EUROOPA KOHTU OTSUS (suurkoda)

6. oktoober 2020 ( *1 )

[16. novembri 2020. aasta kohtumäärusega parandatud tekst]

Sisukord

 

Õiguslik raamistik

 

Liidu õigus

 

Direktiiv 95/46

 

Direktiiv 97/66

 

Direktiiv 2000/31

 

Direktiiv 2002/21

 

Direktiiv 2002/58

 

Määrus 2016/679

 

Prantsuse õigus

 

Sisejulgeoleku seadustik

 

CPCE

 

21. juuni 2004. aasta seadus nr 2004‑575 usalduse kohta digitaalmajanduses

 

Dekreet nr 2011‑219

 

Belgia õigus

 

Põhikohtuasjad ja eelotsuse küsimused

 

Kohtuasi C‑511/18

 

Kohtuasi C‑512/18

 

Kohtuasi C‑520/18

 

Menetlus Euroopa Kohtus

 

Eelotsuse küsimuste analüüs

 

Esimene küsimus kohtuasjades C‑511/18 ja C‑512/18 ning esimene ja teine küsimus kohtuasjas C‑520/18

 

Sissejuhatavad märkused

 

Direktiivi 2002/58 kohaldamisala

 

Direktiivi 2002/58 artikli 15 lõike 1 tõlgendamine

 

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete ennetav säilitamine riigi julgeoleku kaitsmiseks

 

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete ennetav säilitamine kuritegevuse vastu võitlemiseks ja avaliku julgeoleku kaitsmiseks

 

– Seadusandlikud meetmed, milles on ette nähtud IP‑aadresside ja identiteediga seotud andmete ennetav säilitamine kuritegevuse vastu võitlemiseks ja avaliku julgeoleku kaitsmiseks

 

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete kiirsäilitus raskete kuritegude vastu võitlemiseks

 

Teine ja kolmas küsimus kohtuasjas C‑511/18

 

Liiklusandmete ja asukohaandmete automatiseeritud analüüs

 

Liiklus- ja asukohaandmete kogumine reaalajas

 

Nende isikute teavitamine, kelle andmeid on kogutud või analüüsitud

 

Teine küsimus kohtuasjas C‑512/18

 

Kolmas küsimus kohtuasjas C‑520/18

 

Kohtukulud

Eelotsusetaotlus – Isikuandmete töötlemine elektroonilise side sektoris – Elektroonilise side teenuste osutajad – Veebimajutusteenuste osutajad ja internetiühenduse pakkujad – Liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine – Andmete automatiseeritud analüüs – Andmetega tutvumine reaalajas – Riigi julgeoleku kaitse ja terrorismivastane võitlus – Kuritegevuse vastu võitlemine – Direktiiv 2002/58/EÜ – Kohaldamisala – Artikli 1 lõige 3 ja artikkel 3 – Elektroonilise side konfidentsiaalsus – Kaitse – Artikkel 5 ja artikli 15 lõige 1 – Direktiiv 2000/31/EÜ – Kohaldamisala – Euroopa Liidu põhiõiguste harta – Artiklid 4, 6–8 ja 11 ning artikli 52 lõige 1 – ELL artikli 4 lõige 2

Liidetud kohtuasjades C‑511/18, C‑512/18 ja C‑520/18,

mille ese on ELTL artikli 267 alusel Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) 26. juuli 2018. aasta otsustega esitatud eelotsusetaotlused, mis saabusid Euroopa Kohtusse 3. augustil 2018 (C‑511/18 ja C‑512/18) ning Cour constitutionnelle’i (Belgia konstitutsioonikohus) 19. juuli 2018. aasta otsusega esitatud eelotsusetaotlus, mis saabus Euroopa Kohtusse 2. augustil 2018 (C‑520/18), menetlustes

La Quadrature du Net (C‑511/18 ja C‑512/18),

French Data Network (C‑511/18 ja C‑512/18),

Fédération des fournisseurs d’accès à Internet associatifs (C‑511/18 ja C‑512/18),

Igwan.net (C‑511/18),

versus

Premier ministre (C‑511/18 ja C‑512/18),

Garde des Sceaux, ministre de la Justice (C‑511/18 ja C‑512/18),

Ministre de l’Intérieur (C‑511/18),

Ministre des Armées (C‑511/18), menetluses osalesid:

Privacy International (C‑512/18),

Center for Democracy and Technology (C‑512/18),

ja

Ordre des barreaux francophones et germanophone,

Academie Fiscale ASBL,

UA,

Liga voor Mensenrechten ASBL,

Ligue des droits de l’Homme ASBL,

VZ,

WY,

XX

versus

Conseil des ministres,

menetluses osales:

Child Focus (C‑520/18),

EUROOPA KOHUS (suurkoda),

koosseisus: president K. Lenaerts, asepresident R. Silva de Lapuerta, kodade presidendid, J.‑C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P. G. Xuereb ja L. S. Rossi, kohtunikud J. Malenovský, L. Bay Larsen, T. von Danwitz (ettekandja), C. Toader, K. Jürimäe, C. Lycourgos ja N. Piçarra,

kohtujurist: M. Campos Sánchez‑Bordona,

kohtusekretär: ametnik C. Strömholm,

arvestades kirjalikku menetlust ning 9. ja 10. septembri 2019. aasta kohtuistungil esitatut,

arvestades seisukohti, mille esitasid:

Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net ja Center for Democracy and Technology, esindaja: avocat A. Fitzjean Ò Cobhthaigh,

French Data Network, esindaja: avocat Y. Padova,

Privacy International, esindaja: avocat H. Roy,

Ordre des barreaux francophones et germanophone, esindajad: avocats E. Kiehl, P. Limbrée, E. Lemmens, A. Cassart ja J.‑F. Henrotte,

Académie Fiscale ASBL ja UA, esindaja: J.‑P. Riquet,

Liga voor Mensenrechten ASBL, esindaja: avocat J. Vander Velpen,

Ligue des Droits de l’Homme ASBL, esindajad: avocats R. Jespers ja J. Fermon,

VZ, WY ja XX, esindaja: avocat D. Pattyn,

Child Focus, esindajad: avocats N. Buisseret, K. De Meester ja J. Van Cauter,

Prantsuse valitsus, esindajad: D. Dubois, F. Alabrune, D. Colas, E. de Moustier ja A.‑L. Desjonquères, hiljem D. Dubois, F. Alabrune, E. de Moustier ja A.‑L. Desjonquères,

Belgia valitsus, esindajad: J.‑C. Halleux, P. Cottin ja C. Pochet, keda abistasid avocats J. Vanpraet, Y. Peeters, S. Depré ja E. de Lophem,

Tšehhi valitsus, esindajad: M. Smolek, J. Vláčil ja O. Serdula,

Taani valitsus, esindajad: J. Nymann-Lindegren, M. Wolff ja P. Ngo, hiljem J. Nymann-Lindegren ja M. Wolff,

Saksamaa valitsus, esindajad: J. Möller, M. Hellmann, E. Lankenau, R. Kanitz ja T. Henze, hiljem J. Möller, M. Hellmann, E. Lankenau ja R. Kanitz,

Eesti valitsus, esindajad: N. Grünberg ja A. Kalbus,

Iiri valitsus, esindajad: A. Joyce, M. Browne ja G. Hodge, keda abistas D. Fennelly, BL,

Hispaania valitsus, esindajad: L. Aguilera Ruiz ja A. Rubio González, hiljem L. Aguilera Ruiz,

Küprose valitsus, esindaja: E. Neofytou,

Läti valitsus, esindaja: V. Soņeca,

Ungari valitsus, esindajad: M. Z. Fehér ja Z. Wagner, hiljem M. Z. Fehér,

Madalmaade valitsus, esindajad: K. Bulterman ja A. M. de Ree,

Poola valitsus, esindajad: B. Majczyna, J. Sawicka ja M. Pawlicka,

Rootsi valitsus, esindajad: H. Shev, H. Eklinder, C. Meyer-Seitz ja A. Falk, hiljem H. Shev, H. Eklinder, C. Meyer-Seitz ja J. Lundberg,

Ühendkuningriigi valitsus, esindaja: S. Brandon, keda abistasid G. Facenna, QC, ja barrister C. Knight,

[taane kustutatud 16. novembri 2020. aasta kohtumäärusega],

Euroopa Komisjon, esindajad: H. Kranenborg, M. Wasmeier ja P. Costa de Oliveira, hiljem H. Kranenborg ja M. Wasmeier,

Euroopa Andmekaitseinspektor, esindajad: T. Zerdick ja A. Buchta,

olles 15. jaanuari 2020. aasta kohtuistungil ära kuulanud kohtujuristi ettepaneku,

on teinud järgmise

otsuse

1

Eelotsusetaotlused puudutavad seda, kuidas tõlgendada esiteks Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (EÜT 2002, L 201, lk 37; ELT eriväljaanne 13/29, lk 514) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ (ELT 2009, L 337, lk 11)) (edaspidi „direktiiv 2002/58“), artikli 15 lõiget 1 ning teiseks Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiivi 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) (EÜT 2000, L 178, lk 1; ELT eriväljaanne 13/25, lk 399) artikleid 12–15 lähtuvalt Euroopa Liidu põhiõiguste harta (edaspidi „harta“) artiklitest 4, 6–8, 11 ja artikli 52 lõikest 1 ning ELL artikli 4 lõikest 2.

2

Kohtuasjas C‑511/18 on taotlus esitatud kohtuvaidlustes, mille pooled on ühelt poolt Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs ja Igwan.net ning teiselt poolt Premier ministre (peaminister, Prantsusmaa), Garde des Sceaux, ministre de la Justice (justiitsminister, Prantsusmaa), ministre de l’Intérieur (siseminister, Prantsusmaa) ja ministre des Armées (relvajõudude minister, Prantsusmaa) ning mis käsitlevad järgmiste õigusaktide õiguspärasust: 28. septembri 2015. aasta dekreet nr 2015‑1185 luureteenistuste nimetamise kohta (décret no2015‑1885 du 28 septembre 2015 portant désignation des services spécialisés de renseignement; JORF, 29.9.2015, 1. õigusakt 97st, edaspidi „dekreet nr 2015‑1185“), 1. oktoobri 2015. aasta dekreet nr 2015‑1211, mis käsitleb luba eeldavate luuremeetodite rakendamise ja riigi julgeolekut puudutavate failidega seotud vaidlusi (décret no 2015‑1211, du 1 octobre 2015, relatif au contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’État; JORF, 2.10.2015, 7. õigusakt 108st, edaspidi „dekreet nr 2015‑1211“), sisejulgeoleku seadustiku artikli L. 811‑4 alusel võetud 11. detsembri 2015. aasta dekreet nr 2015‑1639 luureteenistuste hulka mittekuuluvate asutuste kohta, kellel on õigus kasutada sisejulgeoleku seadustiku VIII raamatu V jaotises nimetatud meetodeid (décret no2015‑1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de article L. 811‑4 du code de la sécurité intérieure; JORF, 12.12.2015, 28. õigusakt 127st, edaspidi „dekreet nr 2015‑1639“), ning 29. jaanuari 2016. aasta dekreet nr 2016‑67 luureteabe kogumise meetodite kohta (décret no 2016‑67, du 29 janvier 2016, relatif aux techniques de recueil de renseignement; JORF, 31.1.2016, 2. õigusakt 113st, edaspidi „dekreet nr 2016‑67“).

3

Kohtuasjas C‑512/18 on taotlus esitatud kohtuvaidlustes, mille pooled on ühelt poolt French Data Network, Quadrature du Net ja Fédération des fournisseurs d’accès à Internet associatifs ning teiselt poolt Premier ministre (peaminister, Prantsusmaa) ja Garde des Sceaux, ministre de la justice (justiitsminister, Prantsusmaa) ning mis käsitlevad järgmiste õigusnormide õiguspärasust: posti- ja elektroonilise side seadustiku (code des postes et des communications électroniques; edaspidi „CPCE“) artikkel R. 10‑13 ning 25. veebruari 2011. aasta dekreedi nr 2011‑219 kõiki veebisisu loomises osalenud isikuid tuvastada võimaldavate andmete säilitamise ja edastamise kohta (décret no 2011-219, du 25 février 2011, relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne; JORF, 1.3.2011, 32. õigusakt 170st, edaspidi „dekreet nr 2011‑219“).

4

Kohtuasjas C‑520/18 on taotlus esitatud kohtuvaidlustes, mille pooled on ühelt poolt Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY ja XX ning teiselt poolt Conseil des ministres (ministrite nõukogu, Belgia) ning mis käsitlevad 29. mai 2016. aasta seaduse andmete kogumise ja säilitamise kohta elektroonilise side sektoris (loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques; Moniteur belge, 18.7.2016, lk 44717, edaspidi „29. mai 2016. aasta seadus“) õiguspärasust.

Õiguslik raamistik

Liidu õigus

Direktiiv 95/46

5

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiv 95/46/EÜ üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta (EÜT 1995, L 281, lk 31; ELT eriväljaanne 13/15, lk 355) tunnistati alates 25. maist 2018 kehtetuks Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrusega (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT 2016, L 119, lk 1, parandused ELT 2016, L 314, lk 72 ja ELT 2018, L 127, lk 3). Direktiivi 95/46 artikli 3 lõikes 2 oli sätestatud:

„Käesolevat direktiivi ei kohaldata isikuandmete töötlemise suhtes:

kui see toimub sellise tegevuse käigus, mis jääb väljapoole ühenduse õigust, nagu näiteks Euroopa Liidu lepingu V ja VI jaotises osutatud tegevused, ja igal juhul sellise töötlemise suhtes, mis on seotud avaliku korra [täpsustatud sõnastus, mõiste „avalik kord“ asemel on edaspidi kasutatud täpsemat vastet „avalik julgeolek“], riigikaitse, riigi julgeoleku (sealhulgas riigi majanduslik heaolu, kui töötlemine on seotud riigi julgeoleku küsimustega) ja riigi toimingutega kriminaalõiguse valdkonnas,

kui seda teeb füüsiline isik isiklikel või kodustel eesmärkidel.“

6

Direktiivi 95/46 III peatükis „Õiguskaitsevahendid, vastutus ja sanktsioonid“ sisalduv artikkel 22 oli sõnastatud järgmiselt:

„Liikmesriigid sätestavad kõigi isikute õiguse kasutada õiguskaitsevahendeid, kui on rikutud õigusi, mis neile on antud kõigi asjaomase töötlemise suhtes kohaldatavate siseriiklike õigusaktidega, ilma et see piiraks ühegi võimaliku sätestatava haldusliku kaitsevahendi kohaldamist, muu hulgas artiklis 28 osutatud järelevalveasutuse kaudu enne küsimuse suunamist kohtutele.“

Direktiiv 97/66

7

Euroopa Parlamendi ja nõukogu 15. detsembri 1997. aasta direktiivi 97/66/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset telekommunikatsiooni sektoris (EÜT 1997, L 24, lk 1), artiklis 5 „Side konfidentsiaalsus“ oli sätestatud:

„1.   Liikmesriigid tagavad üldkasutatava telekommunikatsioonivõrgu ja üldkasutatavate telekommunikatsiooniteenuste kaudu toimuva side konfidentsiaalsuse riigisiseste õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, ilma asjaomaste kasutajate loata kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet, välja arvatud juhul, kui selline tegevus on artikli 14 lõike 1 kohaselt õiguspärane.

2.   Lõige 1 ei mõjuta seadusega lubatud side salvestamist õiguspärase äritegevuse käigus selleks, et esitada tõendeid äritehingu või muu äritegevusega seotud side kohta.“ [mitteametlik tõlge]

Direktiiv 2000/31

8

Direktiivi 2000/31 põhjendustes 14 ja 15 on märgitud:

„(14)

Üksikisikute kaitset isikuandmete töötlemisel reguleerivad ainult […] direktiiv [95/46] ning […] direktiiv [97/66], mis on täielikult kohaldatavad ka infoühiskonna teenuste suhtes; nende direktiividega on juba kehtestatud ühenduse õiguslik raamistik isikuandmete alal ja seetõttu ei ole siseturu nõuetekohase toimimise, eriti isikuandmete liikmesriikidevahelise vaba liikumise tagamiseks vaja seda küsimust käsitleda käesolevas direktiivis; käesoleva direktiivi rakendamine ja kohaldamine peaks toimuma täielikus vastavuses isikuandmete kaitse põhimõtetega, eriti mis puudutab pealesunnitud kommertsteadaandeid ja vahendajate vastutust; käesolev direktiiv ei saa tõkestada selliste avalike võrkude nagu Internet anonüümset kasutamist.

(15)

Teabevahetuse saladuse tagab direktiivi [97/66] artikkel 5; vastavalt nimetatud direktiivile peavad liikmesriigid keelama saatja ja vastuvõtja vahelise teabevahetuse igasuguse pealtkuulamise või jälgimise teiste poolt, välja arvatud seadusega lubatud juhtudel.“

9

Direktiivi 2000/31 artikkel 1 on sõnastatud järgmiselt:

„1.   Käesolev direktiiv püüab kaasa aidata siseturu nõuetekohasele toimimisele, tagades infoühiskonna teenuste vaba liikumise liikmesriikide vahel.

2.   Käesolev direktiiv ühtlustab sel määral, kui on vaja lõikes 1 nimetatud eesmärgi saavutamiseks, teatavaid infoühiskonna teenuste kohta kehtivaid siseriiklikke õigusnorme, mis käsitlevad siseturgu, teenuseosutajate asutamist, kommertsteadaandeid, elektroonilisi lepinguid, vahendajate vastutust, tegevusjuhendeid, vaidluste kohtuvälist lahendamist, õiguskaitsevahendeid ja liikmesriikidevahelist koostööd.

3.   Käesolev direktiiv täiendab infoühiskonna teenuste suhtes kohaldatavaid ühenduse õigusakte, vähendamata eeskätt rahva tervise ja tarbijate huvide kaitse taset, mis on kehtestatud ühenduse õigusaktidega ja mida siseriiklikud seadused rakendavad ulatuses, mis ei piira infoühiskonna teenuste osutamise vabadust.

[…]

5.   Käesolevat direktiivi ei kohaldata:

[…]

b)

direktiivide [95/46] ja [97/66] rakendusalasse kuuluvate infoühiskonna teenustega seotud küsimuste suhtes;

[…]“.

10

Direktiivi 2000/31 artikkel 2 on sõnastatud järgmiselt:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

a)

infoühiskonna teenused – teenused [Euroopa Parlamendi ja nõukogu 22. juuni 1998. aasta] direktiivi 98/34/EÜ[, millega nähakse ette tehnilistest standarditest ja eeskirjadest teatamise kord (EÜT 1998, L 204, lk 37; ELT eriväljaanne 13/20, lk 337)] (muudetud [Euroopa Parlamendi ja nõukogu 20. juuli 1998. aasta] direktiiviga 98/48/EÜ [(EÜT 1998, L 217, lk 18; ELT eriväljaanne 13/21, lk 8)]) artikli 1 lõike 2 tähenduses;

[…]“.

11

Direktiivi 2000/31 artiklis 15 on ette nähtud:

„1.   Liikmesriigid ei kehtesta artiklites 12, 13 ja 14 käsitletud teenuste osutajatele üldist kohustust jälgida teavet, mida nad edastavad või talletavad, ega üldist kohustust otsida ebaseaduslikku tegevust näitavaid fakte ja asjaolusid.

2.   Liikmesriigid võivad kehtestada infoühiskonna teenuse osutajatele kohustuse kiiresti teatada pädevatele ametivõimudele nende teenuse saajate väidetavalt ebaseaduslikest tegevustest või pakutavast teabest või kohustuse edastada pädevatele asutustele nende taotluse põhjal teavet, mis võimaldab identifitseerida nende teenuse saajaid, kellega teenuseosutajal on talletamise kohta lepingud.“

Direktiiv 2002/21

12

Euroopa Parlamendi ja nõukogu 7. märtsi 2002. aasta direktiivi 2002/21/EÜ elektrooniliste sidevõrkude ja -teenuste ühise reguleeriva raamistiku kohta (raamdirektiiv) (EÜT 2002, L 108, lk 33; ELT eriväljaanne 13/29, lk 349) põhjenduses 10 on märgitud:

„[D]irektiivi [98/34 (muudetud direktiiviga 98/48)] artiklis 1 sätestatud mõiste „infoühiskonna teenus“ hõlmab suurt hulka võrgus toimuvaid majandustoiminguid. Suurem osa neist toimingutest ei kuulu käesoleva direktiivi reguleerimisalasse, sest need toimingud ei seisne ainult või peamiselt signaalide edastamises elektroonilistes sidevõrkudes. Käesolev direktiiv hõlmab kõnesidet ja elektronposti edastamist. Üks ja sama ettevõtja, näiteks Interneti-teenuse osutaja, võib pakkuda nii elektroonilisi sideteenuseid, näiteks juurdepääsu Internetile, kui ka käesoleva direktiiviga hõlmamata teenuseid, näiteks veebipõhise sisu pakkumist.“

13

Direktiivi 2002/21 artiklis 2 on ette nähtud:

„Käesolevas direktiivis kasutatakse järgmisi mõisteid:

[…]

c)

elektrooniline sideteenus – tavaliselt tasu eest osutatav teenus, mis seisneb tervikuna või peamiselt signaalide edastamises elektrooniliste sidevõrkude kaudu, kaasa arvatud telekommunikatsiooniteenused ja ülekandeteenused ringhäälinguks kasutatavates võrkudes, ning välja arvatud teenused, mis pakuvad või mille abil teostatakse elektrooniliste sidevõrkude ja -teenuste abil edastatava sisu redigeerimist; elektrooniliste sideteenuste hulka ei kuulu direktiivi [98/34] artiklis 1 määratletud infoühiskonna teenused, mis ei seisne tervikuna või peamiselt signaalide edastamises elektrooniliste sidevõrkude kaudu;

[…]“.

Direktiiv 2002/58

14

Direktiivi 2002/58 põhjendustes 2, 6, 7, 11, 22, 26 ja 30 on märgitud:

„(2)

Käesoleva direktiiviga püütakse austada põhiõigusi ja selles järgitakse eelkõige Euroopa Liidu põhiõiguste hartas tunnustatud põhimõtteid. Eelkõige püütakse käesoleva direktiiviga tagada nimetatud harta artiklites 7 ja 8 sätestatud õiguste täielik austamine.

[…]

(6)

Internet muudab radikaalselt traditsioonilisi turustruktuure, sest ühise globaalse infrastruktuurina võimaldab ta pakkuda suurt hulka erinevaid elektroonilisi sideteenuseid. Interneti vahendusel pakutavad üldkasutatavad elektroonilised sideteenused loovad kasutajatele uusi võimalusi, kuid samas tekitavad ka uusi ohte kasutajate isikuandmetele ja eraelu puutumatusele.

(7)

Üldkasutatavate elektrooniliste sidevõrkude puhul tuleks ette näha konkreetsed õigusnormid ja tehnilised normid, et kaitsta füüsiliste isikute põhiõigusi ja -vabadusi ning juriidiliste isikute põhjendatud huve, arvestades eelkõige abonentide ja kasutajate andmete automatiseeritud salvestamise ja töötlemise suurenevat mahtu.

[…]

(11)

Nagu direktiivis [95/46], ei käsitleta ka käesolevas direktiivis põhiõiguste ja -vabaduste kaitsmist selliste toimingute puhul, mis ei kuulu [liidu] õiguse reguleerimisalasse. Seega ei muuda käesolev direktiiv senist tasakaalu üksikisiku eraelu puutumatuse õiguse ja liikmesriikide võimaluse vahel võtta käesoleva direktiivi artikli 15 lõikes 1 osutatud meetmeid, mis on vajalikud avaliku [julgeoleku], riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja kriminaalõiguse rakendamise seisukohast. Seega ei mõjuta käesolev direktiiv liikmesriikide võimalust kuulata õiguspäraselt pealt elektroonilist sidet või võtta vajaduse korral meetmeid eespool nimetatud eesmärkidel ja kooskõlas [4. novembril 1950 Roomas allakirjutatud] inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga nii, nagu seda on tõlgendatud Euroopa Inimõiguste Kohtu otsustes. Sellised meetmed peavad olema asjakohased, rangelt proportsionaalsed kavandatud eesmärgiga ja vajalikud demokraatlikus ühiskonnas ning nendega peaksid kaasnema piisavad tagatised kooskõlas inimõiguste ja põhivabaduste kaitse Euroopa konventsiooniga.

[…]

(22)

Sidet ja sellega seotud liiklusandmeid ei või salvestada muud kui ainult kasutajad ja isikud, kellel on nende nõusolek; selle keeluga ei taheta keelustada igasugust automaatset, vahepealset või lühiajalist teabe salvestamist, kui selle ainus eesmärk on edastuse toimumine elektroonilises sidevõrgus, tingimusel, et teavet ei salvestata kauemaks, kui on vaja edastuse ja liikluse haldamise seisukohast, ning et selle konfidentsiaalsus tagatakse ka salvestatuna. […]

[…]

(26)

Abonentide kohta käivad andmed, mida töödeldakse elektroonilistes sidevõrkudes ühenduse loomiseks ja teabe edastamiseks, sisaldavad teavet füüsiliste isikute eraelu kohta ja on seotud õigusega vabale kirjavahetusele või on seotud juriidiliste isikute põhjendatud huvidega. Selliseid andmeid võib säilitada ainult sel määral, kui on vaja teenuse osutamise puhul arveldamiseks ja sidumistasude maksmiseks, ning piiratud aja jooksul. Selliste andmete igasugust täiendavat töötlemist […] võib lubada ainult siis, kui abonent on sellega nõustunud täpse ja täieliku teabe põhjal, mille üldkasutatavate elektrooniliste sideteenuste osutaja on talle edastanud kavandatud täiendavate töötlemisviiside kohta ja abonendi õiguste kohta jätta oma nõusolek selliseks töötlemiseks andmata või tühistada selline nõusolek. Sideteenuste turustamiseks või lisaväärtusteenuste osutamiseks kasutatavad liiklusandmed tuleks pärast teenuse osutamist kustutada või muuta anonüümseks. […]

[…]

(30)

Elektrooniliste sidevõrkude pakkumise ja elektrooniliste sideteenuste osutamise süsteemid peaksid olema välja töötatud nii, et vajalike isikuandmete hulk oleks minimaalne. […]“.

15

Direktiivi 2002/58 artiklis 1 „Reguleerimisala ja eesmärk“ on sätestatud:

„1.   Käesoleva direktiiviga ühtlustatakse liikmesriikide need sätted, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris ja selliste andmete ning elektrooniliste sideseadmete ja -teenuste vaba liikumise tagamiseks [Euroopa Liidus].

2.   Käesoleva direktiivi sätted täpsustavad ja täiendavad direktiivi [95/46] sätteid lõikes 1 nimetatud eesmärkidel. Lisaks sellele nähakse nende sätetega ette juriidilistest isikutest abonentide põhjendatud huvide kaitse.

3.   Käesolevat direktiivi ei kohaldata tegevuse suhtes, mis jääb väljapoole [ELTLi] reguleerimisala, nagu näiteks Euroopa Liidu lepingu V ja VI jaotise kohane tegevus, ja igal juhul sellise tegevuse suhtes, mis on seotud avaliku [julgeoleku], riigikaitse, riigi julgeoleku (kaasa arvatud riigi majanduslik heaolu, kui tegevus on seotud riigi julgeolekuga) ja riigi sunnijõuga kriminaalõiguse valdkonnas.“

16

Direktiivi 2002/58 artiklis 2 „Mõisted“ on sätestatud:

„Kui ei ole sätestatud teisiti, kohaldatakse direktiivis [95/46] ning […] direktiivis [2002/21] sätestatud mõisteid.

Kasutatakse ka järgmisi mõisteid:

a)

kasutaja – füüsiline isik, kes kasutab üldkasutatavat elektroonilist sideteenust isiklikel või ärilistel eesmärkidel, ilma et ta oleks tingimata kõnealust teenust tellinud;

b)

liiklusandmed – andmed, mida töödeldakse side edastamiseks elektroonilises sidevõrgus või sellise edastamisega seotud arveldamiseks;

c)

asukohaandmed – elektroonilises sidevõrgus töödeldavad andmed, mis näitavad üldkasutatavate elektrooniliste sideteenuste kasutaja lõppseadme geograafilist asukohta;

d)

side – teave, mida vahetatakse või edastatakse määratud hulga osaliste vahel üldkasutatava elektroonilise side teenuse abil. Mõiste ei hõlma teavet, mida edastatakse üldsusele ringhäälinguteenuse raames elektroonilise sidevõrgu kaudu, välja arvatud juhul, kui sellist teavet võib seostada tuvastatava abonendi või kasutajaga, kes teavet saab;

[…]“.

17

Direktiivi 2002/58 artiklis 3 „Asjaomased teenused“ on ette nähtud:

„Käesolevat direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega ühenduse üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes.“

18

Direktiivi 2002/58 artiklis 5 „Side konfidentsiaalsus“ on sätestatud:

„1.   Liikmesriigid tagavad üldkasutatava sidevõrgu ja üldkasutatavate elektrooniliste sideteenuste kaudu toimuva side ja sellega seotud liiklusandmete konfidentsiaalsuse siseriiklike õigusaktidega. Eelkõige keelatakse nende õigusaktidega isikutel, kes ei ole kasutajad, kuulata, salaja pealt kuulata, salvestada või muul viisil pealt kuulata või jälgida sidet ja sellega seotud liiklusandmeid ilma asjaomaste kasutajate loata, kui see ei ole õiguspärane artikli 15 lõike 1 kohaselt. Käesolev lõige ei takista side edastamiseks vajalikku tehnilist salvestamist, ilma et see piiraks konfidentsiaalsuse põhimõtet.

[…]

3.   Liikmesriigid tagavad, et teabe salvestamine abonendi või kasutaja lõppseadmesse ja juurdepääsu saamine sinna juba salvestatud teabele on lubatud ainult tingimusel, et asjaomane abonent või kasutaja on andnud selleks oma nõusoleku, ning talle on esitatud direktiivi [95/46] kohaselt selge ja arusaadav teave, muu hulgas andmete töötlemise eesmärgi kohta. See ei takista andmete tehnilist salvestamist ega juurdepääsu, mille ainus eesmärk on edastada sidet elektroonilises sidevõrgus või mis on teenuseosutajale hädavajalik sellise infoühiskonna teenuse osutamiseks, mida abonent või kasutaja on sõnaselgelt taotlenud.“

19

Direktiivi 2002/58 artiklis 6 „Liiklusandmed“ on sätestatud:

„1.   Abonentide ja kasutajatega seotud liiklusandmed, mida töötleb üldkasutatava sidevõrgu pakkuja või üldkasutatavate elektrooniliste sideteenuste osutaja, tuleb kustutada või muuta anonüümseks, kui neid ei ole enam vaja side edastamiseks, ilma et see piiraks käesoleva artikli lõigete 2, 3 ja 5 ning artikli 15 lõike 1 kohaldamist.

2.   Töödelda võib liiklusandmeid, mis on vajalikud abonentide arvete ja sidumistasude jaoks. Selline töötlemine on lubatud ainult selle tähtaja lõpuni, mille jooksul võib arve õiguspäraselt vaidlustada või mille jooksul võib võtta meetmeid arve sissenõudmiseks.

3.   Elektrooniliste sideteenuste turustamiseks ja lisaväärtusteenuste osutamiseks võib üldkasutatavate elektrooniliste sideteenuste osutaja töödelda lõikes 1 osutatud andmeid selliste teenuste või turustamise jaoks vajalikul määral ja vajaliku aja jooksul, kui abonent või kasutaja, kelle kohta andmed käivad, on andnud oma eelneva nõusoleku. Kasutajatele ja abonentidele antakse võimalus oma liiklusandmete töötlemiseks antud nõusolek igal ajal tühistada.

[…]

5.   Lõigete 1, 2, 3 ja 4 kohaselt võivad liiklusandmeid töödelda ainult üldkasutatavate sidevõrkude pakkuja ja üldkasutatavate elektrooniliste sideteenuste osutaja loal tegutsevad isikud, kes tegelevad arveldamise või andmeliikluse korraldamise, klientide küsimustele vastamise, pettuste avastamise, elektrooniliste sideteenuste turustamise või lisaväärtusteenuste osutamisega, ja selline töötlemine peab toimuma ainult kõnealusteks toiminguteks vajalikul määral.“

20

Direktiivi artikli 9 „Asukohaandmed (v.a liiklusandmed)“ lõikes 1 on ette nähtud:

„Kui üldkasutatavate sidevõrkude või üldkasutatavate elektrooniliste sideteenuste kasutajate või abonentidega seotud asukohaandmeid (v.a liiklusandmed) võib töödelda, töödeldakse neid andmeid ainult pärast nende anonüümseks muutmist või kasutajate või abonentide nõusolekul ning lisaväärtusteenuse osutamiseks vajalikul määral ja selleks vajaliku aja jooksul. Teenuseosutaja peab enne kasutajate või abonentide nõusoleku saamist teatama neile töödeldavate asukohaandmete (v.a liiklusandmed) liigi, töötlemise eesmärgi, kui kaua see kestab ja kas andmed edastatakse lisaväärtusteenuste osutamiseks kolmandatele isikutele. […]“.

21

Nimetatud direktiivi artiklis 15 „Direktiivi [95/46] teatavate sätete rakendamine“ on sätestatud:

„1.   Liikmesriigid võivad võtta seadusandlikke meetmeid, millega piiratakse käesoleva direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust, kui selline piiramine on [demokraatlikus ühiskonnas] [täpsustatud sõnastus] vajalik, otstarbekas ja proportsionaalne abinõu selleks, et kaitsta direktiivi [95/46] artikli 13 lõikes 1 nimetatud riiklikku julgeolekut (s.t riigi julgeolekut), riigikaitset, avalikku [julgeolekut], kriminaalkuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamist, uurimist, avastamist ja kohtus menetlemist. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul käesolevas lõikes sätestatud põhjustel. Kõik käesolevas lõikes osutatud meetmed on kooskõlas [liidu] õiguse üldpõhimõtetega, kaasa arvatud Euroopa Liidu lepingu artikli 6 lõigetes 1 ja 2 osutatud põhimõtetega.

[…]

2.   Direktiivi [95/46] III peatüki „Õiguskaitsevahendid, vastutus ja sanktsioonid“ sätteid kohaldatakse, võttes arvesse liikmesriikides käesoleva direktiivi kohaselt vastuvõetud õigusakte ja käesolevast direktiivist tulenevaid üksikisikute õigusi.

[…]“.

Määrus 2016/679

22

Määruse 2016/679 põhjenduses 10 on märgitud:

„Selleks et tagada füüsiliste isikute järjekindel ja kõrgetasemeline kaitse ning kõrvaldada takistused isikuandmete liikumisel liidus, peaks füüsiliste isikute õiguste ja vabaduste kaitse selliste andmete töötlemisel olema kõigis liikmesriikides samal tasemel. Isikuandmete töötlemisel tuleks tagada füüsiliste isikute põhiõiguste ja -vabaduste kaitse eeskirjade järjekindel ja ühtne kohaldamine kogu liidus. […]“.

23

Määruse artiklis 2 on sätestatud:

„1.   Käesolevat määrust kohaldatakse isikuandmete täielikult või osaliselt automatiseeritud töötlemise suhtes ja isikuandmete automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.

2.   Käesolevat määrust ei kohaldata, kui

a)

isikuandmeid töödeldakse muu kui liidu õiguse kohaldamisalasse kuuluva tegevuse käigus;

b)

liikmesriigid töötlevad isikuandmeid sellise tegevuse käigus, mis kuulub ELi lepingu V jaotise 2. peatüki kohaldamisalasse;

[…]

d)

isikuandmeid töötlevad pädevad asutused süütegude tõkestamise, uurimise, avastamise või nende eest vastutusele võtmise ja kriminaalkaristuste täitmisele pööramise, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmise ja nende ennetamise eesmärgil.

[…]

4.   Käesolev määrus ei piira direktiivi [2000/31], eelkõige selle artiklites 12–15 esitatud vahendusteenuste osutajate vastutust käsitlevate õigusnormide kohaldamist.“

24

Määruse artiklis 4 on ette nähtud:

„Käesolevas määruses kasutatakse järgmisi mõisteid:

1)

„isikuandmed“ – igasugune teave tuvastatud või tuvastatava füüsilise isiku („andmesubjekti“) kohta; tuvastatav füüsiline isik on isik, keda saab otseselt või kaudselt tuvastada, eelkõige sellise identifitseerimistunnuse põhjal nagu nimi, isikukood, asukohateave, võrguidentifikaator või selle füüsilise isiku ühe või mitme füüsilise, füsioloogilise, geneetilise, vaimse, majandusliku, kultuurilise või sotsiaalse tunnuse põhjal;

2)

„isikuandmete töötlemine“ – isikuandmete või nende kogumitega tehtav automatiseeritud või automatiseerimata toiming või toimingute kogum, nagu kogumine, dokumenteerimine, korrastamine, struktureerimine, säilitamine, kohandamine ja muutmine, päringute tegemine, lugemine, kasutamine, edastamise, levitamise või muul moel kättesaadavaks tegemise teel avalikustamine, ühitamine või ühendamine, piiramine, kustutamine või hävitamine;

[…]“.

25

Määruse 2016/679 artiklis 5 on sätestatud:

„1.   Isikuandmete töötlemisel tagatakse, et:

a)

töötlemine on seaduslik, õiglane ja andmesubjektile läbipaistev („seaduslikkus, õiglus ja läbipaistvus“);

b)

isikuandmeid kogutakse täpselt ja selgelt kindlaksmääratud ning õiguspärastel eesmärkidel ning neid ei töödelda hiljem viisil, mis on nende eesmärkidega vastuolus; isikuandmete edasist töötlemist avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil ei loeta artikli 89 lõike 1 kohaselt algsete eesmärkidega vastuolus olevaks („eesmärgi piirang“);

c)

isikuandmed on asjakohased, olulised ja piiratud sellega, mis on vajalik nende töötlemise eesmärgi seisukohalt („võimalikult väheste andmete kogumine“);

d)

isikuandmed on õiged ja vajaduse korral ajakohastatud ning et võetakse kõik mõistlikud meetmed, et töötlemise eesmärgi seisukohast ebaõiged isikuandmed kustutaks või parandataks viivitamata („õigsus“);

e)

isikuandmeid säilitatakse kujul, mis võimaldab andmesubjekte tuvastada ainult seni, kuni see on vajalik selle eesmärgi täitmiseks, milleks isikuandmeid töödeldakse; isikuandmeid võib kauem säilitada juhul, kui isikuandmeid töödeldakse üksnes avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil vastavalt artikli 89 lõikele 1, eeldusel et andmesubjektide õiguste ja vabaduste kaitseks rakendatakse käesoleva määrusega ettenähtud asjakohaseid tehnilisi ja korralduslikke meetmeid („säilitamise piirang“);

f)

isikuandmeid töödeldakse viisil, mis tagab isikuandmete asjakohase turvalisuse, sealhulgas kaitseb loata või ebaseadusliku töötlemise eest ning juhusliku kaotamise, hävitamise või kahjustumise eest, kasutades asjakohaseid tehnilisi või korralduslikke meetmeid („usaldusväärsus ja konfidentsiaalsus“);

[…]“.

26

Määruse artikkel 6 on sõnastatud järgmiselt:

„1.   Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

c)

isikuandmete töötlemine on vajalik vastutava töötleja seadusjärgse kohustuse täitmiseks;

[…]

3.   Lõike 1 punktides c ja e osutatud isikuandmete töötlemise alus kehtestatakse:

a)

liidu õigusega või

b)

vastutava töötleja suhtes kohaldatava liikmesriigi õigusega.

Isikuandmete töötlemise eesmärk määratakse kindlaks selles õiguslikus aluses […]. See õiguslik alus võib sisaldada erisätteid, et kohandada käesoleva määruse sätete kohaldamist, sealhulgas üldtingimusi, mis reguleerivad vastutava töötleja poolt isikuandmete töötlemise seaduslikkust, töötlemisele kuuluvate andmete liiki, asjaomaseid andmesubjekte, üksuseid, kellele võib isikuandmeid avaldada, ja avaldamise põhjuseid, eesmärgi piirangut, säilitamise aega ning isikuandmete töötlemise toiminguid ja -menetlusi, sealhulgas meetmeid seadusliku ja õiglase töötlemise tagamiseks, nagu näiteks meetmed teiste andmetöötluse eriolukordade jaoks, nagu need on sätestatud IX peatükis. Liidu või liikmesriigi õigus vastab avaliku huvi eesmärgile ning on proportsionaalne taotletava õiguspärase eesmärgiga.

[…]“.

27

Määruse artiklis 23 on ette nähtud:

„1.   Vastutava töötleja või volitatud töötleja suhtes kohaldatavas liidu või liikmesriigi õiguses võib seadusandliku meetmega piirata artiklites 12–22 ja artiklis 34, samuti artiklis 5 sätestatud kohustuste ja õiguste ulatust, kuivõrd selle sätted vastavad artiklites 12–22 sätestatud õigustele ja kohustustele, kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada

a)

riigi julgeolek;

b)

riigikaitse;

c)

avalik julgeolek;

d)

süütegude tõkestamine, uurimine, avastamine või nende eest vastutusele võtmine või kriminaalkaristuste täitmisele pööramine, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmine ja nende ennetamine;

e)

liidu või liikmesriigi muud üldist avalikku huvi pakkuvad olulised eesmärgid, eelkõige liidu või liikmesriigi oluline majanduslik või finantshuvi, sealhulgas rahandus-, eelarve- ja maksuküsimused, rahvatervis ja sotsiaalkindlustus;

f)

kohtusüsteemi sõltumatuse ja kohtumenetluse kaitse;

g)

reguleeritud kutsealade ametieetika rikkumiste ennetamine, uurimine, avastamine ja nende eest vastutusele võtmine;

h)

jälgimine, kontrollimine või regulatiivsete ülesannete täitmine, mis on kas või juhtumipõhiselt seotud avaliku võimu teostamisega punktides a–e ja g osutatud juhtudel;

i)

andmesubjekti kaitse või teiste isikute õiguste ja vabaduste kaitse;

j)

tsiviilõiguslike nõuete täitmise tagamine.

2.   Eelkõige peab lõikes 1 osutatud seadusandlik meede sisaldama asjakohasel juhul konkreetseid sätteid vähemalt järgmise kohta:

a)

töötlemise või selle kategooriate eesmärgid;

b)

isikuandmete liigid;

c)

kehtestatud piirangute ulatus;

d)

kuritarvitamist või ebaseaduslikku andmetega tutvumist või nende edastamist tõkestavad kaitsemeetmed;

e)

vastutava töötleja või vastutavate töötlejate kategooriate määratlus;

f)

säilitamise ajavahemikud ja kohaldatavad kaitsemeetmed, võttes arvesse töötlemise või selle kategooriate laadi, ulatust ja eesmärki;

g)

andmesubjektide õigusi ja vabadusi ähvardavad ohud ning

h)

andmesubjektide õigus olla piirangust teavitatud, välja arvatud juhul, kui see võib mõjutada piirangu eesmärki.“

28

Määruse artikli 79 lõikes 1 on sätestatud:

„Ilma et see piiraks mis tahes kättesaadava haldusliku kaitsevahendi või kohtuvälise heastamisvahendi kohaldamist, sealhulgas õigust esitada järelevalveasutusele artikli 77 kohaselt kaebus, on igal andmesubjektil õigus kasutada tõhusat õiguskaitsevahendit, kui ta leiab, et tema käesolevast määrusest tulenevaid õigusi on rikutud tema isikuandmete […] sellise töötlemise tulemusel, millega rikutakse käesolevat määrust.“

29

Määruse 2016/679 artiklis 94 on ette nähtud:

„1.   Direktiiv [95/46] tunnistatakse kehtetuks alates 25. maist 2018.

2.   Viiteid kehtetuks tunnistatud direktiivile käsitatakse viidetena käesolevale määrusele. Viiteid direktiivi [95/46] artikli 29 alusel loodud töörühmale üksikisikute kaitseks seoses isikuandmete töötlemisega käsitatakse viidetena käesoleva määrusega loodud Euroopa Andmekaitsenõukogule.“

30

Määruse artiklis 95 on sätestatud:

„Käesoleva määrusega ei panda füüsilistele ega juriidilistele isikutele lisakohustusi isikuandmete töötlemise suhtes, mis toimub seoses üldkasutatavate elektrooniliste sideteenuste osutamisega üldkasutatavates sidevõrkudes liidus ja mis on seotud küsimustega, mille puhul kehtivad nende suhtes direktiivis [2002/58] sätestatud erikohustused, millel on sama eesmärk.“

Prantsuse õigus

Sisejulgeoleku seadustik

31

Sisejulgeoleku seadustiku (code de la sécurité intérieure, edaspidi „CSI“) VIII raamatu artiklites L. 801‑1 kuni L. 898‑1 on ette nähtud luuretegevust reguleerivad õigusnormid.

32

CSI artiklis L. 811‑3 on sätestatud:

„Luureteenistused võivad ainult oma vastavate ülesannete täitmiseks kasutada käesoleva raamatu V jaotises nimetatud meetodeid sellise teabe kogumiseks, mis on seotud järgmiste riigi põhihuvide kaitse ja edendamisega:

riigi sõltumatus, territoriaalne terviklikkus ja riigikaitse;

välispoliitika põhihuvid, Prantsusmaa kohustuste täitmine Euroopa ja rahvusvahelisel tasandil ning igasuguse välissekkumise ärahoidmine;

Prantsusmaa olulised majandus-, tööstus- ja teadushuvid;

terrorismi ennetamine;

järgmiste ohtude ennetamine:

a)

ründed institutsioonide vabariikliku vormi vastu;

b)

artikli L. 212‑1 alusel laiali saadetud ühenduste säilitamisele või taastamisele suunatud tegevus;

c)

kollektiivne vägivald, mis võib tõsiselt häirida avalikku korda;

kuritegevuse ja organiseeritud kuritegevuse ennetamine;

massihävitusrelvade leviku tõkestamine.“

33

CSI artiklis L. 811‑4 on sätestatud:

„Conseil d’État’ (Prantsusmaa riiginõukogu) dekreediga, mis on vastu võetud pärast Commission nationale de contrôle des techniques de renseignement’i (riiklik luuremeetodite kontrolli komisjon) arvamuse saamist, määratakse luureteenistuste hulka mittekuuluvad, kaitse-, sise- ja justiitsministri ning majandus-, eelarve- ja tollivaldkonna eest vastutavate ministrite valitsemisalas olevad asutused, kellele võib anda loa kasutada käesoleva raamatu V jaotises nimetatud meetodeid samas raamatus ette nähtud tingimustel. Dekreedis täpsustatakse iga teenistuse puhul artiklis L. 811‑3 nimetatud eesmärgid ja meetodid, mille jaoks võib loa anda.“

34

CSI artikli L. 821‑1 esimeses lõigus on täpsustatud:

„Käesoleva raamatu V jaotise I–IV peatükis nimetatud luureteabe kogumise meetodite rakendamiseks riigi territooriumil on vaja peaministri eelnevat luba, mis antakse välja pärast riikliku luuremeetodite kontrolli komisjoni arvamuse saamist.“

35

CSI artiklis L. 821‑2 on ette nähtud:

„Artiklis L. 821‑1 nimetatud luba väljastatakse kaitse-, sise-, justiitsministri või majandus-, eelarve- ja tollivaldkonna eest vastutavate ministrite kirjaliku ja põhjendatud taotluse alusel. Iga minister võib selle ülesande delegeerida üksnes konkreetsetele vahetult talle alluvatele töötajatele, kellel on riigisaladusele juurdepääsu õigus.

Taotluses tuleb esitada järgmine teave:

1° kasutatav meetod või meetodid;

2° teenistus, mille jaoks taotlus esitatakse;

3° järgitav eesmärk või eesmärgid;

4° meetmete põhjus või põhjused;

5° loa kehtivusaeg;

6° asjaomane isik või isikud, asjaomane paik või paigad või asjaomane sõiduk või sõidukid.

Punkti 6 kohaldamisel võidakse isikuid, kelle identiteet ei ole teada, nimetada nende identifitseerimistunnuste või tegevuse abil ning paiku või sõidukeid võidakse nimetada viitega isikutele, kelle kohta taotlus on esitatud.

[…]“.

36

CSI artikli L. 821‑3 esimeses lõigus on sätestatud:

„Taotlus edastatakse riikliku luuremeetodite kontrolli komisjoni esimehele või tema puudumise korral ühele liikmele nende hulgast, keda on nimetatud artikli L. 831‑1 punktides 2 ja 3, ning esimees või kõnealune liige esitab peaministrile arvamuse 24 tunni jooksul. Kui taotlus vaadatakse läbi komisjoni viieliikmelises koosseisus või täiskoosseisus, teatatakse sellest viivitamata peaministrile ning arvamus esitatakse 70 tunni jooksul.“

37

CSI artiklis L. 821‑4 on sätestatud:

„Peaminister annab käesoleva raamatu V jaotise I–IV peatükis nimetatud meetodite rakendamiseks loa maksimaalselt neljaks kuuks. […] Luba sisaldab artikli L. 821‑2 punktides 1–6 ette nähtud põhjendusi ja märkeid. Luba võib pikendada samadel tingimustel nagu need, mis on ette nähtud käesolevas peatükis.

Kui luba on väljastatud pärast riikliku luuremeetodite kontrolli komisjoni negatiivset arvamust, peavad selles olema märgitud põhjused, miks seda arvamust ei järgitud.

[…]“.

38

CSI artiklis L. 833‑4, mis asub selle jaotise III peatükis, on sätestatud:

„Komisjon kontrollib omal algatusel või juhul, kui talle on esitanud vaide isik, kes soovib kontrollida, et tema suhtes ei rakendata õigusvastaselt ühtegi luuremeetodit, viidatud meetodit või meetodeid, et teha kindlaks, kas neid on kasutatud või kasutatakse kooskõlas käesoleva raamatuga. Ta teatab vaide esitajale, et on läbi viidud vajalikud kontrollimised, ilma et ta nende meetodite kasutamist kinnitaks või ümber lükkaks.“

39

CSI artikli L. 841‑1 esimene ja teine lõik on sõnastatud järgmiselt:

„Kui käesoleva seadustiku artiklis L. 854‑9 ette nähtud erisätetest ei tulene teisiti, on Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) pädev halduskohtumenetluse seadustiku VII raamatu VII jaotise III bis peatükis ette nähtud tingimustel lahendama kaebusi, mis puudutavad käesoleva raamatu V jaotises nimetatud luuremeetodite rakendamist.

Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) poole võib pöörduda:

1° igaüks, kes soovib kontrollida, et tema suhtes ei rakendata õigusvastaselt ühtegi luuremeetodit, ja tõendab, et artiklis L. 833‑4 ette nähtud menetlus on enne läbi viidud;

2° riiklik luuremeetodite kontrolli komisjon artiklis L. 833‑8 ette nähtud tingimustel.“

40

CSI seadusandliku osa VIII raamatu V jaotis, mis käsitleb „luba eeldavaid luureteabe kogumise meetodeid“, sisaldab muu hulgas I peatükki „Asutuste juurdepääs ühendusandmetele“, mis sisaldab CSI artikleid L. 851‑1 kuni L. 851‑7.

41

CSI artiklis L. 851‑1 on sätestatud:

„Käesoleva raamatu II jaotise I peatükis sätestatud tingimustel võib anda loa koguda elektroonilise side teenuste pakkujatelt ning [CPCE] artiklis L. 34‑1 nimetatud isikutelt, samuti 21. juuni 2004. aasta seaduse nr 2004‑575 usalduse kohta digitaalmajanduses (loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(JORF, 22.6.2004, lk 11168)] artikli 6 I lõike punktides 1 ja 2 nimetatud isikutelt nende võrgus või nende poolt elektroonilise side teenuste osutamisel töödeldud või säilitatud teavet ja dokumente, sealhulgas tehnilisi andmeid, mis on seotud abonentnumbrite või elektroonilise side teenuste kasutamise tuvastamisega, teatud konkreetse isiku kõigi ühenduste või abonentnumbritega, kasutatud lõppseadme asukohaga ning konkreetse abonendi ühendustega, mis hõlmab väljaläinud ja sissetulnud kõnede numbrite loetelu ning kõnede kestust ja kuupäeva.

Erandina artiklist L. 821‑2 edastavad artiklites L. 811‑2 ja L. 811‑4. mainitud luureteenistuste ametnikud, kes on konkreetselt nimetatud ja volitatud, kirjalikud ja põhjendatud taotlused tehniliste andmete kohta, mis on seotud abonentnumbrite või elektroonilise side teenuste kasutamise tuvastamisega või teatud konkreetse isiku kõigi ühenduste või abonentnumbritega, otse riiklikule luuremeetodite kontrolli komisjonile. Komisjon annab oma arvamuse artiklis L. 821‑3 ette nähtud tingimustel.

Peaministri teenistuse ülesanne on koguda teavet või dokumente käesoleva artikli esimeses lõigus nimetatud ettevõtjatelt ja isikutelt. Riiklikul luuremeetodite kontrolli komisjonil on kogutud teabele ja dokumentidele püsiv, täielik, otsene ja vahetu juurdepääs.

Käesoleva artikli kohaldamise üksikasjalik kord kehtestatakse dekreediga, mis on kooskõlastatud Conseil d’État’ga (Prantsusmaa riiginõukogu) ja vastu võetud pärast arvamuse saamist Commission nationale de l’informatique et des libertés d’informationilt (riiklik andmetöötluse ja vabaduste komisjon) ning riiklikult luuremeetodite kontrolli komisjonilt.“

42

CSI artiklis L. 851‑2 on sätestatud:

„I. – Käesoleva raamatu II jaotise I peatükis ette nähtud tingimustel ja üksnes terrorismi ennetamise eesmärgil võib eraldi anda loa reaalajas koguda artiklis L. 851‑1 nimetatud ettevõtjate ja isikute võrkudes samas artiklis L. 851‑1 nimetatud teavet või dokumente, mis puudutavad eelnevalt tuvastatud isikut, kes võib olla ohuga seotud. Kui on kaalukaid põhjuseid arvata, et ühelt või mitmelt isikult selle andmesubjekti lähikonnas, keda luba puudutab, võib saada teavet, mille saamise eesmärgil luba antakse, võib loa anda ka iga sellise isiku kohta eraldi.

bis Käesoleva artikli alusel väljastatud, samal ajal kehtivate lubade maksimumarvu määrab peaminister pärast riikliku luuremeetodite kontrolli komisjoni arvamuse saamist. Komisjonile tehakse teatavaks otsus, millega see arv määratakse kindlaks ja jaotatakse artikli L. 821‑2 esimeses lõigus nimetatud ministrite vahel, ning väljastatud teabekogumislubade arv.

[…]“.

43

CSI artiklis L. 851‑3 on ette nähtud:

„I. – Käesoleva raamatu II jaotise I peatükis ette nähtud tingimustel ja üksnes terrorismi ennetamise eesmärgil võib artiklis L. 851‑1 nimetatud operaatoritele ja isikutele panna kohustuse rakendada oma võrkudes automatiseeritud andmetöötlusmeetmeid selleks, et tuvastada loas täpsustatud parameetrite alusel sideühendused, millest võib ilmneda terrorismioht.

Selline automatiseeritud töötlemine kasutab üksnes artiklis L. 851‑1 nimetatud teavet või dokumente, kogumata muid andmeid kui need, mis vastavad nende loomise parameetritele, ja võimaldamata kindlaks teha isikuid, kellega teave või dokumendid on seotud.

Järgides proportsionaalsuse põhimõtet, on peaministri loas täpsustatud sellise töötlemise elluviimise tehnilist ulatust.

II. – Riiklik luuremeetodite kontrolli komisjon esitab arvamuse automatiseeritud töötlemise loa taotluse ja aluseks võetud avastamisparameetrite kohta. Tal on püsiv, täielik ja otsene juurdepääs sellisele töötlemisele ning kogutud teabele ja andmetele. Teda teavitatakse töötlemise ja parameetrite kõikidest muudatustest ning ta võib anda soovitusi.

Käesoleva artikli I lõikes ette nähtud esmane automatiseeritud töötlemise luba antakse kaheks kuuks. Luba võib pikendada kestust puudutavatel tingimustel, mis on ette nähtud käesoleva raamatu II jaotise I peatükis. Pikendamistaotlus sisaldab väljavõtet automatiseeritud töötlemise käigus märgistatud identifikaatorite arvust ja märgistuste asjakohasuse analüüsi.

III. – Artiklis L. 871‑6 ette nähtud tingimusi kohaldatakse sisulistele toimingutele, mida artiklis L. 851‑1 nimetatud ettevõtjad ja isikud selle töötlemise jaoks teevad.

IV. – Kui käesoleva artikli I lõikes nimetatud töötlemise käigus avastatakse andmeid, millest võib ilmneda terrorismiohu olemasolu, võib peaminister või tema poolt volitatud isik pärast seda, kui riiklik luuremeetodite kontrolli komisjon on käesoleva raamatu II jaotise I peatükis ette nähtud tingimustel andnud arvamuse, anda loa andmesubjekti või -subjektide tuvastamiseks ja sellega seotud andmete kogumiseks. Neid andmeid kasutatakse 60 päeva jooksul alates andmete kogumisest ja hävitatakse selle tähtaja möödumisel, välja arvatud juhul, kui on olulisi tõendeid, mis kinnitavad terrorismiohu olemasolu seoses ühe või mitme andmesubjektiga.

[…]“.

44

CSI artikkel L. 851‑4 on sõnastatud järgmiselt:

„Käesoleva raamatu II jaotise I peatükis ette nähtud tingimustel võivad ettevõtjad taotluse alusel koguda võrgust artiklis L. 851‑1 nimetatud tehnilisi andmeid kasutatud lõppseadmete asukoha kohta ja edastada need reaalajas peaministri teenistusele.“

45

CSI artiklis R. 851‑5, mis asub seadustiku määrusandlikus osas, on ette nähtud:

„I. – Artiklis L. 851‑1 nimetatud teave või dokumendid, välja arvatud edastatud sõnumite või vaadatud teabe sisu, on:

1° need, mis on loetletud [CPCE] artiklites R. 10‑13 ja R. 10‑14 ning dekreedi [nr 2011‑219] artiklis 1;

2° muud kui punktis 1 nimetatud tehnilised andmed, mis:

a) võimaldavad kindlaks teha lõppseadmete asukoha;

b) on seotud lõppseadmete juurdepääsuga võrkudele või üldkasutatavatele veebipõhistele sideteenustele;

c) on seotud elektroonilise side edastamisega võrkude kaudu;

d) on seotud kasutaja, ühenduse, võrgu või interneti teel osutatava üldkasutatava sideteenuse tuvastamise ja autentimisega;

e) puudutavad lõppseadmete omadusi ja nende tarkvara konfiguratsiooni andmeid.

II. – Artikli L. 851‑1 alusel võib koguda üksnes I lõike punktis 1 nimetatud teavet ja dokumente. Kogumine toimub ajalise viitega.

I lõike punktis 2 loetletud teavet võib koguda üksnes artiklite L. 851‑2 ja L. 851‑3 alusel nendes artiklites ette nähtud tingimustel ja piirides, kui artiklis R. 851‑9 ei ole sätestatud teisiti.“

CPCE

46

CPCE artiklis L. 34‑1 on sätestatud:

„I. – Käesolevat artiklit kohaldatakse isikuandmete töötlemise suhtes üldkasutatavate elektroonilise side teenuste osutamisel; eelkõige kohaldatakse seda võrkudele, milles andmekogumis- ja -tuvastusseadmed töötavad.

II. – Elektroonilise side operaatorid ja eelkõige isikud, kes pakuvad üldkasutatavaid veebipõhiseid sideteenuseid, kustutavad või muudavad anonüümseks kõik liiklusandmed, kui III, IV, V või VI lõikes ei ole sätestatud teisiti.

Isikud, kes pakuvad üldsusele elektroonilise side teenuseid, kehtestavad eelmise lõigu nõudeid järgides sisemenetlused pädevate ametiasutuste nõudmistele vastamiseks.

Isikud, kes kutsealase põhi- või kõrvaltegevusena pakuvad üldsusele, sh tasuta, ühendust, mis võimaldab internetisidet võrguühenduse teel, on kohustatud täitma käesoleva artikli alusel elektroonilise side operaatoritele kohaldatavaid sätteid.

III. – Süütegude või intellektuaalomandi seadustiku (code de la propriété intellectuelle) artiklis L. 336‑3 sätestatud kohustuse rikkumise uurimiseks, tuvastamiseks ja menetlemiseks või karistusseadustiku (code pénal) artiklites 323‑1 kuni 323‑3‑1 nimetatud automatiseeritud andmetöötlussüsteemi kahjustamise ennetamiseks ning üksnes eesmärgiga teha need andmed vajaduse korral kättesaadavaks kohtule või intellektuaalomandi seadustiku artiklis L. 331‑12 nimetatud asutusele või kaitseseadustiku (code de la défense) artiklis 2321‑1 nimetatud riiklikule infosüsteemide turvalisuse asutusele, võib teatud tehniliste andmete kustutamise või anonüümseks muutmise peatada kuni üheks aastaks. Conseil d’État’ga (Prantsusmaa riiginõukogu) kooskõlastatud dekreedis, mis võetakse vastu pärast riiklikult andmetöötluse ja vabaduste komisjonilt arvamuse saamist, täpsustatakse VI lõikes märgitud piirides need andmekategooriad ja nende säilitamise kestus sõltuvalt operaatorite tegevusest ja side laadist ning vajaduse korral riigi taotlusel operaatorite tagatud teenuste osutamisega kaasnevate kindlaksmääratavate ja spetsiifiliste lisakulude hüvitamise kord.

[…]

VI. – Andmed, mida säilitatakse ja töödeldakse III, IV ja V lõikes sätestatud tingimustel, puudutavad ainult operaatorite osutatud teenuste kasutajate tuvastamist, operaatorite pakutava side tehnilisi tunnuseid ja lõppseadmete asukoha kindlakstegemist.

Need ei tohi mingil juhul puudutada selle side raames mis tahes kujul edastatud sõnumite või vaadatud teabe sisu.

Andmete säilitamine ja töötlemine toimub kooskõlas 6. jaanuari 1978. aasta infotehnoloogia, failide ja vabaduste seaduse nr 78‑17 (loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés) sätetega.

Operaatorid võtavad kõik meetmed, et takistada nende andmete kasutamist muudel kui käesolevas artiklis ette nähtud eesmärkidel.“

47

CPCE artikkel R. 10‑13 on sõnastatud järgmiselt:

„I. – Artikli L. 34‑1 III lõike kohaselt säilitavad elektroonilise side operaatorid süütegude uurimise, tuvastamise ja süütegude eest vastutusele võtmise eesmärgil järgmisi andmeid:

a) andmed, mis võimaldavad tuvastada kasutaja;

b) sideks kasutatud lõppseadmete andmed;

c) iga sideseansi tehnilised tunnused ning kuupäev, kellaaeg ja kestus;

d) taotletud või kasutatud lisateenuste ja nende osutajate andmed;

e) andmed, mis võimaldavad tuvastada side vastuvõtja või vastuvõtjad.

II. – Telefoniteenuse korral säilitab operaator II lõikes nimetatud andmed ja lisaks andmed, mis võimaldavad tuvastada side lähtepunkti ja asukoha.

III. – Käesolevas artiklis nimetatud andmete säilitamise kestus on üks aasta alates nende salvestamisest.

IV. – Kindlaksmääratavad ja spetsiifilised lisakulud, mida operaatorid, kellele õiguskaitseasutused on vastava nõudmise esitanud, kannavad seoses käesolevas artiklis nimetatud kategooriatesse kuuluvate andmete esitamisega, hüvitatakse kriminaalmenetluse seadustiku (code de procédure pénale) artiklis R. 213‑1 ette nähtud korras.“

48

CPCE artiklis R. 10‑14 on ette nähtud:

„I. – Artikli L. 34‑1 IV lõike kohaselt on elektroonilise side operaatoritel õigus säilitada arvete esitamise ja maksete saamise huvides tehnilisi andmeid, mis võimaldavad kasutajat kindlaks teha, ning artikli R. 10‑13 I lõike punktides b, c ja d nimetatud andmeid.

II. – Telefoniteenuse korral võivad operaatorid säilitada lisaks I lõikes nimetatud andmetele tehnilisi andmeid side asukoha, side vastuvõtja või vastuvõtjate tuvastamise kohta ja andmeid, mis võimaldavad arveid koostada.

III. – Käesoleva artikli I ja II lõikes nimetatud andmeid võib säilitada üksnes juhul, kui need on vajalikud osutatud teenuste eest arve esitamiseks ja tasumiseks. Nende säilitamine peab piirduma ajaga, mis on tingimata vajalik selle eesmärgi saavutamiseks, kuid mis ei ole pikem kui üks aasta.

IV. – Võrgu ja seadmete turvalisuse huvides võivad operaatorid säilitada kuni kolm kuud järgmisi andmeid:

a) andmed, mis võimaldavad kindlaks teha side lähtepunkti;

b) iga sideseansi tehnilised tunnused ning kuupäev, kellaaeg ja kestus;

c) tehnilised andmed, mis võimaldavad tuvastada side vastuvõtja või vastuvõtjad;

d) taotletud või kasutatud lisateenuste ja nende osutajate andmed.“

21. juuni 2004. aasta seadus nr 2004‑575 usalduse kohta digitaalmajanduses

49

21. juuni 2004. aasta seaduse nr 2004‑575 usalduse kohta digitaalmajanduses (loi no 2004‑575, du 21 juin 2004, pour la confiance dans l’économie numérique; JORF, 22.6.2004, lk 11168, edaspidi „LCEN“) artiklis 6 on ette nähtud:

„I. – 1.   Isikud, kes pakuvad üldkasutatavaid veebipõhiseid sideteenuseid, teavitavad oma abonente tehnilistest vahenditest, mis võimaldavad piirata juurdepääsu teatavatele teenustele või neid valida, ja pakuvad neile vähemalt ühte neist vahenditest.

[…]

2.   Füüsilisi või juriidilisi isikuid, kes talletavad (isegi kui nad teevad seda tasuta) üldkasutatavate veebipõhiste sideteenuste teel üldsusele kättesaadavaks tegemise eesmärgil nende teenuste saajate poolt edastatud mis tahes liiki signaale, tekste, pilte, helisid või sõnumeid, ei või tsiviilkorras vastutusele võtta tegevuse või teabe eest, mis on talletatud teenuste saaja taotlusel, kui nad tegelikult ei teadnud tegevuse või teabe ebaseaduslikkusest või selle ebaseaduslikkusele viitavatest asjaoludest või kui niipea, kui nad sellest teada said, tegutsesid nad kiiresti, et need andmed kõrvaldada või tõkestada juurdepääs neile.

[…]

II. – I lõike punktides 1 ja 2 nimetatud isikud haldavad ja säilitavad andmeid nii, et see võimaldab tuvastada nende poolt osutatavate teenuste sisu või selle osa loomises osalenud isikud.

Nad võimaldavad isikutele, kes pakuvad üldkasutatavat sideteenust internetis, tehnilisi vahendeid, mis võimaldavad neil täita III lõikes ette nähtud tuvastamistingimused.

Õiguskaitseasutus võib I lõike punktides 1 ja 2 nimetatud teenuseosutajatelt nõuda esimeses lõigus nimetatud andmete edastamist.

Nende andmete töötlemise suhtes kohaldatakse karistusseadustiku (code pénal) artikleid 226‑17, 226‑21 ja 226‑22.

Conseil d’État’ga (Prantsusmaa riiginõukogu) kooskõlastatud dekreedis, mis võetakse vastu pärast riiklikult andmetöötluse ja vabaduste komisjonilt arvamuse saamist, määratletakse esimeses lõigus nimetatud andmed ning määratakse kindlaks nende säilitamise kestus ja kord.

[…]“.

Dekreet nr 2011‑219

50

LCEN artikli 6 II lõike viimase lõigu alusel vastu võetud dekreedi nr 2011‑219 I peatükk sisaldab selle dekreedi artikleid 1–4.

51

Dekreedi nr 2011‑219 artiklis 1 on sätestatud:

„[LCEN] artikli 6 II lõikes nimetatud andmed, mida isikud peavad selle sätte kohaselt säilitama, on järgmised:

1° Sama artikli I lõike punktis 1 nimetatud isikute ja nende abonentide iga ühenduse puhul:

a)

ühenduse identifitseerimistunnus;

b)

identifitseerimistunnus, mille need isikud abonendile on omistanud;

c)

ühenduseks kasutatava lõppseadme identifitseerimistunnus, kui neil on sellele juurdepääs;

d)

ühenduse alguse ja lõpu kuupäev ja kellaaeg;

e)

abonendi liini tunnused;

2° Sama artikli I lõike punktis 2 nimetatud isikute ja iga loometoimingu puhul:

a)

side lähtepunktiks oleva ühenduse identifitseerimistunnus;

b)

identifitseerimistunnus, mille infosüsteem on omistanud toimingu esemeks olevale sisule;

c)

teenusega ühendamiseks ja sisu edastamiseks kasutatud protokolli liigid;

d)

toimingu laad;

e)

toimingu kuupäev ja kellaaeg;

f)

toimingu autori kasutatud identifitseerimistunnus, kui ta on selle edastanud;

3° Sama artikli I lõike punktides 1 ja 2 nimetatud isikute puhul teave, mille kasutaja on andnud lepingu sõlmimise või konto loomise ajal:

a)

konto loomise ajal kasutatud ühenduse identifitseerimistunnus;

b)

perekonna- ja eesnimi või ärinimi;

c)

seotud postiaadressid;

d)

kasutatud pseudonüümid;

e)

seotud e-posti või konto aadressid;

f)

telefoninumbrid;

g)

salasõna ja andmed, mis võimaldavad seda kontrollida või muuta, nende kõige värskemas versioonis;

4° Sama artikli I lõike punktides 1 ja 2 nimetatud isikute puhul, kui lepingu sõlmimine või konto loomine on tasuline, järgmised maksmisega seotud andmed iga maksetehingu kohta:

a)

kasutatud makseviis;

b)

makse viitenumber;

c)

summa;

d)

tehingu kuupäev ja kellaaeg.

Punktides 3 ja 4 nimetatud andmeid tuleb säilitada ainult siis, kui isikud neid tavaliselt koguvad.“

52

Dekreedi artikkel 2 on sõnastatud järgmiselt:

„Sisu loomisele kaasaaitamine hõlmab toiminguid, mis on seotud:

a)

sisu esialgse loomisega;

b)

sisu ja sellega seotud andmete muutmine;

c)

sisu kustutamine.“

53

Nimetatud dekreedi artiklis 3 on ette nähtud:

„Artiklis 1 nimetatud andmeid säilitatakse üks aasta:

a)

punktides 1 ja 2 nimetatud andmete puhul alates sisu loomise päevast iga toimingu kohta, mis aitab kaasa artiklis 2 määratletud sisu loomisele;

b)

punktis 3 nimetatud andmete puhul alates lepingu lõpetamise või konto sulgemise päevast;

c)

punktis 4 nimetatud andmete puhul alates arve väljastamise või maksetehingu kuupäevast iga arve või maksetehingu kohta.“

Belgia õigus

54

29. mai 2016. aasta seadusega muudeti muu hulgas 13. juuni 2005. aasta elektroonilise side seadust (loi du 13 juin 2005 relative aux communications électroniques; Moniteur belge, 20.6.2005, lk 28070; edaspidi „13. juuni 2005. aasta seadus“), kriminaaluurimise seadustikku (code d’instruction criminelle) ja 30. novembri 1998. aasta konstitutsioonilist seadust luure- ja julgeolekuteenistuste kohta (loi du 30 novembre 1998 organique des services de renseignement et de sécurité; Moniteur belge, 18.12.1998, lk 40312; edaspidi „30. novembri 1998. aasta seadus“).

55

13. juuni 2005. aasta seaduse artiklis 126 – selle 29. mai 2016. aasta seadusest tulenevas redaktsioonis – on sätestatud:

„§ 1.   Ilma et see piiraks 8. detsembri 1992. aasta seaduse eraelu puutumatuse kaitse kohta isikuandmete töötlemisel (loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel) kohaldamist, säilitavad üldkasutatavate telefoniteenuste – sealhulgas interneti teel – pakkujad, internetiühenduse ja e-postiteenuste interneti teel pakkujad, üldkasutatavaid elektroonilise side võrke pakkuvad ettevõtjad, nagu ka ühte nendest teenustest pakkuvad ettevõtjad lõikes 3 osutatud andmeid, mida nad loovad või töötlevad asjaomaste sideteenuste osutamisel.

Käesolev artikkel ei puuduta side sisu.

Lõikes 3 nimetatud andmete säilitamise kohustus kehtib ka ebaõnnestunud helistamiskatse suhtes, kui need andmed on asjaomaste sideteenuste osutamise raames:

1° telefoniside andmete puhul üldkasutatavate elektroonilise side teenuste või üldkasutatavate elektroonilise side võrkude operaatorite loodud või nende töödeldud või

2° internetiandmete puhul nende pakkujate poolt salvestatud.

§ 2.   Ainult järgmised asutused võivad lihtsalt taotluse alusel saada lõike 1 esimeses lõigus osutatud pakkujatelt ja operaatoritelt käesoleva artikli alusel säilitatud andmeid järgmistel eesmärkidel ja tingimustel:

1° õiguskaitseasutused süütegude tuvastamiseks, uurimiseks ja menetlemiseks, kriminaaluurimise seadustiku (Code d’instruction criminelle) artiklites 46bis ja 88bis osutatud meetmete rakendamiseks ja nendes artiklites sätestatud tingimustel;

2° luure- ja julgeolekuteenistused luureülesannete täitmiseks 30. novembri 1998. aasta konstitutsioonilise seaduse luure- ja julgeolekuteenistuste kohta artiklites 16/2, 18/7 ja 18/8 osutatud andmekogumismeetodeid kasutades ja vastavalt käesolevas seaduses sätestatud tingimustele;

3° [Institut belge des services postaux et des telecommunications’i (Belgia posti- ja telekommunikatsiooniteenuste instituudi)] kriminaalpolitsei ametnikud artiklite 114 ja 124 ning käesoleva artikli rikkumiste tuvastamiseks, uurimiseks ja menetlemiseks;

4° hädaabiteenistused, kes osutavad abi kohapeal, kui nad pärast hädaabikõnet ei saa artikli 107 lõike 2 kolmandas lõigus nimetatud andmebaasi abil asjaomaselt teenusepakkujalt või operaatorilt helistaja isikutuvastusandmeid või saavad mittetäielikke või ebaõigeid andmeid. Nõuda võib ainult helistaja isikutuvastusandmeid ja seda 24 tunni jooksul pärast helistamist;

5° Cellule des personnes disparues de la Police Fédérale’i (föderaalpolitsei teadmata kadunud isikute üksus) kriminaalpolitsei ametnik, kui ta oma ülesandeid täites abistab ohus olevat isikut, otsib isikuid, kelle kadumine on murettekitav, ja kui on tõsiseltvõetavaid oletusi või viiteid selle kohta, et kadunud isiku kehalist puutumatust ähvardab vahetu oht. Asjaomaselt operaatorilt või teenusepakkujalt võib kuninga määratud politseiteenistuse vahendusel nõuda ainult lõike 3 esimeses ja teises lõigus osutatud ja 48 tunni vältel enne andmetaotlust säilitatud andmeid kadunud isiku kohta;

6° Service de médiation pour les télécommunications (telekommunikatsiooni lepitusamet) selleks, et tuvastada isik, kes on elektroonilise side võrku või teenust pahatahtlikult kasutanud, vastavalt 21. märtsi 1991. aasta seaduse teatavate avalike ettevõtjate reformi kohta (loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques) artikli 43bis lõike 3 punktis 7 sätestatud tingimustele. Nõuda võib ainult isikutuvastusandmeid.

Lõike 1 esimeses lõigus osutatud teenusepakkujad ja operaatorid tagavad, et lõikes 3 osutatud andmed oleksid Belgiast piiramatult kättesaadavad ning et neid andmeid ja kogu muud vajalikku teavet nende andmete kohta saaks edastada viivitamata ja ainult käesolevas lõikes nimetatud ametivõimudele.

Ilma et see piiraks muude õigusnormide kohaldamist, ei või lõike 1 esimeses lõigus osutatud teenusepakkujad ja operaatorid kasutada lõike 3 alusel säilitatud andmeid muul otstarbel.

§ 3.   Kasutaja või abonendi isiku ja sidevahendite tuvastamise andmeid, välja arvatud teises ja kolmandas lõigus konkreetselt ette nähtud andmed, säilitatakse 12 kuud alates kuupäevast, mil oli kasutatava teenuse abil viimast korda võimalik sideseanss läbi viia.

Andmeid lõppseadme võrgule ja teenusele juurdepääsu ja nendega ühendumise kohta ja andmeid selle seadme asukoha kindlakstegemise kohta, kaasa arvatud võrgu lõpp-punkti andmeid säilitatakse 12 kuud alates side kuupäevast.

Sideandmeid, välja arvatud sisu, sealhulgas side lähte- ja sihtkoha andmeid, säilitatakse 12 kuud alates side kuupäevast.

Kuningas määrab ministrite nõukogus arutatud määrusega justiitsministri ja [elektroonilise side valdkonnas pädeva] ministri ettepaneku põhjal ning pärast konsulteerimist eraelu puutumatuse kaitse komisjoni ja instituudiga esimeses kuni kolmandas lõigus osutatud kategooriate kaupa kindlaks, milliseid andmeid säilitatakse, ja millistele nõuetele need andmed peavad vastama.

[…]“.

Põhikohtuasjad ja eelotsuse küsimused

Kohtuasi C‑511/18

56

Quadrature du Net, French Data Network ja Fédération des fournisseurs d’accès à Internet associatifs ning Igwan.net esitasid 30. novembril 2015 ja 16. märtsil 2016 Conseil d’État’le (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) kaebused, mis põhikohtuasjade menetluses liideti ja millega nad palusid dekreedid nr 2015‑1185, 2015‑1211, 2015‑1639 ja 2016‑67 tühistada peamiselt põhjusel, et need on vastuolus Prantsuse põhiseadusega, Euroopa inimõiguste ja põhivabaduste kaitse konventsiooniga (edaspidi „EIÕK“) ning direktiividega 2000/31 ja 2002/58, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 47.

57

Mis puudutab täpsemalt direktiivi 2000/31 eiramise väiteid, siis märgib eelotsusetaotluse esitanud kohus, et CSI artikliga L. 851‑3 on elektroonilise side operaatoritele ja tehniliste teenuste osutajatele pandud kohustus „rakendada oma võrkudes automatiseeritud andmetöötlusmeetmeid selleks, et tuvastada loas täpsustatud parameetrite alusel sideühendused, millest võib ilmneda terrorismioht“. Selle meetodi eesmärk on koguda üksnes piiratud aja vältel kõigi nende operaatorite ja teenuseosutajate töödeldavate ühendusandmete hulgast andmed, millel võib olla seos niisuguse raske süüteoga. Neil asjaoludel ei riku nimetatud sätted, millega ei ole kehtestatud üldist aktiivse jälgimise kohustust, direktiivi 2000/31 artiklit 15.

58

Mis puudutab direktiivi 2002/58 eiramist käsitlevaid väiteid, siis on eelotsusetaotluse esitanud kohus seisukohal, et eelkõige selle direktiivi sätetest ning 21. detsembri 2016. aasta kohtuotsusest Tele2 Sverige ja Watson jt (C‑203/15 ja C‑698/15, edaspidi „kohtuotsus Tele2, EU:C:2016:970) tuleneb, et riigisisesed sätted, millega pannakse elektroonilise side teenuste osutajatele kohustusi, nagu liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine direktiivi artikli 15 lõikes 1 nimetatud eesmärkidel, sh riigi julgeoleku kaitse, riigikaitse ja avaliku julgeoleku kaitse, kuuluvad sama direktiivi kohaldamisalasse, kuivõrd need sätted reguleerivad nende teenusepakkujate tegevust. Sama kehtib õigusnormide suhtes, mis reguleerivad riigisiseste asutuste juurdepääsu andmetele ja nende andmete kasutamist.

59

Eelotsusetaotluse esitanud kohus järeldab sellest, et direktiivi 2002/58 kohaldamisalasse kuuluvad nii CSI artiklist L. 851‑1 tulenev säilitamiskohustus kui ka selle seadustiku artiklitega L. 851‑1, L. 851‑2 ja L. 851‑4 asutustele antud võimalus nende andmetega tutvuda, sealhulgas reaalajas. Selle kohtu sõnul on olukord samasugune selle seadustiku artikli L. 851‑3 sätetega, mis ei pane asjaomastele operaatoritele küll üldist säilitamiskohustust, kuid kohustavad neid siiski rakendama oma võrkudes automatiseeritud andmetöötlusmeetmeid selleks, et tuvastada sideühendused, millest võib ilmneda terrorismioht.

60

Seevastu leiab see kohus, et direktiivi 2002/58 kohaldamisalasse ei kuulu CSI sätted, millele on viidatud tühistamisnõuetes, mis puudutavad luureteabe kogumise meetodeid, mida riik vahetult rakendab ja mis ei reguleeri elektroonilise side teenuste osutajate tegevust neile konkreetseid kohustusi kehtestades. Neid sätteid ei saa seega pidada liidu õigust rakendavateks, mistõttu ei saa edukad olla väited, mille kohaselt need sätted eiravad direktiivi 2002/58.

61

Selleks et lahendada kohtuvaidlused, mis puudutavad dekreetide nr 2015‑1185, 2015‑1211, 2015‑1639 ja 2016‑67 õiguspärasust lähtuvalt direktiivist 2002/58, kuivõrd need on vastu võetud CSI artiklite L. 851‑1 kuni L. 851‑4 rakendamiseks, on tekkinud kolm liidu õiguse tõlgendamise küsimust.

62

Mis puudutab direktiivi 2002/58 artikli 15 lõike 1 tõlgendamist, siis on eelotsusetaotluse esitanud kohtul esiteks tekkinud küsimus, kas elektroonilise side teenuste osutajatele CSI artiklite L. 851‑1 ja R. 851‑5 alusel pandud üldise ja vahet tegemata säilitamise kohustust ei tule – arvestades eelkõige tagatisi ja kontrolle, mis kaasnevad asutuste juurdepääsuga ühendusandmetele ja nende kasutamisega – käsitada riivena, mida õigustavad harta artikliga 6 tagatud õigus turvalisusele ja riigi julgeoleku nõuded, mis ELL artikli 4 kohaselt kuuluvad liikmesriikide ainuvastutusse.

63

Mis puudutab teiseks muid kohustusi, mis võidakse elektroonilise side teenuste osutajatele panna, siis märgib eelotsusetaotluse esitanud kohus, et CSI artikli L. 851‑2 sätted lubavad ainult terrorismi ennetamise eesmärgil koguda samadelt isikutelt teavet või dokumente, mis on ette nähtud selle seadustiku artiklis L. 851‑1. See andmete kogumine ühe või mitme konkreetse isiku kohta, kelle puhul on enne tuvastatud, et nad võivad olla seotud terrorismiohuga, toimub reaalajas. Samamoodi on see ka seadustiku artikli L. 851‑4 sätete puhul, mis lubavad operaatoritel reaalajas edastada üksnes lõppseadmete asukohta puudutavaid tehnilisi andmeid. Need meetodid reguleerivad erinevatel eesmärkidel ja erineva korra kohaselt asutuste võimalust reaalajas tutvuda CPCE ja LCENi alusel säilitatud andmetega, ilma et asjaomastele teenuseosutajatele kehtestataks täiendava säilitamise kohustust võrreldes sellega, mis on vajalik osutatud teenuste eest arvete esitamiseks ja teenuste osutamiseks. Samuti ei eelda üldist ja vahet tegemata säilitamist CSI artikli L. 851‑3 sätted, milles on ette nähtud teenuseosutajate kohustus rakendada oma võrkudes ühenduste automatiseeritud analüüsi.

64

Ühelt poolt leiab eelotsusetaotluse esitanud kohus, et nii üldine ja vahet tegemata säilitamine kui ka võimalus ühendusandmetega reaalajas tutvuda on olukorras, kus esineb suur ja püsiv oht riigi julgeolekule, eelkõige seoses terrorismiohuga, konkurentsitult kõige operatiivsem. Nimelt võimaldab üldine ja vahet tegemata säilitamine luuretalitustel tutvuda sideandmetega enne, kui on kindlaks tehtud põhjused, mille tõttu võib leida, et andmesubjekt kujutab endast ohtu avalikule julgeolekule, riigikaitsele või riigi julgeolekule. Lisaks võimaldab ühendusandmetega reaalajas tutvumine kõrge reageerimisvalmidusega jälgida endast avalikule korrale vahetut ohtu kujutada võivate isikute käitumist.

65

Teiselt poolt võimaldab CSI artiklis L. 851‑3 sätestatud meetod selleks täpselt kindlaks määratud kriteeriumide alusel välja selgitada isikud, kelle käitumisest võib nende poolt kasutatavaid sideviise silmas pidades ilmneda terrorismioht.

66

Mis puudutab kolmandaks pädevate asutuste juurdepääsu säilitatud andmetele, siis on eelotsusetaotluse esitanud kohtul tekkinud küsimus, kas direktiivi 2002/58 tuleb hartat silmas pidades tõlgendada nii, et selle kohaselt on ühendusandmete kogumise menetluste õiguspärasuse eelduseks igal juhul see, et andmesubjekte teavitatakse, kui teavitamine ei saa enam kahjustada pädevate asutuste läbiviidavat uurimist, või saab selliseid menetlusi käsitada õiguspärastena, võttes arvesse kõiki teisi riigisiseses õiguses ette nähtud menetluslikke tagatisi, kui need kindlustavad tõhusa kaebeõiguse.

67

Seoses muude menetluslike tagatistega täpsustab eelotsusetaotluse esitanud kohus eelkõige, et igaüks, kes soovib kontrollida, et tema suhtes ei rakendata õigusvastaselt ühtegi luuremeetodit, võib pöörduda Conseil d’État’ (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) erikolleegiumi poole, kelle ülesanne on talle ilma võistleva menetluseta edastatud teabe alusel kontrollida, kas kaebaja suhtes on kasutatud mõnda meetodit ja kas seda on rakendatud kooskõlas CSI VIII raamatuga. Volitused, mis sellel kolleegiumil on kaebuste menetlemisel, tagavad tema teostatava kohtuliku kontrolli tõhususe. Seega on tal pädevus menetleda kaebusi, tuua omal algatusel esile kõik tema poolt tuvastatud rikkumised ja kohustada haldusasutusi võtma kõik vajalikud meetmed tuvastatud rikkumiste heastamiseks. Lisaks on riikliku luuremeetodite kontrolli komisjoni ülesanne kontrollida, et luureteabe kogumise meetodeid rakendatakse riigi territooriumil vastavalt CSIst tulenevatele nõuetele. Seega asjaolu, et põhikohtuasjas kõne all olevates õigusnormides ei ole ette nähtud andmesubjektide teavitamist nende suhtes võetud järelevalvemeetmetest, ei kahjusta iseenesest ülemäära õigust eraelu puutumatusele.

68

Neil asjaoludel otsustas Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas andmete üldise ja vahet tegemata säilitamise kohustust, mis on teenuseosutajatele pandud direktiivi [2002/58] artikli 15 lõike 1 lubavate sätete alusel, tuleb olukorras, mida iseloomustab suur ja püsiv oht riigi julgeolekule, eelkõige terrorismioht, käsitada riivena, mida õigustavad […] harta artikliga 6 tagatud õigus turvalisusele ja riigi julgeoleku nõuded, mis [ELL] artikli 4 kohaselt kuuluvad liikmesriikide ainuvastutusse?

2.

Kas direktiivi [2002/58] tuleb […] hartat arvestades tõlgendada nii, et selle kohaselt on lubatud sellised seadusandlikud meetmed nagu kindlaksmääratud isikute kohta liiklus- ja asukohaandmete kogumine reaalajas, mis mõjutavad küll elektroonilise side teenuste osutajate õigusi ja kohustusi, ent millega ei panda neile siiski konkreetset kohustust oma andmeid säilitada?

3.

Kas direktiivi [2002/58] tuleb […] hartat arvestades tõlgendada nii, et selle kohaselt on ühendusandmete kogumise menetluste õiguspärasuse eelduseks igal juhul see, et andmesubjekti teavitatakse, kui teavitamine ei saa enam kahjustada pädevate asutuste läbiviidavat uurimist, või saab selliseid menetlusi käsitada õiguspärastena, võttes arvesse kõiki teisi riigisiseses õiguses ette nähtud menetluslikke tagatisi, kui need kindlustavad tõhusa kaebeõiguse?“

Kohtuasi C‑512/18

69

French Data Network, Quadrature du Net ja Fédération des fournisseurs d’accès à Internet associatifs esitasid 1. septembril 2015 Conseil d’État’le (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) kaebuse, milles palusid tühistada vaikimisi tehtud rahuldamata jätmise otsuse, mis tulenes sellest, et peaminister ei vastanud taotlusele tunnistada CPCE artikkel R. 10‑13 ja dekreet nr 2011‑219 kehtetuks eelkõige põhjusel, et need õigusaktid eiravad direktiivi 2002/58 artikli 15 lõiget 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11. Privacy Internationalil ja Center for Democracy and Technology’l lubati põhikohtuasjas menetlusse astuda.

70

Seoses CPCE artikliga R. 10‑13 ja selles ette nähtud kohustusega säilitada sideandmeid üldiselt ja vahet tegemata märgib eelotsusetaotluse esitanud kohus, kes väljendab sarnaseid kaalutlusi nagu need, mis on esitatud kohtuasjas C‑511/18, et selline säilitamine võimaldab õiguskaitseasutusel tutvuda andmetega, mis puudutavad isiku sideseansse, mis toimusid enne, kui teda hakati kahtlustama kuriteo toimepanemises, mistõttu on selline säilitamine kuritegude uurimiseks, tuvastamiseks ja menetlemiseks konkurentsitult kõige tarvilikum.

71

Mis puudutab dekreeti nr 2011‑219, siis leiab eelotsusetaotluse esitanud kohus, et LCENi artikli 6 II lõige, millega on kehtestatud kohustus vallata ja säilitada ainult sisu loomisega seotud andmeid, ei kuulu mitte direktiivi 2002/58 kohaldamisalasse, kuna see on vastavalt selle artikli 3 lõikele 1 piiratud üldkasutatavate elektroonilise side teenuste osutamisega liidu üldkasutatavates sidevõrkudes, vaid direktiivi 2000/31 kohaldamisalasse.

72

Eelotsusetaotluse esitanud kohus leiab siiski, et direktiivi 2000/31 artikli 15 lõigetest 1 ja 2 nähtub, et selle direktiiviga ei ole kehtestatud sisu loomist puudutavate andmete säilitamise põhimõttelist keeldu, millest võiks kõrvale kalduda üksnes erandina. Seega tekib küsimus, kas direktiivi artikleid 12, 14 ja 15 tuleb lähtuvalt harta artiklitest 6–8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et need lubavad liikmesriigil kehtestada riigisisesed normid, nagu LCEN artikli 6 II lõige, millega on asjaomastele isikutele pandud kohustus säilitada andmeid, mis võimaldavad tuvastada nende poolt osutatavate teenuste sisu või selle osa loomises osalenud kõik isikud, et õiguskaitseasutus saaks vajaduse korral nõuda nende andmete esitamist eesmärgiga tagada tsiviil- või karistusõiguslikku vastutust reguleerivate sätete järgimine.

73

Neil asjaoludel otsustas Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas andmete üldise ja vahet tegemata säilitamise kohustust, mis on teenuseosutajatele pandud direktiivi [2002/58] artikli 15 lõike 1 lubavate sätete alusel, tuleb – arvestades eelkõige tagatisi ja kontrolle, mis kaasnevad seejärel ühendusandmete kogumise ja kasutamisega – käsitada riivena, mida õigustavad […] harta artikliga 6 tagatud õigus turvalisusele ja riigi julgeoleku nõuded, mis [ELL] artikli 4 kohaselt kuuluvad liikmesriikide ainuvastutusse?

2.

Kas direktiivi [2000/31] sätteid tuleb […] harta artikleid 6, 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades tõlgendada nii, et need lubavad riigil kehtestada riigisisesed õigusnormid, millega pannakse isikutele, kes pakuvad üldkasutatavaid veebipõhiseid sideteenuseid, ning füüsilistele või juriidilistele isikutele, kes talletavad (isegi kui nad teevad seda tasuta) üldkasutatavate sideteenuste interneti teel üldsusele kättesaadavaks tegemise eesmärgil nende teenuste saajate poolt edastatud mis tahes liiki signaale, tekste, pilte, helisid või sõnumeid, kohustuse säilitada andmeid, mis võimaldavad tuvastada nende poolt osutatavate teenuste sisu või selle osa loomises osalenud kõik isikud, et õiguskaitseasutus saaks vajaduse korral nõuda nende andmete esitamist eesmärgiga tagada tsiviil- või karistusõiguslikku vastutust reguleerivate sätete järgimine?“

Kohtuasi C‑520/18

74

Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL ja Ligue des Droits de l’Homme ASBL ning VZ, WY ja XX esitasid 10. jaanuaril, 16. jaanuaril, 17. jaanuaril ja 18. jaanuaril 2017 Cour constitutionnelle’ile (Belgia konstitutsioonikohus) kaebused, mis põhikohtuasjade menetluses liideti ja millega nad palusid 29. mai 2016. aasta seaduse tühistada põhjusel, et see rikub Belgia põhiseaduse artikleid 10 ja 11 tõlgendatuna koostoimes EIÕK artiklitega 5, 6–11, 14, 15, 17 ja 18, harta artiklitega 7, 8, 11 ja 47 ning artikli 52 lõikega 1, Ühinenud Rahvaste Organisatsiooni Peaassamblee poolt 16. detsembril 1966 vastu võetud ja 23. märtsil 1976 jõustunud kodaniku- ja poliitiliste õiguste rahvusvahelise pakti artikliga 17, õiguskindluse, proportsionaalsuse ja teabealase enesemääramisõiguse üldpõhimõttega ning ELL artikli 5 lõikega 4.

75

Põhikohtuasjade kaebajad põhjendavad oma kaebusi sisuliselt väitega, et 29. mai 2016. aasta seaduse õigusvastasus tuleneb eelkõige asjaolust, et seadus läheb kaugemale sellest, mis on tingimata vajalik, ning selles ei ole ette nähtud piisavaid kaitsetagatisi. Täpsemalt ei ole ei selle sätted, mis reguleerivad andmete säilitamist, ega ka sätted, mis reguleerivad asutuste juurdepääsu säilitatud andmetele, kooskõlas nõuetega, mis tulenevad 8. aprilli 2014. aasta kohtuotsusest Digital Rights Ireland jt (C‑293/12 ja C‑594/12, edaspidi „kohtuotsus Digital Rights, EU:C:2014:238) ning 21. detsembri 2016. aasta kohtuotsusest Tele2 (C‑203/15 ja C‑698/15, EU:C:2016:970). Nimelt kätkevad need sätted ohtu, et luuakse isikuprofiilid, millega kaasneb võimalik kuritarvitamine pädevate asutuste poolt, ning nendes ei ole ka ette nähtud säilitatavate andmete turvalisuse ja kaitse sobivat taset. Lõpuks hõlmab see seadus isikuid, kellel on ametisaladuse pidamise kohustus või konfidentsiaalsuskohustus, ning puudutab tundlikke isikuga seotud sideandmeid, ilma et selles oleks ette nähtud eritagatisi viimati nimetatud andmete kaitsmiseks.

76

Eelotsusetaotluse esitanud kohus märgib, et andmed, mida 29. mai 2016. aasta seaduse kohaselt peavad säilitama telefoniteenuste – sealhulgas interneti teel –osutajad, internetiühenduse ja e-postiteenuste interneti teel pakkujad, üldkasutatavaid elektroonilise side võrke pakkuvad ettevõtjad, on samad, mis on loetletud Euroopa Parlamendi ja nõukogu 15. märtsi 2006. aasta direktiivis 2006/24/EÜ, mis käsitleb üldkasutatavate elektrooniliste sideteenuste või üldkasutatavate sidevõrkude pakkujate tegevusega kaasnevate või nende töödeldud andmete säilitamist ja millega muudetakse direktiivi 2002/58/EÜ (ELT 2006, L 105, lk 54), ilma et seaduses oleks ette nähtud vahetegemine andmesubjektide või taotletava eesmärgi põhjal. Viimati nimetatuga seoses täpsustab eelotsusetaotluse esitanud kohus, et eesmärk, mida seadusandja selle seadusega taotles, ei ole mitte ainult võitlus terrorismi ja lastepornograafiaga, vaid ka võimalus kasutada säilitatud andmeid paljudes olukordades kriminaaluurimise raames. Lisaks tõdeb eelotsusetaotluse esitanud kohus, et selle seaduse seletuskirjast nähtub, et liikmesriigi seadusandja pidas seatud eesmärgi seisukohast võimatuks kehtestada eesmärgipärane ja diferentseeritud säilitamiskohustus ning ta otsustas näha üldise ja vahet tegemata säilitamiskohustuse puhul ette ranged tagatised nii säilitatavate andmete kui ka neile juurdepääsu tasandil, et piirata miinimumini sekkumine õigusesse eraelu puutumatusele.

77

Eelotsusetaotluse esitanud kohus lisab, ja 13. juuni 2005. aasta seaduse (29. mai 2016. aasta seadusest tulenevas redaktsioonis) artikli 126 lõike 2 punktides 1 ja 2 on ette nähtud tingimused, mille esinemise korral võivad õiguskaitseasutused ning luure- ja julgeolekuteenistused saada juurdepääsu säilitatavatele andmetele, mistõttu selle seaduse õiguspärasuse kontrollimine liidu õiguse nõuetest lähtuvalt tuleks peatada seniks, kuni Euroopa Kohus teeb oma otsused kahes tema menetluses olevas eelotsusemenetluses, mis puudutavad sellist juurdepääsu andmetele.

78

Lõpuks märgib eelotsusetaotluse esitanud kohus, et 29. mai 2016. aasta seaduse eesmärk on võimaldada tõhusat kriminaaluurimist ja alaealiste seksuaalse kuritarvitamise eest tõhusat karistamist ning teha sellise kuriteo toimepanija tuvastamine võimalikuks, isegi kui kasutatakse elektroonilise side vahendeid. Tema menetluses juhiti sellega seoses tähelepanu EIÕK artiklitest 3 ja 8 tulenevatele positiivsetele kohustustele. Sellised kohustused võivad tuleneda ka harta vastavatest sätetest, mis võivad mõjutada direktiivi 2002/58 artikli 15 lõike 1 tõlgendamist.

79

Neil asjaoludel otsustas Cour constitutionnelle (Belgia konstitutsioonikohus) menetluse peatada ja esitada Euroopa Kohtule järgmised eelotsuse küsimused:

„1.

Kas direktiivi [2002/58] artikli 15 lõiget 1 koostoimes […] harta artiklis 6 tagatud õigusega turvalisusele ja õigusega isikuandmete kaitsele, nagu on tagatud […] harta artiklitega 7 ja 8 ning artikli 52 lõikega 1, tuleb tõlgendada nii, et sellega on vastuolus niisugused riigisisesed õigusnormid, mis on käesolevas asjas kõne all ja milles on elektroonilise side teenuste operaatoritele ja pakkujatele ette nähtud üldine kohustus säilitada direktiivi [2002/58] tähenduses liiklus- ja asukohaandmeid, mida nad nende teenuste osutamise raames loovad või töötlevad, kui nende riigisiseste õigusnormide eesmärk ei ole ainult raskete kuritegude uurimine, avastamine ja menetlemine, vaid ka riigi julgeoleku, territooriumi kaitse ja avaliku julgeoleku tagamine, muude kui raskete kuritegude uurimine, avastamine ja menetlemine või elektrooniliste sidesüsteemide keelatud kasutuse ärahoidmine või määruse [2016/679] artikli 23 lõikes 1 sätestatud muu eesmärgi saavutamine ning mille suhtes kehtivad lisaks tagatised, mis on andmete säilitamise ja nendele juurdepääsu jaoks nendes õigusnormides ette nähtud?

2.

Kas direktiivi [2002/58] artikli 15 lõiget 1 koostoimes […] harta artiklitega 4, 7, 8 ja 11 ning artikli 52 lõikega 1 tuleb tõlgendada nii, et sellega on vastuolus niisugused riigisisesed õigusnormid, mis on käesolevas asjas kõne all ja milles on elektroonilise side teenuste operaatoritele ja pakkujatele ette nähtud üldine kohustus säilitada direktiivi [2002/58] tähenduses liiklus- ja asukohaandmeid, mida nad nende teenuste osutamise raames loovad või töötlevad, kui nende õigusnormide eesmärk on eelkõige nende positiivsete kohustuste täitmine, mis tulenevad ametiasutusele harta artiklitest 4 ja [7] ning milleks on kehtestada õiguslik raamistik, mis võimaldab tõhusat kriminaaluurimist ja alaealiste seksuaalse kuritarvitamise eest tõhusat karistamist ning teeb sellise kuriteo toimepanija tegeliku tuvastamise võimalikuks, isegi kui kasutatakse elektroonilise side vahendeid?

3.

Kui Cour constitutionnelle (Belgia konstitutsioonikohus) peaks esimesele või teisele eelotsuse küsimusele antud vastuste alusel jõudma järeldusele, et vaidlusalune seadus eirab ühte või mitut nendes küsimustes nimetatud õigusnormidest tulenevat kohustust, siis kas ta võib [29. mai 2016. aasta] seaduse õiguslikud tagajärjed ajutiselt jõusse jätta, et vältida õiguslikku ebakindlust ja võimaldada enne kogutud ja säilitatud andmeid seaduses osutatud eesmärkidel veel kasutada?“

Menetlus Euroopa Kohtus

80

Euroopa Kohtu presidendi 25. septembri 2018. aasta määrusega liideti kohtuasjad C‑511/18 ja C‑512/18 menetluse kirjaliku ja suulise osa ning kohtuotsuse tegemise huvides. Euroopa Kohtu presidendi 9. juuli 2020. aasta otsusega liideti nende kohtuasjadega kohtuasi C‑520/18 kohtuotsuse tegemise huvides.

Eelotsuse küsimuste analüüs

Esimene küsimus kohtuasjades C‑511/18 ja C‑512/18 ning esimene ja teine küsimus kohtuasjas C‑520/18

81

Kohtuasjades C‑511/18 ja C‑512/18 esitatud esimese küsimusega ning kohtuasjas C‑520/18 esitatud esimese ja teise küsimusega, mida tuleb analüüsida koos, paluvad eelotsusetaotlused esitanud kohtud sisuliselt selgitada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, millega on elektroonilise side teenuste osutajatele kehtestatud artikli 15 lõikes 1 ette nähtud eesmärkidel kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada.

Sissejuhatavad märkused

82

Euroopa Kohtu käsutuses olevatest toimikutest nähtub, et põhikohtuasjades kõne all olevad õigusnormid hõlmavad kõiki elektroonilise side vahendeid ja nende vahendite kõiki kasutajaid, ilma et selles osas tehtaks vahet või erandeid. Lisaks on andmed, mida elektroonilise side teenuste osutajad peavad nende õigusnormide kohaselt säilitama, konkreetselt need, mis on vajalikud, et tuvastada side allikas ja sihtkoht, määrata kindlaks side kuupäev, kellaaeg, kestus ja liik, teha kindlaks kasutatud sidevahend ning lõppseadmete ja side asukoht – andmed, mille hulka kuuluvad eelkõige kasutaja nimi ja aadress, väljaläinud ja sissetulnud kõnede telefoninumbrid ning IP‑aadress internetiteenuste puhul. Asjaomaste sõnumite sisu need andmed aga ei hõlma.

83

Seega võimaldavad andmed, mida tuleb põhikohtuasjas käsitletavate riigisiseste õigusnormide kohaselt säilitada üks aasta, muu hulgas teada saada, millise isikuga elektroonilise side vahendi kasutaja suhtles ja millise vahendi abil suhtlemine toimus, teha kindlaks side ja internetiühenduste kuupäev, kellaaeg ja kestus ning koht, kus need toimusid, ning teada saada lõppseadmete asukoha, ilma et sõnumeid oleks tingimata edastatud. Lisaks pakuvad need andmed võimalust teha kindlaks kasutaja ja teatavate isikute suhtlemise sageduse kindla ajavahemiku vältel. Lõpuks, mis puudutab kohtuasjades C‑511/18 ja C‑512/18 kõne all olevaid riigisiseseid õigusnorme, siis näib, et osas, milles need hõlmavad ka andmeid elektroonilise side edastamise kohta võrkude kaudu, võimaldavad need tuvastada ka selle teabe laadi, millega on internetis tutvutud.

84

Taotletavate eesmärkide kohta tuleb märkida, et kohtuasjades C‑511/18 ja C‑512/18 kõne all olevate riigisiseste õigusnormide eesmärk on muu hulgas kuritegude uurimine, tuvastamine ja menetlemine üldiselt, riigi sõltumatus, territoriaalne terviklikkus ja riigikaitse, välispoliitika põhihuvid, Prantsusmaa kohustuste täitmine Euroopa ja rahvusvahelisel tasandil, Prantsusmaa olulised majandus-, tööstus- ja teadushuvid ning terrorismi, institutsioonide vabariikliku vormi kahjustamise ja avalikku korda tõsiselt häirida võiva kollektiivse vägivalla ennetamine. Kohtuasjas C‑520/18 käsitletavate õigusnormide eesmärgid on muu hulgas kuritegude uurimine, avastamine ja menetlemine ning riigi julgeoleku, territooriumi kaitse ja avaliku julgeoleku tagamine.

85

Eelotsusetaotlused esitanud kohtutel on eelkõige tekkinud küsimus selle kohta, millist mõju võib direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisele avaldada harta artikliga 6 tunnustatud õigus turvalisusele. Samuti on neil küsimus, kas harta artiklitega 7 ja 8 tunnustatud põhiõiguste riivet, mis kaasneb andmete säilitamisega, mis on ette nähtud põhikohtuasjades kõne all olevates õigusnormides, võib pidada põhjendatuks niisuguste õigusnormide olemasolu tõttu, mis piiravad liikmesriigi asutuste juurdepääsu säilitatavatele andmetele. Lisaks leiab Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu), et kuna see küsimus tekib kontekstis, mida iseloomustab suur ja püsiv oht riigi julgeolekule, tuleb seda hinnata ka ELL artikli 4 lõike 2 alusel. Cour constitutionnelle (Belgia konstitutsioonikohus) rõhutab omalt poolt, et kohtuasjas C‑520/18 käsitletavate riigisiseste õigusnormidega rakendatakse ka harta artiklitest 4 ja 7 tulenevaid positiivseid kohustusi, mis seisnevad selles, et nähakse ette õiguslik raamistik alaealiste seksuaalse kuritarvitamise eest tõhusaks karistamiseks.

86

Kuigi nii Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) kui ka Cour constitutionnelle (Belgia konstitutsioonikohus) lähtuvad eeldusest, et põhikohtuasjas kõne all olevad riigisisesed õigusnormid, mis reguleerivad liiklus- ja asukohaandmete säilitamist ning liikmesriigi asutuste juurdepääsu nendele andmetele direktiivi 2002/58 artikli 15 lõikes 1 ette nähtud eesmärkidel, nagu riigi julgeoleku tagamine, kuuluvad selle direktiivi kohaldamisalasse, väljendavad mõni põhikohtuasjade pool ja teatud liikmesriigid, kes esitasid Euroopa Kohtule kirjalikud seisukohad, selles suhtes eriarvamust eelkõige seoses direktiivi artikli 1 lõike 3 tõlgendamisega. Seega tuleb kõigepealt analüüsida, kas need õigusnormid kuuluvad selle direktiivi kohaldamisalasse.

Direktiivi 2002/58 kohaldamisala

87

Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net, Privacy International ja Center for Democracy and Technology väidavad direktiivi 2002/58 kohaldamisala käsitlevale Euroopa Kohtu praktikale tuginedes sisuliselt, et nii andmete säilitamine kui ka juurdepääs säilitatavatele andmetele kuuluvad selle direktiivi kohaldamisalasse, olenemata sellest, kas andmetega tutvumine toimub ajalise viitega või reaalajas. Nimelt, kuna riigi julgeoleku kaitse eesmärki on direktiivi artikli 15 lõikes 1 sõnaselgelt mainitud, ei too selle eesmärgi taotlemine kaasa direktiivi kohaldamata jätmist. ELL artikli 4 lõige 2, millele eelotsusetaotlused esitanud kohtud viitavad, seda hinnangut ei mõjuta.

88

Mis puudutab luuremeetmeid, mida Prantsuse pädevad asutused kohaldavad vahetult ja mis ei reguleeri elektroonilise side teenuste osutajate tegevust neile konkreetseid kohustusi kehtestades, siis märgib Center for Democracy and Technology, et need meetmed kuuluvad tingimata direktiivi 2002/58 ja harta kohaldamisalasse, kuna nende puhul on tegemist eranditega selle direktiivi artikliga 5 tagatud konfidentsiaalsuse põhimõttest. Need meetmed peavad seega vastama direktiivi artikli 15 lõikest 1 tulenevatele nõuetele.

89

Seevastu Prantsuse, Tšehhi ja Eesti valitsus, Iirimaa, Küprose, Ungari, Poola, Rootsi ja Ühendkuningriigi valitsus väidavad sisuliselt, et direktiiv 2002/58 ei ole kohaldatav sellistele riigisisestele õigusnormidele, nagu on kõne all põhikohtuasjades, kuna nende eesmärk on kaitsta riigi julgeolekut. Luureteenistuste tegevus, mis on seotud avaliku korra ning sisejulgeoleku ja territoriaalse terviklikkuse kaitsega, kuulub liikmesriikide põhiülesannete hulka ning on seetõttu liikmesriikide ainupädevuses, nagu sellest annab tunnistust ka ELL artikli 4 lõike 2 kolmas lause.

90

Need valitsused ja Iirimaa viitavad lisaks direktiivi 2002/58 artikli 1 lõikele 3, mis jätab – nagu juba direktiivi 95/46 artikli 3 lõike 2 esimeses taandes oli ette nähtud – direktiivi kohaldamisalast välja tegevused, mis on seotud avaliku julgeoleku, riigikaitse ja riigi julgeolekuga. Nad tuginevad sellega seoses viimati nimetatud sätte tõlgendusele, mis on antud 30. mai 2006. aasta kohtuotsuses parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346).

91

Selle kohta tuleb märkida, et direktiivi 2002/58 artikli 1 lõike 1 kohaselt nähakse selles direktiivis ette liikmesriikide selliste sätete ühtlustamine, mis on vajalikud põhiõiguste ja -vabaduste, eelkõige eraelu puutumatuse ja konfidentsiaalsuse kaitse võrdväärse taseme tagamiseks isikuandmete töötlemise puhul elektroonilise side sektoris.

92

Selle direktiivi artikli 1 lõike 3 kohaselt on direktiivi kohaldamisalast välistatud „riigi tegevus“ selles sättes nimetatud valdkondades, mille hulgas on tegevus kriminaalõiguse valdkonnas ning tegevus, mis on seotud avaliku julgeoleku, riigikaitse ja riigi julgeolekuga, kaasa arvatud riigi majandusliku heaoluga, kui tegevus puudutab riigi julgeolekut. Need näitena mainitud tegevused kujutavad endast igal juhul toiminguid, mis on omased riigile või riigivõimu kandjatele ega ole omased eraõiguslike isikute tegevusvaldkondadele (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 32 ja seal viidatud kohtupraktika).

93

Lisaks on direktiivi 2002/58 artiklis 3 ette nähtud, et seda direktiivi kohaldatakse isikuandmete töötlemisele, mis toimub seoses üldkasutatavate elektroonilise side teenuste osutamisega liidu üldkasutatavates sidevõrkudes, sealhulgas andmete kogumist ja tuvastusseadmeid toetavates üldkasutatavates sidevõrkudes (edaspidi „elektroonilise side teenused“). Järelikult tuleb seda direktiivi käsitada nii, et see reguleerib niisuguste teenuste osutajate tegevust (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 33 ja seal viidatud kohtupraktika).

94

Sellises raamistikus lubab direktiivi 2002/58 artikli 15 lõige 1 liikmesriikidel võtta selles direktiivis ette nähtud tingimustel „seadusandlikke meetmeid, millega piiratakse [selle] direktiivi artiklites 5 ja 6, artikli 8 lõigetes 1, 2, 3 ja 4 ning artiklis 9 sätestatud õiguste ja kohustuste ulatust“ (21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punkt 71).

95

Direktiivi 2002/58 artikli 15 lõige 1 eeldab aga tingimata, et selles nimetatud riigisisesed seadusandlikud meetmed kuuluvad selle direktiivi kohaldamisalasse, sest direktiiv annab sõnaselgelt liikmesriikidele loa võtta neid meetmeid ainult selles ette nähtud tingimustel. Lisaks reguleerivad sellised meetmed – selles sättes nimetatud eesmärke arvestades – elektroonilise side teenuste osutajate tegevust (2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 34 ja seal viidatud kohtupraktika).

96

Euroopa Kohus järeldas eelkõige nende kaalutluste põhjal, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb koostoimes sama direktiivi artikliga 3 tõlgendada nii, et selle direktiivi kohaldamisalasse ei kuulu mitte ainult seadusandlik meede, mis paneb elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmeid ja asukohaandmeid, vaid ka seadusandlik meede, mis paneb neile kohustuse anda liikmesriigi pädevatele ametiasutustele juurdepääs neile andmetele. Nimelt nõuavad sellised seadusandlikud meetmed paratamatult nende andmete töötlemist teenuseosutajate poolt ja kuna need reguleerivad teenuseosutajate tegevust, ei saa neid võrdsustada riigile omaste tegevustega, millele on viidatud selle direktiivi artikli 1 lõikes 3 (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 35 ja 37 ning seal viidatud kohtupraktika).

97

Lisaks, arvestades käesoleva kohtuotsuse punktis 95 esitatud kaalutlusi ja direktiivi 2002/58 üldist ülesehitust, võtaks selle direktiivi selline tõlgendus, mille kohaselt on selle artikli 15 lõikes 1 osutatud seadusandlikud meetmed direktiivi kohaldamisalast välistatud, sest eesmärgid, millele need meetmed peavad vastama, kattuvad suuresti sama direktiivi artikli 1 lõikes 3 osutatud tegevusega taotletavate eesmärkidega, nimetatud artikli 15 lõikelt 1 kogu soovitava toime (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 72 ja 73).

98

Nagu sisuliselt märkis ka kohtujurist liidetud kohtuasjades La Quadrature du Net jt (C‑511/18 ja C‑512/18, EU:C:2020:6) tehtud ettepaneku punktis 75, ei või mõistet „tegevus“, mis sisaldub direktiivi 2002/58 artikli 1 lõikes 3, seega tõlgendada nii, et see hõlmab selle direktiivi artikli 15 lõikes 1 nimetatud seadusandlikke meetmeid.

99

Seda järeldust ei kummuta ELL artikli 4 lõike 2 sätted, millele viitasid käesoleva kohtuotsuse punktis 89 nimetatud valitsused. Euroopa Kohtu väljakujunenud praktikas on nimelt selgitatud, et ehkki liikmesriikide pädevusse kuulub oma oluliste julgeolekuhuvide määratlemine ja asjakohaste meetmete kehtestamine oma sise- ja välisjulgeoleku tagamiseks, ei saa üksnes asjaolu, et liikmesriigi meede on võetud riigi julgeoleku kaitsmise eesmärgil, tingida seda, et liidu õigus ei ole kohaldatav, ning vabastada liikmesriike vajadusest seda õigust järgida (vt selle kohta 4. juuni 2013. aasta kohtuotsus ZZ, C‑300/11, EU:C:2013:363, punkt 38 ja seal viidatud kohtupraktika; 20. märtsi 2018. aasta kohtuotsus komisjon vs. Austria, C‑187/16, EU:C:2018:194 (riigi trükikoda), punktid 75 ja 76, ning 2. aprilli 2020. aasta kohtuotsus komisjon vs. Poola, Ungari ja Tšehhi Vabariik (ajutine mehhanism rahvusvahelise kaitse taotlejate ümberpaigutamiseks), C‑715/17, C‑718/17 ja C‑719/17, EU:C:2020:257, punktid 143 ja 170).

100

On tõsi, et Euroopa Kohus otsustas 30. mai 2006. aasta kohtuotsuses parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346, punktid 5659), et see, kui lennuettevõtjad edastavad kolmandate riikide ametiasutustele isikuandmeid terrorismi ja raskete kuritegude ärahoidmiseks ja nende vastu võitlemiseks, ei kuulu tulenevalt direktiivi 95/46 artikli 3 lõike 2 esimesest taandest selle direktiivi kohaldamisalasse, sest niisugune edastamine toimub avaliku julgeoleku tagamiseks avaliku võimu loodud raamistikus.

101

Arvestades aga käesoleva kohtuotsuse punktides 93, 95 ja 96 esitatud kaalutlusi, ei ole see kohtupraktika ülekantav direktiivi 2002/58 artikli 1 lõike 3 tõlgendamisele. Nagu sisuliselt märkis ka kohtujurist liidetud kohtuasjades La Quadrature du Net jt (C‑511/18 ja C‑512/18, EU:C:2020:6) tehtud ettepaneku punktides 70–72, välistas direktiivi 95/46 artikli 3 lõike 2 esimene taane selle direktiivi kohaldamisalast üldiselt „töötlemise […], mis on seotud avaliku [julgeoleku], riigikaitse, riigi julgeoleku[ga]“, tegemata vahet sellel, kes andmetöötluse läbi viib. Seevastu direktiivi 2002/58 artikli 1 lõike 3 tõlgendamisel osutub selline vahetegemine vajalikuks. Käesoleva kohtuotsuse punktidest 94–97 nähtub nimelt, et selle direktiivi kohaldamisalasse kuulub igasugune isikuandmete töötlemine, mille viivad läbi elektroonilise side teenuste osutajad, sealhulgas töötlemine, mis toimub neile avaliku võimu asutuste poolt pandud ülesannete täitmiseks, samas kui viimati nimetatud töötlemine oleks olenevalt asjaoludest võinud kuuluda direktiivi 95/46 artikli 3 lõike 2 esimese taande kohaldamisalasse, võttes arvesse, et see säte oli sõnastatud laiemalt ja hõlmas olenemata töötluse läbiviijast mis tahes töötlemist, mille eesmärk on tagada avalik julgeolek, riigikaitse või riigi julgeolek.

102

Olgu lisatud, et direktiiv 95/46, mida käsitleti kohtuasjas, milles tehti 30. mai 2006. aasta kohtuotsus parlament vs. nõukogu ja komisjon (C‑317/04 ja C‑318/04, EU:C:2006:346), tunnistati alates 25. maist 2018 määruse 2016/679 artikli 94 lõikega 1 kehtetuks ja asendati selle määrusega. Olgugi et nimetatud määruse artikli 2 lõike 2 punktis d on sätestatud, et seda määrust ei kohaldata, kui isikuandmeid töötlevad „pädevad asutused“ muu hulgas süütegude tõkestamise ja avastamise eesmärgil, sealhulgas avalikku julgeolekut ähvardavate ohtude eest kaitsmiseks ja nende ennetamiseks, nähtub sama määruse artikli 23 lõike 1 punktidest d ja h siiski, et kui nimetatud eesmärkidel töötlevad isikuandmeid eraõiguslikud isikud, kuulub see töötlemine nimetatud määruse kohaldamisalasse. Sellest järeldub, et direktiivi 2002/58 artikli 1 lõikele 3, artiklile 3 ja artikli 15 lõikele 1 eespool antud tõlgendus on kooskõlas sellega, kuidas on piiritletud määruse 2016/679 – mida see direktiiv täiendab ja täpsustab – kohaldamisala.

103

Seevastu juhul, kui liikmesriigid rakendavad elektroonilise side konfidentsiaalsusest kõrvale kalduvaid meetmeid otse, panemata sellise side teenuste osutajatele töötlemiskohustust, ei reguleeri asjaomaste isikuandmete kaitset mitte direktiiv 2002/58, vaid üksnes liikmesriigi õigus, kui Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta direktiivi (EL) 2016/680, mis käsitleb füüsiliste isikute kaitset seoses pädevates asutustes isikuandmete töötlemisega süütegude tõkestamise, uurimise, avastamise ja nende eest vastutusele võtmise või kriminaalkaristuste täitmisele pööramise eesmärgil ning selliste andmete vaba liikumist ning millega tunnistatakse kehtetuks nõukogu raamotsus 2008/977/JSK (ELT 2016, L 119, lk 89), kohaldamisest ei tulene teisiti, mistõttu peavad asjasse puutuvad meetmed eelkõige järgima liikmesriigi põhiseadusliku tasandi õigusnorme ja EIÕK nõudeid.

104

Eespool toodud kaalutlustest tuleneb, et sellised riigisisesed õigusnormid, mis on kõne all põhikohtuasjas ja millega on elektroonilise side teenuste osutajatele kehtestatud riigi julgeoleku kaitsmise ja kuritegevuse vastu võitlemise eesmärgil kohustus säilitada liiklus- ja asukohaandmeid, kuuluvad direktiivi 2002/58 kohaldamisalasse.

Direktiivi 2002/58 artikli 15 lõike 1 tõlgendamine

105

Kõigepealt väärib meeldetuletamist, et vastavalt väljakujunenud kohtupraktikale tuleb liidu õigusnormi tõlgendamisel lisaks selle sõnastusele lähtuda ka selle kontekstist ja selle õigusaktiga taotletavatest eesmärkidest, mille osa säte on, ning võtta muu hulgas arvesse õigusakti kujunemislugu (vt selle kohta 17. aprilli 2018. aasta kohtuotsus Egenberger, C‑414/16, EU:C:2018:257, punkt 44).

106

Nagu nähtub direktiivi 2002/58 põhjendustest 6 ja 7, on selle direktiivi eesmärk kaitsta elektroonilise side teenuste kasutajaid nende isikuandmeid ja eraelu puudutavate ohtude eest, mis on tingitud uuest tehnoloogiast ning eelkõige andmete automatiseeritud salvestamise ja töötlemise suurenevast mahust. Eelkõige püütakse selle direktiiviga nähtuvalt selle põhjendusest 2 tagada harta artiklites 7 ja 8 sätestatud õiguste täielik austamine. Selle kohta ilmneb seletuskirjast ettepanekule võtta vastu Euroopa Parlamendi ja nõukogu direktiiv, mis käsitleb isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (KOM(2000) 385 (lõplik)), millel direktiiv 2002/58 põhineb, et liidu seadusandja soovis „teha nii, et isikuandmete ja eraelu kõrgetasemeline kaitse jätkuks kõigi elektroonilise side teenuste puhul, olenemata kasutatavast tehnoloogiast“.

107

Selleks on direktiivi 2002/58 artikli 5 lõikes 1 sätestatud nii elektroonilise side kui ka sellega seotud liiklusandmete konfidentsiaalsuse põhimõte ja ette nähtud, et üldjuhul on kõigil teistel peale kasutajate keelatud ilma kasutajate loata seda sidet ja neid andmeid salvestada.

108

Mis puudutab täpsemalt liiklusandmete töötlemist ja salvestamist elektroonilise side teenuste osutajate poolt, siis nähtub direktiivi 2002/58 artiklist 6 ning põhjendustest 22 ja 26, et selline töötlemine on lubatud ainult teenuste turustamise, nende eest arvete esitamise ja lisaväärtusteenuste osutamise jaoks vajalikul määral ja vajaliku aja jooksul. Pärast selle aja möödumist tuleb töödeldud ja salvestatud andmed kustutada või anonüümseks muuta. Muude asukohaandmete kui liiklusandmed kohta on direktiivi artikli 9 lõikes 1 ette nähtud, et neid andmeid võib töödelda ainult teatavatel tingimustel ja pärast nende anonüümseks muutmist või kasutajate või abonentide nõusolekul (21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 86 ja seal viidatud kohtupraktika).

109

Seega täpsustas liidu seadusandja selle direktiiviga õigusi, mis on kaitstud harta artiklitega 7 ja 8, mistõttu elektroonilise side vahendite kasutajatel on põhimõtteliselt õigus eeldada, et nende side ja sellega seotud andmed jäävad anonüümseks ja neid ei salvestata, kui nad ei ole selleks oma nõusolekut andnud.

110

Samas võimaldab direktiivi 2002/58 artikli 15 lõige 1 liikmesriikidel teha erandeid selle direktiivi artikli 5 lõikes 1 ette nähtud põhimõttelisest kohustusest tagada isikuandmete konfidentsiaalsus ja sellele vastavatest kohustustest, mida on mainitud eelkõige selle direktiivi artiklites 6 ja 9, kui selline piiramine on demokraatlikus ühiskonnas vajalik, otstarbekas ja proportsionaalne meede selleks, et tagada riigi julgeolek, riigikaitse ja avalik julgeolek või kuritegude või elektroonilise sidesüsteemi volitamata kasutamise ennetamine, uurimine, avastamine ja kohtus menetlemine. Selleks võivad liikmesriigid muu hulgas võtta seadusandlikke meetmeid, millega nähakse ette andmete säilitamine piiratud aja jooksul, kui see on mõnel nimetatud põhjusel õigustatud.

111

Samas ei saa võimalus kalduda kõrvale direktiivi 2002/58 artiklites 5, 6 ja 9 ette nähtud õigustest ja kohustustest õigustada seda, et erand põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus ja iseäranis selle direktiivi artiklis 5 sätestatud keelust neid andmeid salvestada muutuks reegliks (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 89 ja 104).

112

Mis puudutab eesmärke, millega saab põhjendada eelkõige direktiivi 2002/58 artiklites 5, 6 ja 9 ette nähtud õiguste ja kohustuste piiramist, siis on Euroopa Kohus juba leidnud, et selle direktiivi artikli 15 lõike 1 esimeses lauses esitatud eesmärkide loetelu on ammendav, mis tähendab, et selle sätte alusel vastu võetud seadusandlik meede peab tegelikult ja rangelt vastama ühele neist eesmärkidest (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 52 ja seal viidatud kohtupraktika).

113

Lisaks ilmneb direktiivi 2002/58 artikli 15 lõike 1 kolmandast lausest, et liikmesriikidel on lubatud võtta selle direktiivi artiklites 5, 6 ja 9 ette nähtud õigusi ja kohustusi piiravaid seadusandlikke meetmeid ainult juhul, kui see on kooskõlas liidu õiguse üldpõhimõtetega, mille hulka kuulub proportsionaalsuse põhimõte, ja hartaga tagatud põhiõigustega. Euroopa Kohus on sellega seoses juba otsustanud, et kui liikmesriik paneb oma riigisiseste õigusnormidega elektroonilise side teenuste osutajatele kohustuse säilitada liiklusandmeid, et teha need vajaduse korral liikmesriigi pädevatele ametiasutustele kättesaadavaks, ei muuda see küsitavaks mitte ainult seda, kas seejuures järgitakse harta artikleid 7 ja 8, mis tagavad vastavalt eraelu puutumatuse kaitse ja isikuandmete kaitse, vaid ka seda, kas seejuures järgitakse harta artiklit 11, mis kaitseb sõnavabadust (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 25 ja 70, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 91 ja 92 ning seal viidatud kohtupraktika).

114

Seega tuleb direktiivi 2002/58 artikli 15 lõike 1 tõlgendamisel arvesse võtta nii harta artikliga 7 tagatud õiguse eraelu puutumatusele kui ka artikliga 8 tagatud õiguse isikuandmete kaitsele tähtsust, mida on rõhutatud Euroopa Kohtu praktikas, ja samuti õiguse sõnavabadusele tähtsust, kuna see harta artikliga 11 tagatud põhiõigus on üks demokraatliku ja pluralistliku ühiskonna alustaladest ning see kuulub väärtuste hulka, millel liit ELL artikli 2 kohaselt rajaneb (vt selle kohta 6. märtsi 2001. aasta kohtuotsus Connolly vs. komisjon, C‑274/99 P, EU:C:2001:127, punkt 39, ja 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 93 ja seal viidatud kohtupraktika).

115

Sellega seoses tuleb täpsustada, et liiklus- ja asukohaandmete säilitamine kujutab iseenesest ühelt poolt erandit direktiivi 2002/58 artikli 5 lõikes 1 ette nähtud keelust, mis keelab kõigil teistel peale kasutajate neid andmeid säilitada, ja teiselt poolt harta artiklitega 7 ja 8 tagatud põhiõiguste eraelu puutumatusele ja isikuandmete kaitsele riivet, ilma et oleks oluline, kas asjaomased eraelulised andmed on tundlikud või mitte või kas andmesubjektid on selle riive tõttu pidanud taluma mingeid ebamugavusi või mitte (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 124 ja 126 ning seal viidatud kohtupraktika; vt analoogia alusel EIÕK artikli 8 kohta EIK 30. jaanuari 2020. aasta kohtuotsus Breyer vs. Saksamaa, CE:ECHR:2020:0130JUD005000112, punkt 81).

116

Samuti ei ole oluline, kas säilitatud andmeid hiljem kasutatakse või mitte (vt analoogia alusel EIÕK artikli 8 kohta EIK 16. veebruari 2000. aasta kohtuotsus Amann vs. Šveits, CE:ECHR:2000:0216JUD002779895, punkt 69, ning 13. veebruari 2020. aasta kohtuotsus Trjakovski ja Chipovski vs. Põhja-Makedoonia, CE:ECHR:2020:0213JUD005320513, punkt 51), kuna juurdepääs sellistele andmetele kujutab endast olenemata sellest, kuidas neid hiljem kasutatakse, eelmises punktis nimetatud põhiõiguste eraldiseisvat riivet (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 124 ja 126).

117

See järeldus tundub seda põhjendatum, et liiklus- ja asukohaandmed võivad avaldada teavet andmesubjektide paljude eraeluliste aspektide kohta, sealhulgas tundlikku teavet, nagu seksuaalne sättumus, poliitilised vaated, usulised, filosoofilised, ühiskondlikud või muud veendumused, samuti tervislik seisund, samas kui sellistele andmetele on liidu õiguses tagatud eriline kaitse. Need andmed koosvõetuna võimaldavad teha väga täpseid järeldusi nende isikute eraelu kohta, kelle andmeid säilitatakse, näiteks nende igapäevaelu harjumuste, alalise või ajutise elukoha, igapäevaste või muude liikumiste, tegevuste, sotsiaalsete suhete ja ühiskonnagruppide kohta, kellega nad läbi käivad. Täpsemalt võimaldavad need andmed koostada asjaomaste isikute profiili, mis on õigust eraelu puutumatusele arvestades sama tundlik teave kui sideseansi sisu ise (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 27, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 99).

118

Seega võib esiteks liiklus- ja asukohaandmete politsei tarbeks säilitamine juba iseenesest riivata õigust edastatavate sõnumite saladusele, mis on tagatud harta artikliga 7, ja mõjuda pärssivalt sellele, kuidas kasutajad kasutavad elektroonilise side vahendeid harta artikliga 11 tagatud sõnavabaduse väljendamiseks (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 28, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 101). Selline pärssiv mõju võib eelkõige avalduda isikute suhtes, kelle sõnumid kuuluvad liikmesriigi õigusnormide kohaselt ametisaladuse alla, ning rikkumisest teatajate suhtes, kelle tegevus on kaitstud Euroopa Parlamendi ja nõukogu 23. oktoobri 2019. aasta direktiiviga (EL) 2019/1937 liidu õiguse rikkumisest teavitavate isikute kaitse kohta (ELT 2019, L 305, lk 17). Lisaks on selline mõju seda suurem, et säilitatavate andmete hulk on suur ja andmed väga erinevat liiki.

119

Teiseks, võttes arvesse nende liiklus- ja asukohaandmete suurt hulka, mida võidakse pidevalt säilitada üldise ja vahet tegemata säilitamismeetme abil, ning nende andmete põhjal saadava teabe võimalikku tundlikkust, kätkeb juba ainuüksi nende andmete säilitamine elektroonilise side teenuste osutajate poolt endas kuritarvitamise ja ebaseadusliku juurdepääsu ohtu.

120

Samas, kuna direktiivi 2002/58 artikli 15 lõige 1 lubab liikmesriikidel kehtestada käesoleva kohtuotsuse punktis 110 nimetatud erandid, peegeldab see asjaolu, et harta artiklites 7, 8 ja 11 tunnustatud õigused ei ole absoluutsed eelisõigused, vaid neid tuleb arvesse võtta kooskõlas nende ülesandega ühiskonnas (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 172 ning seal viidatud kohtupraktika).

121

Nimelt lubab harta artikli 52 lõige 1 nende õiguste teostamist piirata, tingimusel et piirangud on ette nähtud seaduses, arvestavad nimetatud õiguste olemust ning on proportsionaalsuse põhimõtte kohaselt vajalikud ja vastavad tegelikult liidu poolt tunnustatud üldist huvi pakkuvatele eesmärkidele või vajadusele kaitsta teiste isikute õigusi ja vabadusi.

122

Seega nõuab direktiivi 2002/58 artikli 15 lõike 1 tõlgendamine hartast lähtuvalt, et võetaks arvesse ka harta artiklites 3, 4, 6 ja 7 tunnustatud õiguste olulisust ning seda, milline tähtsus on riigi julgeoleku kaitse ja raskete kuritegude vastu võitlemise eesmärkidel, mis aitavad kaasa teiste isikute õiguste ja vabaduste kaitsele.

123

Sellega seoses väärib märkimist, et harta artikliga 6, millele Conseil d’État (Prantsusmaa kõrgeima halduskohtuna tegutsev riiginõukogu) ja Cour constitutionnelle (Belgia konstitutsioonikohus) viitavad, on tunnustatud igaühe õigust mitte ainult vabadusele, vaid ka turvalisusele, ja see artikkel tagab õigused, mis vastavad nendele, mis on tagatud EIÕK artikliga 5 (vt selle kohta 15. veebruari 2016. aasta kohtuotsus N., C‑601/15 PPU, EU:C:2016:84, punkt 47; 28. juuli 2016. aasta kohtuotsus JZ, C‑294/16 PPU, EU:C:2016:610, punkt 48, ning 19. septembri 2019. aasta kohtuotsus Rayonna prokuratura Lom, C‑467/18, EU:C:2019:765, punkt 42 ja seal viidatud kohtupraktika).

124

Lisaks tuleb märkida, et harta artikli 52 lõike 3 eesmärk on tagada vajalik kooskõla hartas sisalduvate õiguste ja nendele vastavate õiguste vahel, mis on tagatud EIÕKga, ilma et sellega kahjustataks liidu õiguse ja Euroopa Liidu Kohtu sõltumatust. Seega tuleb harta tõlgendamisel EIÕK vastavaid õigusi minimaalse kaitsetasemena arvesse võtta (vt selle kohta 12. veebruari 2019. aasta kohtuotsus TC, C‑492/18 PPU, EU:C:2019:108, punkt 57, ning 21. mai 2019. aasta kohtuotsus komisjon vs. Ungari (kasutusvaldus põllumajandusmaale), C‑235/17, EU:C:2019:432, punkt 72 ja seal viidatud kohtupraktika).

125

Mis puudutab EIÕK artiklit 5, milles on tunnustatud „õigust isikuvabadusele“ ja „õigust isikupuutumatusele“, siis vastavalt Euroopa Inimõiguste Kohtu praktikale on selle eesmärk kaitsta üksikisikut igasuguse meelevaldse või põhjendamatu vabadusevõtmise eest (vt selle kohta EIK 18. märtsi 2008. aasta kohtuotsus Ladent vs. Poola, CE:ECHR:2008:0318JUD001103603, punktid 45 ja 46; 29. märtsi 2010. aasta kohtuotsus Medvedyev jt vs. Prantsusmaa, CE:ECHR:2010:0329JUD000339403, punktid 76 ja 77, ning 13. detsembri 2012, El-Masri vs. „The former Yugoslav Republic of Macedonia“, CE:ECHR:2012:1213JUD003963009, punkt 239). Kuna see säte käsitleb vabaduse võtmist ametiasutuste poolt, ei saa harta artiklit 6 siiski tõlgendada nii, et sellega on ametiasutustele pandud kohustus võtta erimeetmeid teatavate kuritegude eest karistamiseks.

126

Seevastu, mis puudutab täpsemalt Cour constitutionnelle’i (Belgia konstitutsioonikohus) mainitud tõhusat võitlust kuritegude vastu, milles kannatanud on eelkõige alaealised ja teised haavatavad isikud, siis tuleb rõhutada, et avaliku võimu kandjate positiivsed kohustused võivad tuleneda harta artiklist 7, kuivõrd nad peavad võtma õiguslikke meetmeid era- ja perekonnaelu kaitsmiseks (vt selle kohta 18. juuni 2020. aasta kohtuotsus komisjon vs. Ungari (ühenduste läbipaistvus), C‑78/18, EU:C:2020:476, punkt 123 ja seal viidatud EIK kohtupraktika). Niisugused kohustused võivad tuleneda ka artiklist 7 seoses kodu ja edastatavate sõnumite saladuse kaitsega ning artiklitest 3 ja 4 seoses inimeste kehalise ja vaimse puutumatuse kaitsega ja piinamise ning ebainimliku või alandava kohtlemise keeluga.

127

Neid mitmesuguseid positiivseid kohustusi arvestades on vaja asjaomased erinevad huvid ja õigused ühitada.

128

Euroopa Inimõiguste Kohus on nimelt otsustanud, et positiivsed kohustused, mis tulenevad EIÕK artiklitest 3 ja 8, millele vastavad tagatised on sätestatud harta artiklites 4 ja 7, eeldavad eelkõige selliste materiaalõigus- ja menetlusnormide ning praktiliste meetmete vastuvõtmist, mis võimaldavad isikuvastaste kuritegude vastu tõhusalt võidelda tõhusa uurimise ja menetluse abil, kusjuures see kohustus on seda olulisem siis, kui lapse füüsiline ja vaimne heaolu on ohus. Samas peavad pädevate asutuste võetavad meetmed täielikult järgima seadusest tulenevat menetlust ja muid tagatisi, mis võivad piirata kriminaaluurimise pädevuse ulatust, ning muid vabadusi ja õigusi. Täpsemalt tuleb selle kohtu hinnangul kehtestada õiguslik raamistik, mis võimaldab erinevad kaitstavad huvid ja õigused ühitada (EIK 28. oktoobri 1998. aasta kohtuotsus Osman vs. Ühendkuningriik, CE:ECHR:1998:1028JUD002345294, punktid 115 ja 116; 4. märtsi 2004. aasta kohtuotsus M.C. vs. Bulgaaria, CE:ECHR:2003:1204JUD003927298, punkt 151; 24. juuni 2004, Von Hannover vs. Saksamaa, CE:ECHR:2004:0624JUD005932000, punktid 57 ja 58, ning 2. detsembri 2008. aasta kohtuotsus K.U. vs. Soome, CE:ECHR:2008:1202JUD 000287202, punktid 46, 48 ja 49).

129

Mis puudutab proportsionaalsuse põhimõtte järgimist, siis direktiivi 2002/58 artikli 15 lõike 1 esimeses lauses on sätestatud, et liikmesriigid võivad võtta meetmeid, mis kalduvad kõrvale side ja sellega seotud liiklusandmete konfidentsiaalsuse põhimõttest, kui selline meede on demokraatlikus ühiskonnas „vajalik, otstarbekas ja proportsionaalne“ viidatud sättes loetletud eesmärkide seisukohalt. Direktiivi põhjenduses 11 on aga märgitud, et seda laadi meetmed peavad olema „rangelt“ proportsionaalsed kavandatud eesmärgiga.

130

Sellega seoses tuleb rõhutada, et vastavalt Euroopa Kohtu väljakujunenud praktikale on eraelu puutumatuse põhiõiguse kaitsmiseks nõutav, et isikuandmete kaitse erandid ja piirangud piirduksid sellega, mis on tingimata vajalik. Peale selle ei tohi üldisest huvist lähtuvat eesmärki taotledes jätta arvesse võtmata, et see peab olema kooskõlas põhiõigustega, mida meede puudutab, ning selleks tuleb saavutada tasakaal nimetatud eesmärgi ning asjasse puutuvate huvide ja õiguste vahel (vt selle kohta 16. detsembri 2008. aasta kohtuotsus Satakunnan Markkinapörssi ja Satamedia, C‑73/07, EU:C:2008:727, punkt 56; 9. novembri 2010. aasta kohtuotsus Volker und Markus Schecke ja Eifert, C‑92/09 ja C‑93/09, EU:C:2010:662, punktid 76, 77 ja 86; 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 52, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 140).

131

Täpsemalt tuleneb Euroopa Kohtu praktikast, et liikmesriikide võimalust põhjendada eelkõige direktiivi 2002/58 artiklites 5, 6 ja 9 sätestatud õiguste ja kohustuste piiramist tuleb hinnata sellise piiranguga kaasneva riive raskust kaaludes ja kontrollides, et selle piiranguga taotletava üldisele huvile vastava eesmärgi olulisus on selle raskusastmega vastavuses (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 55 ja seal viidatud kohtupraktika).

132

Proportsionaalsuse nõude järgimiseks peavad õigusaktis olema ette nähtud selged ja täpsed reeglid, mis reguleerivad asjaomase meetme ulatust ja kohaldamist ning millega on kehtestatud miinimumnõuded, millest tulenevalt on isikutel, kelle isikuandmetega on tegu, piisavad tagatised, mis võimaldavad neid andmeid kuritarvitamise ohu eest tõhusalt kaitsta. See õigusakt peab olema riigisiseses õiguses õiguslikult siduv ja eeskätt peab selles olema märgitud, millistel asjaoludel ja tingimustel võib selliste andmete töötlemist ette nägeva meetme võtta, tagades seeläbi, et riive piirdub sellega, mis on tingimata vajalik. Niisuguste tagatiste olemasolu on veel vajalikum siis, kui isikuandmeid töödeldakse automatiseeritult ja kui esineb suur oht, et nende andmetega on võimalik tutvuda ebaseaduslikult. Need kaalutlused kehtivad iseäranis juhul, kui tegemist on sellist erilist liiki isikuandmete kaitsega nagu tundlikud andmed (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 54 ja 55; 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15; EU:C:2016:970, punkt 117, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 141).

133

Seega peavad õigusnormid, milles on ette nähtud isikuandmete säilitamine, alati vastama objektiivsetele kriteeriumidele, mis loovad seose säilitatavate andmete ja taotletava eesmärgi vahel (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi‑Kanada broneeringuinfo leping), EU:C:2017:592, punkt 191 ja seal viidatud kohtupraktika, ning 3. oktoobri 2019. aasta kohtuotsus A jt, C‑70/18, EU:C:2019:823, punkt 63).

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete ennetav säilitamine riigi julgeoleku kaitsmiseks

134

Tuleb märkida, et riigi julgeoleku kaitsmise eesmärki, mille eelotsusetaotluse esitanud kohtud ja seisukohad esitanud valitsused esile tõid, ei ole Euroopa Kohus veel konkreetselt analüüsinud kohtuotsustes, milles ta on direktiivi 2002/58 tõlgendanud.

135

Sellega seoses tuleb kõigepealt märkida, et ELL artikli 4 lõikes 2 on sätestatud, et riigi julgeolek jääb iga liikmesriigi ainuvastutusse. See vastutus vastab esmatähtsale huvile kaitsta riigi põhifunktsioone ja ühiskonna põhihuve ning hõlmab selliste tegevuste – nagu terrorism – ennetamist ja mahasurumist, mis võivad tõsiselt destabiliseerida riigi põhilisi põhiseaduslikke, poliitilisi, majanduslikke või sotsiaalseid struktuure, eriti juhul, kui need kujutavad endast otsest ohtu ühiskonnale, elanikkonnale või riigile kui sellisele.

136

Eesmärk kaitsta riigi julgeolekut, nii nagu seda tuleb mõista ELL artikli 4 lõike 2 alusel, on aga tähtsam kui direktiivi 2002/58 artikli 15 lõikes 1 nimetatud teised eesmärgid, sealhulgas eesmärk võidelda üldiselt kuritegevuse ja ka raske kuritegevusega ning eesmärk kaitsta avalikku julgeolekut. Sellised ohud nagu need, mida on nimetatud eelmises punktis, on oma laadi ja erilise tõsiduse tõttu teistsugused kui üldine avalikku julgeolekut kahjustada võivate – sh raskete – pingete või häirete tekkimise oht. Eesmärk kaitsta riigi julgeolekut võib seega eeldusel, et järgitakse muid harta artikli 52 lõikest 1 tulenevaid nõudeid, põhjendada meetmeid, mis toovad kaasa raskemaid põhiõiguste riiveid kui need, mida oleks võimalik põhjendada nende teiste eesmärkidega.

137

Seega ei ole käesoleva kohtuotsuse punktides 135 ja 136 kirjeldatud olukordades direktiivi 2002/58 artikli 15 lõikega 1 – tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 – üldjuhul vastuolus seadusandlik meede, mis lubab pädevatel asutustel kohustada elektroonilise side teenuste osutajaid säilitama elektroonilise side vahendite kõikide kasutajate liiklus- ja asukohaandmeid piiratud aja vältel, kui esinevad piisavalt konkreetsed asjaolud, mis võimaldavad asuda seisukohale, et asjaomane liikmesriik seisab silmitsi riigi julgeolekut ähvardava sellise suure ohuga, mida on mainitud käesoleva kohtuotsuse punktides 135 ja 136 ning mis osutub tõeliseks ja vahetuks või ettearvatavaks. Isegi kui selline meede on vahet tegemata suunatud kõigile elektroonilise side vahendite kasutajatele, ilma et neil näiks esmapilgul olevat käesoleva kohtuotsuse punktis 133 viidatud kohtupraktika tähenduses seost ohuga selle liikmesriigi riiklikule julgeolekule, tuleb siiski asuda seisukohale, et sellise ohu olemasolu iseenesest võib sellest seosest tunnistust anda.

138

Ettekirjutus, mis näeb ette elektroonilise side vahendite kõikide kasutajate andmete ennetava säilitamise, peab siiski olema ajaliselt piiratud sellega, mis on tingimata vajalik. Kuigi ei saa välistada, et elektroonilise side teenuste osutajatele tehtud ettekirjutust andmeid säilitada võib sellise ohu püsimise tõttu pikendada, ei tohi iga ettekirjutuse kestus ületada ettearvatavat ajavahemikku. Lisaks peavad andmete sellise säilitamise suhtes kehtima piirangud ja see peab toimuma selliste rangete tagatiste raames, mis võimaldavad andmesubjektide isikuandmeid tõhusalt kaitsta kuritarvitamise ohu eest. Seega ei või andmete säilitamine olla süstemaatiline.

139

Arvestades, millise raskusega on harta artiklites 7 ja 8 tunnustatud põhiõiguste riive, mis tuleneb andmete üldise ja vahet tegemata säilitamise meetmest, tuleb tagada, et selle kasutamine piirduks tõepoolest olukordadega, kus esineb tõsine oht riigi julgeolekule, nagu on kirjeldatud käesoleva kohtuotsuse punktides 135 ja 136. Selleks on oluline, et otsust, millega tehakse elektroonilise side teenuste osutajatele ettekirjutus andmeid sel viisil säilitada, saaks tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb üks neist olukordadest ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud.

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete ennetav säilitamine kuritegevuse vastu võitlemiseks ja avaliku julgeoleku kaitsmiseks

140

Mis puudutab kuritegude ennetamise, uurimise, avastamise ja menetlemise eesmärki, siis vastavalt proportsionaalsuse põhimõttele saavad ainult võitlus raskete kuritegude vastu ja riigi julgeolekut ähvardava suure ohu ärahoidmine õigustada harta artiklites 7 ja 8 tunnustatud põhiõiguste raskeid riiveid, nagu need, mille toob endaga kaasa liiklus- ja asukohaandmete säilitamine. Seega saab üldise kuritegude ennetamise, uurimise, avastamise ja menetlemise eesmärgiga põhjendada üksnes selliseid põhiõiguste riiveid, mis ei ole rasked (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 102, ning 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 56 ja 57; 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 149).

141

Riigisisesed õigusnormid, milles on ette nähtud liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine raskete kuritegude vastu võitlemise eesmärgil, ületavad selle piire, mis on tingimata vajalik, ning neid ei saa pidada demokraatlikus ühiskonnas põhjendatuks, nagu nõuab direktiivi 2002/58 artikli 15 lõige 1 tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 107).

142

Nimelt, võttes arvesse selle teabe tundlikkust, mida võivad anda liiklus- ja asukohaandmed, on nende andmete konfidentsiaalsus oluline õiguse jaoks eraelu puutumatusele. Seega, arvestades ühelt poolt käesoleva kohtuotsuse punktis 118 käsitletud pärssivat mõju, mida võib nende andmete säilitamine avaldada harta artiklites 7 ja 11 tunnustatud põhiõiguste kasutamisele, ja teiselt poolt andmete säilitamisega kaasneva riive raskust, on demokraatlikus ühiskonnas oluline, et see säilitamine ei oleks mitte reegel, vaid erand, nagu on ette nähtud direktiiviga 2002/58 kehtestatud süsteemis, ning et neid andmeid ei saaks süstemaatiliselt ja pidevalt säilitada. See järeldus kehtib isegi arvestades raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ärahoidmise eesmärke ning tähtsust, mis tuleb neile omistada.

143

Lisaks on Euroopa Kohus rõhutanud, et õigusnormid, milles on ette nähtud liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine, hõlmavad peaaegu kogu elanikkonna elektroonilist sidet, ilma et oleks ette nähtud mingeid taotletavast eesmärgist lähtuvaid eristamisi, piiranguid või erandeid. Sellised õigusnormid puudutavad – vastupidi käesoleva kohtuotsuse punktis 133 viidatud nõudele – üldiselt kõiki isikuid, kes kasutavad elektroonilise side teenuseid, ilma et need isikud oleksid kas või kaudselt olukorras, mis võiks anda alust kriminaalmenetluse algatamiseks. Järelikult on need kohaldatavad ka isikutele, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel oleks kas või kaudne või kauge seos raskete kuritegude vastu võitlemise eesmärgiga, täpsemalt ilma et esineks seos säilitamisele kuuluvate andmete ja avalikku julgeolekut ähvardava ohu vahel (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punktid 57 ja 58, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 105).

144

Täpsemalt, nagu Euroopa Kohus on juba leidnud, ei piira niisugused õigusnormid säilitamist andmetega, mis kuuluvad kindlasse ajavahemikku ja/või kindlasse geograafilisse piirkonda ja/või puudutavad teatavaid isikuid, kes võivad olla mingil viisil seotud raske kuriteoga, ega isikutega, kelle andmete säilitamine võib muul põhjusel raskete kuritegude vastu võitlemisele kaasa aidata (vt selle kohta 8. aprilli 2014. aasta kohtuotsus Digital Rights, C‑293/12 ja C‑594/12, EU:C:2014:238, punkt 59, ning 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 106).

145

Ent isegi liikmesriikide positiivsed kohustused, mis võivad olenevalt olukorrast tuleneda harta artiklitest 3, 4 ja 7 ning mis – nagu on märgitud käesoleva kohtuotsuse punktides 126 ja 128 – käsitlevad selliste sätete kehtestamist, mis võimaldavad tõhusalt kuritegude vastu võidelda, ei saa õigustada seda, et peaaegu kogu elanikkonna põhiõigusi, mis on tunnustatud harta artiklites 7 ja 8, riivatakse nii raskelt, nagu seda teevad õigusnormid, milles on ette nähtud liiklus- ja asukohaandmete säilitamine, ilma et andmesubjektide andmetest ilmneks vähemalt kaudne seos taotletava eesmärgiga.

146

Seevastu, nagu on märgitud käesoleva kohtuotsuse punktides 142–144 ning võttes arvesse kõnealuste õiguste ja huvide vajalikku ühitamist, võivad raskete kuritegude vastu võitlemise, avaliku julgeoleku olulise kahjustamise ennetamise ja seda enam riigi julgeoleku kaitsmise eesmärgid – arvestades nende tähtsust tulenevalt eelmises punktis mainitud positiivsetest kohustustest, millele viitas eelkõige Cour constitutionnelle (Belgia konstitutsioonikohus) – õigustada eriti rasket riivet, mis kaasneb liiklus- ja asukohaandmete eesmärgipärase säilitamisega.

147

Seega, nagu Euroopa Kohus on juba leidnud, ei ole direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna harta artikleid 7, 8 ja 11 ning artikli 52 lõiget 1 arvestades, vastuolus see, kui liikmesriik võtab vastu õigusnormid, mis raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise ning samuti riigi julgeoleku kaitsmise eesmärgil võimaldavad liiklus- ja asukohaandmete eesmärgipärast ennetavat säilitamist, tingimusel et andmete säilitamine on säilitatavate andmete liigi, asjaomaste sidevahendite ja andmesubjektide ning säilitamise kestuse osas piiratud sellega, mis on tingimata vajalik (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 108).

148

Mis puudutab piire, mis peavad sellisele andmete säilitamise meetmele olema seatud, siis võib need kehtestada lähtuvalt andmesubjektide kategooriatest, kuna direktiivi 2002/58 artikli 15 lõikega 1 ei ole vastuolus objektiivsetel asjaoludel põhinevad õigusnormid, mis võimaldavad meetme suunata isikutele, kelle liiklus‑ ja asukohaandmetest võib avalduda kas või kaudne seos raskete kuritegudega, või mis võimaldavad ühel või teisel viisil võidelda raskete kuritegudega või ära hoida suurt ohtu avalikule julgeolekule või ohtu riigi julgeolekule (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 111).

149

Sellega seoses tuleb täpsustada, et selliselt silmas peetud isikud võivad eelkõige olla need, kes kohaldatavate riigisiseste menetluste raames on objektiivsete asjaolude alusel enne kindlaks tehtud kui isikud, kes kujutavad endast ohtu asjaomase liikmesriigi avalikule julgeolekule või riigi julgeolekule.

150

Liiklus- ja asukohaandmete säilitamist ette nägeva meetme piiramine võib põhineda ka geograafilisel kriteeriumil, kui pädevad riigisisesed asutused leivad objektiivsete ja mittediskrimineerivate asjaolude alusel, et ühes või mitmes geograafilises piirkonnas esineb kõrgendatud oht raskete kuritegude ettevalmistamiseks või toimepanemiseks (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 111). Need piirkonnad võivad olla näiteks kohad, kus raskete kuritegude arv on suur, kohad, mis on raskete kuritegude toimepanemiseks eriti soodsad, nagu paigad või ehitised, mida pidevalt külastab väga suur hulk inimesi, või ka strateegilised kohad, nagu lennu-, raudtee- ja bussijaamad või kiirteemaksu kogumise alad.

151

Tagamaks, et riive, mis kaasneb käesoleva kohtuotsuse punktides 147–150 kirjeldatud säilitamismeetmetega, on kooskõlas proportsionaalsuse põhimõttega, ei või nende meetmete kestus ületada seda, mis on taotletava eesmärgi ja meetmeid põhjendavate asjaolude seisukohast tingimata vajalik, ilma et see piiraks meetmete võimalikku pikendamist, kui püsib vajadus andmete säilitamise järele.

– Seadusandlikud meetmed, milles on ette nähtud IP‑aadresside ja identiteediga seotud andmete ennetav säilitamine kuritegevuse vastu võitlemiseks ja avaliku julgeoleku kaitsmiseks

152

Tuleb märkida, et IP‑aadressid, mis kuuluvad küll liiklusandmete hulka, luuakse nii, et need ei ole seotud konkreetse sidega, ning nende peamine eesmärk on elektroonilise side teenuste osutajate kaudu kindlaks teha füüsiline isik, kellele kuulub lõppseade, mille kaudu toimub side internetis. Seega, kuna e-kirjade ja internetitelefonide puhul säilitatakse ainult sideallika IP‑aadressid, mitte aga side vastuvõtja IP‑aadresse, ei anna need aadressid iseenesest mingit teavet kolmandate isikute kohta, kes suhtlesid side algatanud isikuga. See andmete kategooria on seega vähem tundlik kui muud liiklusandmed.

153

Kuna IP-aadresse võib siiski kasutada muu hulgas internetikasutaja sirvimisajaloo ja seega tema veebis toimuva tegevuse ammendavaks jälgimiseks, võimaldavad need andmed teha kindlaks tema üksikasjaliku profiili. Seega kujutavad IP‑aadresside säilitamine ja analüüsimine, mida selline jälgimine nõuab, endast internetikasutaja harta artiklitega 7 ja 8 tagatud põhiõiguste rasket riivet, millel võib olla selline pärssiv mõju, nagu on kirjeldatud käesoleva kohtuotsuse punktis 118.

154

Selleks, et tagada kõnealuste õiguste ja huvide vajalik ühitamine, mida nõuab käesoleva kohtuotsuse punktis 130 viidatud kohtupraktika, tuleb arvesse võtta asjaolu, et veebis toime pandud süüteo korral võib IP‑aadress olla ainus uurimisvahend, mis võimaldab tuvastada isiku, kellele see aadress oli süüteo toimepanemise ajal omistatud. Sellele lisandub asjaolu, et elektroonilise side teenuste osutajate poolt IP‑aadresside säilitamine kauemaks kui nende omistamise ajaks ei ole üldjuhul vajalik asjaomaste teenuste eest arvete esitamiseks, mistõttu veebis toime pandud süütegude avastamine võib – nagu märkisid mitu valitsust Euroopa Kohtule esitatud seisukohtades – osutuda võimatuks, kui ei saa kasutada direktiivi 2002/58 artikli 15 lõike 1 kohast seadusandlikku meedet. Nii võib see olla näiteks – nagu need valitsused väitsid – eriti raskete lastepornot puudutavate kuritegude puhul, nagu Euroopa Parlamendi ja nõukogu 13. detsembri 2011 direktiivi 2011/93/EL, mis käsitleb laste seksuaalse kuritarvitamise ja ärakasutamise ning lasteporno vastast võitlust ja mis asendab nõukogu raamotsuse 2004/68/JSK (ELT 2011, L 335, lk 1), artikli 2 punkti c tähenduses lasteporno omandamine, levitamine, edastamine või veebis kättesaadavaks tegemine.

155

Neil asjaoludel tuleb märkida, et kuigi vastab tõele, et seadusandlik meede, mis näeb ette kõikide selliste füüsiliste isikute IP‑aadresside säilitamise, kellel on lõppseade, mille kaudu internetiühendus võib toimuda, on suunatud isikutele, kellel esmapilgul puudub käesoleva kohtuotsuse punktis 133 viidatud kohtupraktika tähenduses seos taotletavate eesmärkidega, ning et internetikasutajatel on vastavalt käesoleva kohtuotsuse punktis 109 tuvastatule õigus harta artiklite 7 ja 8 alusel eeldada, et nende identiteeti üldjuhul ei avaldata, ei ole seadusandlik meede, mis näeb ette ainult ühenduse lähtepunktile omistatud IP‑aadresside üldise ja vahet tegemata säilitamise, üldjuhul vastuolus direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, tingimusel et selle võimaluse kasutamise eeldus on nende andmete kasutamist reguleerivate materiaalõiguslike ja menetluslike tingimuste range järgimine.

156

Võttes arvesse seda, kui raske on harta artiklites 7 ja 8 tunnustatud põhiõiguste riive, mis andmete säilitamisega kaasneb, saab seda riivet põhjendada üksnes võitlusega raskete kuritegude vastu ja avalikku julgeolekut ähvardavate suurte ohtude ärahoidmisega, nagu ka riigi julgeoleku kaitsega. Lisaks ei tohi säilitamisaeg ületada seda, mis on taotletava eesmärgi saavutamiseks tingimata vajalik. Lõpuks peab selline meede veebis toimuva andmesubjektide side ja tegevusega seotud andmete kasutamiseks, eelkõige jälgimise teel, ette nägema ranged tingimused ja tagatised.

157

Mis puudutab viimaseks elektroonilise side vahendite kasutajate identiteediga seotud andmeid, siis need üksi ei võimalda teada saada side kuupäeva, kellaaega, kestust, adressaati ega ka side toimumise kohta ega seda, kui tihti side teatud isikutega konkreetses ajavahemikus toimus, mistõttu ei anna need andmed peale nende isikute kontaktandmete, nagu nende aadressid, mingit teavet konkreetsete sideseansside ega järelikult nende eraelu kohta. Seega ei saa nende andmete säilitamisega kaasnevat riivet üldjuhul pidada raskeks (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punktid 59 ja 60).

158

Sellest järeldub, et nagu käesoleva kohtuotsuse punktis 140 on märgitud, võivad seadusandlikud meetmed, mis puudutavad nende andmete kui selliste töötlemist, sealhulgas nende säilitamist ja juurdepääsu nendele, ainuüksi asjaomase kasutaja tuvastamise eesmärgil ja ilma et neid andmeid oleks võimalik seostada teabega toimunud side kohta, olla põhjendatud üldise kuritegude ennetamise, uurimise, avastamise ja menetlemise eesmärgiga, millele viitab direktiivi 2002/58 artikli 15 lõike 1 esimene lause (vt selle kohta 2. oktoobri 2018. aasta kohtuotsus Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 62).

159

Neil asjaoludel tuleb asjasse puutuvate õiguste ja huvide ühitamise vajadust arvestades ja käesoleva kohtuotsuse punktides 131 ja 158 esitatud põhjustel tõdeda, et isegi kui puudub seos elektroonilise side vahendite kõikide kasutajate ja taotletavate eesmärkide vahel, ei ole direktiivi 2002/58 artikli 15 lõikega 1 – tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 – vastuolus seadusandlik meede, millega on konkreetse tähtajata kehtestatud elektroonilise side teenuste osutajatele kohustus säilitada elektroonilise side vahendite kõikide kasutajate identiteediga seotud andmed kuritegude ennetamise, uurimise, avastamise ja menetlemise ning avaliku julgeoleku kaitsmise eesmärgil, ilma et oleks vaja, et kuriteod oleksid rasked või avalikku julgeolekut ähvardav oht oleks suur või avaliku julgeoleku kahjustamine oleks oluline.

– Seadusandlikud meetmed, milles on ette nähtud liiklus- ja asukohaandmete kiirsäilitus raskete kuritegude vastu võitlemiseks

160

Mis puudutab liiklus- ja asukohaandmeid, mida elektroonilise side teenuste osutajad töötlevad ja salvestavad direktiivi 2002/58 artiklite 5, 6 ja 9 alusel või direktiivi artikli 15 lõike 1 kohaselt võetud selliste seadusandlike meetmete alusel, nagu on kirjeldatud käesoleva kohtuotsuse punktides 134–159, siis tuleb märkida, et need andmed tuleb üldjuhul olenevalt olukorrast kustutada või muuta anonüümseks seaduses ette nähtud nende tähtaegade möödumisel, mille jooksul peavad direktiivi ülevõtmiseks vastu võetud riigisiseste õigusnormide kohaselt toimuma nende töötlemine ja salvestamine.

161

Sellise töötlemise ja säilitamise ajal võib siiski tekkida olukordi, kus andmeid on vaja säilitada neist tähtaegadest pikemaks ajaks, et selgitada välja raskete kuritegude toimepanemine või riigi julgeoleku kahjustamine, ning seda nii olukorras, kus selliseid kuritegusid või kahjustamisi on juba tuvastatud, kui ka olukorras, kus nende olemasolu võib kõigi asjakohaste asjaolude objektiivse hindamise tulemusel mõistlikult kahtlustada.

162

Sellega seoses tuleb märkida, et Euroopa Nõukogu 23. novembri 2001. aasta arvutikuritegevusvastases konventsioonis (Euroopa lepingute seeria – nr 185), millele on alla kirjutanud 27 liikmesriiki ja mille 25 neist on ratifitseerinud ning mille eesmärk on hõlbustada võitlust kuritegude vastu, mis on toime pandud arvutivõrgu abil, on artiklis 14 ette nähtud, et konventsiooniosalised võtavad uurimiste või spetsiifiliste kriminaalmenetluste tarbeks teatud meetmeid, mis puudutavad juba salvestatud liiklusandmeid, nagu andmete kiirsäilitus. Täpsemalt on selle konventsiooni artikli 16 lõikes 1 sätestatud, et konventsiooniosalised võtavad seadusandlikke meetmeid, mis on vajalikud, et võimaldada nende pädevatel asutustel teha ettekirjutus või panna muul viisil kohustus arvutisüsteemi abil salvestatud liiklusandmete kiirsäilituseks, eelkõige kui on alust arvata, et need andmed võivad kaduma minna või neid võidakse muuta.

163

Sellises olukorras, nagu on käsitletud käesoleva kohtuotsuse punktis 161, võivad liikmesriigid, arvestades asjasse puutuvate õiguste ja huvide vajalikku ühitamist, millele on osutatud käesoleva kohtuotsuse punktis 130, näha direktiivi 2002/58 artikli 15 lõike 1 alusel vastu võetud õigusnormides ette võimaluse, et pädev asutus kohustab oma otsusega, mille üle teostatakse tõhusat kohtulikku kontrolli, elektroonilise side teenuste osutajaid nende valduses olevaid liiklus- ja asukohaandmeid kindlaksmääratud ajaks kiiresti säilitama.

164

Kuna kiirsäilituse eesmärk ei vasta enam nendele eesmärkidele, milleks andmeid algul koguti ja säilitati, ning kuna igasugune andmete töötlemine peab harta artikli 8 lõike 2 kohaselt toimuma kindlaksmääratud eesmärkidel, peavad liikmesriigid oma õigusaktides täpsustama eesmärgi, mille jaoks andmete kiirsäilitus võib toimuda. Arvestades seda, kui raske on harta artiklites 7 ja 8 tunnustatud põhiõiguste riive, mille selline säilitamine võib kaasa tuua, võib selline riive olla põhjendatud üksnes võitlusega raskete kuritegude vastu ja seda enam riigi julgeoleku kaitsmisega. Selleks et tagada, et seda liiki meetmega kaasnev riive piirduks sellega, mis on tingimata vajalik, on esiteks vaja, et säilitamiskohustus puudutaks ainult liiklus- ja asukohaandmeid, mis võivad aidata kaasa raske kuriteo toimepanemise või riigi julgeoleku kahjustamise väljaselgitamisele. Teiseks peab andmete säilitamise kestus piirduma sellega, mis on tingimata vajalik, kuid seda kestust võib siiski pikendada, kui meetme asjaolud ja eesmärk seda õigustavad.

165

Sellega seoses on oluline täpsustada, et kiirsäilitus ei pea olema piiratud nende isikute andmetega, keda konkreetselt kahtlustatakse kuriteo toimepanemises või riigi julgeoleku kahjustamises. Järgides raamistikku, mis on kehtestatud direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, ja võttes arvesse käesoleva kohtuotsuse punktis 133 esitatud kaalutlusi, võib sellist meedet seadusandja valikust lähtudes ja tingimata vajaliku piires püsides laiendada liiklus- ja asukohaandmetele, mis on seotud muude isikutega kui need, keda kahtlustatakse raske kuriteo kavandamises või toimepanemises või riigi julgeoleku kahjustamise kavandamises või kahjustamises, tingimusel et need andmed võivad objektiivsete ja mittediskrimineerivate asjaolude alusel kaasa aidata sellise kuriteo või riigi julgeoleku kahjustamise väljaselgitamisele, nagu seda võivad kuriteos kannatanu andmed või tema sotsiaalsesse või tööalasesse lähikonda kuuluvate isikute andmed või ka andmed konkreetsete geograafiliste piirkondade kohta, nagu kuriteo toimepanemise ja ettevalmistamise või riigi julgeoleku kahjustamise või selle ettevalmistamise koht. Lisaks peavad pädevad asutused sel viisil säilitatud andmetega tutvudes järgima tingimusi, mis tulenevad direktiivi 2002/58 tõlgendavast kohtupraktikast (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punktid 118121 ja seal viidatud kohtupraktika).

166

Veel tuleb lisada, et nagu nähtub eelkõige käesoleva kohtuotsuse punktidest 115 ja 133, saab juurdepääs liiklus- ja asukohaandmetele, mille teenuseosutajad on säilitanud direktiivi 2002/58 artikli 15 lõike 1 alusel võetud meetme kohaselt, üldjuhul olla põhjendatud üksnes üldisele huvile vastava eesmärgiga, mille tõttu on teenuseosutajatele säilitamiskohustus pandud. Sellest järeldub eelkõige, et juurdepääsu sellistele andmetele tavalise kuriteo suhtes menetluse läbiviimiseks ja selle eest karistamiseks ei või mingil juhul anda, kui nende säilitamist põhjendati eesmärgiga võidelda raskete kuritegude vastu või – veelgi enam – eesmärgiga kaitsta riigi julgeolekut. Vastavalt proportsionaalsuse põhimõttele, nagu seda on täpsustatud käesoleva kohtuotsuse punktis 131, võib aga juurdepääs raskete kuritegude vastu võitlemise eesmärgil säilitatud andmetele olla põhjendatud riigi julgeoleku kaitse eesmärgiga, tingimusel et järgitakse juurdepääsu materiaalõiguslikke ja menetluslikke tingimusi, millele on osutatud eelmises punktis.

167

Sellega seoses võivad liikmesriigid oma õigusaktides ette näha, et juurdepääs liiklus- ja asukohaandmetele on samu materiaalõiguslikke ja menetluslikke tingimusi järgides võimalik raskete kuritegude vastu võitlemiseks või riigi julgeoleku kaitsmiseks, kui teenuseosutaja säilitab neid andmeid kooskõlas direktiivi 2002/58 artiklitega 5, 6 ja 9 või artikli 15 lõikega 1.

168

Kõiki eespool toodud kaalutlusi arvestades tuleb esimesele küsimusele kohtuasjades C‑511/18 ja C‑512/18 ning esimesele ja teisele küsimusele kohtuasjas C‑520/18 vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega on vastuolus seadusandlikud meetmed, milles on artikli 15 lõikes 1 nimetatud eesmärkidel ennetava meetmena ette nähtud liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine. Seevastu ei ole artikli 15 lõikega 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, vastuolus seadusandlikud meetmed, mis

võimaldavad riigi julgeoleku kaitse eesmärgil teha elektroonilise side teenuste osutajatele ettekirjutuse säilitada liiklus- ja asukohaandmeid üldiselt ja vahet tegemata olukordades, kus asjaomane liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, kusjuures ettekirjutuse tegemise otsust võib tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb üks neist olukordadest ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud, ning ettekirjutus peab olema ajaliselt piiratud sellega, mis on tingimata vajalik, kuid seda võib ohu püsimise korral pikendada;

näevad ette riigi julgeoleku kaitsmise, raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil liiklus- ja asukohaandmete eesmärgipärase säilitamise, mis on objektiivsete ja mittediskrimineerivate asjaolude alusel piiritletud vastavalt andmesubjektide kategooriatele või geograafilise kriteeriumi põhjal ja ajaliselt piiratud tingimata vajalikuga, kuid mida on võimalik pikendada;

näevad ette sideühenduse lähtepunktile omistatud IP‑aadresside üldise ja vahet tegemata säilitamise riigi julgeoleku kaitsmise, raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil ajavahemikuks, mis on piiratud tingimata vajalikuga;

näevad ette riigi julgeoleku kaitsmise, kuritegevuse vastu võitlemise ja avaliku julgeoleku kaitsmise eesmärgil elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise ning

võimaldavad raskete kuritegude vastu võitlemise ja seda enam riigi julgeoleku kaitse eesmärgil teha pädeva asutuse otsusega, mille suhtes teostatakse tõhusat kohtulikku kontrolli, elektroonilise side teenuste osutajatele ettekirjutuse nende valduses olevaid liiklus- ja asukohaandmeid kindlaksmääratud ajaks kiiresti säilitada,

kui need meetmed tagavad selgete ja täpsete reeglitega, et kõnealuste andmete säilitamisel järgitakse sellega seotud materiaalõiguslikke ja menetluslikke tingimusi ning et andmesubjektidel on tõhusad tagatised kuritarvituste ohu vastu.

Teine ja kolmas küsimus kohtuasjas C‑511/18

169

Teise ja kolmanda küsimusega kohtuasjas C‑511/18 palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2002/58 artikli 15 lõiget 1 tuleb lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, millega on elektroonilise side teenuste osutajatele pandud kohustus rakendada oma võrgus meetmeid, mis võimaldavad esiteks liiklus- ja asukohaandmeid automatiseeritult analüüsida ja reaalajas koguda ning teiseks kasutatud lõppseadmete asukohta puudutavaid tehnilisi andmeid reaalajas koguda, ilma et oleks ette nähtud nende isikute teavitamine, keda andmete töötlemine ja kogumine puudutab.

170

Eelotsusetaotluse esitanud kohus täpsustab, et CSI artiklites L. 851‑2 kuni L. 851‑4 ette nähtud andmekogumismeetodid ei tähenda elektroonilise side teenuste osutajate jaoks konkreetset nõuet säilitada liiklus- ja asukohaandmeid. Mis puudutab täpsemalt CSI artiklis L. 851‑3 ette nähtud automatiseeritud analüüsi, siis märgib see kohus, et selle töötlemise eesmärk on tuvastada sel otstarbel määratletud kriteeriumide põhjal sideühendused, millest võib ilmneda terrorismioht. CSI artiklis L. 851‑2 silmas peetud reaalajas andmete kogumise kohta tõdeb nimetatud kohus, et see puudutab vaid ühte või mitut isikut, kelle puhul on enne tuvastatud, et nad võivad olla seotud terrorismiohuga. Sama kohtu sõnul saab neid kahte meetodit rakendada üksnes terrorismi ennetamiseks ning need puudutavad CSI artiklites L. 851‑1 ja R. 851‑5 nimetatud andmeid.

171

Sissejuhatuseks tuleb täpsustada, et asjaolu, et CSI artikli L. 851‑3 kohaselt ei võimalda selles ette nähtud automatiseeritud analüüs iseenesest tuvastada kasutajaid, kelle andmeid see analüüs puudutab, ei takista nende andmete kvalifitseerimist „isikuandmeteks“. Nimelt, kuna sama sätte IV lõikes ette nähtud menetlus võimaldab hilisemas staadiumis kindlaks teha isiku või isikud, keda puudutavad andmed, mille automatiseeritud analüüsi tulemusel ilmnes, et need võivad anda tunnistust terrorismiohu olemasolust, siis on kõiki isikuid, kelle andmeid on automatiseeritult analüüsitud, nende andmete põhjal võimalik tuvastada. Määruse 2016/679 artikli 4 punktis 1 sisalduva isikuandmete määratluse kohaselt on sellised andmed aga teave, mis muu hulgas on seotud tuvastatava isikuga.

Liiklusandmete ja asukohaandmete automatiseeritud analüüs

172

CSI artiklist L. 851‑3 nähtub, et selles ette nähtud automatiseeritud analüüs vastab sisuliselt elektroonilise side teenuste osutajate säilitatavate kõikide liiklus- ja asukohaandmete filtreerimisele, mida viimased teevad pädevate riigisiseste asutuste nõudel ja viimaste poolt kindlaks määratud parameetrite alusel. Sellest järeldub, et kõiki elektroonilise side vahendite kasutajate andmeid kontrollitakse, kui need vastavad kõnealustele parameetritele. Seega tuleb asuda seisukohale, et selline automatiseeritud analüüs eeldab, et asjaomased elektroonilise side teenuste osutajad tegelevad pädeva asutuse eest üldiselt ja vahet tegemata töötlemisega, mis leiab aset määruse 2016/679 artikli 4 punkti 2 tähenduses automatiseeritud töötlemise vormis ning mis hõlmab elektroonilise side vahendite kõikide kasutajate kõiki liiklus- ja asukohaandmeid. Töötlemine ei sõltu automatiseeritud analüüsi tulemusel tuvastatud isikute andmete hilisemast kogumisest, mis on CSI artikli L. 851‑3 IV lõike alusel lubatud.

173

Riigisisesed õigusnormid, mis lubavad liiklus- ja asukohaandmete automatiseeritud analüüsi, kalduvad aga kõrvale direktiivi 2002/58 artiklis 5 sätestatud põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus. Sellised õigusnormid riivavad ka harta artiklites 7 ja 8 tunnustatud põhiõigusi, sõltumata sellest, kuidas neid andmeid hiljem kasutatakse. Lõpuks võivad need õigusnormid vastavalt käesoleva kohtuotsuse punktis 118 viidatud kohtupraktikale avaldada pärssivat mõju harta artiklis 11 tunnustatud sõnavabaduse kasutamisele.

174

Lisaks on liiklus- ja asukohaandmete automatiseeritud analüüsist tulenev riive, nagu on kõne all põhikohtuasjas, eriti raske, kuna see hõlmab üldiselt ja vahet tegemata nende isikute andmeid, kes kasutavad elektroonilise side vahendeid. See järeldus kehtib veelgi enam siis, kui – nagu nähtub põhikohtuasjas käsitletavatest riigisisestest õigusnormidest – automatiseeritud analüüsi esemeks olevad andmed võivad avaldada selle teabe laadi, millega veebis tutvuti. Peale selle rakendatakse sellist automatiseeritud analüüsi üldiselt kõigi isikute suhtes, kes kasutavad elektroonilise side vahendeid, ja järelikult ka nende suhtes, kelle kohta pole mingeid tõendeid, mille põhjal võiks arvata, et nende käitumisel oleks kas või kaudne või kauge seos terrorismiga.

175

Niisuguse riive põhjendamise kohta tuleb lisada, et harta artikli 52 lõikega 1 kehtestatud nõue, mille kohaselt peab põhiõiguste teostamise igasugune piiramine olema sätestatud seaduses, tähendab, et õiguslik alus, mis võimaldab neid piirata, peab ise määratlema, kui ulatuslikult tohib asjaomase õiguse teostamist piirata (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 175 ning seal viidatud kohtupraktika).

176

Lisaks, selleks et täita käesoleva kohtuotsuse punktides 130 ja 131 meenutatud proportsionaalsuse nõuet, mille kohaselt peavad erandid isikuandmete kaitsest ja selle kaitse piirangud jääma selle piiresse, mis on tingimata vajalik, peavad riigisisesed õigusnormid, mis reguleerivad pädevate asutuste juurdepääsu säilitatud liiklus- ja asukohaandmetele, järgima nõudeid, mis tulenevad käesoleva kohtuotsuse punktis 132 viidatud kohtupraktikast. Täpsemalt ei või need õigusnormid piirduda üksnes nõudega, et asutuste juurdepääs andmetele peab vastama mõnele nende õigusnormide eesmärgile, vaid neis peavad olema ette nähtud ka materiaalõiguslikud ja menetluslikud tingimused, mis reguleerivad andmete kasutamist (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi‑Kanada broneeringuinfo leping), EU:C:2017:592, punkt 192 ja seal viidatud kohtupraktika).

177

Sellega seoses tuleb märkida, et eriti raske riive, mis seisneb liiklus- ja asukohaandmete üldises ja vahet tegemata säilitamises, mida on käsitletud käesoleva kohtuotsuse punktides 134–139 esitatud kaalutlustes, ning eriti raske riive, mis seisneb nende automatiseeritud analüüsis, saavad proportsionaalsuse nõudele vastata üksnes olukordades, kus liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, ning tingimusel, et säilitamise kestus piirdub sellega, mis on tingimata vajalik.

178

Sellistes olukordades, nagu on viidatud eelmises punktis, võib elektroonilise side vahendite kõikide kasutajate liiklus- ja asukohaandmete automatiseeritud analüüsi läbiviimist rangelt piiratud ajavahemiku jooksul pidada põhjendatuks nende nõuete seisukohast, mis tulenevad direktiivi 2002/58 artikli 15 lõikest 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1.

179

Samas selleks, et tagada, et niisuguse meetme kasutamine piirduks tõepoolest sellega, mis on tingimata vajalik riigi julgeoleku kaitsmiseks ja täpsemalt terrorismi ennetamiseks, on vastavalt käesoleva kohtuotsuse punktis 139 tõdetule oluline, et automatiseeritud analüüsi lubamise otsust saaks tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb meedet õigustav olukord ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud.

180

Sellega seoses tuleb täpsustada, et ette kindlaks määratud mudelid ja kriteeriumid, millel seda liiki andmetöötlus põhineb, peavad olema esiteks konkreetsed ja usaldusväärsed ning võimaldama jõuda tulemusteni, mis osutavad isikutele, kellel võib lasuda terroriaktides osalemise mõistlik kahtlus, ja teiseks mittediskrimineerivad (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi‑Kanada broneeringuinfo leping), EU:C:2017:592, punkt 172).

181

Lisaks on oluline meelde tuletada, et igasugune automatiseeritud analüüs, mis toimuks lähtuvalt mudelitest ja kriteeriumidest, mis põhinevad eeldusel, et inimese rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused, ametiühingusse kuulumine, terviseseisund või seksuaalelu võivad iseenesest ja sõltumata selle inimese isiklikust käitumisest olla asjakohased terrorismi ennetamise seisukohast, eiraks õigusi, mis on tagatud harta artiklitega 7 ja 8 koostoimes artikliga 21. Seega ei või mudelid ja kriteeriumid, mis on ette kindlaks määratud automatiseeritud analüüsi jaoks, mille eesmärk on ennetada terrorismi, mis oluliselt ohustab riigi julgeolekut, põhineda ainuüksi kõnealustel tundlikel andmetel (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punkt 165).

182

Lisaks, kuna liiklus- ja asukohaandmete automatiseeritud analüüsiga kaasneb tingimata teatud veamäär, tuleb automatiseeritud töötlemise tagajärjel saadud mis tahes positiivset tulemust eraldi uuesti analüüsida mitteautomatiseeritud vahenditega, enne kui võetakse individuaalne meede, mis avaldab andmesubjektidele kahjulikku mõju, nagu hilisem liiklus- ja asukohaandmete kogumine reaalajas, kuna selline meede ei või nimelt otsustaval määral põhineda ainuüksi automatiseeritud töötlemise tulemusel. Samuti tuleb selleks, et praktikas oleks tagatud, et ette kindlaks määratud mudelid ja kriteeriumid, nende kasutamine ja kasutatavad andmebaasid ei oleks diskrimineerivad ja piirduksid sellega, mis on tingimata vajalik lähtuvalt eesmärgist ennetada terroriakte, mis kujutavad endast suurt ohtu riigi julgeolekule, ette kindlaks määratud mudelite ja kriteeriumide ning kasutatavate andmebaaside usaldusväärsus ja ajakohasus regulaarselt üle vaadata (vt selle kohta 26. juuli 2017. aasta arvamus 1/15 (ELi‑Kanada broneeringuinfo leping), EU:C:2017:592, punktid 173 ja 174).

Liiklus- ja asukohaandmete kogumine reaalajas

183

Mis puudutab liiklusandmete ja asukohaandmete reaalajas kogumist, mida on käsitletud CSI artiklis L. 851‑2, siis tuleb märkida, et selleks võib anda eraldi loa, mis puudutab „eelnevalt tuvastatud isikut, kes võib olla [terrorismi]ohuga seotud“. Samuti on selles sättes ette nähtud, et „kui on kaalukaid põhjuseid arvata, et üks või mitu isikut selle andmesubjekti lähikonnas, keda luba puudutab, võivad anda teavet, mille saamise eesmärgil luba antakse, võib loa anda ka iga sellise isiku kohta eraldi“.

184

Sedalaadi meetme esemeks olevad andmed võimaldavad pädevatel riigisisestel asutustel loa kehtivusajal pidevalt ja reaalajas jälgida isikuid, kellega andmesubjektid suhtlevad, nende kasutatavaid vahendeid, sideseansside kestust ning viibimiskohti ja liikumist. Samuti näib, et need andmed võivad avaldada selle teabe laadi, millega veebis tutvuti. Nagu nähtub käesoleva kohtuotsuse punktist 117, võimaldavad need andmed koosvõetuna teha väga täpseid järeldusi andmesubjektide eraelu kohta ja koostada nende profiili, mis on õigust eraelu puutumatusele arvestades sama tundlik teave kui sideseansi sisu ise.

185

Mis puudutab andmete kogumist reaalajas, mida on käsitletud CSI artiklis L. 851‑4, siis see säte lubab koguda tehnilisi andmeid lõppseadmete asukoha kohta ja edastada need reaalajas peaministri teenistusele. Näib, et sellised andmed võimaldavad pädeval teenistusel loa kehtivusajal igal hetkel pidevalt ja reaalajas kindlaks teha kasutatud lõppseadmete, näiteks mobiiltelefonide asukoha.

186

Riigisisesed õigusnormid, mis lubavad sel viisil reaalajas andmeid koguda, kalduvad aga samamoodi nagu andmete automatiseeritud analüüsi lubavad õigusnormid kõrvale direktiivi 2002/58 artikliga 5 kehtestatud põhimõttelisest kohustusest tagada elektroonilise side ja sellega seotud andmete konfidentsiaalsus. Seega kujutavad ka need endast harta artiklites 7 ja 8 tunnustatud põhiõiguste riivet ning võivad avaldada pärssivat mõju harta artikliga 11 tagatud sõnavabaduse kasutamisele.

187

Tuleb rõhutada, et lõppseadme asukoha kindlakstegemist võimaldavate andmete reaalajas kogumisega kaasnev riive näib eriti raske, kuna need andmed annavad pädevatele riigisisestele asutustele võimaluse täpselt ja alaliselt jälgida mobiiltelefonide kasutajate liikumist. Kuna neid andmeid tuleb seega pidada eriti tundlikuks, tuleb pädevate asutuste võimalust reaalajas selliste andmetega tutvuda eristada andmetega tutvumisest ajalise viitega, kuivõrd esimene on rohkem sekkuv, kuna see võimaldab kõnealuseid kasutajaid peaaegu täielikult jälgida (vt analoogia alusel EIÕK artikli 8 kohta EIK 8. veebruari 2018. aasta kohtuotsus Ben Faiza vs. Prantsusmaa, CE:ECHR:2018:0208JUD003144612, punkt 74). Riive on veelgi intensiivsem juhul, kui andmete kogumine reaalajas laieneb ka andmesubjektide liiklusandmetele.

188

Kuigi põhikohtuasjas käsitletavate õigusnormidega taotletav terrorismi ennetamise eesmärk võib selle tähtsust arvestades õigustada liiklus- ja asukohaandmete reaalajas kogumisega kaasnevat riivet, võib sellist meedet selle eriti sekkuvat laadi arvestades rakendada üksnes nende isikute suhtes, kelle puhul on mõjuv põhjus kahtlustada, et nad on ühel või teisel viisil seotud terrorismiga. Mis puudutab sellesse kategooriasse mittekuuluvate isikute andmeid, siis nendega võib tutvuda ainult ajalise viitega, kusjuures tutvumine võib vastavalt Euroopa Kohtu praktikale toimuda üksnes erijuhtudel, näiteks terrorismi korral ja juhul, kui esineb objektiivseid asjaolusid, mis võimaldavad järeldada, et need andmed võivad konkreetsel juhul terrorismivastasele võitlusele tulemuslikult kaasa aidata (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 119 ja seal viidatud kohtupraktika).

189

Lisaks peab otsus, millega antakse luba liiklus- ja asukohaandmete reaalajas kogumiseks, põhinema riigisisestes õigusnormides ette nähtud objektiivsetel kriteeriumidel. Eelkõige peavad nendes õigusnormides vastavalt käesoleva kohtuotsuse punktis 176 viidatud kohtupraktikale olema määratletud asjaolud ja tingimused, mille korral võidakse andmete kogumiseks luba anda, ning ette nähtud, et nagu eelmises punktis on täpsustatud, võib andmete kogumine puudutada ainult isikuid, kellel on seos terrorismi ennetamise eesmärgiga. Lisaks peab otsus, millega antakse luba liiklus- ja asukohaandmete reaalajas kogumiseks, põhinema objektiivsetel ja mittediskrimineerivatel kriteeriumidel, mis on ette nähtud riigisisestes õigusnormides. Selleks et tegelikkuses oleks tagatud nende tingimuste järgimine, on esmatähtis, et andmete reaalajas kogumist lubava meetme rakendamist kontrolliks enne kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, kusjuures see kohus või asutus peab eelkõige tagama, et andmete reaalajas kogumiseks antakse luba üksnes tingimata vajaliku piires (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 120). Nõuetekohaselt põhjendatud kiireloomulisel juhul peab kontroll toimuma lühikese aja jooksul.

Nende isikute teavitamine, kelle andmeid on kogutud või analüüsitud

190

On oluline, et pädevad riigisisesed asutused, kes koguvad liiklus- ja asukohaandmeid reaalajas, teavitaksid sellest andmesubjekte kohaldatavate riigisiseste menetluste raames, tingimusel et ja alles siis, kui teavitamine ei saa enam kahjustada nimetatud asutuste ülesannete täitmist. Niisugune teavitamine on vajalik nimelt selleks, et andmesubjektid saaksid teostada oma harta artiklitest 7 ja 8 tulenevaid õigusi nõuda, et neil võimaldataks tutvuda oma isikuandmetega, mille suhtes kõnealused meetmed on võetud, ja vajaduse korral neid andmeid parandataks või need kustutataks, ning kasutada harta artikli 47 esimese lõigu alusel tõhusat õiguskaitsevahendit kohtus, kusjuures selline õigus on sõnaselgelt ette nähtud ka direktiivi 2002/58 artikli 15 lõikes 2, tõlgendatuna koostoimes määruse 2016/679 artikli 79 lõikega 1 (vt selle kohta 21. detsembri 2016. aasta kohtuotsus Tele2, C‑203/15 ja C‑698/15, EU:C:2016:970, punkt 121 ja seal viidatud kohtupraktika, ning 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 219 ja 220).

191

Mis puudutab teavet, mida nõutakse seoses liiklus- ja asukohaandmete automatiseeritud analüüsiga, siis on pädev riigisisene asutus kohustatud avaldama üldist laadi teavet selle analüüsi kohta, ilma et ta peaks andmesubjekte isiklikult teavitama. Seevastu juhul, kui andmed vastavad automatiseeritud analüüsi lubavas meetmes täpsustatud parameetritele ja kui see asutus tuvastab andmesubjekti, et teda puudutavaid andmeid põhjalikumalt analüüsida, osutub vajalikuks seda isikut isiklikult teavitada. Teavitamine tohib siiski toimuda tingimusel et ja alles siis, kui see ei saa enam kahjustada nimetatud asutuse ülesannete täitmist (vt analoogia alusel 26. juuli 2017. aasta arvamus 1/15 (ELi-Kanada broneeringuinfo leping), EU:C:2017:592, punktid 222224).

192

Kõiki eespool toodud kaalutlusi arvestades tuleb teisele ja kolmandale küsimusele kohtuasjas C‑511/18 vastata, et direktiivi 2002/58 artikli 15 lõiget 1 tuleb lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, millega on elektroonilise side teenuste osutajatele pandud kohustus esiteks liiklus- ja asukohaandmeid automatiseeritult analüüsida ja reaalajas koguda ning teiseks kasutatud lõppseadmete asukohta puudutavaid tehnilisi andmeid reaalajas koguda, kui

automatiseeritud analüüsi kasutamine on piiratud olukordadega, kus liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, kusjuures selle analüüsi kasutamist saab tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb meedet õigustav olukord ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud, ning kui

liiklus- ja asukohaandmete reaalajas kogumine on piiratud isikutega, kelle puhul on mõjuv põhjus kahtlustada, et nad on ühel või teisel viisil seotud terrorismiga, ning seda kontrollib enne kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et tagada, et andmete reaalajas kogumiseks antakse luba üksnes tingimata vajaliku piires. Nõuetekohaselt põhjendatud kiireloomulisel juhul peab kontroll toimuma lühikese aja jooksul.

Teine küsimus kohtuasjas C‑512/18

193

Teise küsimusega kohtuasjas C‑512/18 palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas direktiivi 2000/31 sätteid tuleb lähtuvalt harta artiklitest 6–8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et nendega on vastuolus riigisisesed õigusnormid, millega on üldkasutatavate veebipõhiste sideteenuste ja veebimajutusteenuste osutajatele pandud kohustus üldiselt ja vahet tegemata säilitada nende teenustega seotud isikuandmeid.

194

Leides, et niisugused teenused kuuluvad direktiivi 2000/31, mitte direktiivi 2002/58 kohaldamisalasse, on eelotsusetaotluse esitanud kohus arvamusel, et direktiivi 2000/31 artikli 15 lõigetega 1 ja 2 koostoimes selle direktiivi artiklitega 12 ja 14 ei ole iseenesest kehtestatud põhimõttelist keeldu säilitada sisu loomist puudutavaid andmeid, millest võib erandeid teha üksnes erandjuhul. Eelotsusetaotluse esitanud kohtul tekib siiski küsimus, kas selle hinnanguga tuleb nõustuda, arvestades vajadust järgida harta artiklites 6–8 ja 11 tunnustatud põhiõigusi.

195

Lisaks täpsustab eelotsusetaotluse esitanud kohus, et tema küsimus puudutab säilitamiskohustust, mis on ette nähtud LCENi artiklis 6 koostoimes dekreediga nr 2011‑219. Andmed, mida asjaomased teenuseosutajad peavad sel alusel säilitama, hõlmavad muu hulgas teenuseid kasutanud isikute identiteediga seotud andmeid, nagu nende nimi, eesnimi, nendega seotud postiaadressid, nende e-posti aadressid või nendega seotud konto aadressid, salasõnad ja juhul, kui lepingu sõlmimine või konto loomine on tasuline, siis kasutatud makseviis, makse viitenumber, summa ning tehingu kuupäev ja kellaaeg.

196

Samuti hõlmavad säilitamiskohustuse esemeks olevad andmed abonentide, ühenduste ja kasutatud lõppseadmete identifitseerimistunnuseid, sisule omistatud identifitseerimistunnuseid, ühenduste ja tehingute alguse ja lõpu kuupäeva ja kellaaega ning teenusega ühendamiseks ja sisu edastamiseks kasutatud protokolli liike. Juurdepääsu nendele andmetele, mille säilitamise kestus on üks aasta, võib taotleda kriminaal- ja tsiviilmenetlustes, et tagada tsiviil- ja kriminaalvastutust reguleerivate õigusnormide järgimine, ning luureteabe kogumise meetmete raames, mille suhtes kohaldatakse CSI artiklit L. 851‑1.

197

Sellega seoses tuleb märkida, et vastavalt direktiivi 2000/31 artikli 1 lõikele 2 ühtlustab direktiiv teatud riigisiseseid õigusnorme, mis on kohaldatavad selle direktiivi artikli 2 punktis a nimetatud infoühiskonna teenustele.

198

Sellised teenused hõlmavad mõistagi teenuseid, mida osutatakse vahemaa tagant elektrooniliste andmetöötlus- ja salvestusseadmete abil teenusesaaja isikliku taotluse alusel ning tavaliselt tasu eest, nagu internetiühenduse teenused või sidevõrgule juurdepääsu teenused ning veebimajutusteenused (vt selle kohta 24. novembri 2011. aasta kohtuotsus Scarlet Extended, C‑70/10, EU:C:2011:771, punkt 40;16. veebruari 2012. aasta kohtuotsus SABAM, C‑360/10, EU:C:2012:85, punkt 34; 15. septembri 2016. aasta kohtuotsus Mc Fadden, C‑484/14, EU:C:2016:689, punkt 55, ning 7. augusti 2018. aasta kohtuotsus SNB-REACT, C‑521/17, EU:C:2018:639, punkt 42 ja seal viidatud kohtupraktika).

199

Direktiivi 2000/31 artikli 1 lõikes 5 on siiski sätestatud, et direktiivi ei kohaldata direktiivide 95/46 ja 97/66 rakendusalasse kuuluvate infoühiskonna teenustega seotud küsimuste suhtes. Sellega seoses nähtub direktiivi 2000/31 põhjendustest 14 ja 15, et side konfidentsiaalsuse ja füüsiliste isikute kaitset isikuandmete töötlemisel infoühiskonna teenuste raames reguleerivad ainult direktiivid 95/46 ja 97/66, millest viimase artiklis 5 on ette nähtud, et side konfidentsiaalsuse kaitse eesmärgil on keelatud sidet mis tahes viisil pealt kuulata või jälgida.

200

Seega tuleb side ja isikuandmete konfidentsiaalsuse kaitsega seotud küsimusi hinnata direktiivi 2002/58 ja määruse 2016/679 alusel, millega asendati vastavalt direktiiv 97/66 ja direktiiv 95/46, kusjuures tuleb täpsustada, et kaitse, mille tagamine on direktiivi 2000/31 eesmärk, ei või mingil juhul kahjustada direktiivist 2002/58 ja määrusest 2016/679 tulenevaid nõudeid (vt selle kohta 29. jaanuari 2008. aasta kohtuotsus Promusicae, C‑275/06, EU:C:2008:54, punkt 57).

201

Käesoleva kohtuotsuse punktis 195 viidatud riigisiseste õigusnormidega üldkasutatavate veebipõhiste sideteenuste ja veebimajutusteenuste osutajatele pandud kohustust säilitada nende teenustega seotud isikuandmeid tuleb seega – nagu sisuliselt märkis kohtujurist liidetud kohtuasjades La Quadrature du Net jt (C‑511/18 ja C‑512/18, EU:C:2020:6) tehtud ettepaneku punktis 141 – hinnata direktiivi 2002/58 või määruse 2016/679 alusel.

202

Niisiis, olenevalt sellest, kas nende riigisiseste õigusnormidega hõlmatud teenuste osutamine kuulub direktiivi 2002/58 kohaldamisalasse või mitte, reguleerib neid kas viimati nimetatud direktiiv, eelkõige selle artikli 15 lõige 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, või määrus 2016/679, eelkõige selle määruse artikli 23 lõige 1, tõlgendatuna lähtuvalt samadest harta sätetest.

203

Käesoleval juhul ei saa välistada, nagu märkis Euroopa Komisjon oma kirjalikes seisukohtades, et teatavad teenused, mille suhtes kohaldatakse käesoleva kohtuotsuse punktis 195 nimetatud riigisiseseid õigusnorme, kujutavad endast elektroonilise side teenuseid direktiivi 2002/58 tähenduses, ning seda peab kontrollima eelotsusetaotluse esitanud kohus.

204

Sellega seoses tuleb märkida, et direktiiv 2002/58 hõlmab elektroonilise side teenuseid, mis vastavad tingimustele, mis on sätestatud direktiivi 2002/21 artikli 2 punktis c, millele viitab direktiivi 2002/58 artikkel 2 ja milles on elektroonilise side teenus määratletud kui „tavaliselt tasu eest osutatav teenus, mis seisneb tervikuna või peamiselt signaalide edastamises elektrooniliste sidevõrkude kaudu, kaasa arvatud telekommunikatsiooniteenused ja ülekandeteenused ringhäälinguks kasutatavates võrkudes“. Mis puudutab käesoleva kohtuotsuse punktides 197 ja 198 nimetatud ja direktiiviga 2000/31 hõlmatud infoühiskonna teenuseid, siis kujutavad need endast elektroonilise side teenuseid, kuna need seisnevad tervikuna või peamiselt signaalide edastamises elektroonilise side võrkude kaudu (vt selle kohta 5. juuni 2019. aasta kohtuotsus Skype Communications, C‑142/18, EU:C:2019:460, punktid 47 ja 48).

205

Seega kujutavad internetiühenduse teenused, mis näivad olevat hõlmatud käesoleva kohtuotsuse punktis 195 viidatud riigisiseste õigusnormidega, endast – nagu kinnitab direktiivi 2002/21 põhjendus 10 – elektroonilise side teenuseid selle direktiivi tähenduses (vt selle kohta 5. juuni 2019. aasta kohtuotsus Skype Communications, C‑142/18, EU:C:2019:460, punkt 37). Nii on see ka veebipõhiste elektronpostiteenustega, mille puhul ei näi olevat välistatud, et need kuuluvad samuti nende riigisiseste õigusnormide kohaldamisalasse, kuna tehnilisest küljest eeldavad need täielikult või peamiselt signaalide edastamist elektroonilise side võrkude kaudu (vt selle kohta 13. juuni 2019. aasta kohtuotsus Google, C‑193/18, EU:C:2019:498, punktid 35 ja 38).

206

Seoses nõuetega, mis tulenevad direktiivi 2002/58 artikli 15 lõikest 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, tuleb viidata kõikidele järeldustele ja hinnangutele, mis on antud vastuses esimesele küsimusele kohtuasjades C‑511/18 ja C‑512/18 ning esimesele ja teisele küsimusele kohtuasjas C‑520/18.

207

Mis puudutab määrusest 2016/679 tulenevaid nõudeid, siis väärib meeldetuletamist, et selle määruse eesmärk on – nagu selgub selle põhjendusest 10 – eelkõige tagada liidus füüsiliste isikute kõrgetasemeline kaitse ning tagada selleks kogu liidus füüsiliste isikute põhiõiguste ja -vabaduste kaitse reeglite järjekindel ja ühtne kohaldamine isikuandmete töötlemisel (vt selle kohta 16. juuli 2020. aasta kohtuotsus Facebook Ireland ja Schrems, C‑311/18, EU:C:2020:559, punkt 101).

208

Selleks peab igasugune isikuandmete töötlemine, kui määruse 2016/679 artikli 23 kohaselt lubatud eranditest ei tulene teisiti, järgima isikuandmete töötlemist reguleerivaid põhimõtteid ning andmesubjekti õigusi, mis on sätestatud vastavalt selle määruse II ja III peatükis. Täpsemalt peab igasugune isikuandmete töötlemine esiteks olema kooskõlas määruse artiklis 5 sätestatud põhimõtetega ja teiseks vastama sama määruse artiklis 6 loetletud seaduslikkuse tingimustele (vt analoogia alusel direktiivi 95/46 kohta 30. mai 2013. aasta kohtuotsus Worten, C‑342/12, EU:C:2013:355, punkt 33 ja seal viidatud kohtupraktika).

209

Mis puudutab täpsemalt määruse 2016/679 artikli 23 lõiget 1, siis tuleb märkida, et see võimaldab samamoodi nagu direktiivi 2002/58 artikli 15 lõige 1 liikmesriikidel selles ette nähtud eesmärke silmas pidades seadusandlike meetmetega piirata selles sättes nimetatud kohustuste ja õiguste ulatust, „kui selline piirang austab põhiõiguste ja -vabaduste olemust ning on demokraatlikus ühiskonnas vajalik ja proportsionaalne meede, et tagada“ taotletava eesmärgi saavutamine. Mis tahes seadusandlik meede, mis on sellel alusel võetud, peab eelkõige vastama määruse artikli 23 lõikes 2 sätestatud erinõuetele.

210

Seega ei saa määruse 2016/679 artikli 23 lõikeid 1 ja 2 tõlgendada nii, et need võivad liikmesriikidele anda õiguse kahjustada eraelu puutumatust, rikkudes harta artiklit 7, või muid hartas ette nähtud tagatisi (vt analoogia alusel direktiivi 95/46 kohta 20. mai 2003. aasta kohtuotsus Österreichischer Rundfunk jt, C‑465/00, C‑138/01 ja C‑139/01, EU:C:2003:294, punkt 91). Täpsemalt saab sarnaselt sellega, mis kehtib direktiivi 2002/58 artikli 15 lõike 1 puhul, liikmesriikidele määruse 2016/679 artikli 23 lõikega 1 antud pädevust teostada üksnes nii, et järgitakse proportsionaalsuse nõuet, mille kohaselt isikuandmete kaitse erandid ja piirangud peavad jääma selle piiresse, mis on tingimata vajalik (vt analoogia alusel direktiivi 95/46 kohta 7. novembri 2013. aasta kohtuotsus IPI, C‑473/12, EU:C:2013:715, punkt 39 ja seal viidatud kohtupraktika).

211

Sellest tuleneb, et järeldused ja hinnangud, mis on antud vastuses esimesele küsimusele kohtuasjades C‑511/18 ja C‑512/18 ning esimesele ja teisele küsimusele kohtuasjas C‑520/18, kehtivad mutatis mutandis määruse 2016/679 artikli 23 suhtes.

212

Eespool toodud kaalutlusi arvestades tuleb teisele küsimusele kohtuasjas C‑512/18 vastata, et direktiivi 2000/31 tuleb tõlgendada nii, et see ei ole kohaldatav valdkonnas, mis puudutab side konfidentsiaalsuse ja füüsiliste isikute kaitset isikuandmete töötlemisel infoühiskonna teenuste raames, kuna seda kaitset reguleerib olenevalt olukorrast kas direktiiv 2002/58 või määrus 2016/679. Määruse 2016/679 artikli 23 lõiget 1 tuleb lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, millega on üldkasutatavate veebipõhiste sideteenuste ja veebimajutusteenuste osutajatele pandud kohustus üldiselt ja vahet tegemata säilitada nende teenustega seotud isikuandmeid.

Kolmas küsimus kohtuasjas C‑520/18

213

Kolmanda küsimusega kohtuasjas C‑520/18 palub eelotsusetaotluse esitanud kohus sisuliselt selgitada, kas liikmesriigi kohus võib kohaldada riigisisest õigusnormi, mis annab talle õiguse ajaliselt piirata tagajärgi, mis kaasnevad sellega, kui ta tühistab riigisisese õigusakti, millega on elektroonilise side teenuste osutajatele muu hulgas riigi julgeoleku kaitse ja kuritegevuse vastase võitluse eesmärgil kehtestatud kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada ning mille ta on kohustatud riigisisese õiguse alusel tühistama seetõttu, et see on vastuolus direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1.

214

Liidu õiguse esimuse põhimõte kehtestab liidu õiguse esmajärjekorras kohaldatavuse liikmesriikide õiguse ees. See põhimõte paneb seega kõigile liikmesriikide asutustele kohustuse tagada erinevate liidu õigusnormide täielik toime, kuna liikmesriikide õigus ei või mõjutada nende erinevate õigusnormide toimet nimetatud riikide territooriumil (15. juuli 1964. aasta kohtuotsus Costa, 6/64, EU:C:1964:66, lk 1159 ja 1160, ning 19. novembri 2019. aasta kohtuotsus A. K. jt (kõrgeima kohtu distsiplinaarkolleegiumi sõltumatus), C‑585/18, C‑624/18 ja C‑625/18, EU:C:2019:982, punktid 157 ja 158 ning seal viidatud kohtupraktika).

215

Esimuse põhimõtte kohaselt on liikmesriigi kohtul, kelle ülesanne on oma pädevuse piires kohaldada liidu õigusnorme, kohustus juhul, kui riigisiseseid õigusnorme ei saa tõlgendada kooskõlas liidu õiguse nõuetega, tagada liidu õigusnormide täielik toime, jättes vajaduse korral omal algatusel kohaldamata riigisisese õigusakti mis tahes sätte, mis on vastuolus liidu õigusega, isegi kui see säte on vastu võetud hiljem, ja sel kohtul ei ole vaja taotleda või oodata niisuguse sätte eelnevat kõrvaldamist seadusandlike või muude põhiseaduslike vahenditega (22. juuni 2010. aasta kohtuotsus Melki ja Abdeli, C‑188/10 ja C‑189/10, EU:C:2010:363, punkt 43 ja seal viidatud kohtupraktika; 24. juuni 2019. aasta kohtuotsus Popławski, C‑573/17, EU:C:2019:530, punkt 58, ning 19. novembri 2019. aasta kohtuotsus A. K. jt (kõrgeima kohtu distsiplinaarkolleegiumi sõltumatus), C‑585/18, C‑624/18 ja C‑625/18, EU:C:2019:982, punkt 160).

216

Üksnes Euroopa Kohus võib erandlikel juhtudel ja õiguskindlusest tulenevatel ülekaalukatel põhjustel ajutiselt peatada välistava mõju, mis on liidu õigusnormil sellega vastuolus oleva riigisisese õiguse suhtes. Euroopa Kohtu sellele õigusele antud tõlgenduse tagajärgi võib sel viisil ajaliselt piirata üksnes selle sama kohtuotsusega, milles antakse taotletav tõlgendus (vt selle kohta 23. oktoobri 2012. aasta kohtuotsus Nelson jt, C‑581/10 ja C‑629/10, EU:C:2012:657, punktid 89 ja 91; 23. aprilli 2020. aasta kohtuotsus Herst, C‑401/18, EU:C:2020:295, punktid 56 ja 57, ning 25. juuni 2020. aasta kohtuotsus A jt (Aalteri ja Nevele tuulepargid), C‑24/19, EU:C:2020:503, punkt 84 ja seal viidatud kohtupraktika).

217

Kui liikmesriikide kohtutel oleks õigus kas või ainult ajutiselt anda riigisisestele sätetele esimus liidu õiguse ees, millega need sätted on vastuolus, kahjustaks see liidu õiguse esimust ja ühetaolist kohaldamist (vt selle kohta 29. juuli 2019. aasta kohtuotsus Inter-Environnement Wallonie ja Bond Beter Leefmilieu Vlaanderen, C‑411/17, EU:C:2019:622, punkt 177 ja seal viidatud kohtupraktika).

218

Siiski leidis Euroopa Kohus kohtuasjas, milles käsitleti selliste meetmete õiguspärasust, mille vastuvõtmisel eirati liidu õigusest tulenevat kohustust viia läbi projektiga keskkonnale ja kaitsealale avaldatava mõju eelnev hindamine, et kui riigisisene õigus seda lubab, võib liikmesriigi kohus erandkorras säilitada selliste meetmete toime, kui nende toime säilitamine on põhjendatud ülekaalukatel põhjustel, mis on seotud vajadusega kõrvaldada tegelik ja tõsine asjaomase liikmesriigi elektrivarustuse katkemise oht, mida ei saa muude ja alternatiivsete vahenditega eeskätt siseturu raames kõrvaldada, kuid selline toime säilitamine võib hõlmata üksnes ajavahemikku, mis on tingimata vajalik õigusvastasuse kõrvaldamiseks (vt selle kohta 29. juuli 2019. aasta kohtuotsus Inter-Environnement Wallonie ja Bond Beter Leefmilieu Vlaanderen, C‑411/17, EU:C:2019:622, punktid 175, 176, 179 ja 181).

219

Ent vastupidi niisuguse menetlusliku kohustuse täitmata jätmisele nagu projekti keskkonnamõju eelnev hindamine konkreetses keskkonnakaitse valdkonnas ei saa direktiivi 2002/58 artikli 15 lõike 1 – tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 – eiramist heastada menetluse abil, mis on võrreldav eelmises punktis nimetatud menetlusega. Selliste riigisiseste õigusnormide toime säilitamine, nagu on kõne all põhikohtuasjas, tähendaks nimelt seda, et need õigusnormid panevad elektroonilise side teenuste osutajatele jätkuvalt kohustusi, mis on vastuolus liidu õigusega ja millega kaasnevad nende isikute põhiõiguste rasked riived, kelle andmeid säilitatakse.

220

Seega ei või eelotsusetaotluse esitanud kohus kohaldada riigisisest õigusnormi, mis annab talle õiguse ajaliselt piirata tagajärgi, mis kaasnevad sellega, kui ta tühistab põhikohtuasjas käsitletava riigisisese õigusakti, mille ta on kohustatud riigisisese õiguse alusel tühistama.

221

Samas väidavad VZ, WY ja XX Euroopa Kohtule esitatud seisukohtades, et kolmas küsimus tõstatab kaudselt, kuid tingimata küsimuse, kas liidu õigusega on vastuolus kriminaalmenetluses sellise teabe ja tõendite kasutamine, mis on saadud liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise teel, mis on liidu õigusega vastuolus.

222

Sellega seoses ja selleks, et anda eelotsusetaotluse esitanud kohtule tarvilik vastus, väärib meeldetuletamist, et kehtiva liidu õiguse kohaselt võib üldjuhul üksnes riigisiseses õiguses kindlaks määrata reeglid, mis puudutavad rasketes kuritegudes kahtlustatavate isikute suhtes alustatud kriminaalmenetluses sellise teabe ja selliste tõendite lubatavust ja hindamist, mis on saadud andmete säilitamise teel, mis on liidu õigusega vastuolus.

223

Nimelt tuleneb väljakujunenud kohtupraktikast, et kui selles valdkonnas puuduvad liidu õigusnormid, tuleb menetlusnormid, mis reguleerivad nende kohtuasjade läbivaatamist, mille eesmärk on tagada isikutele liidu õigusest tulenevate õiguste kaitse, menetlusautonoomia põhimõtte kohaselt sätestada iga liikmesriigi sisemises õiguskorras, kuid seda siiski tingimusel, et need ei ole vähem soodsad kui normid, mis reguleerivad riigisisese õiguse kohaldamisalasse kuuluvaid sarnaseid olukordi (võrdväärsuse põhimõte), ning et need ei muuda liidu õigusega antud õiguste kasutamist praktiliselt võimatuks ega ülemäära keeruliseks (tõhususe põhimõte) (vt selle kohta 6. oktoobri 2015. aasta kohtuotsus Târşia, C‑69/14, EU:C:2015:662, punktid 26 ja 27; 24. oktoobri 2018. aasta kohtuotsus XC jt, C‑234/17, EU:C:2018:853, punktid 21 ja 22 ning seal viidatud kohtupraktika, ja 19. detsembri 2019. aasta kohtuotsus Deutsche Umwelthilfe, C‑752/18, EU:C:2019:1114, punkt 33).

224

Mis puudutab võrdväärsuse põhimõtet, siis peab liikmesriigi kohus, kes lahendab kriminaalasja, mis põhineb direktiivist 2002/58 tulenevaid nõudeid eirates saadud teabel või tõenditel, kontrollima, kas seda menetlust reguleerivas riigisiseses õiguses on sellise teabe ja tõendite lubatavuse ja kasutatavuse jaoks ette nähtud vähem soodsad normid kui need, mis reguleerivad teavet ja tõendeid, mis on saadud riigisisest õigust rikkudes.

225

Mis puudutab tõhususe põhimõtet, siis tuleb märkida, et teabe ja tõendite lubatavust ja kasutatavust reguleerivate riigisiseste õigusnormide eesmärk on vastavalt riigisiseses õiguses tehtud valikutele vältida seda, et ebaseaduslikult saadud teave ja tõendid kahjustaksid põhjendamatult isikut, keda kahtlustatakse kuritegude toimepanemises. Selle eesmärgi võib aga riigisisese õiguse kohaselt saavutada mitte ainult keeluga kasutada sellist teavet ja selliseid tõendeid, vaid ka riigisiseste normide ja tavadega, mis reguleerivad teabe ja tõendite hindamist ja kaalumist, või isegi sel viisil, et nende ebaseaduslikkust võetakse arvesse karistuse kindlaksmääramisel.

226

Samas nähtub Euroopa Kohtu praktikast, et vajadust jätta välja teave ja tõendid, mis on saadud liidu õiguse nõudeid eirates, tuleb hinnata eelkõige lähtuvalt ohust, mille toob sellise teabe ja tõendite lubatavus kaasa võistlevuse põhimõtte ja seega õiguse õiglasele kohtulikule arutamisele järgimise jaoks (vt selle kohta 10. aprilli 2003. aasta kohtuotsus Steffensen, C‑276/01, EU:C:2003:228, punktid 76 ja 77). Kohus, kes leiab, et pool ei saa tõhusalt kommenteerida tõendit, mis kuulub valdkonda, millest kohtunikud ei ole teadlikud, ja mis võib ülekaalukalt mõjutada faktiliste asjaolude hindamist, peab tuvastama, et on rikutud õigust õiglasele kohtulikule arutamisele, ja sellise rikkumise vältimiseks selle tõendi välistama (vt selle kohta 10. aprilli 2003. aasta kohtuotsus Steffensen, C‑276/01, EU:C:2003:228, punktid 78 ja 79).

227

Seega kohustab tõhususe põhimõte liikmesriigi kriminaalkohut jätma kuritegudes kahtlustatavate isikute suhtes alustatud kriminaalmenetluses arvesse võtmata teabe ja tõendid, mis on saadud liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise teel, mis on liidu õigusega vastuolus, kui neil isikutel ei ole võimalik tõhusalt kommenteerida seda teavet ja neid tõendeid, mis pärinevad valdkonnast, millest kohtunikud ei ole teadlikud, ja mis võivad ülekaalukalt mõjutada faktiliste asjaolude hindamist.

228

Eespool toodud kaalutlusi arvestades tuleb kolmandale küsimusele kohtuasjas C‑520/18 vastata, et liikmesriigi kohus ei või kohaldada riigisisest õigusnormi, mis annab talle õiguse ajaliselt piirata tagajärgi, mis kaasnevad sellega, kui ta tühistab riigisisese õigusakti, millega on elektroonilise side teenuste osutajatele muu hulgas riigi julgeoleku kaitse ja kuritegevuse vastase võitluse eesmärgil kehtestatud kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada ning mille ta on kohustatud riigisisese õiguse alusel tühistama seetõttu, et see on vastuolus direktiivi 2002/58 artikli 15 lõikega 1, tõlgendatuna lähtuvalt harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1. Nimetatud artikli 15 lõige 1, tõlgendatuna lähtuvalt tõhususe põhimõttest, kohustab liikmesriigi kriminaalkohut jätma kuritegudes kahtlustatavate isikute suhtes alustatud kriminaalmenetluses arvesse võtmata teabe ja tõendid, mis on saadud liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise teel, mis on liidu õigusega vastuolus, kui neil isikutel ei ole võimalik tõhusalt kommenteerida seda teavet ja neid tõendeid, mis pärinevad valdkonnast, millest kohtunikud ei ole teadlikud, ja mis võivad ülekaalukalt mõjutada faktiliste asjaolude hindamist.

Kohtukulud

229

Kuna põhikohtuasja poolte jaoks on käesolev menetlus eelotsusetaotluse esitanud kohtutes pooleli olevate asjade üks staadium, otsustavad kohtukulude jaotuse liikmesriikide kohtud. Euroopa Kohtule seisukohtade esitamisega seotud kulusid, välja arvatud poolte kohtukulud, ei hüvitata.

 

Esitatud põhjendustest lähtudes Euroopa Kohus (suurkoda) otsustab:

 

1.

Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiivi 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (muudetud Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiviga 2009/136/EÜ), artikli 15 lõiget 1 tuleb lähtuvalt Euroopa Liidu põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega on vastuolus seadusandlikud meetmed, milles on artikli 15 lõikes 1 nimetatud eesmärkidel ennetava meetmena ette nähtud liiklus- ja asukohaandmete üldine ja vahet tegemata säilitamine. Seevastu ei ole direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 15 lõikega 1, tõlgendatuna lähtuvalt põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1, vastuolus seadusandlikud meetmed, mis

võimaldavad riigi julgeoleku kaitse eesmärgil teha elektroonilise side teenuste osutajatele ettekirjutuse säilitada liiklus- ja asukohaandmeid üldiselt ja vahet tegemata olukordades, kus asjaomane liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, kusjuures ettekirjutuse tegemise otsust võib tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb üks neist olukordadest ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud, ning ettekirjutus peab olema ajaliselt piiratud sellega, mis on tingimata vajalik, kuid seda võib ohu püsimise korral pikendada;

näevad ette riigi julgeoleku kaitsmise, raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil liiklus- ja asukohaandmete eesmärgipärase säilitamise, mis on objektiivsete ja mittediskrimineerivate asjaolude alusel piiritletud vastavalt andmesubjektide kategooriatele või geograafilise kriteeriumi põhjal ja ajaliselt piiratud tingimata vajalikuga, kuid mida on võimalik pikendada;

näevad ette sideühenduse lähtepunktile omistatud IP‑aadresside üldise ja vahet tegemata säilitamise riigi julgeoleku kaitsmise, raskete kuritegude vastu võitlemise ja avalikku julgeolekut ähvardava suure ohu ennetamise eesmärgil ajavahemikuks, mis on piiratud tingimata vajalikuga;

näevad ette riigi julgeoleku kaitsmise, kuritegevuse vastu võitlemise ja avaliku julgeoleku kaitsmise eesmärgil elektroonilise side vahendite kasutajate identiteediga seotud andmete üldise ja vahet tegemata säilitamise ning

võimaldavad raskete kuritegude vastu võitlemise ja seda enam riigi julgeoleku kaitse eesmärgil teha pädeva asutuse otsusega, mille suhtes teostatakse tõhusat kohtulikku kontrolli, elektroonilise side teenuste osutajatele ettekirjutuse nende valduses olevaid liiklus- ja asukohaandmeid kindlaksmääratud ajaks kiiresti säilitada,

kui need meetmed tagavad selgete ja täpsete reeglitega, et kõnealuste andmete säilitamisel järgitakse sellega seotud materiaalõiguslikke ja menetluslikke tingimusi ning et andmesubjektidel on tõhusad tagatised kuritarvituste ohu vastu.

 

2.

Direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 15 lõiget 1 tuleb lähtuvalt põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega ei ole vastuolus riigisisesed õigusnormid, millega on elektroonilise side teenuste osutajatele pandud kohustus esiteks liiklus- ja asukohaandmeid automatiseeritult analüüsida ja reaalajas koguda ning teiseks kasutatud lõppseadmete asukohta puudutavaid tehnilisi andmeid reaalajas koguda, kui

automatiseeritud analüüsi kasutamine on piiratud olukordadega, kus liikmesriik seisab silmitsi riigi julgeolekut ähvardava suure ohuga, mis osutub tõeliseks ja vahetuks või ettearvatavaks, kusjuures selle analüüsi kasutamist saab tõhusalt kontrollida kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et teha kindlaks, kas esineb meedet õigustav olukord ning kas on järgitud tingimusi ja tagatisi, mis peavad olema ette nähtud, ning kui

liiklus- ja asukohaandmete reaalajas kogumine on piiratud isikutega, kelle puhul on mõjuv põhjus kahtlustada, et nad on ühel või teisel viisil seotud terrorismiga, ning seda kontrollib enne kas kohus või sõltumatu haldusasutus – kelle otsus on siduv –, selleks et tagada, et andmete reaalajas kogumiseks antakse luba üksnes tingimata vajaliku piires. Nõuetekohaselt põhjendatud kiireloomulisel juhul peab kontroll toimuma lühikese aja jooksul.

 

3.

Euroopa Parlamendi ja nõukogu 8. juuni 2000. aasta direktiivi 2000/31/EÜ infoühiskonna teenuste teatavate õiguslike aspektide, eriti elektroonilise kaubanduse kohta siseturul (direktiiv elektroonilise kaubanduse kohta) tuleb tõlgendada nii, et see ei ole kohaldatav valdkonnas, mis puudutab side konfidentsiaalsuse ja füüsiliste isikute kaitset isikuandmete töötlemisel infoühiskonna teenuste raames, kuna seda kaitset reguleerib olenevalt olukorrast kas direktiiv 2002/58 (muudetud direktiiviga 2009/136) või Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46 kehtetuks tunnistamise kohta. Määruse 2016/679 artikli 23 lõiget 1 tuleb lähtuvalt põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1 tõlgendada nii, et sellega on vastuolus riigisisesed õigusnormid, millega on üldkasutatavate veebipõhiste sideteenuste ja veebimajutusteenuste osutajatele pandud kohustus üldiselt ja vahet tegemata säilitada nende teenustega seotud isikuandmeid.

 

4.

Liikmesriigi kohus ei või kohaldada riigisisest õigusnormi, mis annab talle õiguse ajaliselt piirata tagajärgi, mis kaasnevad sellega, kui ta tühistab riigisisese õigusakti, millega on elektroonilise side teenuste osutajatele muu hulgas riigi julgeoleku kaitse ja kuritegevuse vastase võitluse eesmärgil kehtestatud kohustus liiklus- ja asukohaandmeid üldiselt ja vahet tegemata säilitada ning mille ta on kohustatud riigisisese õiguse alusel tühistama seetõttu, et see on vastuolus direktiivi 2002/58 (muudetud direktiiviga 2009/136) artikli 15 lõikega 1, tõlgendatuna lähtuvalt põhiõiguste harta artiklitest 7, 8 ja 11 ning artikli 52 lõikest 1. Nimetatud artikli 15 lõige 1 tõlgendatuna lähtuvalt tõhususe põhimõttest kohustab liikmesriigi kriminaalkohut jätma kuritegudes kahtlustatavate isikute suhtes alustatud kriminaalmenetluses arvesse võtmata teabe ja tõendid, mis on saadud liiklus- ja asukohaandmete üldise ja vahet tegemata säilitamise teel, mis on liidu õigusega vastuolus, kui neil isikutel ei ole võimalik tõhusalt kommenteerida seda teavet ja neid tõendeid, mis pärinevad valdkonnast, millest kohtunikud ei ole teadlikud, ja mis võivad ülekaalukalt mõjutada faktiliste asjaolude hindamist.

 

Allkirjad


( *1 ) Kohtumenetluse keel: prantsuse.