РЕШЕНИЕ НА СЪДА (голям състав)

8 април 2014 година ( *1 )

„Електронни съобщения — Директива 2006/24/ЕО — Обществено достъпни електронни съобщителни услуги или обществени съобщителни мрежи — Запазване на данни, създадени или обработени във връзка с предоставянето на такива услуги — Валидност — Членове 7, 8 и 11 от Хартата на основните права на Европейския съюз“

По съединени дела C‑293/12 и C‑594/12

с предмет преюдициални запитвания, отправени на основание член 267 ДФЕС от High Court (Ирландия) и Verfassungsgerichtshof (Австрия) с актове съответно от 27 януари и 28 ноември 2012 г., постъпили в Съда на 11 юни и 19 декември 2012 г., в рамките на производствата по дела

Digital Rights Ireland Ltd (C‑293/12)

срещу

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Ирландия,

The Attorney General,

в присъствието на:

Irish Human Rights Commission,

и

Kärntner Landesregierung(C‑594/12),

Michael Seitlinger,

Christof Tschohl и др.,

СЪДЪТ (голям състав),

състоящ се от: V. Skouris, председател, K. Lenaerts, заместник-председател, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (докладчик), E. Juhász, A. Borg Barthet, C. G. Fernlund и J. L. da Cruz Vilaça, председатели на състави, A. Rosas, G. Arestis, J.‑C. Bonichot, Aл. Арабаджиев, C. Toader и C. Vajda, съдии,

генерален адвокат: P. Cruz Villalón,

секретар: K. Malacek, администратор,

предвид изложеното в писмената фаза на производството и в съдебното заседание от 9 юли 2013 г.,

като има предвид становищата, представени:

за Digital Rights Ireland Ltd, от F. Callanan, SC, и от F. Crehan, BL, упълномощени от S. McGarr, solicitor,

за M. Seitlinger, от G. Otto, Rechtsanwalt,

за Ch. Tschohl и др., от E. Scheucher, Rechtsanwalt,

за Irish Human Rights Commission, от P. Dillon Malone, BL, упълномощен от S. Lucey, solicitor,

за Ирландия, от E. Creedon и D. McGuinness, в качеството на представители, подпомагани от E. Regan, SC, и D. Fennelly, JC,

за австрийското правителство, от G. Hesse и G. Kunnert, в качеството на представители,

за испанското правителство, от N. Díaz Abad, в качеството на представител,

за френското правителство, от G. de Bergues и D. Colas, както и от B. Beaupère-Manokha, в качеството на представители,

за италианското правителство, от G. Palmieri, в качеството на представител, подпомагана от A. De Stefano, avvocato dello Stato,

за полското правителство, от B. Majczyna и M. Szpunar, в качеството на представители,

за португалското правителство, от L. Inez Fernandes и C. Vieira Guerra, в качеството на представители,

за правителството на Обединеното кралство, от L. Christie, в качеството на представител, подпомаган от S. Lee, barrister,

за Европейския парламент, от U. Rösslein и A. Caiola, както и от K. Zejdová, в качеството на представители,

за Съвета на Европейския съюз, от J. Monteiro и E. Sitbon, както и от I. Šulce, в качеството на представители,

за Европейската комисия, от D. Maidani, както и от B. Martenczuk и M. Wilderspin, в качеството на представители,

след като изслуша заключението на генералния адвокат, представено в съдебното заседание от 12 декември 2013 г.,

постанови настоящото

Решение

1

Преюдициалните запитвания се отнасят до валидността на Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО (ОВ L 105, стр. 54; Специално издание на български език, 2007 г., глава 13, том 53, стр. 51).

2

Запитването от High Court (дело C‑293/12) е отправено в рамките на спор между Digital Rights Ireland Ltd (наричано по-нататък „Digital Rights“) и Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Ирландия, както и Attorney General по повод на законосъобразността на националните законодателни и административни мерки относно запазването на данни във връзка електронни съобщения.

3

Запитването от Verfassungsgerichtshof (дело C‑594/12) е свързано с конституционни жалби, подадени пред този съд съответно от Kärntner Landesregierung (администрацията на провинция Каринтия), както и от г‑н Seitlinger, г‑н Tschohl и 11 128 други лица във връзка със съвместимостта на закона, с който се транспонира Директива 2006/24 във вътрешното австрийско право, с федералния конституционен закон (Bundes‑Verfassungsgesetz).

Правна уредба

Директива 95/46/ЕО

4

Съгласно член 1 параграф 1 от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни (ОВ L 281, стр. 31; Специално издание на български език, 2007 г., глава 13, том 17, стр. 10) предметът ѝ се състои в защитата на основните права и свободи на физическите лица, и в частност правото им на личен живот при обработването на лични данни.

5

Относно надеждността на обработването на такива данни член 17, параграф 1 от тази директива гласи:

„Държавите членки предвиждат, че администраторът трябва да прилага подходящи технически и организационни мерки за защита на личните данни срещу случайно или неправомерно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, в частност, когато обработването включва предаване на данните по мрежа, както и срещу всякакви други незаконни форми на обработка.

Като се взима под внимание съвременното ниво на развитие и разходите за осъществяването им, тези мерки гарантират такова ниво на сигурност, което съответства на рисковете, свързани с обработването и с естеството на данните, които следва да бъдат защитени“.

Директива 2002/58/ЕО

6

Директива 2002/58/ЕО на Европейския парламент и на Съвета от 12 юли 2002 година относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) (ОВ L 201, стр. 37; Специално издание на български език, 2007 г., глава 13, том 36, стр. 63), изменена с Директива 2009/136/ЕО на Европейския парламент и на Съвета от 25 ноември 2009 година (ОВ L 337, стр. 11, наричана по-нататък „Директива 2002/58“), има за цел съгласно член 1 параграф 1 да се хармонизират разпоредбите на държавите членки, необходими за осигуряване на еднаква степен на защита на основните права и свободи, и по-специално на правото на неприкосновеност на личния живот и на правото на поверителност по отношение на обработката на лични данни в електронно съобщителния сектор и да се осигури свободно движение на такива данни и оборудване за електронни съобщения и услуги в Европейския съюз. По силата на параграф 2 от същия член разпоредбите на тази директива конкретизират и допълват Директива 95/46 за целите, упоменати в горепосочения параграф 1.

7

Относно сигурността на обработката на данни член 4 от Директива 2002/58 предвижда:

„1.   Доставчикът на публично достъпни електронни комуникационни услуги трябва да вземе подходящи технически и организационни мерки, за да защити сигурността на неговите услуги, ако е необходимо заедно с доставчика на публични комуникационни мрежи по отношение на сигурността на мрежата. Като се вземе предвид състоянието на науката и разходите за тяхното изпълнение, тези мерки трябва да осигуряват ниво на сигурност, съответстващо на риска, който е налице.

1а.   Без да се засягат разпоредбите на Директива 95/46/ЕО, мерките, посочени в параграф 1, най-малкото:

гарантират, че достъп до личните данни може да има само упълномощен персонал за законно разрешени цели,

защитават съхраняваните или предавани лични данни от инцидентно или незаконно унищожаване, инцидентна загуба или промяна и неразрешено или незаконно съхраняване, обработка, достъп или разкриване, както и

гарантират осъществяването на политика на сигурност по отношение на обработката на лични данни.

Съответните национални регулаторни органи са в състояние да проверяват мерките, предприети от доставчици на обществено достъпни електронни съобщителни услуги, както и да издават препоръки относно най-добрите практики по отношение на нивото на сигурност, което тези мерки следва да постигнат.

2.   В случай на особен риск от нарушение на сигурността на мрежата, доставчикът на публично достъпни електронни комуникационни услуги трябва да уведоми абонатите относно такъв риск и когато рискът се намира извън обхвата на мерките, които трябва да предприеме доставчикът на услугата, относно всички възможни средства за справяне, включително указание за възможните свързани разходи“.

8

Относно конфиденциалността на комуникациите и на данните за трафика член 5, параграфи 1 и 3 от същата директива гласи:

„1.   Държавите членки гарантират конфиденциалност на съобщенията и свързания трафик на данни през публични комуникационни мрежи и публично достъпни електронни комуникационни услуги, чрез националното си законодателство. По-специално те забраняват слушане, записване, съхранение и други видове подслушване или наблюдение на съобщения и свързаните данни за трафика от страна на лица, различни от потребители без съгласието на заинтересованите потребители, с изключение на законно упълномощени да извършват това в съответствие с член 15 параграф 1. Настоящият параграф не пречи на техническото съхранение, което е необходимо за пренасяне на комуникация, без да противоречи на принципа за конфиденциалност.

[…]

3.   Държавите членки гарантират, че съхраняването на информация или получаването на достъп до информация, вече съхранявана в крайното оборудване на абоната или ползвателя, е позволено само при условие, че съответният абонат или ползвател е дал своето съгласие след получаване на предоставена ясна и изчерпателна информация в съответствие с Директива 95/46/ЕО, inter alia, относно целите на обработката. Това не пречи на всякакво техническо съхранение или достъп с единствена цел осъществяване на предаването на съобщение по електронна съобщителна мрежа или доколкото е строго необходимо, за да може доставчикът да предостави услуга на информационното общество, изрично поискана от абоната или ползвателя“.

9

Съгласно член 6, параграф 1 от Директива 2002/58:

„Данни за трафик, отнасящи се до абонати и потребители, обработени и съхранени от доставчика на публични комуникационни мрежи или публично достъпни електронни комуникационни услуги, трябва да бъдат изтрити или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, без да се накърнява[т] параграф[и] 2, 3 и 5 от настоящия член и член 15, параграф 1“.

10

Член 15, параграф 1 от Директива 2002/58 гласи:

„Държавите членки могат да приемат законодателни мерки, за да ограничат обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграф[и] 1, 2, 3 и 4, и член 9 от настоящата директива, когато такова ограничаване представлява необходима, подходяща и пропорционална мярка в рамките на демократично общество, за да гарантира национална сигурност (т.е. държавна сигурност), отбрана, обществена безопасност и превенцията, разследването, разкриването и преследването на криминални нарушения или неразрешено използване на електронна комуникационна система, както е посочено в член 13, параграф 1 от Директива 95/46/ЕО. В тази връзка, държавите членки могат, inter alia, да одобрят законодателни мерки, предвиждащи съхранението на данни за ограничен период, оправдани на основанията, изложени в настоящия параграф. Всички мерки, упоменати в настоящия параграф, трябва да бъдат в съответствие с общите принципи на законодателството на Общността, включително онези, упоменати в член 6, параграф 1 и 2 от Договора за Европейския съюз“.

Директива 2006/24

11

След консултация с представители на правоохранителните органи в областта на електронните комуникации и с експерти в областта на защитата на данните на 21 септември 2005 г. Комисията представя анализ на въздействието относно възможностите за избор на политика относно правилата за запазване на данни за трафика (наричан по-нататък „анализ на въздействието“). Този анализ става основа за изработване на Предложение за директива на Европейския парламент и на Съвета за запазване на данни, обработени във връзка с предоставянето на обществено достъпни електронни съобщителни услуги и за изменение на Директива 2002/58/ЕО (COM (2005) 438 окончателен, наричано по-нататък „Предложението за директива“), представено на същата дата, което довежда до приемането на Директива 2006/24 на основание член 95 ЕО.

12

Съображение 4 от Директива 2006/24 гласи:

„Член 15, параграф 1 от Директива 2002/58/ЕО определя условията, при които държавите членки могат да ограничават обхвата на правата и задълженията, предвидени в член 5, член 6, член 8, параграфи 1, 2, 3 и 4, и член 9 от посочената директива. Всички ограничения от подобен характер трябва да бъдат необходими, подходящи и съразмерни в едно демократично общество за специфичните цели, свързани с обществения ред, тоест с цел да се опази националната сигурност (тоест сигурността на държавата), отбраната, обществената сигурност или за да се предотвратят, разследват, разкриват и преследват криминални престъпления или неоторизирано ползване на електронни съобщителни системи“.

13

Съгласно съображение 5, първо изречение от Директива 2006/24 „[н]яколко държави членки са приели законодателство, което предвижда запазването на данни от доставчиците на услуги с цел предотвратяване, разследване, разкриване и преследване на криминални престъпления“.

14

Съображения 7—11 от Директива 2006/24 гласят следното:

„(7)

Заключенията на Съвета по правосъдие и вътрешни работи от 19 декември 2002 г. подчертават, че поради значително нарастване на възможностите, предлагани от електронните съобщения, данните, свързани с използването на електронните съобщения, са особено важни и следователно са ценно средство за предотвратяване, разследване, разкриване и преследване на криминални престъпления, в частност на организираната престъпност.

(8)

Декларацията за борба с тероризма, приета от Европейския съвет на 25 март 2004 г., инструктира Съвета да разгледа мерки за въвеждането на правила, по които доставчиците на услуги да запазват данни за съобщителен трафик.

(9)

Съгласно член 8 от Европейската конвенция за защита правата на човека и основните свободи (ECHR) [подписана в Рим на 4 ноември 1950 г.] всеки има право на зачитане на личния живот и личната кореспонденция. Обществените органи могат да се намесват в упражняването на това право само в съответствие със закона и когато това е необходимо в едно демократично общество, inter alia, в интерес на националната сигурност или обществена безопасност, с цел предотвратяването на безредици или престъпления или за защита правата и свободите на другите. Поради това, че запазването на данни се е доказало като необходимо и ефективно средство за разследване при прилагането на законите в няколко държави членки, и в частност по отношение на сериозни въпроси като организираната престъпност и тероризма, е необходимо да се осигури, че запазваните данни се предоставят на разположение на органите, прилагащи закона, за определен период при условията, предвидени в настоящата директива. […]

(10)

В своята декларация от 13 юли 2005 г., осъждаща терористичните атаки в Лондон, Съветът потвърди необходимостта от възможно най-скорошно приемане на общи мерки за запазването на далекосъобщителни данни.

(11)

Като се има предвид значението на данните за трафик и данните за местоположението за разследване, разкриване и преследване на криминални престъпления, видно от изследванията и практическия опит на няколко държави членки, необходимо е на европейско равнище да се осигури, че данните, които се създават или обработват от доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи в процеса на предоставянето на съобщителни услуги, се запазват за определен период при условията, предвидени в настоящата директива“.

15

Съображения 16, 21 и 22 от посочената директива уточняват:

„(16)

Задълженията на доставчиците на услуги относно мерките за осигуряване качеството на данните, които произтичат от разпоредбите на член 6 от Директива 95/46/ЕО, и техните задължения относно мерките за осигуряване на конфиденциалност и сигурност при обработката на данни, които произтичат от членове 16 и 17 от посочената директива, се прилагат изцяло за данните, запазвани по смисъла на настоящата директива.

(21)

Тъй като целите на настоящата директива, а именно да хармонизира задълженията на доставчиците да запазват определени данни и да гарантират, че тези данни са достъпни за целите на разследването, разкриването и преследването на [тежки] престъпления, както това е определено в националното законодателство на всяка държава членка, не могат да бъдат задоволително постигнати от държавите членки и могат следователно поради обхвата и последствията от настоящата директива, да се постигнат по-успешно на общностно равнище, Общността може да приеме мерки в съответствие с принципа на субсидиарност, предвиден в член 5 от Договора. В съответствие с принципа на пропорционалност, предвиден в посочения член, настоящата директива не се простира по-далеч от необходимото за реализирането на тези цели.

(22)

Настоящата директива зачита основните права и съблюдава принципите, признати по-специално в Хартата на основните права на Европейския съюз. В частност, настоящата директива заедно с Директива 2002/58/ЕО цели да осигури напълно спазването на основните права на гражданите за зачитане на личния живот и личната кореспонденция и за защита на техните лични данни, както това е заложено в членове 7 и 8 от Хартата“.

16

Директива 2006/24 предвижда задължение за доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи да запазват някои данни, които се създават или обработват от тях. В това отношение членове 1—9, 11 и 13 от посочената директива гласят:

„Член 1

Предмет и обхват

1.   Настоящата директива има за цел да хармонизира разпоредбите на държавите членки, свързани със задълженията на доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи по отношение запазването на някои данни, които са създадени или обработени от тях, за да се гарантира, че данните са достъпни за разследването, разкриването и преследването на [тежки] престъпления, както те са определени в националното право на всяка държава членка.

2.   Настоящата директива се прилага за данни за трафик и данни за местоположението, както за юридически, така и за физически лица, и на свързаните с тях данни, необходими за идентифицирането на абонат или регистриран ползвател. Тя не се прилага по отношение съдържанието на електронните съобщения, включително и по отношение на информацията, ползвана за справка посредством използване на електронна съобщителна мрежа.

Член 2

Определения

1.   За целите на настоящата директива се прилагат определенията от Директива 95/46/ЕО, Директива 2002/21/ЕО на Европейския парламент и на Съвета от 7 март 2002 г. относно обща регулаторна рамка за електронни съобщителни мрежи и услуги (Рамкова директива) […] и Директива 2002/58/ЕО.

2.   За целите на настоящата директива:

а)

„данни“ означава данни за трафик и данни за местоположението и свързаните с тях данни, необходими за идентифициране на абонат или ползвател;

б)

„ползвател“ означава всяко правно образувание или физическо лице, използващо обществено достъпна електронна съобщителна услуга за частни или търговски цели, без непременно да е абонирано за тази услуга;

в)

„телефонна услуга“ означава повиквания (включително гласови, гласова поща, конферентни повиквания и повиквания за данни), допълнителни услуги (включително препращане и прехвърляне на повикване) и услуги чрез изпращане на съобщения и мултимедийни услуги (включително услуга „кратки съобщения“ (SMS), усъвършенствани медийни услуги и мултимедийни услуги);

г)

„идентификатор на ползвателя“ означава уникален идентификатор, присвоен на лицата при абониране или регистриране за услугата за интернет достъп или за интернет съобщителна услуга;

д)

„идентификатор на клетка“ означава идентичността на клетка, от която е генерирано повикване от мобилна телефония или клетката, където то е терминирано;

е)

„неуспешен опит за повикване“ означава съобщение, при което телефонно повикване е успешно свързано, но на него не е било отговорено или е имало намеса в резултат на управлението на мрежата.

Член 3

Задължение за запазване на данни

1.   Чрез дерогация от разпоредбите на членове 5, 6 и 9 от Директива 2002/58/ЕО държавите членки приемат мерки, за да гарантират, че данните, посочени в член 5 от настоящата директива, са запазени в съответствие с нейните разпоредби до степента, до която тези данни са създадени или обработени от доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи, попадащи под тяхната юрисдикция в процеса на предоставяне на съответните съобщителни услуги.

2.   Задължението за запазване на данни, предвидено в параграф 1, включва запазването на данните, посочени в член 5, свързани с неуспешни опити за повикване, когато тези данни са създадени или обработени и съхранени (по отношение на данните за телефония), или записани (по отношение на интернет данни) от доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи, попадащи под юрисдикцията на съответната държава членка, в процеса на предоставяне на съответните съобщителни услуги. Настоящата директива не изисква запазването на данни за повиквания, където не е била установена връзка.

Член 4

Достъп до данни

Държавите членки предприемат мерки, за да гарантират, че данните, запазени в съответствие с настоящата директива, се предоставят само на компетентните национални органи в специфични случаи и в съответствие с националното право. Процедурите, които трябва да бъдат следвани, и условията, които трябва да бъдат изпълнени, за да се получи достъп до запазените данни, в съответствие с изискванията за необходимост и съразмерност, се определят от всяка държава членка в нейното национално право при условията на съответните разпоредби на правото на Европейския съюз или на публичното международно право, и в частност на ЕКПЧ, така както тя се тълкува от Европейския съд за правата на човека.

Член 5

Категории данни за запазване

1.   Държавите членки гарантират запазването на следните категории данни по настоящата директива:

а)

данни, необходими за проследяване и идентифициране на източника на съобщението:

1)

при фиксирана мрежова телефония и мобилна телефония:

i)

телефонния номер, от който се извършва повикването;

ii)

името и адреса на абоната или регистрирания ползвател;

2)

при интернет достъп, електронна поща по [и]нтернет и интернет телефония:

i)

идентификатора/ите, присвоени на ползвателите;

ii)

идентификатора на ползвателя и телефонния номер, присвоени на всяко съобщение, влизащо в обществената телефонна мрежа;

iii)

името и адреса на абоната или регистрирания ползвател, на който по време на съобщението е бил присвоен адрес по интернет протокол (IP адрес), идентификатор на ползвателя или телефонен номер;

б)

данни, необходими за идентифициране на местоназначението на съобщението:

1)

при фиксирана мрежова телефония и мобилна телефония:

i)

номера/номерата, който/които е/са набран/и (телефонния/телефонните номер/а, към който/които е насочено повикването) и, в случаи на допълнителни услуги като препращане или прехвърляне на повиквания, номера или номерата, към които е пренасочено повикването;

ii)

името/ната и адреса/ите на абоната/ите или регистрирания/ите ползвател/и;

2)

при електронна поща по [и]нтернет и интернет телефония:

i)

идентификатора на ползвателя или телефонния номер на планирания/ите получател/и на повикване чрез интернет телефония;

ii)

името/ната и адреса/ите на абоната/ите или регистрирания/ите ползвател/и и идентификатора на ползвател на планирания получател на съобщението;

в)

данни, необходими за идентифициране на датата, времето и продължителността на съобщението:

1)

при фиксирана мрежова телефония и мобилна телефония — датата и времето на началото и края на съобщението;

2)

при интернет достъп, електронна поща по [и]нтернет и интернет телефония:

i)

датата и времето на влизането и излизането от услугата за интернет достъп на базата на определена часова зона заедно с IP адреса, бил той динамичен или статичен, присвоен на дадено съобщение от доставчика на услугата за интернет достъп, и идентификатора на ползвател на абоната или регистрирания ползвател;

ii)

датата и времето на влизането и излизането от услугата електронна поща по интернет или интернет телефония, основани на определена часова зона;

г)

данни, необходими за идентифициране на вида съобщение:

1)

при фиксирана мрежова телефония и мобилна телефония: използваната телефонна услуга;

2)

при електронна поща по [и]нтернет и интернет телефония: използваната интернет услуга;

д)

данни, необходими за идентифициране на съобщителното оборудване на ползвателите или на това, което се счита, че е тяхно оборудване:

1)

при фиксирана мрежова телефония — номерата на изходящите и входящите повиквания;

2)

при мобилна телефония:

i)

номерата на изходящите и входящите повиквания;

ii)

международната идентификация на мобилния абонат (IMSI) на викащата страна;

iii)

международната идентификация на мобилното оборудване (IMЕI) на викащата страна;

iv)

IMSI на виканата страна;

v)

IMEI [на] виканата страна;

vi)

в случай на предплатени анонимни услуги — датата и времето на първоначалното активиране на услугата и знака за местоположение (идентификатор на клетка), откъдето е била активирана услугата;

3)

при интернет достъп, електронна поща по [и]нтернет и интернет телефония:

i)

викащия телефонен номер за комутируем достъп;

ii)

цифровата абонатна линия (DSL) или друга крайна точка на автора на съобщението;

е)

данни, необходими за [локализиране] на мобилното съобщително оборудване:

1)

знака за местоположение (идентификатор на клетката) в началото на съобщението;

2)

данни, идентифициращи географското местоположение на клетките чрез съотнасяне с техните знаци за местоположение (идентификатори на клетки) през периода, в който се запазват данните за съобщенията.

2.   За целите на настоящата директива не може да бъде запазвана никаква информация, разкриваща съдържанието на съобщението.

Член 6

Периоди на запазване

Държавите членки гарантират, че категориите данни, посочени в член 5, се запазват за периоди не по-кратки от шест месеца и не по-дълги от две години, считано от датата на съобщението.

Член 7

Защита на данните и сигурност на данните

Без да се засягат разпоредбите, приети в съответствие с Директива 95/46/ЕО и Директива 2002/58/ЕО, всяка държава членка гарантира, че доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи спазват като минимум следните принципи за сигурност на данните по отношение на данните, запазвани в съответствие с настоящата директива:

a)

запазените данни са от същото качество и са предмет на същата сигурност и защита като аналогичните данни в мрежата;

б)

данните се подлагат на подходящи технически и организационни мерки, за да бъдат защитени от случайно или незаконно унищожаване, случайна загуба или промяна, или от непозволено или незаконно съхраняване, обработване, достъп или разкриване;

в)

данните се подлагат на подходящи технически и организационни мерки, за да се осигури, че до тях може да има достъп само специално упълномощен персонал, и

г)

данните с изключение на онези, до които е имало достъп и са били съхранени, се унищожават в края на периода за запазване.

Член 8

Изисквания за съхраняване на запазените данни

Държавите членки гарантират, че данните, посочени в член 5, се запазват в съответствие с настоящата директива по такъв начин, че запазените данни и всяка друга необходима информация, свързана с тези данни, може при поискване да бъде предадена без ненужно забавяне на компетентните органи.

Член 9

Наблюдаващ орган

1.   Всяка държава членка определя един или повече публични органи, които да отговарят за наблюдението на прилагането на нейната територия на разпоредбите, приети от държавите членки в съответствие с член 7, относно сигурността на съхраняваните данни. Тези органи може да са същите като споменатите в член 28 от Директива 95/46/EО.

2.   Органите, споменати в параграф 1, действат напълно независимо при осъществяването на наблюдението, предвидено в посочения параграф.

[…]

Член 11

Изменение на Директива 2002/58/ЕО

В член 15 от Директива 2002/58/ЕО се добавя следният параграф:

„1а.   Параграф 1 не се прилага по отношение на данни, специално изисквани от [Директива 2006/24], които се запазват за целите, посочени в член 1, параграф 1 от посочената директива.“

[…]

Член 13

Защита, отговорност и наказания

1.   Всяка държава членка предприема необходимите мерки, за да гарантира, че националните мерки за прилагане на разпоредбите на глава III от Директива 95/46/ЕО, предвиждащи съдебна защита, отговорност и санкции, се прилагат напълно по отношение обработката на данни по настоящата директива.

2.   В частност, всяка държава членка предприема необходимите мерки, за да гарантира, че всякакъв умишлен достъп до или прехвърляне на данни, запазени в съответствие с настоящата директива, който не е разрешен в националното право, прието в съответствие с настоящата директива, се наказва включително с административни и наказателни санкции, които са ефективни, съразмерни и възпиращи“.

Спорове по главното производство и преюдициални въпроси

Дело C‑293/12

17

На 11 август 2006 г. Digital Rights подава жалба до High Court, в която поддържа, че е собственик на мобилен телефон, регистриран на 3 юни 2006 г. и използван от него след тази дата. То оспорва законосъобразността на националните законодателни и административни мерки относно запазването на данни във връзка с електронни съобщения и иска в частност от запитващата юрисдикция да установи недействителността на Директива 2006/24 и на част 7 от Закона за наказателно правораздаване (терористични престъпления) от 2005 г. [Criminal Justice (Terrorist Offences) Act 2005], в които за доставчиците на телефонни комуникационни услуги се предвижда задължение да запазват свързани с услугите данни за трафика и местонахождението за определен в Закона срок за целите на предотвратяването, разкриването, разследването и преследването на престъпления и гарантирането на сигурността на държавата.

18

High Court, след като приема, че не може да се произнесе по свързаните с националното право въпроси, с които е сезиран, без да се изследва валидността на Директива 2006/24, решава да спре производството и да отправи до Съда следните преюдициални въпроси:

„1)

Несъвместимо ли е ограничаването на правата на жалбоподателя по отношение на използването на мобилна телефония от негова страна, произтичащо от изискванията на членове 3, 4 и 6 от Директива 2006/24/ЕО, с член 5, параграф 4 ДЕС, доколкото то е несъразмерно и ненужно или неподходящо за постигане на легитимните цели за:

a)

гарантиране, че определени данни са достъпни за разследването, разкриването и преследването на [тежки] престъпления,

и/или

б)

гарантиране на доброто функциониране на вътрешния пазар на Европейския съюз?

2)

По-специално,

a)

Съвместима ли е Директива 2006/24/ЕО с правото на гражданите свободно да се движат и да пребивават в рамките на територията на държавите членки, установено в член 21 ДФЕС?

б)

Съвместима ли е Директива 2006/24/ЕО с правото на зачитане на личния живот, установено в член 7 от [Хартата на основните права на Европейския съюз (наричана по-нататък „Хартата“)] и в член 8 от [ЕКПЧ]?

в)

Съвместима ли е Директива 2006/24/ЕО с правото на защита на личните данни, установено в член 8 от Хартата?

г)

Съвместима ли е Директива 2006/24/ЕО с правото на свобода на изразяване на мнение, установено в член 11 от Хартата и в член 10 от [ЕКПЧ]?

д)

Съвместима ли е Директива 2006/24/ЕО с правото на добра администрация, установено в член 41 от Хартата?

3)

До каква степен Договорите — и по-специално принципът за лоялно сътрудничество, установен в член 4, параграф 3 от Договора за Европейския съюз — изискват националната юрисдикция да разглежда и да преценява съвместимостта на националните мерки за транспониране на Директива 2006/24/ЕО с гаранциите, предвидени в [Хартата], включително в член 7 от нея (така както той възпроизвежда член 8 от [ЕКПЧ])?“.

Дело C‑594/12

19

В основата на преюдициалното запитване по дело C‑594/12 са множество жалби, подадени до Verfassungsgerichtshof съответно от Kärntner Landesregierung, г‑н Seitlinger, г‑н Tschohl и 11 128 други жалбоподатели с искане да се отмени член 102а от Закона за далекосъобщенията от 2003 г. (Telekommunikationsgesetz 2003), въведен с изменението на закона с федерален закон (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 — TKG 2003 geändert wird, BGBl. I, 27/2011), за да се транспонира Директива 2006/24 в австрийското вътрешно право. Тези страни считат в частност, че член 102а нарушава основното право на частноправните субекти за защита на техните данни.

20

Verfassungsgerichtshof по-специално си поставя въпроса дали Директива 2006/24 е съвместима с Хартата, след като тя позволява съхраняване на масиви с типови данни относно неограничен брой лица за продължителен период от време. Запазването на данни засяга почти изключително лица, чието поведение изобщо не оправдава запазването на данни за тях. Тези лица са изложени на увеличен риск властите да извършват търсене в данните им, да се запознават със съдържанието им, да се информират за личния им живот и да използват тези данни за различни цели, като се има предвид по‑специално неопределимият брой лица, които имат достъп до данните през период най‑малко от шест месеца. Според запитващата юрисдикция съществува съмнение, от една страна, доколко тази директива може да постигне целите, които преследва, и от друга страна, доколко е пропорционална разглежданата намеса в упражняването на съответните основни права.

21

При тези условия Verwaltungsgerichtshof решава да спре производството и да постави на Съда следните преюдициални въпроси:

„1)

За валидността на актове на институции на Европейския съюз:

Съвместими ли са членове 3—9 от Директива 2006/24 с членове 7, 8 и 11 от [Хартата]?

2)

За тълкуване на Договорите:

a)

С оглед на разясненията по член 8 от Хартата, които съгласно член 52, параграф 7 от Хартата са изготвени, за да направляват нейното тълкуване и които следва да бъдат взети надлежно под внимание от Verfassungsgerichtshof, трябва ли Директива 95/46 и Регламент (ЕО) № 45/2001 на Европейския парламент и на Съвета от 18 декември 2000 година относно защитата на лицата по отношение на обработката на лични данни от институции и органи на Общността и за свободното движение на такива данни [ОВ L 8, 2001 г., стр. 1; Специално издание на български език, 2007 г., глава 13, том 30, стр. 142] да се разглеждат като равностойни на условията по член 8, параграф 2 и член 52, параграф 1 от Хартата при преценката на правомерния характер на някои видове намеса в упражняването на правата?

б)

Какво е съотношението между посоченото в член 52, параграф 3, последно изречение от Хартата „право на Съюза“ и директивите в областта на правото на защита на данни?

в)

Доколкото Директива 95/46 и Регламент […] № 45/2001 съдържат условия и ограничения за упражняването на основното право на защита на данните, закрепено в Хартата, трябва ли, когато се тълкува член 8 от нея, да се имат предвид измененията, произтичащи от приетото впоследствие вторично право?

г)

Като се отчита член 52, параграф 4 от Хартата, означава ли принципът на гарантиране на по-висока степен на закрила, залегнал в член 53 от Хартата, че определените от Хартата рамки, в които се допуска вторичното право да предвижда ограничения, трябва да бъдат по-тясно очертани?

д)

С оглед на член 52, параграф 3 от Хартата, на абзац 5 от нейния преамбюл и на разясненията по член 7 от същата, съгласно който гарантираните с него права съответстват на правата по член 8 от ЕКПЧ, могат ли от практиката по член 8 от ЕКПЧ на Европейския съд по правата на човека да се изведат насоки, които да повлияят на тълкуването на член 8 от Хартата?“.

22

С решение на председателя на Съда от 11 юни 2013 г. дела С‑293/12 и C‑594/12 са съединени за целите на устната фаза на производството и на решението.

По преюдициалните въпроси

По втория въпрос, букви б)—г) по дело C‑293/12 и по първия въпрос по дело C‑594/12

23

С втория въпрос, букви б)—г) по дело C‑293/12 и с първия въпрос по дело C‑594/12, които следва да се разгледат заедно, запитващите юрисдикции по същество искат Съдът да изследва валидността на Директива 2006/24 с оглед на членове 7, 8 и 11 от Хартата.

Относно значението на членове 7, 8 и 11 от Хартата с оглед на въпроса за валидността на Директива 2006/24

24

От член 1 и от съображения 4, 5, 7—11, 21 и 22 от Директива 2006/24 следва, че основна цел на тази директива е хармонизирането на разпоредбите на държавите членки, свързани със запазването от страна на доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи на някои данни, които са създадени или обработени от тях, за да се гарантира, че данните са достъпни за разследването, разкриването и преследването на тежки престъпления, например свързани с организираната престъпност и тероризма, при спазване на правата, провъзгласени в членове 7 и 8 от Хартата.

25

Предвиденото в член 3 от Директива 2006/24 задължение на доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи по отношение запазването на данните съгласно член 5 от същата директива, за да може, когато се налага, да се предоставя достъп до тях на компетентните национални органи, повдига въпроси, свързани както със защитата на личния живот и на комуникациите, провъзгласена в член 7 от Хартата, със защитата на личните данни, предвидена в член 8 от същата, така и със зачитането на свободата на изразяване на мнение, гарантирана от член 11 от Хартата.

26

В това отношение следва да се изтъкне, че данните, които трябва да запазват доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи на основание членове 3 и 5 от Директива 2006/24, са в частност данните, необходими за проследяване и идентифициране на източника на съобщението и неговото местоназначение, за определяне на датата, времето, продължителността и вида на съобщението, съобщителното оборудване на ползвателите, както и за локализиране на мобилното съобщително оборудване, данни, сред които са по-специално името и адресът на абоната или на регистрирания ползвател, телефонният номер на викащата страна и номерът на виканата страна, както и IP адрес за интернет услугите. Именно тези данни дават възможност да се установи лицето, с което даден абонат или регистриран ползвател се е свързал и по какъв начин, като същевременно се определят времето на съобщението и мястото, от което то е направено. Освен това, те дават възможност да се разбере честотата на съобщенията на абоната или на регистрирания ползвател с определени лица през определен период.

27

От тези данни, разгледани в съвкупност, е възможно да се изведат много точни заключения за личния живот на лицата, чиито данни са били запазени, например относно навиците им в ежедневния живот, мястото на постоянно или временно пребиваване, ежедневните им или други пътувания, упражняваните дейности, социалните връзки на тези лица и социалните кръгове, в които се движат.

28

При тези обстоятелства, макар Директива 2006/24 да не разрешава да се запазват съдържанието на съобщението и информацията, ползвана за справка в електронна съобщителна мрежа, видно от член 1, параграф 2 и от член 5, параграф 2, не е изключено запазването на съответните данни да даде отражение върху използването на съобщителните средства, посочени в тази директива, от абонатите и регистрираните ползватели, и следователно върху упражняваната от тях свобода на изразяване на мнение, гарантирана от член 11 от Хартата.

29

Запазването на данни с оглед на евентуален достъп на компетентните национални органи до тях, както се предвижда от Директива 2006/24, засяга пряко и конкретно личния живот, а следователно и правата, гарантирани от член 7 от Хартата. Освен това, по отношение на това запазване на данните се прилага и член 8 от нея, тъй като то представлява обработка на лични данни по смисъла на посочения член и поради това задължително трябва да отговаря на изискванията за защита на данните, произтичащи от него (решение Volker und Markus Schecke и Eifert, C‑92/09 и C‑93/09, EU:C:2010:662, точка 47).

30

Въпреки че преюдициалните запитвания по настоящите дела повдигат по-специално принципния въпрос дали с оглед на член 7 от Хартата данните на абонатите и на регистрираните ползватели могат да бъдат запазвани, те засягат и въпроса дали Директива 2006/24 отговаря на изискванията за защита на личните данни, произтичащи от член 8 от Хартата.

31

С оглед на изложените по-горе съображения, за да се отговори на втория въпрос, букви б)—г) по дело C‑293/12 и на първия въпрос по дело C‑594/12, следва да се разгледа валидността на Директива 2006/24 с оглед на членове 7 и 8 от Хартата.

Относно наличието на намеса в правата, провъзгласени в членове 7 и 8 от Хартата

32

Изисквайки запазване на данните, посочени в член 5, параграф 1 от Директива 2006/24, и позволявайки достъп на компетентните национални органи до тях, тази директива дерогира, както е изтъкнато в частност в точки 39 и 40 от заключението на генералния адвокат, режима на защитата на правото на зачитане на личния живот, установен с Директиви 95/46 и 2002/58 относно обработката на лични данни в сектора на електронните комуникации, тъй като тези две директиви предвиждат конфиденциалност на съобщенията и на данните за трафика, както и задължението тези данни да се изтрият или да се направят анонимни, когато не са необходими повече за целите на предаване на комуникация, освен ако са нужни за изготвянето на сметка и докато е налице тази необходимост.

33

За да се установи наличието на намеса в основното право на зачитане на личния живот, не е от значение дали съответните данни за личния живот имат чувствителен характер, или не и дали заинтересованите лица са претърпели, или не евентуални неудобства поради тази намеса (вж. в този смисъл решение Österreichischer Rundfunk и др., C‑465/00, C‑138/01 и C‑139/01, EU:C:2003:294, точка 75).

34

От това следва, че установеното в членове 3 и 6 от Директива 2006/24 задължение доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи да запазват за определен период данни като посочените в член 5 от тази директива, свързани с личния живот на дадено лице и с неговите съобщения, само по себе си представлява намеса в правата, гарантирани от член 7 от Хартата.

35

Наред с това достъпът на компетентните национални органи до данните представлява допълнителна намеса в това основно право (относно член 8 от ЕКПЧ вж. ЕСПЧ, решение по дело Leander с/у Швеция от 26 март 1987 г., серия A № 116, §°48; решение по дело Rotaru с/у Румъния [голям състав], № 28341/95, § 46, CEDH 2000-V, както и решение по дело Weber и Saravia с/у Германия, № 54934/00, § 79, CEDH 2006-XI). В този смисъл членове 4 и 8 от Директива 2006/24, които предвиждат правила относно достъпа на компетентните национални органи до данните, представляват също намеса в правата, гарантирани от член 7 от Хартата.

36

Директива 2006/24 също представлява намеса в основното право на защита на личните данни, гарантирано от член 8 от Хартата, тъй като тя предвижда обработка на лични данни.

37

Следва да се приеме, че произтичащата от Директива 2006/24 намеса в основните права, провъзгласени в членове 7 и 8 от Хартата, както се изтъква в точки 77 и 80 от заключението на генералния адвокат, се оказва силно изразена и трябва да се счита за особено тежка. Наред с това обстоятелството, че запазването на данните и последващото им използване се осъществяват, без абонатът или регистрираният ползвател да са информирани за това, може, както се изтъква в точки 52 и 72 от заключението на генералния адвокат, да породи усещане в съзнанието на съответните лица, че личният им живот е обект на постоянно наблюдение.

Относно обосноваността на намесата в правата, гарантирани от членове 7 и 8 от Хартата

38

Съгласно член 52, параграф 1 от Хартата всяко ограничаване на упражняването на признатите в Хартата права и свободи трябва да бъде предвидено в закон, да зачита основното им съдържание и при спазване на принципа на пропорционалност, ограниченията на тези права и свободи могат да бъдат налагани само ако са необходими и ако действително отговарят на признати от Съюза цели от общ интерес или на необходимостта да се защитят правата и свободите на други хора.

39

Що се отнася до същественото съдържание на основното право на зачитане на личния живот и на останалите права, признати от член 7 от Хартата, следва да се констатира, че макар запазването на данни, наложено от Директива 2006/24, да представлява особено тежка намеса в тези права, тя не би могла да засегне това съдържание, доколкото, както произтича от член 1, параграф 2 от споменатата директива, тя не позволява да се разкрива самото съдържание на електронните съобщения.

40

Посоченото запазване на данните не би могло да засегне и същественото съдържание на основното право на защита на личните данни, признато в член 8 от Хартата, поради факта че член 7 от Директива 2006/24 предвижда норма, свързана със защитата и сигурността на данните, според която, без да се засягат разпоредбите, приети в съответствие с Директиви 95/46/ЕО и 2002/58/ЕО, доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи трябва да спазват някои принципи във връзка със защитата и сигурността на данните, като съгласно тези принципи държавите членки следят за приемането на подходящи технически и организационни мерки, недопускащи случайното или незаконно унищожаване или случайната загуба или промяна на данните.

41

Що се отнася до въпроса дали тази намеса е свързана с общ интерес, следва да се посочи, че въпреки че Директива 2006/24 е предназначена да хармонизира разпоредбите на държавите членки, свързани със задълженията на тези доставчици да запазват някои данни, създадени или обработени от тях, съществената ѝ цел, видно от нейния член 1, параграф 1, е да гарантира, че данните са достъпни за разследването, разкриването и преследването на тежки престъпления, както те са определени в националното право на всяка държава членка. Следователно съществената цел на тази директива е да допринесе за борбата с тежките престъпления, а с това в крайна сметка и за повишаване на обществената сигурност.

42

От практиката на Съда е видно, че цел от общ интерес за Съюза е борбата с международния тероризъм с оглед на опазване на международния мир и сигурност (вж. в този смисъл решение Kadi и Al Barakaat International Foundation/Съвет и Комисия, C‑402/05 P и C‑415/05 P,EU:C:2008:461, точка 363, както и решение Al-Aqsa/Съвет, C‑539/10 P и C‑550/10 P, EU:C:2012:711, точка 130). Същото се отнася и за борбата с тежките престъпления с цел да се гарантира обществената сигурност (вж. в този смисъл решение Tsakouridis, C‑145/09, EU:C:2010:708, точки 46 и 47). В допълнение в това отношение следва да се изтъкне, че член 6 от Хартата провъзгласява правото на всеки не само на свобода, но също така и на сигурност.

43

Във връзка с това от съображение 7 от Директива 2006/24 е видно, че поради значителното нарастване на възможностите, които предлагат електронните съобщения, Съветът по правосъдие и вътрешни работи от 19 декември 2002 г. приема, че данните, свързани с използването им, са особено важни и следователно са ценно средство за предотвратяване на престъпните прояви, за борба с престъпността, и най-вече с организираната престъпност.

44

Поради това се налага констатацията, че запазването на данни с оглед на възможността за евентуален достъп до тях на компетентните национални органи, изисквано съгласно Директива 2006/24, действително обслужва цел от общ интерес.

45

При тези условия следва да се провери пропорционалността на констатираната намеса.

46

В това отношение следва да се припомни, че съгласно постоянната практика на Съда принципът на пропорционалност изисква актовете на институциите на Съюза да са годни да постигнат легитимните цели, следвани от разглежданата правна уредба, и да не надхвърлят границите на подходящото и необходимото за постигането на тези цели (вж. в този смисъл решение Afton Chemical, EU:C:2010:419, точка 45, решение Volker und Markus Schecke и Eifert, EU:C:2010:662, точка 74, решение Nelson и др., C‑581/10 и C‑629/10, EU:C:2012:657, точка 71, решение Sky Österreich, C‑283/11, EU:C:2013:28, точка 50, както и решение Schaible, C‑101/12, EU:C:2013:661, точка 29).

47

Що се отнася до съдебния контрол относно спазването на тези условия, доколкото става въпрос за намеса в основни права, обхватът на правото на преценка на законодателя на Съюза може да се окаже ограничен в зависимост от някои фактори, сред които по-специално са съответният сектор, естеството на разглежданото право, гарантирано от Хартата, естеството и степента на намеса, както и нейната цел (вж. по аналогия във връзка с член 8 от ЕКПЧ, ЕСПЧ, решение по дело S и Marper с/у Обединено кралство [голям състав], № 30562/04 и № 30566/04, § 102, CEDH 2008-V).

48

В случая, като се имат предвид, от една страна, важната роля на защитата на личните данни с оглед на основното право на зачитане на личния живот, и от друга страна, широтата и тежестта на уредена съгласно Директива 2006/24 намеса в него, правото на преценка на законодателя на Съюза се оказва ограничено, поради което следва да бъде упражнен стриктен контрол.

49

По въпроса дали запазването на данни може да постигне целта на Директива 2006/24, следва да се констатира, че с оглед на нарастващото значение на електронните съобщителни средства данните, които трябва да бъдат запазвани съгласно тази директива, предоставят на осъществяващите наказателно преследване компетентни национални органи допълнителни възможности за разкриването на тежки престъпления, поради което са полезен инструмент за разследването на престъпления. Затова следва да се приеме, че запазването на тези данни може да постигне целта на тази директива.

50

Тази преценка не би могла да се постави под съмнение поради обстоятелството, изтъкнато по-специално от г‑н Tschohl и от г‑н Seitlinger, както и от португалското правителство в представеното пред Съда писмено становище, че съществуват няколко вида електронни съобщения, които са извън приложното поле на Директива 2006/24 или дават възможност за анонимна комуникация. Въпреки че без съмнение това обстоятелство е в състояние да ограничи възможността мярката по запазване на данни да постигне целта, към която е насочена, все пак то не би могло да я направи напълно негодна, както се изтъква от генералния адвокат в точка 137 от неговото заключение.

51

Що се отнася до необходимостта от наложеното от Директива 2006/24 запазване на данни, следва да се констатира, че без съмнение борбата с тежката, и особено с организираната престъпност и тероризма е от първостепенно значение за гарантиране на обществената сигурност и нейната ефективност може до голяма степен да зависи от използването на модерни техники на разследване. Въпреки това, макар да има основополагащо значение, сама по себе си подобна цел от общ интерес не би могла да обоснове, че за целите на тази борба следва мярка на запазване като установената от Директива 2006/24 да се счита за необходима.

52

Що се отнася до зачитането на личния живот, съгласно постоянната практика на Съда защитата на това основно право изисква във всички случаи дерогациите и ограниченията на защитата на личните данни да се въвеждат в границите на строго необходимото (решение IPI, C‑473/12, EU:C:2013:715, точка 39 и цитираната съдебна практика).

53

В това отношение следва да се напомни, че във връзка с правото на зачитане на личния живот, провъзгласено в член 7 от Хартата, защитата на личните данни, произтичаща от изричното задължение, предвидено в член 8, параграф 1 от нея, придобива особено значение.

54

В този смисъл разглежданата правна уредба на Съюза трябва да предвижда ясни и точни правила, които да уреждат обхвата и прилагането на разглежданата мярка и да установяват минимални изисквания, така че лицата, чиито данни са били запазени, да разполагат с достатъчни гаранции, позволяващи ефикасна защита на техните лични данни срещу рискове от злоупотреби, както и срещу всякакъв незаконен достъп или използване на тези данни. (вж. по аналогия относно член 8 от ЕКПЧ, ЕСПЧ, решение от 1 юли 2008 г. по дело Liberty и други с/у Обединено кралство, № 58243/00, § 62 и 63, решение по дело Rotaru с/у Румъния, посочено по-горе, § 57—59, както и решение S и Marper с/у Обединено кралство, посочено по-горе, § 99).

55

Необходимостта от такива гаранции е още по‑голяма, когато — както се предвижда от Директива 2006/24 — личните данни са подложени на автоматична обработка и съществува значителен риск от незаконен достъп до тях (вж. по аналогия относно член 8 от ЕКПЧ, ЕСПЧ, решение по дело S и Marper с/у Обединено кралство, посочено по-горе, § 103, както и решение от 18 април 2013 г. по дело M. K. с/у Франция, № 19522/09, § 35).

56

По въпроса дали намесата, която произтича от Директива 2006/24, се ограничава до строго необходимото, следва да се отбележи, че съгласно член 3 във връзка с член 5, параграф 1 тази директива налага запазването на всички данни, свързани с трафика в рамките на фиксираната телефония, мобилната телефония, интернет достъпа, електронната поща по интернет и интернет телефонията. Поради това тя обхваща всички електронни съобщителни средства, чието използване е широко разпространено и е с нарастващо значение в ежедневния живот на всеки. Наред с това съгласно член 3 от нея директивата обхваща всички абонати и регистрирани ползватели. Следователно от нея възниква намеса в основните права на почти цялото европейско население.

57

В това отношение е важно да се констатира, на първо място, че Директива 2006/24 се прилага общо за всички лица, за всички електронни съобщителни средства, както и за всички данни за трафик, без да въвежда никакво разграничаване, ограничаване или изключение с оглед на целта за борба с тежките престъпления.

58

Действително, от една страна, Директива 2006/24 засяга абсолютно всички лица, които използват електронни съобщителни услуги, въпреки че лицата, чиито данни са запазват, не се намират, макар и непряко, в положение, което би могло да даде повод за наказателно преследване. Следователно тя се прилага дори за лица, за които не съществува никаква улика, даваща основание да се счита, че действията им биха могли да имат някаква, била тя непряка и далечна, връзка с извършени тежки престъпления. Освен това тя не предвижда никакво изключение, поради което се прилага и за лица, чиито съобщения според националното право представляват професионална тайна.

59

От друга страна, макар да има за цел да допринесе в борбата с тежката престъпност, директивата не изисква никаква връзка между данните, които се предвижда да бъдат запазени, и наличието на заплаха за обществената сигурност, като по-специално предвиденото в нея съхранение не е насочено само към данни, отнасящи се за определен период от време и/или за определена географска зона, и/или за кръг от определени лица, които е възможно по един или друг начин да са участвали в тежко престъпление, нито само към лица, които поради други съображения биха могли да допринесат чрез запазване на данните им за предотвратяването, разкриването или преследването на тежки престъпления.

60

На второ място, към тази всеобща липса на ограничения се добавя фактът, че Директива 2006/24 не предвижда никакъв обективен критерий, позволяващ да се ограничи достъпът на компетентните национални органи до данните и тяхното последващо използване за целите на предотвратяването, разкриването или преследването на престъпления, които — с оглед на широтата и тежестта на намесата в основните права по членове 7 и 8 от Хартата — да могат да се считат за достатъчно тежки, че да обосновават подобна намеса. Обратно, член 1, параграф 1 от Директива 2006/24 съдържа единствено общо препращане към тежките престъпления, както са определени в националното право на всяка държава членка.

61

Освен това, Директива 2006/24 не урежда материалните или процесуални условия за достъп на компетентните национални органи до данните и до тяхното последващо използване. Член 4 от Директивата, който урежда достъпа на тези органи до запазените данни, не съдържа изрична разпоредба в смисъл, че този достъп и последващото използване на съответните данни трябва да бъдат строго ограничени до предотвратяването и разкриването на точно определени тежки престъпления или до наказателното преследване във връзка с тях, а се ограничава да предвиди, че всяка държава членка определя процедурата, която трябва бъде следвана, и условията, които трябва да бъдат изпълнени, за да се получи достъп до запазените данни в съответствие с изискванията за необходимост и съразмерност.

62

По-специално Директива 2006/24 не предвижда никакъв обективен критерий, позволяващ да се ограничи броят на лицата, разполагащи с разрешение за достъп и последващо използване на запазените данни до строго необходимото с оглед на преследваната цел. Най-вече достъпът на компетентните национални органи до запазените данни не се предоставя след предварителен контрол, осъществяван или от юрисдикция, или от независима административна структура, чието решение да има за цел да ограничи достъпа до данните и тяхното използване само до строго необходимото за постигането на преследваната цел и което да се постановява след мотивирана молба на тези органи, подадена в рамките на наказателни производства за предотвратяване, разкриване и наказателно преследване на престъпления. Не е предвидено също така и ясно задължение за държавите членки да установят такива ограничения.

63

На трето място, що се отнася до периода на съхранение на данните, член 6 от Директива 2006/24 изисква запазването им за период не по-кратък от шест месеца, без да се прави каквато и да било разлика между категориите данни, изброени в член 5 от тази директива, в зависимост от евентуалната им полза с оглед на преследваната цел или според засегнатите лица.

64

Този период освен това обхваща минимум шест месеца и максимум две години, без да се уточнява, че определянето на периода на съхранение трябва да се основава на обективни критерии, за да се гарантира, че е ограничен до строго необходимото.

65

От изложеното следва, че Директива 2006/24 не предвижда ясни и точни правила, определящи обхвата на намеса в основните права, закрепени в членове 7 и 8 от Хартата. Следователно трябва да се констатира, че от тази директива произтича особено обширна и тежка за правния ред на Съюза намеса в тези основни права, без тази намеса да е точно уредена с разпоредби, които да могат да гарантират, че тя действително се свежда до строго необходимото.

66

Освен това, що се отнася до правилата относно сигурността и защитата на данните, запазени от доставчиците на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи, следва да се констатира, че Директива 2006/24 не предвижда достатъчни гаранции, каквито се изискват от член 8 от Хартата, позволяващи да се осигури ефикасна защита на запазените данни срещу рискове от злоупотреба, както и срещу всякакъв незаконен достъп и незаконно използване на тези данни. Всъщност, най‑напред член 7 от Директива 2006/24 не предвижда специални правила, съобразени с огромното количество данни, чието запазване тази директива изисква, с чувствителния характер на тези данни, както и с риска от незаконен достъп до тях, които да са предназначени по-специално да уредят ясно и стриктно защитата и сигурността на разглежданите данни, за да се гарантира пълната им неприкосновеност и поверителност. Освен това, не е предвидено и ясно задължение за държавите членки за въвеждането на такива правила.

67

Член 7 от Директива 2006/24 във връзка с член 4, параграф 1 от Директива 2002/58 и с член 17, параграф 1, втора алинея от Директива 95/46 не гарантира, че споменатите доставчици ще прилагат особено завишено ниво на защита и на сигурност посредством технически и организационни мерки, а по-специално оправомощава тези доставчици да отчитат икономически съображения при определяне на прилаганото от тях ниво на сигурност, в частност с разходите за осъществяването на мерките за сигурност. По-специално Директива 2006/24 не гарантира незабавното унищожаване на данните в края на периода за запазването им.

68

На второ място, следва да се добави, че тази директива не изисква разглежданите данни да бъдат пазени на територията на Съюза, така че не би могло да се приеме, че е напълно гарантиран контрол от независим орган, какъвто изрично се изисква от член 8, параграф 3 от Хартата, относно спазването на изискванията за защита и сигурност, посочени в предходните две точки. Такъв контрол обаче, осъществяван въз основа на правото на Съюза, представлява съществен елемент от осигуряването на защита на лицата при обработването на лични данни (вж. в този смисъл решение Комисия/Австрия, C‑614/10, EU:C:2012:631, точка 37).

69

С оглед на всички предходни съображения следва да се приеме, че като е приел Директива 2006/24, законодателят на Съюза е надхвърлил границите, които налага зачитането на принципа на пропорционалност с оглед на членове 7 и 8 и на член 52, параграф 1 от Хартата.

70

При това положение не се налага да се изследва валидността на Директива 2006/24 с оглед на член 11 от Хартата.

71

Следователно на втория въпрос, букви б)—г) по дело C‑293/12 и на първия въпрос по дело C‑594/12 трябва да се отговори, че Директива 2006/24 е невалидна.

По първия въпрос и букви а) и д) от втория въпрос, както и по третия въпрос по дело C‑293/12 и втория въпрос по дело C‑594/12

72

От постановеното в предходната точка произтича, че не следва да се дава отговор на първия въпрос, на букви а) и д) от втория въпрос и на трети въпрос по дело C‑293/12, както и на втория въпрос по дело C‑594/12.

По съдебните разноски

73

С оглед на обстоятелството, че за страните по главното производство настоящото дело представлява отклонение от обичайния ход на производството пред запитващата юрисдикция, последната следва да се произнесе по съдебните разноски. Разходите, направени за представяне на становища пред Съда, различни от тези на посочените страни, не подлежат на възстановяване.

 

По изложените съображения Съдът (голям състав) реши:

 

Директива 2006/24/ЕО на Европейския парламент и на Съвета от 15 март 2006 година за запазване на данни, създадени или обработени, във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи и за изменение на Директива 2002/58/EО, е невалидна.

 

Подписи


( *1 ) Езици на производството: английски и немски.