Sag C-746/18
H.K.
mod
Prokuratuur
(anmodning om præjudiciel afgørelse indgivet af Riigikohus)
Domstolens dom (Store Afdeling) af 2. marts 2021
»Præjudiciel forelæggelse – behandling af personoplysninger i den elektroniske kommunikationssektor – direktiv 2002/58/EF – udbydere af elektroniske kommunikationstjenester – kommunikationshemmelighed – begrænsninger – artikel 15, stk. 1 – artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder – lovgivning om generel og udifferentieret lagring af trafikdata og lokaliseringsdata, der foretages af udbydere af elektroniske kommunikationstjenester – nationale myndigheders adgang til de lagrede data med henblik på efterforskning – generel bekæmpelse af kriminalitet – tilladelse givet af anklagemyndigheden – anvendelse af data som bevis i en straffesag – formaliteten«
Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafik- og lokaliseringsdata – nationale myndigheders adgang til de lagrede data med henblik på strafferetlig efterforskning – formål om generel bekæmpelse af kriminalitet – ikke tilladt – varighed af perioden for adgang til data og mængden eller arten af de oplysninger, der er tilgængelige i en sådan periode – ingen betydning
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 5, stk. 1, og art. 15, stk. 1)
(jf. præmis 29-35, 40 og 45 samt domskonkl. 1)
Tilnærmelse af lovgivningerne – telekommunikationssektoren – behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor – direktiv 2002/58 – medlemsstaternes mulighed for at indskrænke rækkevidden af visse rettigheder og forpligtelser – nationale foranstaltninger, der pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafik- og lokaliseringsdata – nationale myndigheders adgang til de lagrede data med henblik på strafferetlig efterforskning – adgang undergivet en forudgående kontrol, der foretages af en uafhængig administrativ enhed – tilladelse givet af anklagemyndigheden – ikke tilladt
(Den Europæiske Unions charter om grundlæggende rettigheder, art. 7, 8 og 11 samt art. 52, stk. 1; Europa-Parlamentets og Rådets direktiv 2002/58, som ændret ved direktiv 2009/136, art. 5, stk. 1, og art. 15, stk. 1)
(jf. præmis 48-59 og domskonkl. 2)
Resumé
Adgang i straffesager til en samling af elektroniske kommunikationsdata i form af trafik- og lokaliseringsdata, der gør det muligt at drage præcise slutninger om privatlivet, er kun tilladt med henblik på at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed
EU-retten er i øvrigt til hinder for en national lovgivning, der tillægger anklagemyndigheden beføjelse til at give en offentlig myndighed adgang til disse data med henblik på at foretage en strafferetlig efterforskning
Der var i Estland blevet indledt en straffesag mod H.K. for tyveri, brug af en anden persons bankkort og voldshandlinger mod personer, der deltog i en retssag. H.K. blev af en ret i første instans idømt en frihedsstraf på to år for disse lovovertrædelser. Denne afgørelse blev derefter stadfæstet i appelinstansen.
De politirapporter, der lå til grund for konstateringen af disse lovovertrædelser, var bl.a. blevet udfærdiget på grundlag af personoplysninger, som var blevet genereret i forbindelse med leveringen af elektroniske kommunikationstjenester. Riigikohus (øverste domstol, Estland), ved hvilken H.K. iværksatte kassationsappel, var i tvivl om, hvorvidt de betingelser, hvorunder efterforskningsmyndigheden havde fået adgang til disse data, var i overensstemmelse med EU-retten ( 1 ).
Tvivlen vedrørte for det første spørgsmålet om, hvorvidt varigheden af den periode, i hvilken efterforskningsmyndigheden har haft adgang til dataene, er et kriterium, der giver mulighed for at bedømme alvoren af det indgreb i de pågældende personers grundlæggende rettigheder, som denne adgang udgør. Hvad angår de tilfælde, hvor denne periode er meget kort, eller mængden af indsamlede data er meget begrænset, var den forelæggende ret i tvivl om, hvorvidt formålet om generel bekæmpelse af kriminalitet og ikke blot bekæmpelse af grov kriminalitet kunne begrunde et sådant indgreb. For det andet var den forelæggende ret i tvivl om, hvorvidt den estiske anklagemyndighed, henset til de forskellige opgaver, som denne var tillagt ved den nationale lovgivning, udgjorde en »uafhængig« administrativ myndighed som omhandlet i dommen i sagen Tele2 Sverige og Watson m.fl. ( 2 ), der kunne give efterforskningsmyndigheden adgang til de omhandlede data.
Ved dom afsagt af Store Afdeling fastslog Domstolen, at direktivet om privatliv og elektronisk kommunikation i lyset af chartret er til hinder for en national lovgivning, der giver offentlige myndigheder adgang til trafikdata eller lokaliseringsdata, som kan tilvejebringe oplysninger om den kommunikation, som en bruger har foretaget ved hjælp af et elektronisk kommunikationsmiddel, eller om placeringen af det terminaludstyr, som den pågældende gør brug af, og som kan gøre det muligt at drage præcise slutninger om den pågældendes privatliv, med henblik på at foretage forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager, uden at denne adgang er begrænset til de procedurer, der har til formål at bekæmpe grov kriminalitet eller at forebygge alvorlige trusler mod den offentlige sikkerhed. Ifølge Domstolen er varigheden af den periode, for hvilken der er anmodet om adgang til disse data, og mængden eller arten af de data, der er tilgængelige i en sådan periode, uden betydning i denne henseende. Domstolen bemærkede desuden, at samme direktiv i lyset af chartret, er til hinder for en national lovgivning, der tillægger anklagemyndigheden beføjelse til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata i forbindelse med en strafferetlig efterforskning.
Domstolens bemærkninger
Hvad angår betingelserne for, at offentlige myndigheder med henblik på forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager kan gives adgang til trafikdata og lokaliseringsdata, som er lagret af udbydere af elektroniske kommunikationstjenester, som følge af en foranstaltning, der er vedtaget i henhold til direktivet om privatliv og elektronisk kommunikation ( 3 ), henviste Domstolen til, hvad den havde fastslået i dommen i sagen La Quadrature du Net m.fl. ( 4 ). Dette direktiv tillader således medlemsstaterne bl.a. med henvisning til disse hensyn at vedtage lovgivningsmæssige foranstaltninger, der har til formål at begrænse rækkevidden af de rettigheder og forpligtelser, der er fastsat i dette direktiv, herunder forpligtelsen til at sikre fortroligheden af kommunikation og af trafikdata ( 5 ), såfremt dette sker i overensstemmelse med EU-rettens generelle principper, som bl.a. omfatter proportionalitetsprincippet og de grundlæggende rettigheder, der er sikret ved chartret ( 6 ). I denne forbindelse er direktivet til hinder for lovgivningsmæssige foranstaltninger, der i forebyggende øjemed pålægger udbydere af elektroniske kommunikationstjenester at foretage generel og udifferentieret lagring af trafikdata og lokaliseringsdata.
Hvad angår det med den omhandlede lovgivning forfulgte formål om forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager var Domstolen af den opfattelse, at det i overensstemmelse med proportionalitetsprincippet kun er bekæmpelse af grov kriminalitet eller forebyggelse af alvorlige trusler mod den offentlige sikkerhed, der kan begrunde offentlige myndigheders adgang til en samling af trafikdata eller lokaliseringsdata, som kan gøre det muligt at drage præcise slutninger vedrørende de berørte personers privatliv, uden at andre faktorer vedrørende forholdsmæssigheden af en anmodning om adgang, såsom varigheden af den periode, for hvilken der anmodes om adgang til sådanne data, kan føre til, at formålet om forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager i almindelighed kan begrunde en sådan adgang.
Hvad angår den beføjelse, som anklagemyndigheden var tillagt, til at give en offentlig myndighed adgang til trafikdata og lokaliseringsdata med henblik på at lede en strafferetlig efterforskning, bemærkede Domstolen, at det tilkommer national ret at fastsætte de betingelser, hvorunder udbydere af elektroniske kommunikationstjenester skal give de kompetente nationale myndigheder adgang til de data, som de råder over. For at opfylde kravet om proportionalitet skal en sådan lovgivning imidlertid fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den pågældende foranstaltning, og som opstiller en række mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lovgivning skal være retligt bindende i national ret og angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige.
Domstolen bemærkede, at det med henblik på i praksis at sikre fuld iagttagelse af disse betingelser er afgørende, at de kompetente nationale myndigheders adgang til de lagrede data er undergivet en forudgående kontrol, der foretages af enten en domstol eller en uafhængig administrativ enhed, og at denne domstols eller enheds afgørelse skal træffes på grundlag af en begrundet anmodning, som navnlig fremsættes af disse myndigheder inden for rammerne af procedurer med henblik på forebyggelse, afsløring eller strafferetlig forfølgning. I et behørigt begrundet hastende tilfælde skal denne kontrol foretages hurtigst muligt.
I denne henseende præciserede Domstolen, at den forudgående kontrol bl.a. kræver, at den domstol eller enhed, der har til opgave at foretage denne kontrol, har alle de beføjelser og frembyder alle de garantier, der er nødvendige for at sikre en afvejning af de forskellige berørte interesser og rettigheder. Hvad nærmere bestemt angår en strafferetlig efterforskning kræver en sådan kontrol, at denne domstol eller denne enhed er i stand til at sikre en rimelig ligevægt mellem dels de interesser, der er forbundet med, hvad der er nødvendigt af hensyn til efterforskningen i forbindelse med bekæmpelsen af kriminalitet, dels den grundlæggende ret til respekt for privatlivet og beskyttelsen af personoplysninger for så vidt angår de personer, hvis oplysninger er berørt af adgangen. Når denne kontrol ikke foretages af en domstol, men af en uafhængig administrativ enhed, skal denne have en status, der gør det muligt for den at udføre sine opgaver på en objektiv og upartisk måde og i denne forbindelse at handle uden udefrakommende indflydelse.
Domstolen bemærkede, at det heraf følger, at det krav om uafhængighed, som den myndighed, der har til opgave at udføre den forudgående kontrol, skal opfylde, indebærer, at denne myndighed skal være udenforstående i forhold til den myndighed, der anmoder om adgang til dataene, således at den førstnævnte myndighed er i stand til at foretage denne kontrol på en objektiv og upartisk måde uden nogen form for udefrakommende indflydelse. Navnlig inden for det strafferetlige område indebærer kravet om uafhængighed, at den myndighed, der har til opgave at foretage denne forudgående kontrol, for det første ikke er involveret i den pågældende strafferetlige efterforskning og, for det andet, er neutral i forhold til parterne i straffesagen. Dette er ikke tilfældet for en anklagemyndighed, der leder efterforskningen, og som i givet fald udøver påtalekompetencen, således som det er tilfældet for den estiske anklagemyndighed. Det følger heraf, at anklagemyndigheden ikke er i stand til at foretage den ovenfor nævnte forudgående kontrol.
( 1 ) – Nærmere bestemt artikel 15, stk. 1, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12.7.2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT 2002, L 201, s. 37), som ændret ved Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25.11.2009 (EUT 2009, L 337, s. 11) (herefter »direktivet om privatliv og elektronisk kommunikation«), sammenholdt med artikel 7, 8 og 11 samt artikel 52, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder (herefter »chartret«).
( 2 ) – Dom af 21.12.2016, Tele2 Sverige og Watson m.fl. (C-203/15 og C-698/15, EU:C:2016:970, præmis 120).
( 3 ) – Artikel 15, stk. 1, i direktiv 2002/58.
( 4 ) – Dom af 6.10.2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 og C-520/18, EU:C:2020:791, præmis 166-169).
( 5 ) – Artikel 5, stk. 1, i direktiv 2002/58.
( 6 ) – Navnlig chartrets artikel 7, 8 og 11 samt artikel 52, stk. 1.