikeuksien ja -vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla sekä tällaisten tietojen ja sähköisten viestintälaitteiden ja -palvelujen vapaan liikkuvuuden varmistamiseksi [Euroopan unionissa].
2. Tämän direktiivin säännöksillä täsmennetään ja täydennetään direktiiviä [95/46] edellä 1 kohdassa mainittuja tarkoituksia varten. Niissä säädetään lisäksi tilaajien, jotka ovat oikeushenkilöitä, oikeutettujen etujen suojelemisesta.
3. Tätä direktiiviä ei sovelleta [EUT-sopimuksen] soveltamisalan ulkopuolelle jääviin toimiin, kuten niihin, joita Euroopan unionista tehdyn sopimuksen V ja VI osasto koskee, eikä missään tapauksessa yleistä turvallisuutta, puolustusta ja valtion turvallisuutta (mukaan lukien valtion taloudellinen hyvinvointi, kun toimet liittyvät valtion turvallisuuteen) koskeviin toimiin eikä valtion toimiin rikosoikeuden alalla.”
6 Kyseisen direktiivin 2 artiklassa, jonka otsikko on ”Määritelmät”, säädetään seuraavaa:
”Jollei toisin ole säädetty, tässä direktiivissä sovelletaan direktiivin [95/46] ja sähköisten viestintäverkkojen ja -palvelujen yhteisestä sääntelyjärjestelmästä (puitedirektiivi) 7 päivänä maaliskuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/21/EY [(EYVL 2002, L 108, s. 33)] sisältämiä määritelmiä.
Lisäksi tässä direktiivissä tarkoitetaan
a) ’käyttäjällä’ luonnollisia henkilöitä, jotka käyttävät yleisesti saatavilla olevaa sähköistä viestintäpalvelua yksityis- tai liikeasioihin olematta välttämättä tämän palvelun tilaajia;
b) ’liikennetiedoilla’ tietoja, joita käsitellään sähköisessä viestintäverkossa välitettävää viestintää tai sen laskutusta varten;
c) ’paikkatiedoilla’ sähköisessä viestintäverkossa tai sähköisen viestintäpalvelun avulla käsiteltäviä tietoja, jotka ilmaisevat yleisesti saatavilla olevan sähköisen viestintäpalvelun käyttäjän päätelaitteen maantieteellisen sijainnin;
d) ’viestinnällä’ tietoa, jota vaihdetaan tai jota siirretään tiettyjen osapuolten kesken yleisesti saatavilla olevan sähköisen viestintäpalvelun avulla. Määritelmään ei sisälly tieto, joka välitetään yleisradiotoiminnan yhteydessä yleisölle sähköisessä viestintäverkossa, paitsi siltä osin kuin tieto voidaan yhdistää tietoa vastaanottavaan tunnistettavissa olevaan tilaajaan tai käyttäjään;
– –”
7 Mainitun direktiivin 3 artiklassa, jonka otsikko on ”Palvelut”, säädetään seuraavaa:
”Tätä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa [unionissa], mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot.”
8 Direktiivin 2002/58 5 artiklassa, jonka otsikko on ”Viestinnän luottamuksellisuus”, säädetään seuraavaa:
”1. Jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus. Niiden on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti. Mitä tässä kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista.
– –
3. Jäsenvaltioiden on varmistettava, että tietojen tallentaminen tai tilaajan tai käyttäjän päätelaitteelle tallennettujen tietojen käyttäminen sallitaan ainoastaan sillä edellytyksellä, että kyseinen tilaaja tai käyttäjä on antanut suostumuksensa saatuaan selkeät ja kattavat tiedot muun muassa käsittelyn tarkoituksesta direktiivin [95/46] mukaisesti. Tämä ei estä teknistä tallentamista tai käyttöä, jonka ainoana tarkoituksena on toteuttaa viestinnän välittäminen sähköisissä viestintäverkoissa tai joka on ehdottoman välttämätöntä tietoyhteiskuntapalvelun tarjoajalle sellaisen palvelun tarjoamiseksi, jota tilaaja tai käyttäjä on erityisesti pyytänyt.”
9 Direktiivin 2002/58 6 artiklassa, jonka otsikko on ”Liikennetiedot”, säädetään seuraavaa:
”1. Tilaajia ja käyttäjiä koskevat liikennetiedot, jotka yleisen viestintäverkon tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja käsittelee ja tallentaa, on poistettava tai tehtävä nimettömiksi, kun niitä ei enää tarvita viestinnän välittämiseen, sanotun kuitenkaan rajoittamatta tämän artiklan 2, 3 ja 5 kohdan sekä 15 artiklan 1 kohdan soveltamista.
2. Tilaajalaskutusta ja yhteenliittämismaksuja varten tarvittavia liikennetietoja voidaan käsitellä. Tällainen käsittely on sallittua ainoastaan sen ajanjakson loppuun asti, jona lasku voidaan laillisesti riitauttaa tai maksu periä.
3. Yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoaja voi sähköisten viestintäpalvelujen markkinoimiseksi tai lisäarvopalvelujen tarjoamiseksi käsitellä 1 kohdassa tarkoitettuja tietoja siinä määrin ja niin kauan kuin tällainen palvelu tai markkinointi sitä edellyttää, jos tilaaja tai käyttäjä, jota tiedot koskevat, on antanut siihen ennakolta suostumuksensa. Käyttäjille tai tilaajille on annettava mahdollisuus perua liikennetietojen käsittelyä koskeva suostumuksensa milloin tahansa.
– –
5. Liikennetietojen käsittely 1, 2, 3 ja 4 kohdan mukaisesti on rajoitettava yleisten viestintäverkkojen ja yleisesti saatavilla olevien palvelujen tarjoajien vastuulla toimiviin henkilöihin, jotka käsittelevät laskutusta tai liikenteenhallintaa, asiakastiedusteluja, petosten paljastamista, sähköisten viestintäpalvelujen markkinoimista tai lisäarvopalvelujen tarjoamista, ja sitä voidaan suorittaa ainoastaan kyseisten toimien vaatimassa laajuudessa.”
10 Kyseisen direktiivin 9 artiklan, jonka otsikko on ”Muut paikkatiedot kuin liikennetiedot”, 1 kohdassa säädetään seuraavaa:
”Jos yleisten viestintäverkkojen tai yleisesti saatavilla olevien sähköisten viestintäpalvelujen käyttäjien tai tilaajien muita paikkatietoja kuin liikennetietoja voidaan käsitellä, näitä tietoja saa käsitellä vain silloin, kun ne on tehty nimettömiksi tai jos käyttäjät tai tilaajat ovat antaneet siihen suostumuksensa, ja tietoja saa käsitellä ainoastaan siinä määrin ja niin kauan kuin lisäarvopalvelujen tarjoaminen edellyttää. Ennen kuin käyttäjät tai tilaajat antavat suostumuksensa, palvelun tarjoajan on ilmoitettava heille, minkä tyyppisiä muita paikkatietoja kuin liikennetietoja käsitellään, mikä on käsittelyn tarkoitus ja kuinka kauan se kestää sekä siirretäänkö tiedot kolmannelle osapuolelle lisäarvopalvelun tarjoamista varten. – –”
11 Mainitun direktiivin 15 artiklan, jonka otsikko on ”Direktiivin [95/46] tiettyjen säännösten soveltaminen”, 1 kohdassa säädetään seuraavaa:
”Jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa, jos tällaiset rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia demokraattisen yhteiskunnan toimenpiteitä kansallisen turvallisuuden (valtion turvallisuus) sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi direktiivin [95/46] 13 artiklan 1 kohdan mukaisesti. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä sellaiseksi rajoitetuksi ajaksi, joka on perusteltua tässä kohdassa säädetyistä syistä. Kaikkien tässä kohdassa tarkoitettujen toimenpiteiden on oltava [unionin] oikeuden yleisten periaatteiden mukaisia, mukaan lukien Euroopan unionista tehdyn sopimuksen 6 artiklan 1 ja 2 kohdassa tarkoitetut periaatteet.”
Asetus 2016/679
12 Asetuksen 2016/679 2 artiklassa säädetään seuraavaa:
”1. Tätä asetusta sovelletaan henkilötietojen käsittelyyn, joka on osittain tai kokonaan automaattista, sekä sellaisten henkilötietojen käsittelyyn muussa kuin automaattisessa muodossa, jotka muodostavat rekisterin osan tai joiden on tarkoitus muodostaa rekisterin osa.
2. Tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;
b) jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;
– –
d) jota toimivaltaiset viranomaiset suorittavat rikosten ennalta estämistä, tutkintaa, paljastamista tai rikoksiin liittyviä syytetoimia varten tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten.
– –”
13 Kyseisen asetuksen 4 artiklassa säädetään seuraavaa:
”Tässä asetuksessa tarkoitetaan
– –
2) ’käsittelyllä’ toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista,
– –”
14 Saman asetuksen 23 artiklan 1 kohdassa säädetään seuraavaa:
”Rekisterinpitäjään tai henkilötietojen käsittelijään sovellettavassa unionin oikeudessa tai jäsenvaltion lainsäädännössä voidaan lainsäädäntötoimenpiteellä rajoittaa 12–22 artiklassa ja 34 artiklassa sekä 5 artiklassa, siltä osin kuin sen säännökset vastaavat 12–22 artiklassa säädettyjä oikeuksia ja velvollisuuksia, säädettyjen velvollisuuksien ja oikeuksien soveltamisalaa, jos kyseisessä rajoituksessa noudatetaan keskeisiltä osin perusoikeuksia ja -vapauksia ja se on demokraattisessa yhteiskunnassa välttämätön ja oikeasuhteinen toimenpide, jotta voidaan taata
a) kansallinen turvallisuus;
b) puolustus;
c) yleinen turvallisuus;
d) rikosten ennalta estäminen, tutkinta, paljastaminen tai rikoksiin liittyvät syytetoimet taikka rikosoikeudellisten seuraamusten täytäntöönpano, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu tai tällaisten uhkien ehkäisy;
e) muut unionin tai jäsenvaltion yleiseen julkiseen etuun liittyvät tärkeät tavoitteet, erityisesti unionille tai jäsenvaltiolle tärkeä taloudellinen tai rahoituksellinen etu, mukaan lukien rahaan, talousarvioon ja verotukseen liittyvät asiat sekä kansanterveys ja sosiaaliturva;
f) oikeudellisen riippumattomuuden ja oikeudellisten menettelyjen suojelu;
g) säänneltyä ammattitoimintaa koskevan ammattietiikan rikkomisen torjunta, tutkinta, selvittäminen ja syytteeseenpano;
h) valvonta-, tarkastus- tai sääntelytehtävä, joka satunnaisestikin liittyy julkisen vallan käyttöön a–e ja g alakohdassa tarkoitetuissa tapauksissa;
i) rekisteröidyn suojelu tai muiden oikeudet ja vapaudet.
j) yksityisoikeudellisten kanteiden täytäntöönpano.”
15 Asetuksen 2016/679 94 artiklan 2 kohdassa säädetään seuraavaa:
”Viittauksia kumottuun direktiiviin pidetään viittauksina tähän asetukseen. Viittauksia direktiivin [95/46] 29 artiklalla perustettuun tietosuojatyöryhmään pidetään viittauksina tällä asetuksella perustettuun Euroopan tietosuojaneuvostoon.”
Yhdistyneen kuningaskunnan oikeus
16 Vuoden 1984 televiestintälain (Telecommunications Act 1984), sellaisena kuin sitä sovelletaan pääasian tosiseikkoihin (jäljempänä vuoden 1984 laki), 94 §:ssä, jonka otsikko on ”Kansallisen turvallisuuden vuoksi annettavat ohjaavat määräykset jne.”, säädetään seuraavaa:
”(1) Ministeri voi tämän pykälän soveltamisalaan kuuluvaa henkilöä kuultuaan antaa kyseiselle henkilölle yleisiä ohjaavia määräyksiä, joita hän pitää tarpeellisina sellaisten etujen vuoksi, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan maan tai alueen hallituksen kanssa.
(2) Jos ministerin on tarpeen toimia näin sellaisten etujen vuoksi, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan maan tai alueen hallituksen kanssa, hän voi tämän pykälän soveltamisalaan kuuluvaa henkilöä kuultuaan antaa kyseiselle henkilölle ohjaavia määräyksiä pyytämällä häntä (tapauksen olosuhteiden mukaan) panemaan täytäntöön jotain, joka määritetään ohjaavissa määräyksissä, tai olemaan panematta sitä täytäntöön.
(2A) Ministeri voi antaa 1 tai 2 momentin nojalla ohjaavia määräyksiä vain, jos hän katsoo, että ohjaavissa määräyksissä edellytetty menettely on oikeassa suhteessa tällä menettelyllä tavoiteltuun päämäärään nähden.
(3) Henkilön, johon tätä pykälää sovelletaan, on pantava täytäntöön kaikki ministerin hänelle tämän pykälän nojalla antamat ohjeelliset määräykset, riippumatta hänelle vuoden 2003 viestintälain [Communications Act 2003] 1 osan tai 2 osan 1 luvun nojalla kuuluvista muista velvollisuuksista ja, jos kyse on yleisen sähköisen viestintäverkon tarjoajalle annetuista ohjeellisista määräyksistä, vaikka kyseisiä ohjeellisia määräyksiä sovellettaisiin häneen muun kuin tällaiseen verkkoon pääsyn tarjoajan ominaisuudessa.
(4) Ministeri toimittaa parlamentin kummallekin huoneelle jäljennöksen kaikista tämän pykälän nojalla annetuista ohjeellisista määräyksistä, paitsi jos hän katsoo, että näiden ohjeellisten määräysten julkistaminen olisi vastoin etuja, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan maan tai alueen hallituksen kanssa, taikka jonkun henkilön kaupallisia etuja.
(5) Henkilö ei saa julkistaa tai joutua julkistamaan lain nojalla tai muutoin mitään tietoja mistään, johon on ryhdytty tämän pykälän nojalla, jos ministeri on ilmoittanut hänelle katsovansa, että näiden tietojen julkistaminen olisi vastoin etuja, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan maan tai alueen hallituksen kanssa, taikka jonkun henkilön kaupallisia etuja.
– –
(8) Tätä pykälää sovelletaan [Office of communicationsiin (viestintävirasto) (OFCOM)] ja yleisten sähköisten viestintäverkkojen tarjoajiin.”
17 Tutkintavaltuuksista annetun vuoden 2000 lain (Regulation of Investigatory Powers Act 2000, jäljempänä RIPA) 21 §:n 4 ja 6 momentissa säädetään seuraavaa:
”(4) – –’viestintätiedoilla’ tarkoitetaan mitä tahansa seuraavista:
(a) liikennetietoja, jotka sisältyvät tai on liitetty (lähettäjän toimesta tai muutoin) viestiin mitä tahansa viestin välittämiseen käytettävää tai käytettävissä olevaa postipalvelua tai televiestintäjärjestelmää varten
(b) tietoja, jotka eivät käsitä viestin sisältöä (lukuun ottamatta a kohdassa tarkoitettuja tietoja) ja jotka koskevat kenen tahansa henkilön
(i) minkä tahansa postipalvelun tai televiestintäpalvelun käyttöä tai
(ii) minkä tahansa televiestintäjärjestelmän osan käyttöä, joka liittyy televiestintäpalvelun tarjoamiseen kenelle tahansa tai kenen tahansa minkä tahansa televiestintäpalvelun käyttöön
(c) minkä tahansa sellaisen tiedon käyttöä, joka ei kuulu a tai b kohdan soveltamisalaan ja joka koskee postipalvelun tai televiestintäpalvelun tarjoajan hallussa olevaa tai tämän saamaa tietoa henkilöistä, joille palvelua tarjotaan.
– –
(6) – – minkä tahansa viestin ’liikennetiedoilla’ tarkoitetaan
(a) kaikkia kenen tahansa henkilön, minkä tahansa laitteen tai sijainnin, johon tai josta viesti välitetään tai se voidaan välittää, tunnistetietoja ja tunnistamisen mahdollistavia tietoja
(b) kaikkia laitteen, josta viesti on välitetty tai josta se voidaan välittää, tunnistetietoja ja valintatietoja sekä tunnistamisen tai valinnan mahdollistavia tietoja
(c) kaikkia tietoja, joihin sisältyy signaaleja viestintäjärjestelmässä käytettävän laitteen toimintaa varten minkä tahansa viestin välittämiseksi
(d) kaikkia tietoja, joilla tunnistetaan tiedot tai muut tiedot yksittäiseen viestiin sisältyviksi tai liitetyiksi tiedoiksi.
– –”
18 RIPA:n 65–69 §:ssä vahvistetaan Investigatory Powers Tribunalin (tutkintavaltuuksia koskevia asioita käsittelevä tuomioistuin, Yhdistynyt kuningaskunta) toimintaa ja toimivaltaa koskevat säännöt. Kyseisen lain 65 §:n mukaan tälle tuomioistuimelle voidaan tehdä valituksia, jos on syytä olettaa, että tiedot on saatu epäasianmukaisesti.
Pääasia ja ennakkoratkaisukysymykset
19 Yhdistyneen kuningaskunnan eri turvallisuus- ja tiedustelupalvelujen eli GCHQ:n, MI5:n ja MI6:n omaksumat valikoimattomien viestintätietojen keräämistä ja käyttämistä koskevat menettelytavat julkistettiin vuoden 2015 alkupuolella muun muassa Intelligence and Security Committee of Parliamentin (parlamentin tiedustelu- ja turvallisuusvaliokunta, Yhdistynyt kuningaskunta) raportissa. Kansalaisjärjestö Privacy International nosti 5.6.2015 Investigatory Powers Tribunalissa kanteen ulko- ja kansainyhteisöasiain ministeriä, sisäasiainministeriä sekä näitä turvallisuus- ja tiedustelupalveluja vastaan ja riitautti kyseisten menettelytapojen laillisuuden.
20 Ennakkoratkaisua pyytänyt tuomioistuin tutki mainittujen menettelytapojen laillisuuden ensinnäkin kansallisen oikeuden sekä Roomassa 4.11.1950 allekirjoitetun ihmisoikeuksien ja perusvapauksien suojaamiseksi tehdyn yleissopimuksen (jäljempänä Euroopan ihmisoikeussopimus) määräysten kannalta ja tämän jälkeen unionin oikeuden kannalta. Kyseinen tuomioistuin totesi 17.10.2016 antamassaan tuomiossa, että pääasian vastaajat olivat myöntäneet, että mainitut turvallisuus- ja tiedustelupalvelut keräävät ja käyttävät toiminnassaan yksityishenkilöitä koskevia valikoimattomia tietokokonaisuuksia (bulk personal data), kuten biografisia tietoja tai matkatietoja, rahoitustietoja tai kaupallisia tietoja, viestintään liittyviä tietoja, jotka saattavat sisältää salassapitovelvollisuuden piiriin kuuluvia arkaluonteisia tietoja, taikka journalistista aineistoa. Nämä tiedot, jotka saadaan erilaisin, mahdollisesti salaisin keinoin, analysoidaan ristiintarkastuksella ja automaattisella käsittelyllä, ja ne voidaan julkistaa muille henkilöille ja viranomaisille ja jakaa ulkomaisten kumppaneiden kanssa. Turvallisuus- ja tiedustelupalvelut käyttävät tässä yhteydessä myös valikoimattomia viestintätietoja, jotka kerätään yleisten sähköisten viestintäverkkojen tarjoajilta muun muassa vuoden 1984 lain 94 §:n perusteella annettujen ministerin ohjeellisten määräysten nojalla. GCHQ on toiminut tällä tavoin vuodesta 2001 ja MI5 vuodesta 2005 alkaen.
21 Mainittu tuomioistuin katsoi, että nämä tietojen keräämistä ja käyttöä koskevat toimenpiteet ovat kansallisen oikeuden mukaisia ja vuodesta 2015 lähtien – jollei vielä tutkimattomista kysymyksistä, jotka koskevat mainittujen toimenpiteiden oikeasuhteisuutta ja tietojen siirtämistä kolmansille osapuolille, muuta johdu – Euroopan ihmisoikeussopimuksen 8 artiklan mukaisia. Se täsmensi viimeksi mainitun seikan osalta, että sille on esitetty todisteita sovellettavista takeista muun muassa turvallisuus- ja tiedustelupalvelujen ulkopuolella noudatettavien tietojen saantia ja julkistamista koskevien menettelyjen, tietojen säilyttämistapojen ja riippumattomien valvontajärjestelyjen osalta.
22 Siltä osin kuin on kyse pääasiassa kyseessä olevien keräämistä ja käyttöä koskevien toimenpiteiden laillisuudesta unionin oikeuden kannalta ennakkoratkaisua pyytänyt tuomioistuin tutki 8.9.2017 antamassaan tuomiossa, kuuluivatko nämä toimenpiteet unionin oikeuden soveltamisalaan, ja jos näin oli, olivatko ne yhteensopivia unionin oikeuden kanssa. Kyseinen tuomioistuin totesi valikoimattomista viestintätiedoista, että sähköisten viestintäverkkojen tarjoajien on vuoden 1984 lain 94 §:n nojalla silloin, kun ministeri on antanut tätä koskevia ohjaavia määräyksiä, toimitettava unionin oikeuden soveltamisalaan kuuluvan taloudellisen toimintansa yhteydessä kerätyt tiedot turvallisuus- ja tiedustelupalveluille. Näin ei sitä vastoin ole sellaisten muiden tietojen keräämisen osalta, jotka turvallisuus- ja tiedustelupalvelut olivat saaneet turvautumatta tällaisiin sitoviin valtuuksiin. Tämän toteamuksen perusteella kyseinen tuomioistuin katsoi tarpeelliseksi esittää unionin tuomioistuimelle kysymyksiä ratkaistakseen sen, kuuluuko kyseiseen 94 §:ään perustuvan kaltainen järjestelmä unionin oikeuden soveltamisalaan, ja jos näin on, sovelletaanko tähän järjestelmään – ja millä tavoin – 21.12.2016 annettuun tuomioon Tele2 Sverige ja Watson ym. (C-203/15 ja C-698/15, EU:C:2016:970; jäljempänä Tele2-tuomio) perustuvassa oikeuskäytännössä asetettuja vaatimuksia.
23 Ennakkoratkaisua pyytänyt tuomioistuin toteaa tältä osin ennakkoratkaisupyynnössään, että mainitun 94 §:n mukaan ministeri voi antaa sähköisten viestintäpalvelujen tarjoajille yleisiä tai erityisiä ohjaavia määräyksiä, joita hän pitää tarpeellisina sellaisten etujen vuoksi, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin Yhdistyneen kuningaskunnan ulkopuolella sijaitsevan maan tai alueen hallituksen kanssa. Kyseinen tuomioistuin viittaa RIPA:n 21 §:n 4 ja 6 momentissa oleviin määritelmiin ja täsmentää, että kyseessä olevat tiedot sisältävät viimeksi mainitussa säännöksessä tarkoitetut liikennetiedot ja käytettyjä palveluja koskevat tiedot ja ainoastaan viestinnän sisältö on suljettu pois. Näiden tietojen perusteella voidaan muun muassa selvittää jonkin viestin osalta, ”kuka, missä, milloin ja miten”. Mainitut tiedot siirretään turvallisuus- ja tiedustelupalveluille, ja viimeksi mainitut säilyttävät ne toimintaansa varten.
24 Ennakkoratkaisua pyytäneen tuomioistuimen mukaan pääasiassa kyseessä oleva järjestelmä eroaa järjestelmästä, joka perustuu tietojen säilyttämisestä ja tutkintavaltuuksista annettuun vuoden 2014 lakiin (Data Retention and Investigatory Powers Act 2014), josta oli kyse 21.12.2016 annetun tuomion Tele2 (C-203/15 ja C-698/15, EU:C:2016:970) taustalla olleessa asiassa, koska viimeksi mainitussa järjestelmässä säädettiin siitä, että sähköisten viestintäpalvelujen tarjoajat säilyttävät tiedot ja asettavat ne kansallisen turvallisuuden vuoksi turvallisuus- ja tiedustelupalvelujen lisäksi myös muiden viranomaisten saataville niiden tarpeista riippuen. Kyseinen tuomio koski lisäksi rikostutkintaa eikä kansallista turvallisuutta.
25 Ennakkoratkaisua pyytänyt tuomioistuin toteaa vielä, että turvallisuus- ja tiedustelupalvelujen luomia tietokantoja käsitellään yleisellä tasolla valikoimattomasti ja automaattisesti mahdollisten tuntemattomien uhkien olemassaolon paljastamiseksi. Kyseinen tuomioistuin toteaa tässä tarkoituksessa, että näin luotujen metatietokokonaisuuksien on oltava mahdollisimman täydellisiä, jotta käytössä voi olla ”heinäsuopa”, josta siihen piilotettu ”neula” on mahdollista löytää. Siltä osin kuin on kyse turvallisuus- ja tiedustelupalvelujen toimesta tapahtuvan valikoimattomien tietojen keräämisen hyödyllisyydestä ja kyseisiin tietoihin tutustumista koskevista menetelmistä mainittu tuomioistuin viittaa erityisesti niihin päätelmiin, jotka on esitetty kertomuksessa, jonka on laatinut 19.8.2016 David Anderson, QC, joka oli tuolloin United Kingdom Independent Reviewer of Terrorism Legislation (Yhdistyneen kuningaskunnan riippumaton terrorismia koskevan lainsäädännön tarkastaja) ja joka on kyseistä kertomusta laatiessaan nojautunut tiedusteluasiantuntijaryhmän tekemään selvitykseen ja turvallisuus- ja tiedustelupalvelujen edustajien todistajanlausuntoon.
26 Ennakkoratkaisua pyytänyt tuomioistuin täsmentää myös, että Privacy Internationalin mukaan pääasiassa kyseessä oleva järjestelmä on unionin oikeuden kannalta lainvastainen, kun taas pääasian vastaajat katsovat, että tässä järjestelmässä säädetty velvollisuus siirtää tietoja, oikeus saada näitä tietoja ja tietojen käyttö eivät kuulu unionin toimivaltaan muun muassa sen SEU 4 artiklan 2 kohdan nojalla, jonka mukaan kansallinen turvallisuus on edelleen yksinomaan kunkin jäsenvaltion vastuulla.
27 Ennakkoratkaisua pyytänyt tuomioistuin katsoo tässä yhteydessä 30.5.2006 annetun tuomion parlamentti v. neuvosto ja komissio (C-317/04 ja C-318/04, EU:C:2006:346, 56–59 kohta) perusteella, joka koskee PNR-tietojen (Passanger Name Record) siirtämistä yleisen turvallisuuden suojaamiseksi, että kaupallisten yhtiöiden toiminta kerättäessä ja siirrettäessä tietoja kansallisen turvallisuuden suojaamiseksi ei vaikuta kuuluvan unionin oikeuden soveltamisalaan. Ennakkoratkaisua pyytäneen tuomioistuimen mukaan ei ole tarpeen tutkia, onko kyseessä oleva toiminta tietojen käsittelyä, vaan on ainoastaan tutkittava, onko tällaisen toiminnan tarkoituksena sisällöltään ja vaikutukseltaan tukea SEU 4 artiklan 2 kohdassa tarkoitettua keskeistä valtion tehtävää viranomaisten yleisen turvallisuuden osalta asettamissa puitteissa.
28 Jos pääasiassa kyseessä olevat toimenpiteet kuuluvat kuitenkin unionin oikeuden soveltamisalaan, ennakkoratkaisua pyytänyt tuomioistuin katsoo, että 21.12.2016 annetun tuomion Tele2 (C-203/15 ja C-698/15, EU:C:2016:970) 119–125 kohdassa esitetyt vaatimukset vaikuttavat kansallisen turvallisuuden yhteydessä epäasianmukaisilta ja ne ovat omiaan rajoittamaan turvallisuus- ja tiedustelupalvelujen kykyä hallita tiettyjä kansalliseen turvallisuuteen kohdistuvia uhkia.
29 Tässä tilanteessa Investigatory Powers Tribunal päätti lykätä asian käsittelyä ja esittää unionin tuomioistuimelle seuraavat ennakkoratkaisukysymykset:
”Olosuhteissa, joissa
a) [turvallisuus- ja tiedustelupalvelujen] mahdollisuudet käyttää niille toimitettuja [valikoimattomia viestintätietoja] ovat olennaisia Yhdistyneen kuningaskunnan kansallisen turvallisuuden suojaamiseksi, erityisesti terrorismin torjunnan, vastavakoilun ja ydinaseiden leviämisen estämisen aloilla
b) turvallisuus- ja tiedustelupalvelujen [valikoimattomien viestintätietojen] käytön yksi keskeinen tavoite on se, että löydetään aiemmin tuntemattomia kansallisen turvallisuuden uhkia käyttämällä kohdentamattomia suureen tietomäärään käytettäviä tekniikoita, jotka edellyttävät, että [valikoimattomat viestintätiedot] kootaan yhteen paikkaan. Sen pääasiallinen hyöty on nopeassa kohteiden tunnistamisessa ja kehittämisessä sekä siinä, että se on toiminnan perustana välittömän uhan ilmetessä
c) sähköisen viestintäverkon tarjoajan ei edellytetä tämän jälkeen säilyttävän (pidempään kuin sen tavanomaiset liiketoimintaa koskevat vaatimukset edellyttävät) [valikoimattomia viestintätietoja], jotka jäävät yksinomaan valtion [(turvallisuus- ja tiedustelupalvelujen)] haltuun
d) kansallinen tuomioistuin on katsonut, että (tietyin varauksin) [turvallisuus- ja tiedustelupalvelujen] [valikoimattomien viestintätietojen] käyttöä koskevat takeet ovat yhteensopivia Euroopan ihmisoikeussopimuksessa asetettujen vaatimusten kanssa; ja
e) kansallinen tuomioistuin on katsonut, että velvoittaminen täyttämään [21.12.2015 annetun tuomion Tele2 (C-203/15 ja C-698/15, EU:C:2016:970)] 119–125 kohdassa täsmennetyt vaatimukset – jos niitä sovelletaan – tekisi tyhjäksi turvallisuus- ja tiedustelupalvelujen kansallisen turvallisuuden varmistamiseksi toteuttamat toimenpiteet ja näin vaarantaisi Yhdistyneen kuningaskunnan turvallisuuden;
1) Kun otetaan huomioon SEU 4 artikla ja [direktiivin 2002/58] 1 artiklan 3 kohta, kuuluuko ministerin sähköisen viestintäverkon tarjoajalle antamaan ohjaavaan määräykseen sisältyvä vaatimus siitä, että tämän on toimitettava valikoimattomia viestintätietoja jäsenvaltion tiedustelu- ja turvallisuuspalveluille, unionin oikeuden ja [direktiivin 2002/58] soveltamisalaan?
2) Jos ensimmäiseen kysymykseen vastataan myöntävästi, sovelletaanko tällaiseen ministerin antamaan ohjaavaan määräykseen [21.12.2016 annetun tuomion Tele2 (C-203/15 ja C-698/15, EU:C:2016:970)] 119–125 kohdassa täsmennettyjä, säilytettäviin viestintätietoihin sovellettavia] vaatimuksia tai muita vaatimuksia Euroopan ihmisoikeussopimuksessa asetettujen vaatimusten lisäksi? Jos näin on, miten ja missä laajuudessa näitä vaatimuksia sovelletaan, kun otetaan huomioon se, että [tieto- ja turvallisuuspalvelujen] on ehdottoman tarpeellista käyttää suurien tietomäärien hankintaa ja automaattisen tietojenkäsittelyn tekniikoita kansallisen turvallisuuden suojaamiseksi, ja se, miten laajalti näitä mahdollisuuksia – jos ne ovat muuten Euroopan ihmisoikeussopimuksen mukaisia – tällaisten vaatimusten asettaminen voi vakavasti haitata?”
Ennakkoratkaisukysymysten tarkastelu
Ensimmäinen kysymys
30 Ennakkoratkaisua pyytänyt tuomioistuin tiedustelee ensimmäisellä kysymyksellään lähinnä, onko direktiivin 2002/58 1 artiklan 3 kohtaa, luettuna SEU 4 artiklan 2 kohdan valossa, tulkittava siten, että kyseisen direktiivin soveltamisalaan kuuluu kansallinen säännöstö, jonka mukaan valtion viranomainen voi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään turvallisuus- ja tiedustelupalveluille liikenne- ja paikkatietoja kansallisen turvallisuuden takaamiseksi.
31 Privacy International esittää tältä osin, että kun otetaan huomioon unionin tuomioistuimen oikeuskäytännöstä ilmenevät ohjeet direktiivin 2002/58 soveltamisalasta, kyseisen direktiivin soveltamisalaan kuuluu sekä se, että turvallisuus- ja tiedustelupalvelut keräävät tietoja näiltä tarjoajilta vuoden 1984 lain 94 §:n nojalla, että se, että ne käyttävät niitä, riippumatta siitä, kerätäänkö mainitut tiedot reaaliajassa tapahtuvalla siirtämisellä vai viiveellä. Eteenkään se, että kansallisen turvallisuuden suojaamista koskeva tavoite on nimenomaisesti mainittu mainitun direktiivin 15 artiklan 1 kohdassa, ei johda siihen, ettei kyseistä direktiiviä sovelleta tällaisiin tilanteisiin, eikä SEU 4 artiklan 2 kohdalla ole vaikutusta tähän arviointiin.
32 Yhdistyneen kuningaskunnan, Tšekin ja Viron hallitukset, Irlanti sekä Ranskan, Kyproksen, Unkarin, Puolan ja Ruotsin hallitukset väittävät sitä vastoin lähinnä, ettei direktiiviä 2002/58 voida soveltaa pääasiassa kyseessä olevaan kansalliseen säännöstöön, koska kyseisen säännöstön tarkoituksena on kansallisen turvallisuuden takaaminen. Turvallisuus- ja tiedustelupalvelujen toiminnot ovat jäsenvaltioiden keskeisiä tehtäviä, jotka liittyvät yleisen järjestyksen ylläpitämiseen sekä kansallisen turvallisuuden ja alueellisen koskemattomuuden takaamiseen, ja ne ovat näin ollen yksinomaan jäsenvaltioiden vastuulla, kuten muun muassa SEU 4 artiklan 2 kohdan kolmas virke osoittaa.
33 Näiden hallitusten mukaan direktiiviä 2002/58 ei siis voida tulkita siten, että kansalliset toimenpiteet, joilla pyritään takaamaan kansallinen turvallisuus, kuuluvat sen soveltamisalaan. Kyseisen direktiivin 1 artiklan 3 kohdassa rajataan direktiivin soveltamisala ja suljetaan sen ulkopuolelle, kuten jo direktiivin 95/46 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa säädettiin, toimet, jotka koskevat yleistä turvallisuutta, puolustusta ja valtion turvallisuutta. Nämä säännökset ilmentävät SEU 4 artiklan 2 kohdassa määrättyä toimivallan jakoa, eikä niillä olisi enää tehokasta vaikutusta, jos kansallisen turvallisuuden piiriin kuuluvien toimenpiteiden pitäisi olla direktiivin 2002/58 vaatimusten mukaisia. Ne toteavat lisäksi, ettei 30.5.2006 annettuun tuomioon parlamentti v. neuvosto ja komissio (C-317/04 ja C-318/04, EU:C:2006:346) perustuvaa unionin tuomioistuimen oikeuskäytäntöä, joka koskee direktiivin 95/46 3 artiklan 2 kohdan ensimmäistä luetelmakohtaa, voida soveltaa direktiivin 2002/58 1 artiklan 3 kohtaan.
34 Tältä osin on todettava, että direktiivin 2002/58 1 artiklan 1 kohdan mukaan direktiivissä säädetään sellaisten kansallisten säännösten yhdenmukaistamisesta, joita tarvitaan samantasoisen perusoikeuksien ja -vapauksien, erityisesti yksityisyyttä ja luottamuksellisuutta koskevan oikeuden, suojan varmistamiseksi henkilötietojen käsittelyssä sähköisen viestinnän alalla.
35 Kyseisen direktiivin 1 artiklan 3 kohdassa suljetaan direktiivin soveltamisalan ulkopuolelle ”valtion toimet” siinä tarkoitetuilla aloilla, joihin kuuluvat valtion toimet rikosoikeuden alalla ja yleistä turvallisuutta, puolustusta ja valtion turvallisuutta – mukaan lukien valtion taloudellinen hyvinvointi, kun toimet liittyvät valtion turvallisuuteen – koskevat toimet. Esimerkkeinä mainitut toimet ovat kussakin tapauksessa valtiolle tai valtion viranomaisille tyypillisiä toimia, jotka eivät liity yksityisten henkilöiden toiminta-aloihin (tuomio 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, 32 kohta oikeuskäytäntöviittauksineen).
36 Direktiivin 2002/58 3 artiklassa säädetään lisäksi, että kyseistä direktiiviä sovelletaan henkilötietojen käsittelyyn, joka liittyy yleisesti saatavilla olevien sähköisten viestintäpalvelujen tarjoamiseen yleisissä viestintäverkoissa unionissa, mukaan luettuina tiedonkeruu- ja tunnistuslaitteita tukevat yleiset viestintäverkot (jäljempänä sähköiset viestintäpalvelut). Mainitun direktiivin on siis katsottava sääntelevän tällaisten palvelujen tarjoajien toimia (tuomio 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, 33 kohta oikeuskäytäntöviittauksineen).
37 Tässä yhteydessä on todettava, että direktiivin 2002/58 15 artiklan 1 kohdan nojalla jäsenvaltiot voivat siinä säädetyin edellytyksin toteuttaa ”lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan tämän direktiivin 5 artiklassa, 6 artiklassa, 8 artiklan 1, 2, 3 ja 4 kohdassa sekä 9 artiklassa säädettyjen oikeuksien ja velvollisuuksien soveltamisalaa” (tuomio 21.12.2016, Tele2, C-203/15, EU:C:2016:970, 71 kohta).
38 Direktiivin 2002/58 15 artiklan 1 kohta edellyttää kuitenkin väistämättä, että siinä tarkoitetut kansalliset lainsäädännölliset toimenpiteet kuuluvat kyseisen direktiivin soveltamisalaan, koska siinä nimenomaisesti sallitaan jäsenvaltioiden toteuttavan niitä vain siinä säädettyjä edellytyksiä noudattaen. Tällaisilla toimenpiteillä säännellään lisäksi kyseisessä säännöksessä mainituissa tarkoituksissa sähköisten viestintäpalvelujen tarjoajien toimintaa (tuomio 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, 34 kohta oikeuskäytäntöviittauksineen).
39 Unionin tuomioistuin on todennut muun muassa näiden seikkojen perusteella, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna yhdessä sen 3 artiklan kanssa, on tulkittava siten, että sen soveltamisalaan kuuluu paitsi lainsäädännöllinen toimenpide, jossa sähköisten viestintäpalvelujen tarjoajat velvoitetaan säilyttämään liikenne- ja paikkatiedot, myös lainsäädännöllinen toimenpide, jossa ne velvoitetaan antamaan toimivaltaisille kansallisille viranomaisille oikeus saada näitä tietoja. Tällaiset lainsäädännölliset toimenpiteet merkitsevät näet välttämättä sitä, että kyseiset palveluntarjoajat käsittelevät mainittuja tietoja, eikä niitä voida –siltä osin kuin niillä säännellään näiden samojen palveluntarjoajien toimintaa – rinnastaa mainitun direktiivin 1 artiklan 3 kohdassa tarkoitettuihin valtiolle tyypillisiin toimiin (ks. vastaavasti tuomio 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, 35 ja 37 kohta oikeuskäytäntöviittauksineen).
40 Vuoden 1984 lain 94 §:n kaltaisesta lainsäädännöllisestä toimenpiteestä, jonka perusteella toimivaltainen viranomainen voi antaa sähköisten viestintäpalvelujen tarjoajille ohjeellisen määräyksen luovuttaa turvallisuus- ja tiedustelupalveluille valikoimattomia tietoja niitä siirtämällä, on todettava, että asetuksen 2016/679 4 artiklan 2 alakohdassa olevan määritelmän, jota on sovellettava direktiivin 2002/58 2 artiklan, luettuna yhdessä mainitun asetuksen 94 artiklan 2 kohdan kanssa, nojalla, henkilötietojen käsittelyllä tarkoitetaan ”toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, – – säilyttämistä, – – kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville – –”.
41 Tästä seuraa, että henkilötietojen luovuttaminen siirtämällä on – samoin kuin tietojen säilyttäminen tai asettaminen muutoin saataville – direktiivin 2002/58 3 artiklassa tarkoitettua käsittelyä ja kuuluu tämän johdosta kyseisen direktiivin soveltamisalaan (ks. vastaavasti tuomio 29.1.2008, Promusicae, C-275/06, EU:C:2008:54, 45 kohta).
42 Kun lisäksi otetaan huomioon tämän tuomion 38 kohdassa esitetyt seikat ja direktiivin 2002/58 yleinen rakenne, kyseisen direktiivin sellaisella tulkinnalla, jonka mukaan sen 15 artiklan 1 kohdassa tarkoitetut lainsäädännölliset toimenpiteet on suljettu mainitun direktiivin soveltamisalan ulkopuolelle sen vuoksi, että tavoitteet, joihin tällaisilla toimenpiteillä on vastattava, käyvät pääasiallisesti yksiin saman direktiivin 1 artiklan 3 kohdassa tarkoitettujen toimien tavoitteiden kanssa, kyseiseltä 15 artiklan 1 kohdalta riistettäisiin täysin sen tehokas vaikutus (ks. vastaavasti tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 72 ja 73 kohta).
43 Direktiivin 2002/58 1 artiklan 3 kohdassa olevaa toimien käsitettä ei siis voida, kuten julkisasiamies on pääosin huomauttanut antamansa ratkaisuehdotuksen La Quadrature du Net ym. (C-511/18 ja C-512/18, EU:C:2020:6) – johon hän viittaa nyt käsiteltävässä asiassa antamansa ratkaisuehdotuksen 24 kohdassa – 75 kohdassa, tulkita siten, että se kattaa kyseisen direktiivin 15 artiklan 1 kohdassa tarkoitetut lainsäädännölliset toimenpiteet.
44 SEU 4 artiklan 2 kohdan määräykset, joihin tämän tuomion 32 kohdassa mainitut hallitukset ovat viitanneet, eivät voi horjuttaa tätä päätelmää. Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan näet on niin, että vaikka jäsenvaltioiden asiana on määritellä keskeiset turvallisuusetunsa ja toteuttaa niiden sisäisen ja ulkoisen turvallisuuden varmistamiseen soveltuvat toimenpiteet, pelkästään se, että kansallinen toimenpide on annettu kansallisen turvallisuuden suojaamiseksi, ei voi johtaa siihen, ettei unionin oikeutta sovelleta, ja vapauttaa jäsenvaltioita velvollisuudesta noudattaa unionin oikeutta (ks. vastaavasti tuomio 4.6.2013, ZZ, C-300/11, EU:C:2013:363, 38 kohta oikeuskäytäntöviittauksineen; tuomio 20.3.2018, komissio v. Itävalta (Valtion painatuskeskus), C-187/16, EU:C:2018:194, 75 ja 76 kohta ja tuomio 2.4.2020, komissio v. Puola, Unkari ja Tšekki (Tilapäinen mekanismi kansainvälisen suojelun hakijoiden siirtämiseksi), C-715/17, C-718/17 ja C-719/17, EU:C:2020:257, 143 ja 170 kohta).
45 On totta, että unionin tuomioistuin on 30.5.2006 antamassaan tuomiossa parlamentti v. neuvosto ja komissio (C-317/04 ja C-318/04, EU:C:2006:346, 56–59 kohta) todennut, että se, että lentoyhtiöt siirtävät henkilötietoja kolmannen valtion viranomaisille terrorismin ja muiden vakavien rikosten ehkäisemiseksi ja torjumiseksi, ei kuulu direktiivin 95/46 3 artiklan 2 kohdan ensimmäisen luetelmakohdan nojalla kyseisen direktiivin soveltamisalaan, koska tällainen siirto tapahtuu julkishallinnon asettamissa puitteissa, jotka liittyvät yleiseen turvallisuuteen.
46 Tämän tuomion 36, 38 ja 39 kohtaan sisältyvien seikkojen nojalla kyseistä oikeuskäytäntöä ei kuitenkaan voida soveltaa direktiivin 2002/58 1 artiklan 3 kohdan tulkintaan. Kuten julkisasiamies on antamansa ratkaisuehdotuksen La Quadrature du Net ym. (C-511/18 ja C-512/18, EU:C:2020:6) 70–72 kohdassa pääosin huomauttanut, direktiivin 95/46 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa, johon mainittu oikeuskäytäntö liittyy, suljetaan näet viimeksi mainitun direktiivin soveltamisalan ulkopuolelle yleisesti ”käsittely, – – joka koskee yleistä turvallisuutta, puolustusta, valtion turvallisuutta”, tekemättä eroa sen perusteella, kuka asianomaisia tietoja on käsitellyt. Tällainen eron tekeminen on sitä vastoin tarpeen direktiivin 2002/58 1 artiklan 3 kohtaa tulkittaessa. Kuten tämän tuomion 37–39 ja 42 kohdasta ilmenee, kaikki sähköisten viestintäpalvelujen tarjoajien suorittama henkilötietojen käsittely kuuluu mainitun direktiivin soveltamisalaan, mukaan lukien käsittely, joka seuraa viranomaisten niille asettamista velvollisuuksista, vaikka tämä viimeksi mainittu käsittely saattaisi mahdollisesti kuulua direktiivin 95/46 3 artiklan 2 kohdan ensimmäisessä luetelmakohdassa säädetyn poikkeuksen soveltamisalaan, kun otetaan huomioon kyseisen säännöksen laajempi sanamuoto, jossa mainitaan kaikki käsittely, joka käsittelijästä riippumatta koskee yleistä turvallisuutta, puolustusta tai valtion turvallisuutta.
47 Lisäksi on todettava, että 30.5.2006 annettuun tuomioon parlamentti v. neuvosto ja komissio (C-317/04 ja C-318/04, EU:C:2006:346) johtaneessa asiassa kyseessä ollut direktiivi 95/46 on asetuksen 2016/679 94 artiklan 1 kohdan mukaan kumottu ja korvattu kyseisellä asetuksella 25.5.2018 alkaen. Vaikka mainitun asetuksen 2 artiklan 2 kohdan d alakohdassa täsmennetään, ettei sitä sovelleta käsittelyyn, jota ”toimivaltaiset viranomaiset” suorittavat muun muassa rikosten ennalta estämistä ja paljastamista varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelua ja tällaisten uhkien ehkäisyä varten, saman asetuksen 23 artiklan 1 kohdan d ja h alakohdasta ilmenee, että yksityisten näihin samoihin tarkoituksiin suorittama henkilötietojen käsittely kuuluu kyseisen asetuksen soveltamisalaan. Tästä seuraa, että edellä esitetty direktiivin 2002/58 1 artiklan 3 kohdan, 3 artiklan ja 15 artiklan 1 kohdan tulkinta on johdonmukainen asetuksen 2016/679, jota kyseisellä direktiivillä täydennetään ja täsmennetään, soveltamisalan rajauksen kanssa.
48 Kun jäsenvaltiot panevat sitä vastoin suoraan täytäntöön sähköisen viestinnän luottamuksellisuudesta poikkeavia toimenpiteitä asettamatta tällaisen viestinnän palveluntarjoajille käsittelyä koskevia velvollisuuksia, asianomaisten henkilöiden tietosuojaan ei sovelleta direktiiviä 2002/58 vaan ainoastaan kansallista oikeutta, jollei luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta 27.4.2016 annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/680 (EUVL 2016, L 119, s. 89) soveltamisesta muuta johdu, joten kyseessä olevien toimenpiteiden on oltava muun muassa perustuslain tasoisen kansallisen oikeuden ja Euroopan ihmisoikeussopimuksen vaatimusten mukaisia.
49 Edellä esitetyn perusteella ensimmäiseen kysymykseen on vastattava, että direktiivin 2002/58 1 artiklan 3 kohtaa, 3 artiklaa ja 15 artiklan 1 kohtaa, luettuina SEU 4 artiklan 2 kohdan valossa, on tulkittava siten, että kyseisen direktiivin soveltamisalaan kuuluu kansallinen säännöstö, jonka mukaan valtion viranomainen voi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään turvallisuus- ja tiedustelupalveluille liikenne- ja paikkatietoja kansallisen turvallisuuden takaamiseksi.
Toinen kysymys
50 Ennakkoratkaisua pyytänyt tuomioistuin pyrkii selvittämään toisella kysymyksellään lähinnä, onko direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna SEU 4 artiklan 2 kohdan sekä perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, tulkittava siten, että se on esteenä kansalliselle säännöstölle, jonka mukaan valtion viranomainen voi kansallisen turvallisuuden takaamiseksi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään liikenne- ja paikkatietoja yleisesti ja erotuksetta turvallisuus- ja tiedustelupalveluille.
51 Aluksi on muistutettava, että ennakkoratkaisupyyntöön sisältyvien tietojen mukaan ministeri voi vuoden 1984 lain 94 §:n nojalla velvoittaa sähköisten viestintäpalvelujen tarjoajat ohjeellisilla määräyksillä silloin, kun hän pitää sitä tarpeellisena sellaisten etujen vuoksi, jotka liittyvät kansalliseen turvallisuuteen tai suhteisiin jonkin ulkomaisen hallituksen kanssa, siirtämään turvallisuus- ja tiedustelupalveluille valikoimattomat viestintätiedot, joihin kuuluvat RIPA:n 21 §:n 4 ja 6 momentissa tarkoitetut liikenne- ja paikkatiedot sekä käytettyjä palveluja koskevat tiedot. Viimeksi mainittu säännös kattaa muun muassa tiedot, jotka ovat tarpeen viestinnän lähteen ja vastaanottajan tunnistamiseksi, viestinnän päivämäärän, kellonajan, keston ja tyypin määrittämiseksi, käytetyn laitteen tunnistamiseksi sekä päätelaitteen ja viestinnän paikallistamiseksi; näihin tietoihin kuuluvat muun muassa käyttäjän nimi ja osoite, puhelun soittajan puhelinnumero ja hänen valitsemansa numero, viestinnän lähteen ja vastaanottajan IP-osoitteet sekä niiden verkkosivujen URL-osoitteet, joilla käyttäjä on vieraillut.
52 Tällainen tietojen luovuttaminen siirtämällä koskee kaikkia sähköisten viestintävälineiden käyttäjiä tarkentamatta, onko kyseisen siirtämisen tapahduttava reaaliajassa vai viiveellä. Kun nämä tiedot on siirretty, ennakkoratkaisupyynnössä olevien tietojen mukaan turvallisuus- ja tiedustelupalvelut säilyttävät ne ja ne jäävät kyseisten palvelujen käyttöön niiden toimintaan varten samalla tavoin kuin muut turvallisuus- ja tiedustelupalveluilla olevat tietokannat. Erityisesti on todettava, että näin kerätyt tiedot, joita käsitellään ja analysoidaan yleisellä tasolla valikoimattomasti ja automaattisesti, voidaan ristiintarkastaa muiden sellaisten tietokantojen kanssa, jotka sisältävät erilaisia valikoimattomien henkilötietojen ryhmiä, tai ne voidaan julkistaa näiden palvelujen ulkopuolella ja kolmansissa valtioissa. Kyseiset toimet eivät myöskään edellytä tuomioistuimen tai riippumattoman hallintoviranomaisen ennakkolupaa, eivätkä ne edellytä minkäänlaisen tiedon antamista asianomaisille henkilöille.
53 Direktiivin 2002/58 tavoitteena on, kuten etenkin sen johdanto-osan kuudennesta ja seitsemännestä perustelukappaleesta ilmenee, suojata sähköisten viestintäpalvelujen käyttäjiä uusista teknologioista ja muun muassa tietojen automaattisen tallennus- ja käsittelykapasiteetin lisääntymisestä aiheutuvilta heidän henkilötietoihinsa ja yksityisyyteensä liittyviltä riskeiltä. Mainitulla direktiivillä pyritään erityisesti, kuten sen johdanto-osan toisessa perustelukappaleessa todetaan, varmistamaan perusoikeuskirjan 7 ja 8 artiklassa vahvistettujen oikeuksien täysimääräinen kunnioittaminen. Direktiivin 2002/58 taustalla olevan ehdotuksen Euroopan parlamentin ja neuvoston direktiiviksi henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (KOM(2000) 385 lopullinen) perusteluista ilmenee tältä osin, että unionin lainsäätäjän tarkoituksena on ollut ”varmistaa, että henkilötietojen ja yksityisyyden suojan korkean tason säilyminen taataan kaikissa sähköisen viestinnän palveluissa käytetystä tekniikasta riippumatta”.
54 Direktiivin 2002/58 5 artiklan 1 kohdan mukaan näet ”jäsenvaltioiden on kansallisella lainsäädännöllä varmistettava yleisen viestintäverkon ja yleisesti saatavilla olevien sähköisten viestintäpalvelujen välityksellä tapahtuvan viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuus”. Tässä samassa säännöksessä korostetaan myös, että ”[jäsenvaltioiden] on erityisesti kiellettävä se, että muut henkilöt kuin käyttäjät ilman kyseisten käyttäjien nimenomaista suostumusta kuuntelevat, salakuuntelevat, tallentavat tai muulla tavalla sieppaavat tai valvovat viestintää ja siihen liittyviä liikennetietoja, jollei se ole laillisesti sallittua 15 artiklan 1 kohdan mukaisesti”, ja täsmennetään, että ”mitä [kyseisessä] kohdassa säädetään, ei estä teknistä tallentamista, joka on tarpeen viestinnän välittämiselle, tämän rajoittamatta luottamuksellisuuden periaatteen soveltamista”.
55 Kyseisessä 5 artiklan 1 kohdassa vahvistetaan siis sekä sähköisen viestinnän että siihen liittyvien liikennetietojen luottamuksellisuuden periaate, ja se merkitsee muun muassa sitä, että muita henkilöitä kuin käyttäjiä on lähtökohtaisesti kielletty tallentamasta kyseistä viestintää ja kyseisiä tietoja ilman käyttäjien suostumusta. Kun otetaan huomioon kyseisen säännöksen yleinen sanamuoto, se kattaa välttämättä kaikki toimet, joilla kolmannet voivat saada tiedon viestinnästä ja siihen liittyvistä tiedoista muihin tarkoituksiin kuin viestinnän välittämiseen.
56 Direktiivin 2002/58 5 artiklan 1 kohdassa säädetty kielto salakuunnella viestintää ja siihen liittyviä tietoja käsittää siis kaikenlaisen sähköisten viestintäpalvelujen tarjoajien toimesta tapahtuvan liikenne- ja paikkatietojen asettamisen turvallisuus- ja tiedustelupalvelujen kaltaisten viranomaisten saataville sekä mainittujen tietojen säilyttämisen kyseisten viranomaisten toimesta riippumatta siitä, miten näitä tietoja käytetään myöhemmin.
57 Unionin lainsäätäjä on siis kyseisen direktiivin antaessaan konkretisoinut perusoikeuskirjan 7 ja 8 artiklassa vahvistetut oikeudet, joten sähköisten viestintävälineiden käyttäjillä on oikeus odottaa lähtökohtaisesti, että heidän viestintänsä ja siihen liittyvät tiedot säilyvät nimettöminä eikä niitä voida tallentaa, jos he eivät ole antaneet siihen suostumustaan (tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 109 kohta).
58 Direktiivin 2002/58 15 artiklan 1 kohdan mukaan jäsenvaltiot voivat kuitenkin säätää poikkeuksista kyseisen direktiivin 5 artiklan 1 kohdassa vahvistetusta periaatteellisesta velvollisuudesta taata henkilötietojen luottamuksellisuus ja muun muassa saman direktiivin 6 ja 9 artiklassa mainituista vastaavista velvollisuuksista, jos tällainen rajoitus on välttämätön, asianmukainen ja oikeasuhteinen demokraattisen yhteiskunnan toimenpide kansallisen turvallisuuden sekä puolustuksen, yleisen turvallisuuden tai rikosten tai sähköisen viestintäjärjestelmän luvattoman käytön torjunnan, tutkinnan, selvittämisen ja syyteharkinnan varmistamiseksi. Tätä varten jäsenvaltiot voivat muun muassa hyväksyä lainsäädännöllisiä toimenpiteitä, joissa säädetään tietojen säilyttämisestä rajoitetuksi ajaksi, kun tämä on perusteltua jostakin näistä syistä.
59 Mahdollisuus poiketa direktiivin 2002/58 5, 6 ja 9 artiklassa säädetyistä oikeuksista ja velvollisuuksista ei kuitenkaan voi olla perusteena sille, että sähköisen viestinnän ja siihen liittyvien tietojen luottamuksellisuuden takaamista koskevasta periaatteellisesta velvollisuudesta ja erityisesti kyseisen direktiivin 5 artiklassa nimenomaisesti säädetystä näiden tietojen tallentamista koskevasta kiellosta poikkeamisesta tulisi sääntö (ks. vastaavasti tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 89 ja 104 kohta ja tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 111 kohta).
60 Direktiivin 2002/58 15 artiklan 1 kohdan kolmannesta virkkeestä ilmenee lisäksi, että jäsenvaltiot voivat toteuttaa lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan kyseisen direktiivin 5, 6 ja 9 artiklassa tarkoitettujen oikeuksien ja velvollisuuksien ulottuvuutta, ainoastaan, jos kyseiset toimenpiteet ovat unionin oikeuden yleisten periaatteiden, joihin kuuluu suhteellisuusperiaate, ja perusoikeuskirjassa taattujen perusoikeuksien mukaisia. Unionin tuomioistuin on tältä osin jo katsonut, että jäsenvaltion sähköisten viestintäpalvelujen tarjoajille kansallisella säännöstöllä asettama velvollisuus säilyttää liikennetiedot, jotta toimivaltaiset kansalliset viranomaiset voivat tarvittaessa saada niitä, herättää kysymyksiä paitsi perusoikeuskirjan 7 ja 8 artiklaan, jotka koskevat yksityisyyden suojaa ja henkilötietojen suojaa, myös sananvapautta koskevaan perusoikeuskirjan 11 artiklaan nähden (ks. vastaavasti tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 25 ja 70 kohta ja tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 91 ja 92 kohta oikeuskäytäntöviittauksineen).
61 Nämä samat kysymykset tulevat esiin myös muunlaisen tietojenkäsittelyn osalta ja esimerkiksi silloin, kun on kyse tietojen siirtämisestä muille henkilöille kuin käyttäjille tai oikeudesta saada nämä tiedot niiden käyttämiseksi (ks. analogisesti lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 122 ja 123 kohta oikeuskäytäntöviittauksineen).
62 Direktiivin 2002/58 15 artiklan 1 kohdan tulkinnassa on siten otettava huomioon sekä perusoikeuskirjan 7 artiklassa taatun yksityiselämän kunnioittamista koskevan oikeuden ja perusoikeuskirjan 8 artiklassa taatun henkilötietojen suojaa koskevan oikeuden tärkeys, sellaisena kuin se ilmenee unionin tuomioistuimen oikeuskäytännöstä, sekä sananvapautta koskevan oikeuden tärkeys; tämä perusoikeuskirjan 11 artiklassa taattu perusoikeus on eräs demokraattiseen ja moniarvoiseen yhteiskuntaan liittyvä olennainen perusta ja kuuluu arvoihin, joille unioni SEU 2 artiklan mukaisesti perustuu (ks. vastaavasti tuomio 6.3.2001, Connolly v. komissio, C-274/99 P, EU:C:2001:127, 39 kohta ja tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 93 kohta oikeuskäytäntöviittauksineen).
63 Perusoikeuskirjan 7, 8 ja 11 artiklassa vahvistetut oikeudet eivät kuitenkaan ole ehdottomia, vaan ne on suhteutettava siihen tehtävään, joka niillä on yhteiskunnassa (ks. vastaavasti tuomio 16.7.2020, Facebook Ireland ja Schrems, C-311/18, EU:C:2020:559, 172 kohta oikeuskäytäntöviittauksineen).
64 Kuten perusoikeuskirjan 52 artiklan 1 kohdasta ilmenee, siinä sallitaan näet näiden oikeuksien käyttämisen rajoittaminen, kunhan näistä rajoituksista säädetään lailla mainittujen oikeuksien keskeistä sisältöä kunnioittaen ja kunhan ne suhteellisuusperiaatteen mukaisesti ovat tarpeellisia ja vastaavat tosiasiallisesti unionin tunnustamia yleisen edun mukaisia tavoitteita tai tarvetta suojella muiden henkilöiden oikeuksia ja vapauksia.
65 On vielä todettava, että edellytys, jonka mukaan perusoikeuksien käyttämistä voidaan rajoittaa ainoastaan lailla, tarkoittaa sitä, että itse siinä oikeusperustassa, joka mahdollistaa puuttumisen näihin oikeuksiin, on määritettävä asianomaisen oikeuden käyttämiselle asetettavien rajoitusten laajuus (tuomio 16.7.2020, Facebook Ireland ja Schrems, C-311/18, EU:C:2020:559, 175 kohta oikeuskäytäntöviittauksineen).
66 Suhteellisuusperiaatteen noudattamisesta on todettava, että direktiivin 2002/58 15 artiklan 1 kohdan ensimmäisessä virkkeessä säädetään, että jäsenvaltiot voivat toteuttaa viestinnän ja siihen liittyvien liikennetietojen luottamuksellisuuden periaatteesta poikkeavan toimenpiteen, jos tällainen toimenpide on ”välttämät[ön], asianmukai[nen] ja oikeasuhtei[nen] demokraattisen yhteiskunnan toimenpi[de]” kyseisessä säännöksessä mainittujen tavoitteiden kannalta. Mainitun direktiivin johdanto-osan 11 perustelukappaleessa täsmennetään, että tällaisen toimenpiteen on ”ehdottomasti” oltava oikeassa suhteessa sen tarkoitukseen nähden.
67 Tältä osin on huomautettava, että yksityiselämän kunnioittamista koskevan perusoikeuden suoja edellyttää unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan, että poikkeukset henkilötietojen suojaan ja sitä koskevat rajoitukset toteutetaan täysin välttämättömän rajoissa. Yleisen edun mukaiseen tavoitteeseen ei myöskään voida pyrkiä ottamatta huomioon sitä, että se on sovitettava yhteen niiden perusoikeuksien kanssa, joita toimenpide koskee, saattamalla kyseessä oleva tavoite sekä kyseessä olevat edut ja oikeudet keskenään harmoniseen tasapainoon (ks. vastaavasti tuomio 16.12.2008, Satakunnan Markkinapörssi ja Satamedia, C-73/07, EU:C:2008:727, 56 kohta; tuomio 9.11.2010, Volker und Markus Schecke ja Eifert, C-92/09 ja C-93/09, EU:C:2010:662, 76, 77 ja 86 kohta; tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 52 kohta ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 140 kohta).
68 Oikeasuhteisuutta koskevan edellytyksen täyttämiseksi säännöstössä on säädettävä selvistä ja täsmällisistä asianomaisen toimenpiteen laajuutta ja soveltamista koskevista säännöistä, joissa asetetaan vähimmäisvaatimukset, jotta henkilöillä, joiden henkilötiedoista on kyse, on riittävät takeet, joiden avulla heidän henkilötietojaan voidaan tehokkaasti suojata väärinkäytön vaaroilta. Kyseisen säännöstön on oltava kansallisen oikeuden mukaan laillisesti sitova, ja siinä on erityisesti mainittava, missä olosuhteissa ja millä edellytyksin tällaisten tietojen käsittelyä koskeva toimenpide voidaan toteuttaa, jotta taataan, että puuttuminen rajoittuu täysin välttämättömään. Tarve tällaisista takeista on tärkeä varsinkin silloin, kun henkilötietoja käsitellään automaattisesti, etenkin, kun on olemassa huomattava näiden tietojen lainvastaista saantia koskeva vaara. Nämä näkökohdat pätevät erityisesti silloin, kun on suojattava henkilötietojen erityisryhmää eli arkaluonteisia tietoja (ks. vastaavasti tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 54 ja 55 kohta; tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 117 kohta ja lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 141 kohta).
69 Siitä, täyttääkö pääasiassa kyseessä olevan kaltainen kansallinen säännöstö direktiivin 2002/58 15 artiklan 1 kohdan, luettuna perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, vaatimukset, on todettava, että liikenne- ja paikkatietojen siirtämisellä turvallisuus- ja tiedustelupalvelujen kaltaisille muille henkilöille kuin käyttäjille poiketaan luottamuksellisuuden periaatteesta. Kun tämä toimi suoritetaan, kuten nyt käsiteltävässä asiassa, yleisesti ja erotuksetta, se johtaa siihen, että poikkeuksesta periaatteelliseen velvollisuuteen taata tietojen luottamuksellisuus tulee sääntö, vaikka direktiivillä 2002/58 käyttöön otetussa järjestelmässä edellytetään, että tällainen poikkeus pysyy poikkeuksena.
70 Unionin tuomioistuimen vakiintuneen oikeuskäytännön mukaan liikenne- ja paikkatietojen siirtäminen kolmannelle merkitsee lisäksi puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin siitä riippumatta, miten näitä tietoja myöhemmin käytetään. Tässä yhteydessä ei ole merkitystä sillä, ovatko kyseessä olevat yksityiselämään liittyvät tiedot arkaluonteisia, tai onko asianomaisille mahdollisesti aiheutunut haittaa tästä puuttumisesta (ks. vastaavasti lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 124 ja 125 kohta oikeuskäytäntöviittauksineen ja tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 115 ja 116 kohta).
71 Liikenne- ja paikkatietojen siirtämisestä turvallisuus- ja tiedustelupalveluille aiheutuvaa puuttumista perusoikeuskirjan 7 artiklassa vahvistettuun oikeuteen on pidettävä erityisen vakavana, kun otetaan huomioon muun muassa näistä tiedoista mahdollisesti saatavan tiedon arkaluonteisuus ja muun muassa mahdollisuus laatia niiden perusteella asianomaisten henkilöiden profiili, ja tällainen tieto on aivan yhtä arkaluonteista tietoa kuin itse viestinnän sisältö. Tämä siirtäminen voi lisäksi aiheuttaa asianomaisille henkilöille tunteen siitä, että heidän yksityiselämänsä on jatkuvan tarkkailun kohteena (ks. analogisesti tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 27 ja 37 kohta sekä tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 99 ja 100 kohta).
72 On vielä todettava, että liikenne- ja paikkatietojen siirtäminen viranomaisille turvallisuustarkoituksessa on sellaisenaan omiaan loukkaamaan perusoikeuskirjan 7 artiklassa vahvistettua oikeutta viestinnän kunnioittamiseen ja vaikuttamaan ennalta ehkäisevästi siihen, miten sähköisten viestintävälineiden käyttäjät käyttävät perusoikeuskirjan 11 artiklassa taattua sananvapauttaan. Tällaiset ehkäisevät vaikutukset voivat kohdistua erityisesti henkilöihin, joiden viestintä kuuluu kansallisten sääntöjen mukaan salassapitovelvollisuuden piiriin, sekä väärinkäytösten ilmoittajiin, joiden toimintaa suojataan unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 23.10.2019 annetulla Euroopan parlamentin ja neuvoston direktiivillä (EU) 2019/1937 (EUVL 2019, L 305, s. 17). Nämä vaikutukset ovat lisäksi sitä vakavampia, mitä enemmän tietoja säilytetään ja mitä moninaisempia ne ovat (ks. vastaavasti tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 28 kohta; tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 101 kohta ja tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 118 kohta).
73 Lopuksi on todettava, että kun otetaan huomioon niiden liikenne- ja paikkatietojen huomattava määrä, jotka voidaan säilyttää jatkuvasti yleistä säilyttämistä koskevalla toimenpiteellä, sekä sen tiedon arkaluonteisuus, jotka tällaisista tiedoista voidaan saada, jo pelkästään siihen, että sähköisten viestintäpalvelujen tarjoajat säilyttävät mainitut tiedot, liittyy väärinkäyttöä ja lainvastaista saantia koskevia vaaroja.
74 Tavoitteista, joilla voidaan perustella tällainen puuttuminen, ja erityisesti pääasiassa kyseessä olevasta kansallisen turvallisuuden takaamista koskevasta tavoitteesta on todettava heti alkuun, että SEU 4 artiklan 2 kohdassa määrätään, että kansallinen turvallisuus säilyy yksinomaan kunkin jäsenvaltion vastuulla. Tämä vastuu vastaa ensisijaisen tärkeää intressiä suojella valtion keskeisiä tehtäviä ja yhteiskunnan perustavanlaatuisia etuja, ja siihen kuuluu sellaisten etenkin terrorismin kaltaisten toimien torjuminen ja niistä rankaiseminen, jotka ovat omiaan horjuttamaan vakavasti tietyn maan perustavanlaatuisia perustuslaillisia, poliittisia, taloudellisia tai yhteiskunnallisia rakenteita ja erityisesti uhkaamaan suoraan yhteiskuntaa, väestöä tai valtiota sellaisenaan (tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 135 kohta).
75 Kansallisen turvallisuuden takaamista koskeva tavoite, luettuna SEU 4 artiklan 2 kohdan valossa, on kuitenkin tärkeämpi kuin direktiivin 2002/58 15 artiklan 1 kohdassa tarkoitetut muut tavoitteet, ja etenkin rikollisuuden, jopa vakavan rikollisuuden, torjumista yleisesti ja yleisen turvallisuuden suojaamista koskevat tavoitteet. Edellä olevassa kohdassa tarkoitetun kaltaiset uhat eroavat näet luonteeltaan ja erityiseltä vakavuudeltaan yleisestä vaarasta, joka koskee jopa vakavien jännitteiden tai häiriöiden aiheutumista yleiselle turvallisuudelle. Jollei perusoikeuskirjan 52 artiklan 1 kohdassa määrättyjen muiden vaatimusten noudattamisesta muuta johdu, kansallisen turvallisuuden takaamista koskevalla tavoitteella voidaan näin ollen perustella toimenpiteitä, joilla puututaan perusoikeuksiin vakavammin kuin toimenpiteillä, jotka voitaisiin perustella näillä muilla tavoitteilla (tuomio 6.10.2020, La Quadrature du Net ym., C-511/18, C-512/18 ja C-520/18, 136 kohta).
76 Jotta täytettäisiin tämän tuomion 67 kohdassa mieleen palautettu oikeasuhteisuuden vaatimus, jonka mukaan poikkeukset henkilötietojen suojaan ja sitä koskevat rajoitukset on toteutettava täysin välttämättömän rajoissa, kansallisessa säännöstössä, joka merkitsee puuttumista perusoikeuskirjan 7 ja 8 artiklassa vahvistettuihin perusoikeuksiin, on kuitenkin noudatettava tämän tuomion 65, 67 ja 68 kohdassa mainitusta oikeuskäytännöstä johtuvia vaatimuksia.
77 Viranomaisen oikeudesta saada henkilötietoja on erityisesti todettava, että säännöstössä ei voida tyytyä vaatimaan, että viranomaisten oikeus saada tietoja vastaa kyseisen säännöstön tarkoitusta, vaan siinä on myös säädettävä aineellisista ja menettelyllisistä kyseistä käyttöä koskevista edellytyksistä (ks. analogisesti lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 192 kohta oikeuskäytäntöviittauksineen).
78 Koska ei voida katsoa, että yleinen oikeus saada kaikki säilytetyt tiedot siitä riippumatta, onko olemassa edes välillinen yhteys asetettuun tavoitteeseen nähden, on rajoitettu täysin välttämättömään, kansallisen säännöstön, jolla säännellään oikeutta saada liikenne- ja paikkatietoja, on siis perustuttava objektiivisiin kriteereihin niiden olosuhteiden ja edellytysten määrittelemiseksi, joilla toimivaltaisille kansallisille viranomaisille on annettava oikeus saada kyseessä olevia tietoja (ks. vastaavasti tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 119 kohta oikeuskäytäntöviittauksineen).
79 Näitä vaatimuksia sovelletaan sitäkin suuremmalla syyllä pääasiassa kyseessä olevan kaltaiseen lainsäädännölliseen toimenpiteeseen, jonka perusteella toimivaltainen kansallinen viranomainen voi velvoittaa sähköisten viestintäpalvelujen tarjoajat luovuttamaan liikenne- ja paikkatietoja turvallisuus- ja tiedustelupalveluille yleisellä ja erotuksetta tapahtuvalla siirtämisellä. Tällaisella siirtämisellä kyseiset tiedot näet asetetaan viranomaisten saataville (ks. analogisesti lausunto 1/15 (EU:n ja Kanadan välinen PNR-sopimus), 26.7.2017, EU:C:2017:592, 212 kohta).
80 Koska liikenne- ja paikkatiedot siirretään yleisesti ja erotuksetta, tämä siirtäminen koskee yleisellä tavalla kaikkia henkilöitä, jotka käyttävät sähköisiä viestintäpalveluja. Sitä sovelletaan siis myös henkilöihin, joiden osalta ei ole olemassa mitään seikkaa, jonka perusteella voitaisiin olettaa, että heidän toimintansa voisi liittyä edes välillisesti tai kaukaisesti kansallisen turvallisuuden takaamista koskevaan tavoitteeseen, ja erityisesti ilman, että olisi osoitettu, että niiden tietojen, jotka on tarkoitus siirtää, ja kansalliselle turvallisuudelle aiheutuvan uhan välillä on yhteys (ks. vastaavasti tuomio 8.4.2014, Digital Rights Ireland ym., C-293/12 ja C-594/12, EU:C:2014:238, 57 ja 58 kohta ja tuomio 21.12.2016, Tele2, C-203/15 ja C-698/15, EU:C:2016:970, 105 kohta). Kun otetaan huomioon se, että tällaisten tietojen siirtäminen viranomaisille vastaa tämän tuomion 79 kohdassa todetun mukaisesti oikeutta saada tietoja, on katsottava, että säännöstö, jonka nojalla tietoja voidaan siirtää yleisesti ja erotuksetta viranomaisille, merkitsee yleistä oikeutta saada tietoja.
81 Tästä seuraa, että kansallinen säännöstö, jolla sähköisten viestintäpalvelujen tarjoajat velvoitetaan luovuttamaan liikenne- ja paikkatietoja turvallisuus- ja tiedustelupalveluille yleisellä ja erotuksetta tapahtuvalla siirtämisellä, ylittää täysin välttämättömän rajat, eikä sitä voida pitää perusteltuna demokraattisessa yhteiskunnassa, kuten direktiivin 2002/58 15 artiklan 1 kohdassa, luettuna SEU 4 artiklan 2 kohdan sekä perusoikeuskirjan 7, 8 ja 11 artiklan sekä 52 artiklan 1 kohdan valossa, edellytetään.
82 Kaiken edellä esitetyn perusteella toiseen kysymykseen on vastattava, että direktiivin 2002/58 15 artiklan 1 kohtaa, luettuna SEU 4 artiklan 2 kohdan sekä perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jonka mukaan valtion viranomainen voi kansallisen turvallisuuden takaamiseksi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään liikenne- ja paikkatietoja yleisesti ja erotuksetta turvallisuus- ja tiedustelupalveluille.
Oikeudenkäyntikulut
83 Pääasian asianosaisten osalta asian käsittely unionin tuomioistuimessa on välivaihe kansallisessa tuomioistuimessa vireillä olevan asian käsittelyssä, minkä vuoksi kansallisen tuomioistuimen asiana on päättää oikeudenkäyntikulujen korvaamisesta. Oikeudenkäyntikuluja, jotka ovat aiheutuneet muille kuin näille asianosaisille huomautusten esittämisestä unionin tuomioistuimelle, ei voida määrätä korvattaviksi.
Näillä perusteilla unionin tuomioistuin (suuri jaosto) on ratkaissut asian seuraavasti:
1) Henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY, 1 artiklan 3 kohtaa, 3 artiklaa ja 15 artiklan 1 kohtaa, luettuina SEU 4 artiklan 2 kohdan valossa, on tulkittava siten, että kyseisen direktiivin soveltamisalaan kuuluu kansallinen säännöstö, jonka mukaan valtion viranomainen voi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään liikenne- ja paikkatietoja turvallisuus- ja tiedustelupalveluille kansallisen turvallisuuden takaamiseksi.
2) Direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 15 artiklan 1 kohtaa, luettuna SEU 4 artiklan 2 kohdan sekä Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artiklan ja 52 artiklan 1 kohdan valossa, on tulkittava siten, että se on esteenä kansalliselle säännöstölle, jonka mukaan valtion viranomainen voi kansallisen turvallisuuden takaamiseksi velvoittaa sähköisten viestintäpalvelujen tarjoajat siirtämään liikenne- ja paikkatietoja yleisesti ja erotuksetta turvallisuus- ja tiedustelupalveluille.
Allekirjoitukset