РЕШЕНИЕ НА СЪДА (шести състав)

17 ноември 2022 година(*)

„Преюдициално запитване — Обработване на лични данни в сектора на електронните съобщения — Конфиденциалност на комуникациите — Доставчици на електронни съобщителни услуги — Общо и неизбирателно запазване на данни за трафик и на данни за местонахождение за период от шест месеца — Борба с тежката престъпност — Достъп до запазените данни — Уведомяване на съответните лица — Право на жалба — Директива 2002/58/ЕО — Член 15, параграфи 1 и 2 — Директива (ЕС) 2016/680 — Членове 13 и 54 — Харта на основните права на Европейския съюз — Членове 7, 8, 11 и 47 и член 52, параграф 1“

По дело C‑350/21

с предмет преюдициално запитване, отправено на основание член 267 ДФЕС от Специализиран наказателен съд (България) с определение от 3 юни 2021 г., постъпило в Съда на 4 юни 2021 г., в рамките на наказателно производство, образувано по почин на

Специализирана прокуратура,

СЪДЪТ (шести състав),

състоящ се от: P. G. Xuereb (докладчик), председател на състава, A. Kumin и I. Ziemele, съдии,

генерален адвокат: M. Campos Sánchez-Bordona,

секретар: A. Calot Escobar,

предвид изложеното в писмената фаза на производството,

като има предвид становищата, представени:

–        за датското правителство, от V. Pasternak Jørgensen и M. Søndahl Wolff, в качеството на представители,

–        за естонското правителство, от M. Kriisa, в качеството на представител,

–        за ирландското правителство, от M. Browne, D. Fennelly, A. Joyce и M. Lane, в качеството на представители,

–        за испанското правителство, от L. Aguilera Ruiz, в качеството на представител,

–        за кипърското правителство, от I. Neophytou, в качеството на представител,

–        за унгарското правителство, от M. Z. Fehér и R. Kissné Berta, в качеството на представители,

–        за полското правителство, от B. Majczyna, в качеството на представител,

–        за Европейската комисия, от Ц. Георгиева, H. Kranenborg, P.‑J. Loewenthal и F. Wilman, в качеството на представители,

предвид решението, взето след изслушване на генералния адвокат, делото да бъде разгледано без представяне на заключение,

постанови настоящото

Решение

1        Преюдициалното запитване се отнася до тълкуването на член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, 2002 г., стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 г. (ОВ L 337, 2009 г., стр. 11) (наричана по-нататък „Директива 2002/58“), както и на членове 13 и 54 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета (ОВ L 119, 2016 г., стр. 89).

2        Запитването е отправено в рамките на наказателно производство, образувано по почин на Специализирана прокуратура (България), с оглед получаване на достъп до данните за комуникациите по телефона, осъществени от пет лица.

 Правна уредба

 Правото на Съюза

 Директива 2002/58

3        Съображение 11 от Директива 2002/58 гласи:

„Както Директива 95/46/ЕО [на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, 1995 г., стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10)], настоящата директива не се отнася до въпросите за защита на основните права и свободи свързани с дейности, които не се управляват от законодателството на Общността. Затова тя не променя съществуващия баланс между правото на индивида на неприкосновеност на личния живот и възможността на държавите членки да предприемат мерки, съгласно член 15, параграф 1 от настоящата директива, необходими за защита на обществената сигурност, отбраната, сигурността на държавата (включително икономическото благополучие на държавата, когато дейностите се отнасят до въпроси по сигурността на държавата) и прилагане в изпълнение на наказателното право. Следователно, настоящата директива не засяга възможността на държавите членки да провеждат законно прихващане на електронни комуникации или да предприемат други мерки, ако е необходимо за някои от тези цели и в съответствие с Европейската конвенция за защита на човешките права и основните свободи, съгласно тълкуването на решенията на Европейския съд за човешките права. Такива мерки трябва да бъдат уместни, строго пропорционални на предвидената цел и необходими в едно демократично общество, и следва да бъдат предмет на съответна защита в съответствие с Европейската конвенция за защита на човешките права и основните свободи“.

4        Член 4 от Директива 2002/58 е озаглавен „Сигурност на обработката“ и параграфи 1 и 1а от него гласят:

„1.      Доставчикът на публично достъпни електронни комуникационни услуги трябва да вземе подходящи технически и организационни мерки, за да защити сигурността на неговите услуги, ако е необходимо заедно с доставчика на публични комуникационни мрежи по отношение на сигурността на мрежата. Като се вземе предвид състоянието на науката и разходите за тяхното изпълнение, тези мерки трябва да осигуряват ниво на сигурност, съответстващо на риска, който е налице.

1а. Без да се засягат разпоредбите на Директива [95/46], мерките, посочени в параграф 1, най-малкото:

–        гарантират, че достъп до личните данни може да има само упълномощен персонал за законно разрешени цели,

–        защитават съхраняваните или предавани лични данни от инцидентно или незаконно унищожаване, инцидентна загуба или промяна и неразрешено или незаконно съхраняване, обработка, достъп или разкриване, както и

–        гарантират осъществяването на политика на сигурност по отношение на обработката на лични данни.

Съответните национални регулаторни органи са в състояние да проверяват мерките, предприети от доставчици на обществено достъпни електронни съобщителни услуги, както и да издават препоръки относно най-добрите практики по отношение на нивото на сигурност, което тези мерки следва да постигнат“.

5        Член 5 от Директива 2002/58, озаглавен „Конфиденциалност на комуникациите“, предвижда в параграф 1:

„Държавите членки гарантират конфиденциалност на съобщенията и свързания трафик на данни през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. По-специално те забраняват слушане, записване, съхранение и други видове подслушване или наблюдение на съобщения и свързаните данни за трафика от страна на лица, различни от потребители без съгласието на заинтересованите потребители, с изключение на законно упълномощени да извършват това в съответствие с член 15 параграф 1. Настоящият параграф не пречи на техническото съхранение, което е необходимо за пренасяне на комуникация, без да противоречи на принципа за конфиденциалност“.

6        Член 15 от посочената директива е озаглавен „Приложение на някои разпоредби от Директива [95/46]“ и параграф 1 от него предвижда:

„1.      Държавите членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф 1, 2, 3, и 4 и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е. държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на [престъпления] или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива [95/46]. В тази връзка, държавите членки могат, inter alia, да одобрят законодателни мерки, предвиждащи съхранението на данни за ограничен период, оправдани на основанията, изложени в настоящия параграф. Всички мерки, упоменати в настоящия параграф, трябва да бъдат в съответствие с общите принципи на законодателството на [Съюза], включително онези, упоменати в член 6, параграф[и] 1 и 2 от Договора за Европейския съюз.

[…]

2.      Разпоредбите на глава III относно средствата за съдебна защита, отговорността и санкциите от Директива [95/46] трябва да се прилагат по отношение на национални разпоредби, одобрени съгласно настоящата директива и по отношение на правата на личността, произтичащи от настоящата директива“.

 Директива 95/46

7        Директива 95/46 е отменена и заменена, считано от 25 май 2018 г., с Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (ОВ L 119, 2016 г., стр. 1). Член 3, параграф 2 от Директива 95/46 е гласял:

„Настоящата директива не се прилага за обработването на лични данни:

–        при извършване на дейности, извън приложното поле на правото на Общността, например дейностите, предвидени в дял V и дял VI от Договора за Европейския съюз, и във всички случаи при дейности по обработването на данни, отнасящи се до обществената сигурност, отбраната, държавната сигурност (включително икономическото благосъстояние на държавата, когато процесът на обработка е свързан[…] с държавната сигурност) и при дейности на държавата в областта на наказателното право,

[…]“.

8        Член 22 от Директива 95/46, който се съдържа в глава III, озаглавена „Средства за правна защита, отговорност и санкции“, е имал следното съдържание:

„Без това да засяга и да е административно средство за правна защита, което може да бъде предвидено, inter alia, пред надзорния орган, посочен в член 28, преди сезиране на съдебен орган, държавите членки предвиждат правото на всяко лице на правна защита за всяко нарушение на правата, гарантирани от националното право, приложимо към въпросната обработка“.

 Регламент 2016/679

9        Съгласно член 1, параграф 1 от Регламент 2016/679 с този регламент „се определят правилата по отношение на защитата на физическите лица във връзка с обработването на лични данни, както и правилата по отношение на свободното движение на лични данни“.

10      Съгласно член 2, параграф 2, буква г) от този регламент той не се прилага за обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наложените наказания. От член 23, параграф 1, букви г) и з) от посочения регламент обаче следва, че обработването на лични данни, извършвано за същите цели от частни лица, попада в неговото приложно поле.

11      Член 79 от този регламент, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, гласи следното:

„1.      Без да се засягат които и да било налични административни или несъдебни средства за защита, включително правото на подаване на жалба до надзорен орган съгласно член 77, всеки субект на данни има право на ефективна съдебна защита, когато счита, че правата му по настоящия регламент са били нарушени в резултат на обработване на личните му данни, което не е в съответствие с настоящия регламент.

2.      Производствата срещу даден администратор или обработващ лични данни се образуват пред съдилищата на държавата членка, в която администраторът или обработващият лични данни има място на установяване. Като алтернативен вариант такива производства могат да се образуват пред съдилищата на държавата членка, в която субектът на данните има обичайно местопребиваване, освен ако администраторът или обработващият лични данни е публичен орган на държава членка, действащ в изпълнение на публичните си правомощия“.

 Директива 2016/680

12      Съгласно член 1, параграф 1 от Директива 2016/680 с нея „се установяват правилата във връзка със защитата на физическите лица по отношение на обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване“.

13      Съгласно член 2, параграф 1 тази директива се прилага за обработването на лични данни от компетентните органи за целите, посочени в член 1, параграф 1 от нея, като съгласно член 3, точка 7, буква а) от посочената директива понятието „компетентен орган“ обхваща „всеки публичен орган, който е компетентен за предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания, включително предпазването от заплахи за обществената сигурност и тяхното предотвратяване“.

14      Член 13 от Директива 2016/680, озаглавен „Информация, до която се осигурява достъп или която се предоставя на субекта на данните“, гласи:

„1.      Държавите членки предвиждат администраторът да предоставя на субектите на данни най-малко следната информация:

a)      данни за идентифициране и координатите за връзка на администратора;

б)      координатите за връзка на длъжностното лице по защита на данните, когато е приложимо;

в)      целите на обработването, за които са предназначени личните данни;

г)      правото да бъде подадена жалба до надзорен орган и да бъдат предоставени неговите координати за връзка;

д)      съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни и ограничаване на обработването на лични данни, свързано със субекта на данните.

2.      Освен информацията, посочена в параграф 1, държавите членки предвиждат със закон администраторът да предоставя на субекта на данните, в конкретни случаи и с цел да му се даде възможност да упражни правата си, следната допълнителна информация:

a)      правното основание на обработването;

б)      срока, за който ще се съхраняват личните данни, а ако това е невъзможно — критериите, използвани за определяне на този срок;

в)      когато е приложимо, категориите получатели на личните данни, включително в трети държави или международни организации;

г)      когато е необходимо, допълнителна информация, по-специално когато личните данни са събрани без знанието на субекта на данните.

3.      Държавите членки могат да приемат законодателни мерки, които забавят, ограничават или водят до пропускане на предоставянето на информация на субекта на данните съгласно параграф 2, до такава степен и за толкова време, за колкото тази мярка е необходима и пропорционална в едно демократично общество, като надлежно се вземат под внимание основните права и легитимните интереси на засегнатото физическо лице, за да:

а)      се избегне възпрепятстването на официални или съдебни проучвания, разследвания или процедури;

б)      не се допусне неблагоприятно влияние върху предотвратяването, разкриването, разследването или наказателното преследване на престъпления или изпълнението на наказания;

в)      се защити обществената сигурност;

г)      се защити националната сигурност;

д)      се защитят правата и свободите на други лица.

4.      Държавите членки могат да приемат законодателни мерки, за да определят категориите обработване, които могат изцяло или частично да попадат в обхвата на всяка една от буквите на параграф 3“.

15      Член 54 от тази директива, озаглавен „Право на ефективна съдебна защита срещу администратор или обработващ лични данни“, предвижда:

„Без да се засягат наличните средства за административна или извънсъдебна защита, включително правото да се подаде жалба до надзорен орган съгласно член 52, държавите членки предвиждат правото на субектите на данни на ефективна съдебна защита, ако считат, че правата им, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на личните им данни при неспазване на посочените разпоредби“.

 Българското право

 Закон за електронните съобщения

16      Със закон, приет през 2010 г., в Закона за електронните съобщения (ДВ, бр. 41 от 22 май 2007 г., наричан по-нататък „ЗЕС“) са били включени членове 250а—251a, транспониращи в българския правен ред Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (ОВ L 105, 2006 г., стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51). Членове 250a—251a от ЗЕС са предвиждали общо и неизбирателно запазване на трафичните данни и на данните за местоположението за период от 12 месеца за целите на борбата с тежки престъпления, на разследването на компютърни престъпления и за издирване на лица.

17      С решение от 8 април 2014 г., Digital Rights Ireland и др. (C‑293/12 и C‑594/12, EU:C:2014:238), Съдът обявява Директива 2006/24 за невалидна.

18      С Решение № 2/15 Конституционният съд (България) обявява за противоконституционни разпоредбите на ЗЕС, произтичащи от разглеждания закон, приет през 2010 г., тъй като, от една страна, те са предвиждали запазване на въпросните данни за целите на борбата с престъпления, които не са тежки, а също така и за целите на издирването на лица, и от друга страна, тъй като срокът на запазване е прекомерно дълъг. Конституционният съд обаче постановява, че българската конституция по принцип допуска общо и неизбирателно запазване на данни с цел наказателно преследване на тежки престъпления, при условие че срокът на запазване не е прекомерно дълъг, какъвто според него е случаят със срока от шест месеца. По-специално, като признава, че такова общо и неизбирателно запазване е засягало всички лица, а не само онези, за които има данни или улики, че са извършили тежко престъпление, Конституционният съд приема, че на практика не съществува друг способ, който може да осигури необходимите сведения за целите на борбата с тежката престъпност, относно времето, предшестващо престъпното деяние.

19      Вследствие на това решение със закон, приет през 2015 г., в ЗЕС са включени член 251б и сл., които са приложими към главното производство.

20      Член 251б, алинея 1 от ЗЕС гласи:

„Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок от 6 месеца данни, създадени или обработени в процеса на тяхната дейност, които са необходими за:

1.      проследяване и идентифициране на източника на връзката;

2.      идентифициране на направлението на връзката;

3.      идентифициране на датата, часа и продължителността на връзката;

4.      идентифициране на типа на връзката;

5.      идентифициране на крайното електронно съобщително устройство на потребителя или на това, което се представя за негово крайно устройство;

6.      установяване на идентификатор на ползваните клетки“.

21      Съгласно член 251б, алинея 2 от ЗЕС тези данни се съхраняват за различни нужди, включително за нуждите за предотвратяване, разкриване и разследване на тежки престъпления.

22      В съответствие с член 251в, алинея 8 от ЗЕС тези данни може да се предоставят на органите на досъдебното производство по реда на Наказателно-процесуалния кодекс (наричан по-нататък „НПК“).

23      Съгласно член 251г, алинея 7 от ЗЕС за дадените разрешения или откази за предоставяне на достъп до данни се водят специални регистри в съдилищата, които са постановили тези разрешения или откази. Достъпът до тях не е публичен. Ако тази справка е изготвена в рамките на наказателно производство, тя става част от материалите по него и всяка страна в производството има достъп до нея.

24      Съгласно член 251ж, алинея 1 от ЗЕС след изтичане на 6-месечния срок и ако не е направено искане за достъп, данните се унищожават. Съставя се протокол, който се предава на Комисията за защита на личните данни (България) (наричана по-нататък „КЗЛД“), която съгласно член 261а от ЗЕС е наблюдаващ орган относно съхраняването на въпросните данни, като по-специално гарантира защитата и сигурността на тези данни.

25      Съгласно член 261б от ЗЕС такъв контрол осъществява и комисия към Народното събрание на Република България.

 Наказателно-процесуален кодекс

26      Член 159a от НПК, озаглавен „Предоставяне на данни от предприятия, предоставящи обществени електронни съобщителни мрежи и/или услуги“, предвижда:

„(1)      По искане на съда в съдебното производство или въз основа на мотивирано разпореждане на съдия от съответния първоинстанционен съд, издадено по искане на наблюдаващия прокурор в досъдебното производство, предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, предоставят създадените при осъществяване на тяхната дейност данни, които са необходими за:

1.      проследяване и идентифициране на източника на връзката;

2.      идентифициране на направлението на връзката;

3.      идентифициране на датата, часа и продължителността на връзката;

4.      идентифициране на типа на връзката;

5.      идентифициране на крайното устройство на потребителя или на това, което се представя за негово крайно устройство;

6.      установяване на идентификатор на ползваните клетки.

(2)      Данните по ал. 1 се събират, когато това се налага за разследването на тежки умишлени престъпления.

(3)      Искането на наблюдаващия прокурор по ал. 1 се мотивира и задължително съдържа:

1.      информация за престъплението, за разследването на което се налага използването на данни за трафика;

2.      описание на обстоятелствата, на които се основава искането;

3.      данни за лицата, за които се изискват данни за трафика;

4.      разумен период от време, който да обхваща справката;

5.      разследващия орган, на който да се предоставят данните.

(4)      В разпореждането по ал. 1 съдът посочва:

1.      данните, които следва да се отразят в справката;

2.      разумен период от време, който да обхваща справката;

3.      разследващия орган, на който да се предоставят данните.

(5)      Периодът от време, за който се иска и разрешава предоставянето на данните по ал. 1, не може да бъде по-дълъг от 6 месеца.

(6)      Когато справката съдържа данни, които не са свързани с обстоятелствата по делото и не допринасят за тяхното изясняване, по мотивирано писмено предложение на наблюдаващия прокурор, съдията, издал разрешението, разпорежда нейното унищожаване. Унищожаването се извършва по ред, определен от главния прокурор. В 7‑дневен срок от получаване на разпореждането предприятията по ал. 1 и наблюдаващият прокурор предоставят на съдията, който го е издал, протоколите за унищожаване на данните“.

 Наказателен кодекс

27      Съгласно член 11, алинея 2 от Наказателния кодекс умишлени са онези престъпления, при които деецът е съзнавал общественоопасния характер на деянието, предвиждал е неговите общественоопасни последици и е искал или допускал настъпването им.

28      Съгласно член 93, точка 7 от Наказателния кодекс тежко престъпление е това, за което по закона е предвидено наказание лишаване от свобода повече от пет години или доживотен затвор.

 Главното производство и преюдициалните въпроси

29      На основание член 159а от НПК Специализираната прокуратура иска от Специализирания наказателен съд (България), който е запитващата юрисдикция, да издаде разпореждане, с което да ѝ предостави достъп до данните за трафика и до данните за местонахождението, що се отнася до обажданията на мобилните телефони на петима души, които според нея участват в престъпна дейност по разпространение на цигари без бандерол. Специализираната прокуратура уточнява, че данните, до които иска да получи достъп, ще бъдат използвани за целите на наказателното преследване срещу посочените лица.

30      Запитващата юрисдикция посочва, че след като е разгледала материалите по делото, е констатирала, че петте лица, посочени в искането на специализираната прокуратура, евентуално участват в разследваната престъпна дейност, че тази дейност представлява тежко умишлено престъпление и че от материалите по преписката става ясно, че посочените в това искане телефонни номера са могли да бъдат използвани при упражняването на разглежданата дейност. Следователно в съответствие с националното право посоченото искане трябвало да бъде уважено.

31      Запитващата юрисдикция обаче иска да установи дали решението за уважаване на искането на Специализираната прокуратура е в съответствие с правото на Съюза.

32      Всъщност, от една страна, Съдът вече бил постановил, че общото и неизбирателно запазване на данни за трафик и за местонахождение за целите на борбата с тежката престъпност не е съвместимо с правото на Съюза.

33      От друга страна обаче, в Решение № 2/15 Конституционният съд е постановил изрично, а след това в решение № 15 от 17 ноември 2020 г. е приел имплицитно, че общото и неизбирателно запазване на данни за трафик и за местонахождение, каквото е предвидено в разглежданата в главното производство българска правна уредба, е в съответствие с българската конституция, при това въз основа на доводи, които все още не били разгледани от Съда. Освен това българската правна уредба съдържала допълнителни гаранции, които евентуално са ефективен балансиращ фактор и оправдават такова общо запазване на данните. Тези гаранции все още не били обсъдени от Съда.

34      Така, първо, разглежданата в главното производство национална правна уредба предвиждала, че общото и неизбирателно запазване на данни за трафик и за местонахождение е ограничено до период от шест месеца.

35      Второ, достъпът до така запазените данни бил разрешен само за целите на разследването на тежки умишлени престъпления, тоест престъпления, за които се предвижда наказание над пет години лишаване от свобода.

36      Трето, макар според запитващата юрисдикция разглежданата в главното производство национална правна уредба в някои отношения да не отговаря на изискванията на правото на Съюза относно запазването и използването на данни за трафик и за местонахождение, все пак в други отношения тя отговаряла на тези изисквания и дори предоставяла по-високо ниво на защита. Всъщност общото и неизбирателно запазване на данни, предвидено в тази национална правна уредба, както и достъпът до тези данни, се основавали на ясни и точни правила. Изключвал се общ достъп до всички запазени данни и се предвиждал достъп до тези данни само спрямо лица, заподозрени в извършване на престъпление. Достъпът се осъществявал вследствие на предварителен съдебен контрол, основаващ се на мотивирана молба от органи, провеждащи наказателно производство. Накрая, разглежданата в главното производство национална правна уредба предвиждала, че доставчиците на електронни съобщителни услуги следва да вземат подходящи технически и организационни мерки, така че да се изключи злоупотреба или незаконен достъп до запазените данни, и тези мерки били засилени от участието на КЗЛД и на компетентната комисия към Народното събрание.

37      Освен това запитващата юрисдикция отбелязва, че противно на предписаното в правото на Съюза, разглежданата в главното производство национална правна уредба не съдържа изрична норма, която да гарантира, че достъпът до запазените данни е ограничен до строго необходимото за постигане на преследваната цел. Българската съдебна практика обаче изисквала такъв достъп да се предоставя само при наличие на разумни подозрения, че съответното лице е участвало в престъпна дейност. Освен това разглежданата в главното производство национална правна уредба обуславяла разрешаването на такъв достъп от изпълнението на условието той да бъде предоставен за разумен срок, който не надхвърля шест месеца.

38      Така възниква въпросът дали тези изисквания са достатъчни, за да се приеме, че тази разглежданата уредба гарантира, че достъпът е ограничен до „строго необходимото“.

39      Накрая запитващата юрисдикция отбелязва, че съгласно практиката на Съда правото на държавите членки трябва да установи минимални изисквания, така че лицата, чиито данни са запазени, да разполагат с ефикасна защита при злоупотреба и незаконосъобразно използване на тези данни. Разглежданата в главното производство национална правна уредба обаче не предвиждала нито правото на заинтересованите лица да бъдат уведомени за това, че е бил разрешен достъпът до свързаните с тях данни за трафик и за местонахождение, нито правото да оспорят законосъобразността на такова разрешение. Запитващата юрисдикция обаче иска да установи дали изискването, установено в практиката на Съда, се прилага и в случаите, когато е било дадено разрешение от съд, но само въз основа на искане от прокурора, без каквото и да е участие на засегнатото лице.

40      При тези обстоятелства Специализираният наказателен съд решава да спре производството по делото и да постави на Съда следните преюдициални въпроси:

„(1)      Съответен ли е на член 15, параграф 1 във връзка с член 5, параграф 1 и със съображение 11 от Директива 2002/58 национален закон — член 251б, алинея 1 [ЗЕС] — съобразно който се предвижда общо и неизбирателно запазване на всички трафични данни (данни за трафик и за местонахождение на ползватели на електронни съобщителни средства) за период от 6 месеца, с цел борба с тежките форми на престъпност, при условие че в националния закон са предвидени определени гаранции?

(2)      Съответен ли е на член 15, параграф 1 във връзка с член 5, параграф 1 и със съображение 11 от Директива 2002/58 национален закон — чл. 159а [НПК] — който не ограничава достъпа до трафични данни само когато това е строго необходимо и не предвижда право на лицата, до чиито трафични данни е бил осъществен достъп от органите на наказателното производство, да бъдат уведомени за това, когато това уведомяване няма да попречи на наказателното производство, респективно не предвижда в тяхна полза правно средство за защита срещу неправомерен достъп?“.

41      С писмо от 5 август 2022 г. Софийски градски съд (България) уведомява Съда, че в следствие от законодателно изменение, влязло в сила на 27 юли 2022 г., Специализираният наказателен съд е бил закрит и че някои наказателни дела пред последната посочена юрисдикция, включително делото по главното производство, са били препратени, считано от тази дата, на Софийски градски съд.

 По преюдициалните въпроси

 Предварителни бележки

42      На първо място, безспорно е, че още преди отправянето на настоящото преюдициално запитване Съдът вече е постановил, по-специално в решение от 6 октомври 2020 г., La Quadrature du Net и др. (C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 141 и 168), че правото на Съюза, и по-специално член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“) не допуска законодателни мерки, които предвиждат превантивно, за целите на борбата с тежката престъпност, общо и неизбирателно запазване на данни за трафик и на данни за местонахождение.

43      След подробен преглед на различните разглеждани законни интереси и права тази съдебна практика е потвърдена с решение от 5 април 2022 г., Commissioner of An Garda Síochána и др. (C‑140/20, EU:C:2022:258). По-специално в точки 68—101 от посоченото решение Съдът разглежда и отхвърля довода, че само общо и неизбирателно запазване на данни за трафик и на данни за местонахождение би позволило ефективна борба с тежката престъпност.

44      Тази констатация не може да бъде поставена под въпрос от доводите, изтъкнати в настоящото производство пред Съда, че от една страна, по силата на Регламент 2016/679 общото запазване било допустимо и разрешено в няколко сектора, като например наблюдението с камери, и от друга страна, възможността за целево запазване, каквото се препоръчва в практиката на Съда, налагала да е възможно да се извърши подбор сред потенциалните престъпници или сред потенциалните жертви, с което да се засегне презумпцията за невиновност, а по отношение на потенциалните жертви — принципа на равно третиране.

45      Всъщност фактът, че запазването на лични данни чрез видеонаблюдение може да бъде в съответствие с правото на Съюза, не влияе върху констатацията, че общото и неизбирателно запазване на данни за трафик и на данни за местонахождение не е в съответствие с това право, като се имат предвид различията в естеството и обхвата на тези две форми на наблюдение.

46      Освен това следва да се припомни, че в точки 78 и 101 от решение от 5 април 2022 г., Commissioner of An Garda Síochána и др. (C‑140/20, EU:C:2022:258), Съдът е подчертал, че за да бъде в съответствие с правото на Съюза, целевото запазване в зависимост от категориите лица трябва да се основава на „обективни и недискриминационни критерии“, така че по естеството си то не може да има дискриминационен характер по отношение на лицата, до които се отнася. Освен това целенасоченото запазване не може да накърни презумпцията за невиновност, като се има предвид, че то е само едно средство за разследване, с което разполагат компетентните органи, за да установят дали наказателното право е нарушено.

47      На второ място, Съдът вече е постановил, че когато данни за трафик и данни за местонахождение по изключение са били предмет на общо и неизбирателно запазване за целите на опазването на националната сигурност от действителна и настояща или предвидима заплаха, националните органи, компетентни в областта на разследването на престъпления, не биха могли да получат достъп до посочените данни в рамките на наказателно преследване, тъй като в противен случай би се лишила от всякакво полезно действие забраната за такова запазване за целите на борбата с тежката престъпност (решение от 5 април 2022 г., Commissioner of An Garda Síochána и др., C‑140/20, EU:C:2022:258, т. 100).

 По първия въпрос

48      С първия си въпрос запитващата юрисдикция по същество иска да установи дали член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11, както и с член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че не допуска национална правна уредба, която за целите на борбата с тежките престъпления предвижда превантивно общо и неизбирателно запазване на данни за трафик и на данни за местонахождение, когато, от една страна, посочената правна уредба ограничава това общо и неизбирателно запазване до период от шест месеца и от друга страна, предвижда определени гаранции в областта на запазването и достъпа до съответните данни.

49      Що се отнася, на първо място, до наличието на ограничение на периода на запазване, от практиката на Съда следва, че запазването на данни за трафик или на данни за местонахождение, които могат да дадат информация за извършените комуникации от даден ползвател на средство за електронна комуникация или за местонахождението на използваните от него крайни устройства, при всички положения е сериозно, независимо от срока на съхраняване, от обема или вида на съхранените данни, когато от посочената съвкупност от данни може да се направят много точни изводи относно личния живот на засегнатото лице или лица (решение от 20 септември 2022 г., SpaceNet и Telekom Deutschland, C‑793/19 и C‑794/19, EU:C:2022:702, т. 88).

50      В това отношение дори съхраняването на ограничен обем данни за трафик или данни за местонахождение или съхраняването на тези данни за кратък срок може да предостави много точна информация за личния живот на даден ползвател на електронно съобщително средство. Освен това обемът налични данни и произтичащата от тях много точна информация за личния живот на съответното лице са обстоятелства, които могат да се преценят едва след запознаване с посочените данни. Произтичащата от съхраняването на посочените данни намеса обаче по необходимост настъпва, преди да може да се направи справка със съхранените данни и информация. В този смисъл преценката на тежестта на намесата, която представлява съхраняването, се извършва по необходимост в зависимост от риска, който обикновено се свързва с категорията съхранени данни за личния живот на съответните лица, без освен това да има значение дали произтичащата от тях информация за личния живот има конкретно чувствителен характер (решение от 20 септември 2022 г., SpaceNet и Telekom Deutschland, C‑793/19 и C‑794/19, EU:C:2022:702, т. 89).

51      Така по делото, по което е постановено решение от 20 септември 2022 г., C‑793/19 и C‑794/19 (SpaceNet, EU:C:2022:702), Съдът е приел, че съвкупност от данни за трафик и данни за местонахождение, съхранени през разглежданите по това дело периоди, а именно за период от десет седмици и за период от четири седмици, може да позволи да се изведат много точни заключения за личния живот на лицата, чиито данни са съхранени, като например за навиците им в ежедневния живот, мястото на постоянно или временно пребиваване, ежедневните им или други пътувания, упражняваните дейности, социалните връзки на тези лица и социалните кръгове, в които се движат, и по-специално да се установи профилът на посочените лица (вж. в този смисъл решение от 20 септември 2022 г., SpaceNet Telekom Deutschland, C‑793/19 и C‑794/19, EU:C:2022:702, т. 90).

52      Същото важи a fortiori и за общо и неизбирателно запазване на данни за трафика и на данни за местонахождение за по-дълъг период, какъвто е разглежданият в главното производство шестмесечен период.

53      На второ място, що се отнася до наличието на гаранции в областта на запазването и достъпа до разглежданите данни, запитващата юрисдикция отбелязва най-напред, че общото и неизбирателно запазване на данни за трафик и на данни за местонахождение, предвидено в разглежданата в главното производство национална правна уредба, се основава на ясни и точни правила, уреждащи обхвата и прилагането на тази мярка.

54      По-нататък запитващата юрисдикция отбелязва, че разглежданата в главното производство национална правна уредба предвижда, че доставчиците на електронни съобщителни услуги трябва да вземат подходящи технически и организационни мерки, за да се изключи злоупотреба или незаконен достъп до запазените данни.

55      Накрая, достъпът до запазените данни бил подчинен на ясни и точни правила, изключващи всеобщ достъп до тях.

56      Първо, от една страна, обстоятелството, че запазването на данни за трафик и на данни за местонахождение, предвидено в разглежданата в главното производство национална правна уредба, се основава на ясни и точни правила, уреждащи обхвата и прилагането на тази мярка, не променя констатацията, че разглежданата правна уредба предвижда общо и неизбирателно запазване на данните за трафик и на данните за местонахождение.

57      От друга страна, Съдът несъмнено е постановил, че член 15, параграф 1 от Директива 2002/58 не допуска държавите членки да дерогират член 4, параграф 1 и член 4, параграф 1а от същата директива, които изискват от доставчиците на електронни съобщителни услуги да приемат подходящи технически и организационни мерки, позволяващи да се гарантира ефикасна защита на запазените данни срещу рискове от злоупотреби и всякакъв незаконен достъп до тях (решение от 21 декември 2016 г., Tele2 Sverige и Watson и др., C‑203/15 и C‑698/15, EU:C:2016:970, т. 122).

58      При все това запазването на данните и достъпът до тях представляват отделни видове намеса в основните права, гарантирани в членове 7 и 11 от Хартата, които изискват различна обосновка съгласно член 52, параграф 1 от нея. От това следва, че съществуването на задължения за доставчиците на електронни съобщителни услуги да гарантират сигурността и защитата на запазените от тях данни, поради естеството си не може, подобно на национална правна уредба, която осигурява пълното зачитане на условията, произтичащи от съдебната практика, с която се тълкува Директива 2002/58 в областта на достъпа до запазените данни, нито да ограничи, нито да отстрани тежката намеса, произтичаща от предвиденото в същата национална правна уредба общо запазване на тези данни, в правата, гарантирани в членове 5 и 6 от въпросната директива, и чрез основните права, конкретизирани в тези членове (вж. по аналогия решение от 5 април 2022 г., Commissioner of An Garda Síochána и др., C‑140/20, EU:C:2022:258, т. 47 и от 20 септември 2022 г., SpaceNet Telekom Deutschland, C‑793/19 и C‑794/19, EU:C:2022:702, т. 91).

59      Същото се отнася и до надзора върху това запазване от страна на органи като КЗЛД и компетентната комисия към Народното събрание, на които се позовава запитващата юрисдикция, като се има предвид, че дори подобен надзор да може да намали рисковете от неправомерно разкриване на запазените данни, той не е в състояние да премахне рисковете от такова запазване, посочени в точка 50 от настоящото решение.

60      С оглед на всички изложени по-горе съображения на първия преюдициален въпрос следва да се отговори, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че не допуска национално законодателство, което предвижда превантивно, за целите на борбата с тежката престъпност и предотвратяването на сериозни заплахи за обществената сигурност, общо и неизбирателно запазване на данни за трафик и на данни за местонахождение, дори ако посоченото законодателство ограничава във времето това общо и неизбирателно запазване до период от шест месеца и предвижда определени гаранции в областта на запазването и достъпа до съответните данни.

 По втория въпрос

61      С втория си въпрос запитващата юрисдикция иска да установи по същество дали член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че не допуска национално законодателство относно запазването на лични данни и достъпа до тях, което, от една страна, не предвижда изрично, че достъпът до запазените данни се ограничава до строго необходимото за постигането на преследваната с това запазване цел, и от друга страна, не предоставя на лицата, чиито данни са били предмет на подобен достъп, правото да бъдат уведомени за това, когато подобно уведомяване няма да попречи на наказателното производство, и да разполагат с правно средство за защита срещу неправомерен достъп.

62      Най-напред следва да се припомни, че държавите членки могат да предвидят в законодателството си, че достъпът до данни за трафик и до данни за местонахождение може да се осъществи за целите на борбата с тежката престъпност или за опазването на националната сигурност, когато тези данни са запазени от доставчик в съответствие с членове 5, 6 и 9 или с член 15, параграф 1 от Директива 2002/58 (вж. в този смисъл решение от 6 октомври 2020 т., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 167).

 По първата част на втория въпрос

63      Що се отнася до това дали съответното национално законодателство трябва ясно и точно да предвижда, че достъпът до запазените данни е ограничен до строго необходимото за постигането на преследваната с това запазване цел, от съдебната практика следва, че за да се изпълни изискването за пропорционалност, съгласно което дерогациите и ограниченията на защитата на личните данни трябва да се въвеждат в границите на строго необходимото, компетентните национални органи трябва да гарантират във всеки конкретен случай, че както визираните категории данни, така и продължителността, за която се иска достъп до тях, са ограничени, в зависимост от обстоятелствата по случая, до строго необходимото за целите на въпросното разследване (решение от 2 март 2021 г., Prokuratuur (Условия за достъп до данните за електронните съобщения), C‑746/18, EU:C:2021:152, т. 38 и цитираната съдебна практика).

64      Освен това, макар че националното право трябва да определи условията, при които трябва да се предостави подобен достъп, все пак, за да изпълни изискването за пропорционалност, националната правна уредба трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да налагат минимални изисквания, така че лицата, чиито лични данни са засегнати, да разполагат с достатъчно гаранции, позволяващи ефикасна защита на тези данни срещу рискове от злоупотреби. По-специално приета на основание член 15, параграф 1 от Директива 2002/58 национална правна уредба, която урежда достъпа на компетентните органи до запазените данни за трафик и данни за местонахождение, не може да се ограничи до изискването достъпът на органите до данните да отговаря на преследваната с тази правна уредба цел, а трябва да предвижда също материални и процесуални условия за това използване (вж. в този смисъл решение от 5 април 2022 г., Commissioner of An Garda Síochána и др., C‑140/20, EU:C:2022:258, т. 103 и 104 и цитираната съдебна практика).

65      От това следва, че национално законодателство относно запазването на лични данни и достъпа до тях трябва да предвижда разпоредби, които ясно и точно да сочат, че достъпът до запазените данни трябва да се ограничи до строго необходимото за постигане на преследваната с това запазване цел.

66      Запитващата юрисдикция следва да провери дали разглежданото в главното производство национално законодателство отговаря на това изискване, като вземе предвид по-специално факта, че що се отнася до обхвата на достъпа, който следва да се предостави, това законодателство, изглежда, се ограничава до изискването този достъп да се отнася само до разумен период от време, който не надвишава шест месеца.

67      С оглед на гореизложеното на първата част от втория въпрос следва да се отговори, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата трябва да се тълкува в смисъл, че не допуска национално законодателство, което не предвижда ясно и точно, че достъпът до запазените данни е ограничен до строго необходимото за постигането на преследваната с това запазване цел.

 По втората част на втория въпрос

68      Що се отнася до въпроса дали съответното национално законодателство трябва да предвижда, че лицата, чиито данни са били предмет на достъп, следва да бъдат уведомени за това, когато подобно уведомяване няма да попречи на наказателното производство, и да разполагат със средства за защита срещу незаконен достъп, трябва да се отбележи, че разрешаването на достъп до запазените данни за трафик и за местонахождение, като предвиденото в разглежданото в главното производство национално законодателство, задължително се отнася до два вида обработване на лични данни, а именно, от една страна, до предоставянето на тези данни от доставчиците на електронни съобщителни услуги, които са ги запазили, и от друга страна, до използването на така предоставените данни от националните органи, компетентни в областта на наказателното преследване.

69      Предмет на втория преюдициален въпрос е само вторият вид третиране, което попада в приложното поле на Директива 2016/680 в съответствие с член 1, параграф 1 и член 2, параграф 1 от нея. От това следва, за да се отговори на този аспект на втория въпрос, трябва да се вземат предвид релевантните разпоредби на посочената директива.

70      Що се отнася, на първо място, до въпроса за правото на съответното лице да бъде уведомено за обработването на личните му данни от компетентните национални органи в областта на наказателното разследване, Съдът е приел във връзка с фактическо положение, предхождащо влизането в сила на Директива 2016/680, че е важно компетентните национални органи, на които е предоставен достъп до запазените данни, да уведомят за това засегнатите лица в рамките на приложимите национални производства веднага щом това уведомяване вече не може да попречи на водените от тези органи разследвания, тъй като подобна информация фактически е необходима, за да позволи на засегнатите лица по-специално да упражнят правото си на обжалване, изрично предвидено в член 15, параграф 2 от Директива 2002/58 във връзка с член 22 от Директива 95/46, в случай на нарушение на правата им (вж. в този смисъл решение от 21 декември 2016 г., Tele2 Sverige и Watson и др., C‑203/15 и C‑698/15, EU:C:2016:970, т. 121).

71      Това задължение за предоставяне на информация на засегнатото лице обаче е потвърдено в член 13 от Директива 2016/680, от който следва, че макар държавите членки да могат да приемат законодателни мерки за забавяне, ограничаване или дори премахване на предоставянето на информация на засегнатото лице, стига подобна мярка да отговаря на изискванията, посочени в параграф 3 от този член, национална правна уредба, която по принцип изключва всякакво право на информация, не би била в съответствие с правото на Съюза.

72      Що се отнася, на второ място, до въпроса за правото на обжалване на съответното лице, като начало следва да се отбележи, че такова право е изрично гарантирано в член 15, параграф 2 от Директива 2002/58 във връзка с член 79 от Регламент 2016/679 (вж. по аналогия, що се отнася до член 22 от Директива 95/46, решение от 21 декември 2016 г., Tele2 Sverige и Watson и др., C‑203/15 и C‑698/15, EU:C:2016:970, т. 121; вж. в този смисъл решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 190).

73      Що се отнася до обработването на лични данни, което попада в приложното поле на Директива 2016/680, член 54 от тази директива гласи, че лицето има право на ефективна съдебна защита, когато счита, че правата му, установени в разпоредби, приети съгласно настоящата директива, са нарушени вследствие на обработването на личните му данни при неспазване на посочените разпоредби.

74      Всъщност съгласно постоянната съдебна практика при липсата на правила на Съюза в тази област въз основа на принципа на процесуална автономия вътрешният правен ред на всяка държава членка трябва да уреди процесуалните правила за съдебните производства, предназначени да гарантират защитата на правата, които страните в процеса черпят от правото на Съюза, при условие обаче че те не са по-неблагоприятни от правилата, които уреждат подобни вътрешноправни положения (принцип на равностойност), и не правят практически невъзможно или прекомерно трудно упражняването на правата, предоставени от правото на Съюза (принцип на ефективност) (решение от 6 октомври 2020 г., La Quadrature du Net и др., C‑511/18, C‑512/18 и C‑520/18, EU:C:2020:791, т. 223 и цитираната съдебна практика, както и от 2 март 2021 г., Prokuratuur (Условия за достъп до данните за електронните съобщения), C‑746/18, EU:C:2021:152, т. 42).

75      При все това, в случай че достъпът до запазените данни изисква разрешение, издадено от национална юрисдикция, принципът на ефективност, изглежда, не е спазен. Всъщност, противно на твърденията на кипърското правителство в писменото му становище, такова разрешение само по себе си не е достатъчно, за да се осигури ефективна защита на засегнатите лица срещу рискове от злоупотреба и незаконен достъп до отнасящи се до тях данни, когато, както в настоящия случай, разглежданата национална правна уредба предвижда, че това разрешение се предоставя само въз основа на искане от страна на компетентните национални органи в областта на наказателното разследване, без съответните лица да са били изслушани и следователно без юрисдикцията, която е компетентна да издаде подобно разрешение, да е могла да вземе предвид възможните възражения на тези лица.

76      С оглед на гореизложеното на втората част от втория преюдициален въпрос следва да се отговори, че член 15, параграф 1 от Директива 2002/58 във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата, както и във връзка с членове 13 и 54 от Директива 2016/680 трябва да се тълкуват в смисъл, че не допускат национална правна уредба, която предвижда достъп от страна на националните органи, компетентни в областта на разследването на престъпления, до законно запазени данни за трафик и данни за местонахождение, без да гарантира, че лицата, до чиито данни са имали достъп тези национални органи, са били уведомени за това в степента, предвидена от правото на Съюза, и че разполагат с правно средство за защита срещу неправомерен достъп до тези данни.

 По съдебните разноски

77      С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

По изложените съображения Съдът (шести състав) реши:

1)      Член 15, параграф 1 от Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 година, във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата на основните права на Европейския съюз

трябва да се тълкува в смисъл, че не допуска:

–        национално законодателство, което предвижда превантивно, за целите на борбата с тежката престъпност и предотвратяването на сериозни заплахи за обществената сигурност, общо и неизбирателно запазване на данни за трафик и на данни за местонахождение, дори ако посоченото законодателство ограничава във времето това общо и неизбирателно запазване до период от шест месеца и предвижда определени гаранции в областта на запазването и достъпа до съответните данни,

–        национално законодателство, което не предвижда ясно и точно, че достъпът до запазените данни е ограничен до строго необходимото за постигането на преследваната с това запазване цел.

2)      Член 15, параграф 1 от Директива 2002/58, изменена с Директива 2009/136, във връзка с членове 7, 8 и 11 и член 52, параграф 1 от Хартата на основните права на Европейския съюз, както и във връзка с членове 13 и 54 от Директива (ЕС) 2016/680 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета

трябва да се тълкуват в смисъл, че:

не допускат национална правна уредба, която предвижда достъп от страна на националните органи, компетентни в областта на разследването на престъпления, до законно запазени данни за трафик и данни за местонахождение, без да гарантира, че лицата, до чиито данни са имали достъп тези национални органи, са били уведомени за това в степента, предвидена от правото на Съюза, и без посочените лица да разполагат с правно средство за защита срещу неправомерен достъп до тези данни.

Обявено в открито съдебно заседание в Люксембург на 17 ноември 2022 година.

*      Език на произвовството: български.