—

za Digital Rights Ireland Ltd F. Callananem, SC, a F. Crehanem, BL, pověřenými S. McGarrem, solicitor,

—

za M. Seitlingera G. Ottem, Rechtsanwalt,

—

za Ch. Tschohla a další E. Scheucherem, Rechtsanwalt,

—

za Irish Human Rights Commision P. Dillon Malonem, BL, pověřeným S. Lucey, solicitor,

—

za Irsko E. Creedon a D. McGuinnessem, jako zmocněnci, ve spolupráci s E. Reganem, SC, a D. Fennellym, JC,

—

za rakouskou vládu G. Hessem a G. Kunnertem, jako zmocněnci,

—

za španělskou vládu N. Díaz Abad, jako zmocněnkyní,

—

za francouzskou vládu G. de Berguesem, D. Colasem a B. Beaupère-Manokha, jako zmocněnci,

—

za italskou vládu G. Palmieri, jako zmocněnkyní, ve spolupráci s A. De Stefanem, avvocato dello Stato,

—

za polskou vládu B. Majczynou a M. Szpunarem, jako zmocněnci,

—

za portugalskou vládu L. Inez Fernandesem a C. Vieira Guerra, jako zmocněnci,

—

za vládu Spojeného království L. Christiem, jako zmocněncem, ve spolupráci s S. Lee, barrister,

—

za Evropský parlament U. Rössleinem, A. Caiolou a K. Zejdovou, jako zmocněnci,

—

za Radu Evropské unie J. Monteirem, E. Sitbonem a I. Šulce, jako zmocněnci,

—

za Evropskou komisi D. Maidani, B. Martenczukem a M. Wilderspinem, jako zmocněnci,

1

Žádosti o rozhodnutí o předběžné otázce se týkají platnosti směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES (Úř. věst. L 105, s. 54).

2

Žádost předložená High Court (věc C‑293/12) se týká sporu mezi Digital Rights Ireland Ltd (dále jen „Digital Rights“) na jedné straně a Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irskem a Attorney General na straně druhé ve věci legality vnitrostátních legislativních a správních opatření týkajících se uchovávání údajů o elektronických komunikacích.

3

Žádost předložená Verfassungsgerichtshof (věc C‑594/12) se týká návrhů ústavněprávní povahy, které Kärntner Landesregierung (vláda spolkové země Korutansko), M. Seitlinger, Ch. Tschohl a 11 128 dalších navrhovatelů podali k uvedenému soudu ve věci slučitelnosti zákona provádějícího směrnici 2006/24 do rakouského vnitrostátního práva se spolkovým ústavním zákonem (Bundes-Verfassungsgesetz).

4

Předmětem směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. L 281, s. 31) je podle jejího čl. 1 odst. 1 zajistit ochranu základních práv a svobod fyzických osob, zejména jejich soukromí, v souvislosti se zpracováním osobních údajů.

5

Co se týče bezpečnosti zpracování takových údajů, čl. 17 odst. 1 uvedené směrnice uvádí:

„Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování.

Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.“

6

Cílem směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. L 201, s. 37), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 (Úř. věst. L 337, s. 11, dále jen „směrnice 2002/58“), je podle jejího čl. 1 odst. 1 harmonizovat předpisy členských států požadované pro zajištění rovnocenné úrovně ochrany základních práv a svobod, zejména práva na soukromí a zachování důvěrnosti informací, se zřetelem na zpracování osobních údajů v odvětví elektronických komunikací, a pro zajištění volného pohybu těchto údajů a elektronických komunikačních zařízení a služeb v Evropské unii. Článek 1 odst. 2 uvádí, že ustanovení této směrnice upřesňují a doplňují směrnici 95/46 pro účely uvedené ve výše uvedeném odstavci 1.

7

Pokud jde o bezpečnost zpracování údajů, článek 4 směrnice 2002/58 stanoví:

„1.   Poskytovatel veřejně dostupných služeb elektronických komunikací musí přijmout vhodná technická a organizační opatření, aby zajistil bezpečnost svých služeb, v případě nutnosti i v součinnosti s provozovatelem veřejné komunikační sítě, s ohledem na bezpečnost sítě. Se zřetelem na technickou a nákladovou stránku jejich provádění je třeba, aby tato opatření zajišťovala úroveň bezpečnosti odpovídající stávajícímu riziku.

1a.   Aniž je dotčena směrnice 95/46/ES, musí opatření uvedená v odstavci 1 alespoň

Příslušné vnitrostátní orgány musí být schopné provádět kontrolu opatření, která přijali poskytovatelé veřejně dostupných služeb elektronických komunikací, a vydávat doporučení týkající se osvědčených postupů, pokud jde o úroveň bezpečnosti, které by tato opatření měla dosáhnout.

2.   Existuje-li zvláštní riziko, že bude narušena bezpečnost sítě, musí poskytovatel veřejně dostupných služeb elektronických komunikací informovat účastníky o takovém riziku a pokud toto riziko přesahuje rozsah opatření, která má přijmout poskytovatel služeb, musí účastníky informovat o veškerých možných opatřeních k nápravě, včetně stanovení pravděpodobných souvisejících nákladů.“

8

Co se týče důvěrného charakteru sdělení a provozních údajů, čl. 5 odst. 1 a 3 dané směrnice uvádí:

„1.   Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1. Tento odstavec nebrání technickému uchovávání, které je nezbytné pro přenos sdělení, aniž by tím byla dotčena zásada důvěrnosti.

[...]

3.   Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“

9

Článek 6 odst. 1 směrnice 2002/58 uvádí:

„Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací, musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1.“

10

Článek 15 odst. 1 směrnice 2002/58 uvádí:

„Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice 95/64/ES. Členské státy mohou mimo jiné přijmout právní opatření umožňující zadržení údajů na omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 Smlouvy o založení Evropské unie [Smlouvy o Evropské unii].“

11

Komise poté, co zahájila konzultaci se zástupci donucovacích orgánů a odvětví elektronických komunikací a s odborníky na ochranu údajů, předložila dne 21. září 2005 posouzení dopadů politických možností, pokud jde o pravidla pro uchovávání provozních údajů (dále jen „posouzení dopadů“). Toto posouzení bylo základem pro vypracování návrhu směrnice Evropského parlamentu a Rady o uchovávání údajů zpracovaných v souvislosti s poskytováním veřejných služeb elektronických komunikací, kterou se mění směrnice 2002/58/ES [COM(2005) 438 final, dále jen „návrh směrnice“], jenž byl předložen tentýž den a vedl k přijetí směrnice 2006/24 na základě článku 95 ES.

12

Bod 4 odůvodnění směrnice 2006/24 uvádí:

„Ustanovení čl. 15 odst. 1 směrnice 2002/58/ES stanoví podmínky, za nichž mohou členské státy omezit rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 uvedené směrnice. Každé takové omezení musí být v demokratické společnosti nezbytné, přiměřené a úměrné pro určitý účel veřejného pořádku, tj. zajištění národní bezpečnosti (čti bezpečnosti státu), obrany, veřejné bezpečnosti nebo pro předcházení, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronických komunikačních systémů.“

13

Podle první věty bodu 5 odůvodnění směrnice 2006/24 „[n]ěkolik členských států přijalo právní předpisy, které stanoví poskytovatelům služeb povinnost uchovávat údaje pro účely předcházení, vyšetřování, odhalování a stíhání trestných činů.“

14

Body 7 až 11 odůvodnění směrnice 2006/24 zní takto:

15

Body 16, 21 a 22 odůvodnění uvedené směrnice upřesňují:

16

Směrnice 2006/24 stanoví povinnost poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí uchovávat některé údaje jimi vytvořené nebo zpracované. Články 1 až 9, 11 a 13 této směrnice v tomto ohledu uvádí:

„Článek 1

Předmět a oblast působnosti

1   Účelem této směrnice je harmonizovat předpisy členských států týkající se povinnosti poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, pokud jde o uchovávání některých údajů jimi vytvořených nebo zpracovaných, s cílem zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů, jak jsou vymezeny každým členským státem v jeho vnitrostátních právních předpisech.

2.   Tato směrnice se vztahuje na provozní a lokalizační údaje o právnických i fyzických osobách a na související údaje, které jsou nezbytné k identifikaci účastníka nebo registrovaného uživatele. Nevztahuje se na obsah elektronických sdělení ani na informace vyžadované při použití sítě elektronických komunikací.

Článek 2

Definice

1.   Pro účely této směrnice se použijí definice stanovené směrnicí 95/46/ES, směrnicí Evropského parlamentu a Rady 2002/21/ES ze dne 7. března 2002 o společném předpisovém rámci pro sítě a služby elektronických komunikací (rámcová směrnice) [...] a směrnicí 2002/58/ES.

2.   Pro účely této směrnice se rozumí:

Článek 3

Povinnost uchovávat údaje

1.   Odchylně od článků 5, 6 a 9 směrnice 2002/58/ES přijmou členské státy opatření pro zajištění toho, že jsou v souladu s touto směrnicí uchovávány údaje uvedené v jejím článku 5, pokud jsou tyto údaje vytvářeny nebo zpracovávány poskytovateli veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí v jejich jurisdikci při poskytování dotčených komunikačních služeb.

2.   Povinnost uchovávat údaje stanovená v odstavci 1 zahrnuje uchovávání údajů uvedených v článku 5 týkajících se neúspěšných pokusů o volání, pokud jsou takové údaje vytvářeny nebo zpracovávány a uchovávány (pokud jde o údaje o telefonii) či zaznamenávány (pokud jde o internetové údaje) poskytovateli veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí v jurisdikci dotyčného členského státu při poskytování dotčených komunikačních služeb. Tato směrnice nepožaduje uchovávání údajů týkajících se nespojených volání.

Článek 4

Přístup k údajům

Členské státy přijmou opatření pro zajištění toho, že údaje uchovávané v souladu s touto směrnicí jsou poskytovány pouze příslušným vnitrostátním orgánům v konkrétních případech a v souladu s vnitrostátními právními předpisy. Postupy pro získání přístupu k uchovávaným údajům v souladu s požadavky nezbytnosti a přiměřenosti a podmínky, jež mají být za tím účelem splněny, stanoví jednotlivé členské státy ve svých vnitrostátních právních předpisech, s výhradou příslušných ustanovení práva Evropské unie nebo mezinárodního práva veřejného, zejména Evropské úmluvy o ochraně lidských práv a základních svobod, jak ji vykládá Evropský soud pro lidská práva.

Článek 5

Kategorie uchovávaných údajů

1.   Členské státy zajistí uchovávání těchto kategorií údajů v souladu s touto směrnicí:

2.   Podle této směrnice nesmí být uchovávány údaje odhalující obsah sdělení.

Článek 6

Doba uchovávání

Členské státy zajistí, aby se kategorie údajů uvedené v článku 5 uchovávaly po dobu nejméně šesti měsíců a nejvýše dvou let ode dne komunikace.

Článek 7

Ochrana a bezpečnost údajů

Aniž jsou dotčeny předpisy přijaté na základě směrnice 95/46/ES a směrnice 2002/58/ES, členské státy zajistí, aby poskytovatelé veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí dodržovali alespoň tyto zásady bezpečnosti údajů, pokud jde o údaje uchovávané v souladu s touto směrnicí:

Článek 8

Způsob uchovávání údajů

Členské státy zajistí, aby se údaje uvedené v článku 5 uchovávaly podle této směrnice tak, aby mohly být spolu s jinými potřebnými informacemi, jež s těmito údaji souvisí, předány příslušným orgánům na jejich žádost bezodkladně.

Článek 9

Orgán dozoru

1.   Každý členský stát určí [pověří] jeden nebo více orgánů veřejné moci na svém území dohledem nad dodržováním předpisů přijatých členskými státy na základě článku 7, pokud jde o zabezpečení uchovávaných údajů. Tyto orgány mohou být totožné s orgány uvedenými v článku 28 směrnice 95/46/ES.

2.   Orgány uvedené v odstavci 1 jednají při dohledu podle uvedeného odstavce zcela nezávisle.

[...]

Článek 11

Změna směrnice 2002/58/ES

Ve směrnici 2002/58/ES se v článku 15 vkládá nový odstavec, který zní:

‚1a.   Odstavec 1 se nevztahuje na údaje, které se podle [směrnice 2006/24] mají uchovávat pro účely stanovené v čl. 1 odst. 1 uvedené směrnice.

[...]‘

Článek 13

Opravné prostředky, odpovědnost a sankce

1.   Každý členský stát přijme nezbytná opatření pro zajištění toho, že se vnitrostátní opatření k provedení kapitoly III směrnice 95/46/ES o soudním přezkumu, odpovědnosti a sankcích plně použijí na zpracování údajů podle této směrnice.

2.   Každý členský stát zejména přijme nezbytná opatření pro zajištění toho, aby úmyslný přístup k údajům uchovávaným v souladu s touto směrnicí nebo úmyslné předání takových údajů, jež nejsou povoleny podle vnitrostátních právních předpisů přijatých na základě této směrnice, bylo trestáno sankcemi, včetně správních nebo trestních sankcí, které jsou účinné, přiměřené a odrazující.“

17

Digital Rights podala dne 11. srpna 2006 žalobu k High Court, ve které tvrdí, že vlastní mobilní telefon, který byl zaregistrován dne 3. června 2006 a který od tohoto data používá. Zpochybňuje legalitu vnitrostátních legislativních a správních opatření týkajících se uchovávání údajů o elektronických komunikacích a mimo jiné navrhuje, aby předkládající soud konstatoval neplatnost směrnice 2006/24 a části sedmé zákona z roku 2005 o trestním soudnictví (teroristické trestné činy) [Criminal Justice (Terrorist Offences) Act 2005], která stanoví, že poskytovatelé služeb telefonické komunikace musí po dobu stanovenou zákonem uchovávat provozní a lokalizační údaje o těchto komunikacích, a to pro účely předcházení, odhalování, vyšetřování a stíhání trestných činů, jakož i pro účely zajišťování bezpečnosti státu.

18

High Court, který měl za to, že není schopen rozhodnout o otázkách týkajících se vnitrostátního práva, které mu byly předloženy, aniž byla přezkoumána platnost směrnice 2006/24, se rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

19

Základem žádosti o rozhodnutí o předběžné otázce ve věci C‑594/12 je několik návrhů, jež k Verfassungsgerichtshof podali Kärntner Landesregierung, M. Seitlinger, Ch. Tschohl a 11 128 dalších navrhovatelů, kteří se domáhají zrušení článku 102a zákona z roku 2003, o telekomunikacích (Telekommunikationsgesetz 2003), jenž byl do tohoto zákona vložen spolkovým zákonem, kterým se mění zákon o telekomunikacích (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG z roku 2003 geändert wird, BGBl. I, 27/2011), za účelem provedení směrnice 2006/24 do rakouského vnitrostátního práva. Tito účastníci řízení mají mimo jiné za to, že tento článek 102a je v rozporu se základním právem jednotlivců na ochranu jejich údajů.

20

Verfassungsgerichtshof se především táže, zda je směrnice 2006/24 slučitelná s Listinou v rozsahu, v němž umožňuje uchovávat řadu různých údajů v souvislosti s neomezeným počtem osob po dlouhou dobu. Uchovávání údajů se podle jeho názoru týká téměř výhradně osob, jejichž chování nijak neodůvodňuje uchovávání údajů, které se jich týkají. Tyto osoby jsou vystaveny zvýšenému riziku, že orgány budou prošetřovat jejich údaje, seznamovat se s jejich obsahem, informovat se o jejich soukromém životě a používat tyto údaje pro různé účely, zejména s ohledem na nezměrný počet osob, které mají k údajům přístup po dobu minimálně šesti měsíců. Podle předkládajícího soudu existují pochybnosti o tom, že tato směrnice může dosáhnout cílů, které sleduje, a dále o přiměřenosti zásahu do dotyčných základních práv.

21

Za těchto podmínek se Verfassungsgerichtshof rozhodl přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:

22

Rozhodnutím předsedy Soudního dvora ze dne 11. června 2013 byly věci C‑293/12 a C‑549/12 spojeny pro účely ústní části řízení i rozsudku.

23

V rámci druhé otázky písm. b) až d) ve věci C‑293/12 a první otázky ve věci C‑594/12, které je třeba zkoumat společně, předkládající soudy v podstatě žádají Soudní dvůr, aby přezkoumal platnost směrnice 2006/24 ve světle článků 7, 8 a 11 Listiny.

24

Z článku 1 a z bodů 4, 5, 7 až 11, 21 a 22 odůvodnění směrnice 2006/24 vyplývá, že jejím hlavním účelem je harmonizovat předpisy členských států týkající se povinnosti poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí uchovávat některé údaje jimi vytvořené nebo zpracované s cílem zajistit dostupnost těchto údajů pro účely předcházení takovým závažným trestným činům, jako jsou organizovaná trestná činnost a terorismus, a pro účely jejich vyšetřování, odhalování a stíhání, a to při dodržování práv zakotvených v článcích 7 a 8 Listiny.

25

Povinnost poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, která je stanovena v článku 3 směrnice 2006/24 a spočívá v uchovávání údajů uvedených v jejím článku 5 za účelem jejich případného zpřístupnění příslušným vnitrostátním orgánům, vyvolává otázky týkající se ochrany soukromého života i komunikací zakotvené v článku 7 Listiny, ochrany osobních údajů podle jejího článku 8 a respektování svobody projevu zaručené v článku 11 Listiny.

26

V tomto ohledu je třeba uvést, že údaje, které musí uchovávat poskytovatelé veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí podle článků 3 a 5 směrnice 2006/24, jsou mimo jiné údaje potřebné k dohledání a identifikaci zdroje sdělení a jeho adresáta, ke zjištění data, času a doby trvání komunikace a k určení typu sdělení, k identifikaci komunikačního vybavení uživatelů a ke zjištění polohy mobilního komunikačního zařízení, tedy údaje, mezi něž patří mimo jiné jméno a adresa účastníka nebo registrovaného uživatele, telefonní čísla volajícího a volaného a adresa internetového protokolu (IP) pro internetové služby. Tyto údaje umožňují především zjistit, s kým a jakým způsobem daný účastník nebo registrovaný uživatel komunikoval, stejně jako určit čas této komunikace a místo, ze kterého probíhala. Dále umožňují znát četnost komunikace daného účastníka nebo registrovaného uživatele s určitými osobami v určitém období.

27

Z těchto údajů jako celku lze vyvodit velmi přesné závěry o soukromém životě osob, jejichž údaje byly uchovány, tedy o každodenních zvyklostech, o místech, kde trvale či přechodně pobývají, o denních či jiných přesunech, o jejich aktivitách, společenských vztazích těchto osob a o společenských kruzích, s kterými se stýkají.

28

I když směrnice 2006/24 neumožňuje – jak vyplývá z jejích čl. 1 odst. 2 a čl. 5 odst. 2 – uchovávat obsah sdělení a informace vyžadované při použití sítě elektronických komunikací, není za takových okolností vyloučeno, že by uchovávání dotčených údajů mohlo mít dopad na využívání komunikačních prostředků uvedených v této směrnici účastníky nebo registrovanými uživateli, a v důsledku toho na jejich výkon svobody projevu zaručené v článku 11 Listiny.

29

Uchovávání údajů za účelem jejich případného zpřístupnění příslušným vnitrostátním orgánům stanovené směrnicí 2006/24 se přímo a konkrétně dotýká soukromého života, a tedy práv zaručených článkem 7 Listiny. Takové uchovávání údajů mimoto spadá i pod její článek 8, protože představuje zpracování osobních údajů ve smyslu tohoto článku, a musí tedy nutně splňovat požadavky na ochranu údajů plynoucí z tohoto článku (rozsudek Volker und Markus Schecke a Eifert, C‑92/09 a C‑93/09, EU:C:2010:662, bod 47).

30

I když žádosti o rozhodnutí o předběžné otázce v projednávaných věcech nastolují zejména zásadní otázku, zda údaje o účastnících a registrovaných uživatelích mohou být s ohledem na článek 7 Listiny uchovávány či nikoliv, týkají se rovněž otázky, zda směrnice 2006/24 odpovídá požadavkům na ochranu osobních údajů plynoucím z článku 8 Listiny.

31

S ohledem na výše uvedené úvahy je třeba pro účely odpovědi na druhou otázku písm. b) až d) ve věci C‑293/12 a první otázku ve věci C‑594/12 přezkoumat platnost směrnice z hlediska článků 7 a 8 Listiny.

32

Směrnice 2006/24 se tím, že stanoví povinnost uchovávat údaje uvedené v jejím čl. 5 odst. 1 a možnost příslušných vnitrostátních orgánů k nim přistupovat, odchyluje – jak uvedl generální advokát zejména v bodech 39 a 40 svého stanoviska – od režimu ochrany práva na respektování soukromého života, zavedeného směrnicemi 95/46 a 2002/58, v souvislosti se zpracováním osobních údajů v odvětví elektronických komunikací, přičemž posledně uvedené směrnice stanovily důvěrný charakter sdělení a provozních údajů, jakož i povinnost vymazat nebo anonymizovat tyto údaje, nejsou-li již potřebné pro přenos sdělení, s výjimkou případu, kdy jsou potřebné pro vyúčtování a pouze po dobu, kdy tato potřeba přetrvává.

33

K prokázání existence zásahu do základního práva na respektování soukromého života není důležité, zda dotyčné informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly případné nepříznivé následky z důvodu tohoto zásahu (v tomto smyslu viz rozsudek Österreichischer Rundfunk a další, C‑465/00, C‑138/01 a C‑139/01, EU:C:2003:294, bod 75).

34

Z toho plyne, že povinnost poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, která je stanovena v článcích 3 a 6 směrnice 2006/24 a spočívá v uchovávání údajů o soukromém životě osoby a jejích komunikacích uvedených v článku 5 této směrnice po určitou dobu, představuje sama o sobě zásah do práv zaručených článkem 7 Listiny.

35

Kromě toho přístup příslušných vnitrostátních orgánů k údajům představuje další zásah do tohoto základního práva (pokud jde o článek 8 EÚLP, viz rozsudky ESLP, Leander v. Švédsko, 26. března 1987, série A č. 116, § 48; Rotaru v. Rumunsko, [VS], č. 28341/95, § 46, ESLP 2000-V, jakož i Weber a Saravia v. Německo (rozhodnutí), č. 54934/00, § 79, ESLP 2006-XI). Články 4 a 8 směrnice 2006/24, které stanoví pravidla pro přístup příslušných vnitrostátních orgánů k údajům, tak rovněž představují zásah do práv zaručených článkem 7 Listiny.

36

Směrnice 2006/24 představuje rovněž zásah do základního práva na ochranu osobních údajů zaručeného článkem 8 Listiny, neboť upravuje zpracovávání osobních údajů.

37

Je nutno konstatovat, že zásah do základních práv zakotvených v článcích 7 a 8 Listiny, který představuje směrnice 2006/24, se jeví – jak rovněž uvedl generální advokát především v bodech 77 a 80 svého stanoviska – jako velmi rozsáhlý a musí být považován za zvlášť závažný. Okolnost, že k uchovávání údajů a jejich následnému využití dochází bez informování účastníka nebo registrovaného uživatele, může navíc v dotyčných osobách vyvolávat dojem – jak uvedl generální advokát v bodech 52 a 72 svého stanoviska – že jejich soukromí je pod neustálým dohledem.

38

Článek 52 odst. 1 Listiny uvádí, že každé omezení výkonu práv a svobod zakotvených v Listině musí být stanoveno zákonem, respektovat jejich podstatu a při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, jsou-li nezbytná a odpovídají-li skutečně cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého.

39

Pokud jde o podstatu základního práva na respektování soukromého života a ostatních práv zakotvených v článku 7 Listiny, je třeba konstatovat, že i když uchovávání údajů uložené směrnicí 2006/24 představuje zvlášť závažný zásah do těchto práv, nemůže zasáhnout do uvedené podstaty, neboť jak vyplývá z jejího čl. 1 odst. 2, tato směrnice neumožňuje seznámit se s obsahem elektronických sdělení jako takovým.

40

Toto uchovávání údajů nemůže zasáhnout ani do podstaty základního práva na ochranu osobních údajů, které je stanoveno v článku 8 Listiny, protože směrnice 2006/24 v článku 7 stanoví pravidlo týkající se ochrany a bezpečnosti údajů, podle kterého platí, že aniž jsou dotčeny předpisy přijaté na základě směrnic 95/46 a 2002/58, poskytovatelé veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí musí dodržovat určité zásady ochrany a bezpečnosti údajů, tedy zásady, podle kterých členské státy dbají na to, aby byla přijata vhodná technická a organizační opatření proti náhodnému nebo neoprávněnému zničení, náhodné ztrátě či pozměnění údajů.

41

Co se týče otázky, zda uvedený zásah odpovídá cíli obecného zájmu, je třeba uvést, že i když má směrnice 2006/24 harmonizovat předpisy členských států týkající se povinností uvedených poskytovatelů, pokud jde o uchovávání některých údajů jimi vytvořených nebo zpracovaných, z jejího čl. 1 odst. 1 vyplývá, že hmotněprávním cílem této směrnice je zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů, jak jsou vymezeny každým členským státem ve vnitrostátních právních předpisech. Hmotněprávním cílem této směrnice je tedy přispět k boji proti závažné trestné činnosti a v konečném důsledku také k veřejné bezpečnosti.

42

Z judikatury Soudního dvora vyplývá, že boj proti mezinárodnímu terorismu za účelem zachování mezinárodního míru a bezpečnosti je cílem obecného zájmu Unie (v tomto smyslu viz rozsudky Kadi a Al Barakaat International Foundation v. Rada a Komise, C‑402/05 P a C‑415/05 P, EU:C:2008:461, bod 363, a Al-Aqsa v. Rada, C‑539/10 P a C‑550/10 P, EU:C:2012:711, bod 130). Totéž platí pro boj proti závažné trestné činnosti s cílem zajistit veřejnou bezpečnost (v tomto smyslu viz rozsudek Tsakouridis, C‑145/09, EU:C:2010:708, body 46 a 47). Dále je třeba v tomto ohledu uvést, že článek 6 Listiny uvádí právo každého nejen na svobodu, ale i na osobní bezpečnost.

43

Z bodu 7 odůvodnění směrnice 2006/24 v tomto ohledu vyplývá, že z důvodu značného růstu možností poskytovaných elektronickými komunikacemi měla Rada ve složení pro spravedlnost a vnitřní věci ze dne 19. prosince 2002 za to, že údaje o použití elektronických komunikací jsou mimořádně důležité, a představují tedy cenný nástroj pro předcházení trestným činům a boj proti trestné činnosti, zejména pak organizované trestné činnosti.

44

Je tedy nutno konstatovat, že uchovávání údajů za účelem jejich případného zpřístupnění příslušným vnitrostátním orgánům, které ukládá směrnice 2006/24, skutečně odpovídá cíli obecného zájmu.

45

Za těchto podmínek je třeba ověřit přiměřenost zjištěného zásahu.

46

V tomto ohledu je třeba připomenout, že zásada proporcionality podle ustálené judikatury Soudního dvora vyžaduje, aby akty unijních orgánů byly způsobilé k uskutečnění legitimních cílů sledovaných dotčenou právní úpravou a nepřekračovaly meze toho, co je přiměřené a nezbytné k dosažení těchto cílů (v tomto smyslu viz rozsudky Afton Chemical, C‑343/09, EU:C:2010:419, bod 45; Volker und Markus Schecke a Eifert, EU:C:2010:662, bod 74; Nelson a další, C‑581/10 a C‑629/10, EU:C:2012:657, bod 71; Sky Österreich, C‑283/11, EU:C:2013:28, bod 50, a Schaible, C‑101/12, EU:C:2013:661, bod 29).

47

Co se týče soudního přezkumu dodržování těchto podmínek, jedná-li se o zásahy do základních práv, rozsah posuzovací pravomoci unijního zákonodárce může být omezený v závislosti na řadě skutečností, mezi něž patří mimo jiné dotyčná oblast, povaha dotčeného práva zaručeného Listinou, povaha a závažnost zásahu a jeho účel (pokud jde o článek 8 EÚLP, obdobně viz rozsudek ESLP, S a Marper v. Spojené království [VS], č. 30562/04 a č. 30566/04, § 102, ESLP 2008-V).

48

S ohledem na významnou úlohu ochrany osobních údajů z hlediska základního práva na respektování soukromého života, jakož i na rozsah a závažnost zásahu do tohoto práva, jenž směrnice 2006/24 představuje, je posuzovací pravomoc unijního zákonodárce v projednávané věci omezena, takže přezkum musí být přísný.

49

Pokud jde o otázku, zda je uchovávání údajů způsobilé k dosažení cíle sledovaného směrnicí 2006/24, je třeba konstatovat, že údaje, které musí být uchovávány podle této směrnice, s ohledem na rostoucí význam prostředků elektronické komunikace umožňují, aby vnitrostátní orgány příslušné v oblasti trestního stíhání měly další možnosti objasnit závažné trestné činy, a jsou tedy v tomto ohledu cenným nástrojem pro vyšetřování trestných činů. Uchovávání takových údajů tak lze považovat za způsobilé k dosažení cíle sledovaného uvedenou směrnicí.

50

Toto posouzení nemůže být zpochybněno okolností, jíž se dovolávají především Ch. Tschohl, M. Seitlinger a portugalská vláda v písemných vyjádřeních předložených Soudnímu dvoru, že existuje několik způsobů elektronické komunikace, které nespadají do působnosti směrnice 2006/24 nebo které umožňují anonymní komunikaci. Tato okolnost sice může omezit způsobilost opatření spočívajícího v uchovávání údajů dosáhnout sledovaného cíle, avšak nemůže učinit toto opatření nezpůsobilým, jak uvedl generální advokát v bodě 137 svého stanoviska.

51

Pokud jde o nezbytnost uchovávání údajů uloženého směrnicí 2006/24, je třeba konstatovat, že boj proti závažné trestné činnosti, zejména proti organizované trestné činnosti a terorismu, má zajisté prvořadý význam pro zajištění veřejné bezpečnosti a jeho účinnost může do velké míry záviset na použití moderních vyšetřovacích metod. Takový cíl obecného zájmu, byť se jedná o cíl základní, však nemůže sám o sobě odůvodnit, aby takové opatření spočívající v uchovávání údajů, jaké zavedla směrnice 2006/24, bylo považováno za nezbytné pro účely uvedeného boje.

52

Pokud jde o právo na respektování soukromého života, podle ustálené judikatury Soudního dvora ochrana tohoto základního práva v každém případě vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je naprosto nezbytné (rozsudek IPI, C‑473/12, EU:C:2013:715, bod 39 a citovaná judikatura).

53

V tomto ohledu je třeba připomenout, že ochrana osobních údajů, která vyplývá z výslovné povinnosti stanovené v čl. 8 odst. 1 Listiny, má zvláštní význam pro právo na respektování soukromého života zakotvené v jejím článku 7.

54

Dotčená unijní právní úprava tak musí stanovit jasná a přesná pravidla pro rozsah a použití dotčeného opatření, která stanoví minimální požadavky, tak aby osoby, jejichž údaje byly uchovány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití a proti veškerému neoprávněnému přistupování k údajům a jejich protiprávnímu využívání (pokud jde o článek 8 EÚLP, obdobně viz rozsudek ESLP, Liberty a další v. Spojené království, č. 58243/00, § 62 a § 63, ze dne 1. července 2008; výše uvedený rozsudek ESLP, Rotaru v. Rumunsko, § 57 až 59, a výše uvedený rozsudek ESLP, S a Marper v. Spojené království, § 99).

55

Potřeba takových záruk je o to významnější v případě, kdy – jak stanoví směrnice 2006/24 – jsou osobní údaje zpracovávány automaticky a existuje značné riziko neoprávněného přistupování k těmto údajům (pokud jde o článek 8 EÚLP, obdobně viz výše uvedený rozsudek ESLP, S a Marper v. Spojené království, § 103, a rozsudek ESLP M. K. v. Francie, č. 19522/09, § 35, ze dne 18. dubna 2013).

56

Co se týče otázky, zda je zásah, který představuje směrnice 2006/24, omezen na nezbytné minimum, je třeba uvést, že tato směrnice v souladu se svým článkem 3 ve spojení se svým čl. 5 odst. 1 ukládá uchovávání veškerých provozních údajů týkajících se telefonie provozované v rámci pevné sítě a v rámci mobilní sítě, připojení k internetu, internetové elektronické pošty a internetové telefonie. Tato směrnice se tak týká všech prostředků elektronické komunikace, jejichž používání je velmi rozšířené a má rostoucí význam v běžném životě každého člověka. Uvedená směrnice se mimoto podle svého článku 3 vztahuje na všechny účastníky a registrované uživatele. Představuje tedy zásah do základních práv téměř celé evropské populace.

57

V tomto ohledu je třeba zaprvé konstatovat, že směrnice 2006/24 se vztahuje všeobecně na každou osobu, každý prostředek elektronické komunikace a na všechny provozní údaje bez jakéhokoli rozlišování, omezení či výjimky v závislosti na cíli boje proti závažné trestné činnosti.

58

Směrnice 2006/24 se totiž týká globálně všech osob, které využívají služeb elektronických komunikací, aniž se však osoby, jejichž údaje jsou uchovávány, nachází byť nepřímo v situaci, která může vést k trestnímu stíhání. Vztahuje se tedy i na osoby, v jejichž případě neexistuje žádný důvod se domnívat, že by jejich chování mohlo byť nepřímo nebo vzdáleně souviset se závažnou trestnou činností. Kromě toho nestanoví žádnou výjimku, takže se vztahuje i na osoby, jejichž komunikace jsou podle pravidel vnitrostátního práva předmětem profesního tajemství.

59

Uvedená směrnice, jejímž cílem je přispět k boji proti závažné trestné činnosti, dále nevyžaduje žádnou souvislost mezi údaji, jejichž uchovávání je stanoveno, a ohrožením veřejné bezpečnosti a zejména se neomezuje na uchovávání údajů vztahujících se buď k určitému časovému období či určité zeměpisné oblasti či okruhu určitých osob, které mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k předcházení, odhalování nebo stíhání závažných trestných činů.

60

Zadruhé se k této obecné neexistenci mezí připojuje skutečnost, že směrnice 2006/24 nestanoví žádné objektivní kritérium umožňující vymezit přístup příslušných vnitrostátních orgánů k údajům a jejich následné využití pro účely předcházení, odhalování nebo stíhání trestných činů, které lze vzhledem k rozsahu a závažnosti zásahu do základních práv zakotvených v článcích 7 a 8 Listiny považovat za dostatečně závažné na to, aby takový zásah odůvodnily. Směrnice 2006/24 naopak pouze v obecné rovině v čl. 1 odst. 1 odkazuje na závažné trestné činy vymezené každým členským státem v jeho vnitrostátních právních předpisech.

61

Směrnice 2006/24 dále neobsahuje hmotněprávní a procesní podmínky pro přístup příslušných vnitrostátních orgánů k údajům a jejich následné využití. Článek 4 této směrnice, který upravuje přístup těchto orgánů k uchovávaným údajům, výslovně neuvádí, že tento přístup a následné využití dotčených údajů musí být striktně omezeny na předcházení a odhalování přesně vymezených závažných trestných činů nebo související trestní stíhání, ale pouze stanoví, že každý členský stát stanoví postupy pro získání přístupu k uchovávaným údajům v souladu s požadavky nezbytnosti a přiměřenosti a podmínky, jež mají být za tím účelem splněny.

62

Směrnice 2006/24 zejména nestanoví žádné objektivní kritérium umožňující omezit počet osob, které mají oprávnění k přístupu a následnému využití uchovávaných údajů, na nezbytné minimum z hlediska sledovaného cíle. Přístup příslušných vnitrostátních orgánů k uchovávaným údajům především nepodléhá předchozí kontrole ze strany soudu nebo nezávislého správního orgánu, jehož rozhodnutí má za cíl omezit přístup k údajům a jejich následné využití na to, co je nezbytně nutné pro účely dosažení sledovaného cíle, a je vydáno v návaznosti na odůvodněnou žádost těchto orgánů podanou v rámci postupů pro předcházení, odhalování nebo stíhání trestných činů. Rovněž nebyla stanovena konkrétní povinnost členských států zavést taková omezení.

63

Zatřetí směrnice 2006/24 v souvislosti s dobou uchovávání údajů v článku 6 stanoví uchovávání těchto údajů po dobu nejméně šesti měsíců, aniž jakkoli rozlišuje mezi jednotlivými kategoriemi údajů uvedenými v článku 5 této směrnice podle jejich případné užitečnosti pro účely sledovaného cíle nebo podle dotčených osob.

64

Tato doba je navíc stanovena v intervalu nejméně šesti a nejvýše dvaceti čtyř měsíců, aniž je upřesněno, že určení doby uchovávání musí být založeno na objektivních kritériích, aby bylo zaručeno její omezení na nezbytné minimum.

65

Z výše uvedeného vyplývá, že směrnice 2006/24 nestanoví jasná a přesná pravidla pro rozsah zásahu do základních práv zakotvených v článcích 7 a 8 Listiny. Je tedy nutno konstatovat, že tato směrnice představuje velmi rozsáhlý a zvlášť závažný zásah do těchto základních práv v unijním právním řádu, aniž je takový zásah přesně vymezen ustanoveními umožňujícími zaručit, že je skutečně omezen na nezbytné minimum.

66

Navíc pokud jde o pravidla bezpečnosti a ochrany údajů uchovávaných poskytovateli veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, je třeba konstatovat, že směrnice 2006/24 nestanoví dostatečné záruky k zajištění účinné ochrany uchovávaných údajů proti riziku zneužití ani proti veškerému neoprávněnému přistupování k údajům a jejich protiprávnímu využívání, které vyžaduje článek 8 Listiny. Článek 7 směrnice 2006/24 totiž zaprvé nestanoví žádná konkrétní pravidla přizpůsobená velkému množství údajů, jejichž uchovávání tato směrnice ukládá, citlivé povaze těchto údajů a riziku neoprávněného přistupování k těmto údajům, tedy pravidla, která by měla především jasně a striktně upravit ochranu a bezpečnost dotčených údajů, aby byla zaručena jejich plná integrita a důvěrná povaha. Navíc nebyla stanovena ani konkrétní povinnost členských států zavést taková pravidla.

67

Článek 7 směrnice 2006/24 ve spojení s čl. 4 odst. 1 směrnice 2002/58 a čl. 17 odst. 1 druhým pododstavcem směrnice 95/46 nezaručuje, že uvedení poskytovatelé přijmou technická a organizační opatření k uplatnění mimořádně vysoké úrovně ochrany a bezpečnosti, ale umožňuje těmto poskytovatelům mimo jiné zohledňovat při určování jimi uplatňované úrovně bezpečnosti ekonomická hlediska v souvislosti s náklady na zavedení bezpečnostních opatření. Směrnice 2006/24 zejména nezaručuje nevratnou likvidaci údajů po skončení doby jejich uchovávání.

68

Zadruhé je třeba dodat, že uvedená směrnice neukládá povinnost uchovávat dotčené údaje na území Unie, takže nelze mít za to, že je v plném rozsahu zaručen dohled nezávislého orgánu, který výslovně vyžaduje čl. 8 odst. 3 Listiny, nad dodržováním požadavků ochrany a bezpečnosti, které jsou uvedeny ve dvou předchozích bodech. Takový dohled, vykonávaný na základě unijního práva, přitom představuje podstatný prvek dodržování ochrany osob při zpracovávání osobních údajů (v tomto smyslu viz rozsudek Komise v. Rakousko, C‑614/10, EU:C:2012:631, bod 37).

69

S ohledem na veškeré výše uvedené úvahy je třeba mít za to, že unijní zákonodárce překročil přijetím směrnice 2006/24 meze, jež ukládá požadavek na dodržování zásady proporcionality z hlediska článků 7 a 8 a čl. 52 odst. 1 Listiny.

70

Za těchto podmínek není třeba zkoumat platnost směrnice 2006/24 z hlediska článku 11 Listiny.

71

Na druhou otázku písm. b) až d) ve věci C‑293/12 a na první otázku ve věci C‑594/12 je proto třeba odpovědět, že směrnice 2006/24 je neplatná.

72

Z rozhodnutí v předchozím bodě vyplývá, že na první otázku, na druhou otázku písm. a) a e) a na třetí otázku ve věci C‑293/12 ani na druhou otázku ve věci C‑594/12 není namístě odpovídat.

73

Vzhledem k tomu, že řízení má, pokud jde o účastníky původních řízení, povahu incidenčního řízení ve vztahu ke sporům probíhajícím před předkládajícími soudy, jsou k rozhodnutí o nákladech řízení příslušné uvedené soudy. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.

Z těchto důvodů Soudní dvůr (velký senát) rozhodl takto:

Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES je neplatná.