This document is an excerpt from the EUR-Lex website
Document 62017CJ0623
Unionin tuomioistuimen tuomio (suuri jaosto) 6.10.2020.
Privacy International vastaan Secretary of State for Foreign and Commonwealth Affairs ym.
Ennakkoratkaisupyyntö – Henkilötietojen käsittely sähköisen viestinnän alalla – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen siirtäminen yleisesti ja erotuksetta – Kansallisen turvallisuuden takaaminen – Direktiivi 2002/58/EY – Soveltamisala – 1 artiklan 3 kohta ja 3 artikla – Sähköisen viestinnän luottamuksellisuus – Suojaaminen – 5 artikla ja 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta.
Asia C-623/17.
Unionin tuomioistuimen tuomio (suuri jaosto) 6.10.2020.
Privacy International vastaan Secretary of State for Foreign and Commonwealth Affairs ym.
Ennakkoratkaisupyyntö – Henkilötietojen käsittely sähköisen viestinnän alalla – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen siirtäminen yleisesti ja erotuksetta – Kansallisen turvallisuuden takaaminen – Direktiivi 2002/58/EY – Soveltamisala – 1 artiklan 3 kohta ja 3 artikla – Sähköisen viestinnän luottamuksellisuus – Suojaaminen – 5 artikla ja 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta.
Asia C-623/17.
Court reports – general
ECLI identifier: ECLI:EU:C:2020:790
Asia C-623/17
Privacy International
vastaan
Secretary of State for Foreign and Commonwealth Affairs ym.
(Investigatory Powers Tribunalin esittämä ennakkoratkaisupyyntö)
Unionin tuomioistuimen tuomio (suuri jaosto) 6.10.2020
Ennakkoratkaisupyyntö – Henkilötietojen käsittely sähköisen viestinnän alalla – Sähköisten viestintäpalvelujen tarjoajat – Liikenne- ja paikkatietojen siirtäminen yleisesti ja erotuksetta – Kansallisen turvallisuuden takaaminen – Direktiivi 2002/58/EY – Soveltamisala – 1 artiklan 3 kohta ja 3 artikla – Sähköisen viestinnän luottamuksellisuus – Suojaaminen – 5 artikla ja 15 artiklan 1 kohta – Euroopan unionin perusoikeuskirja – 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta – SEU 4 artiklan 2 kohta
-
Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Soveltamisala – Kansallinen säännöstö, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on siirrettävä liikenne- ja paikkatietoja turvallisuus- ja tiedustelupalveluille – Kansallisen turvallisuuden suojaamisen tavoite kuuluu soveltamisalaan
(SEU 4 artiklan 2 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 1 artiklan 1 ja 3 kohta. 3 artikla ja 15 artiklan 1 kohta)
(ks. 35–39, 41–44, 46, 48 ja 49 kohta sekä tuomiolauselman 1 kohta)
-
Jäsenvaltioiden lainsäädännön lähentäminen – Televiestintäala – Henkilötietojen käsittely ja yksityisyyden suoja sähköisen viestinnän alalla – Direktiivi 2002/58 – Jäsenvaltioiden mahdollisuus rajoittaa tiettyjen oikeuksien ja velvollisuuksien ulottuvuutta – Kansallinen säännöstö, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on siirrettävä liikenne- ja paikkatietoja yleisesti ja erotuksetta turvallisuus- ja tiedustelupalveluille – Kansallisen turvallisuuden suojaamisen tavoitetta ei voida hyväksyä
(SEU 4 artiklan 2 kohta; Euroopan unionin perusoikeuskirjan 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta; Euroopan parlamentin ja neuvoston direktiivin 2002/58, sellaisena kuin se on muutettuna direktiivillä 2009/136, 5 artiklan 1 kohta ja 15 artiklan 1 kohta)
(ks. 55–62 ja 65–82 kohta sekä tuomiolauselman 2 kohta)
Tiivistelmä
Unionin tuomioistuin vahvistaa, että unionin oikeus on esteenä kansalliselle säännöstölle, jonka mukaan sähköisten viestintäpalvelujen tarjoajan on rikosten torjumiseksi yleisesti tai kansallisen turvallisuuden takaamiseksi siirrettävä tai säilytettävä liikenne- ja paikkatietoja yleisesti ja erotuksetta.
Tilanteissa, joissa jäsenvaltion kansalliseen turvallisuuteen kohdistuu vakava uhka, joka osoittautuu todelliseksi ja olemassa olevaksi tai ennakoitavissa olevaksi, jäsenvaltio voi sitä vastoin poiketa velvollisuudesta varmistaa sähköiseen viestintään liittyvien tietojen luottamuksellisuus ja edellyttää lainsäädännöllisin toimenpitein, että kyseiset tiedot säilytetään yleisesti ja erotuksetta sellaisen täysin välttämättömään rajoitutun ajanjakson ajan, jota voidaan kuitenkin jatkaa, jos uhka on edelleen olemassa. Jäsenvaltio voi myös vakavan rikollisuuden torjunnan ja yleiseen turvallisuuteen kohdistuvien vakavien uhkien ehkäisemisen osalta säätää mainittujen tietojen kohdennetusta säilyttämisestä ja niiden säilyttämisen nopeasta varmistamisesta. Tällaiseen perusoikeuksiin puuttumiseen on liitettävä tehokkaita takeita, ja tuomioistuimen tai riippumattoman hallintoviranomaisen on valvottava sitä. Jäsenvaltio voi myös säilyttää viestinnän lähteelle annetut IP-osoitteet yleisesti ja erotuksetta, kun säilyttämisen kesto on rajoitettu täysin välttämättömään, tai säilyttää sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevia tietoja yleisesti ja erotuksetta ilman, että säilyttämistä olisi tässä viimeksi mainitussa tapauksessa rajoitettu tiettyyn määräaikaan.
Unionin tuomioistuin on viime vuosina ottanut useissa tuomiossa kantaa henkilötietojen säilyttämiseen ja oikeuteen saada niitä sähköisen viestinnän alalla. ( 1 ) Tästä seurannut oikeuskäytäntö, erityisesti tuomio Tele2 Sverige ja Watson ym., jossa unionin tuomioistuin katsoi muun muassa, että jäsenvaltiot eivät voi asettaa sähköisten viestintäpalvelujen tarjoajille velvollisuutta säilyttää liikenne- ja paikkatietoja yleisesti ja erotuksetta, on aiheuttanut huolta eräille valtioille, jotka pelkäävät, että niiltä on evätty väline, jota ne pitävät tarpeellisena kansallisen turvallisuuden takaamiseksi ja rikollisuuden torjumiseksi.
Investigatory Powers Tribunalin (tutkintavaltuuksia koskevia asioita käsittelevä tuomioistuin, Yhdistynyt kuningaskunta) (Privacy International, C-623/17), Conseil d’État’n (ylin hallintotuomioistuin, Ranska) (La Quadrature du Net ym., yhdistetyt asiat C-511/18 ja C-512/18) ja Cour constitutionnellen (perustuslakituomioistuin, Belgia) (Ordre des barreaux francophones et germanophone ym., C-520/18) käsiteltäviksi on tätä taustaa vasten saatettu oikeusriitoja, jotka koskevat tiettyjen jäsenvaltioiden näillä aloilla antamien sellaisten säännöstöjen lainmukaisuutta, joissa säädetään erityisesti sähköisten viestintäpalvelujen tarjoajien velvollisuudesta siirtää viranomaiselle käyttäjien liikenne- ja paikkatiedot tai säilyttää kyseiset tiedot yleisesti tai erotuksetta.
Unionin tuomioistuin toteaa kahdessa 6.10.2020 suurena jaostona antamassaan tuomiossa ensinnäkin, että sähköisen viestinnän tietosuojadirektiiviä sovelletaan kansallisiin säännöstöihin, joiden mukaan sähköisten viestintäpalvelujen tarjoajien on kansallisen turvallisuuden takaamiseksi ja rikollisuuden torjumiseksi toteutettava henkilötietojen käsittelyä, kuten esimerkiksi siirtää henkilötietoja viranomaisille tai säilyttää niitä. Unionin tuomioistuin vahvistaa lisäksi tuomioon Tele2 Sverige ja Watson ym. perustuvan oikeuskäytäntönsä, joka koskee liikenne- ja paikkatietojen yleisen ja erotuksetta tapahtuvan säilyttämisen suhteettomuutta, samalla kun se täsmentää muun muassa sen toimivallan laajuutta, joka kyseisessä direktiivissä annetaan jäsenvaltioille tällaisten tietojen edellä mainittuihin tarkoituksiin tapahtuvan säilyttämisen osalta.
Unionin tuomioistuin pyrkii ensinnäkin hälventämään nyt esillä olevissa asioissa esitetyt epäilykset sähköisen viestinnän tietosuojadirektiivin sovellettavuudesta. Useat unionin tuomioistuimelle kirjallisia huomautuksia esittäneet jäsenvaltiot ovat näet esittäneet tästä eriävän mielipiteen. Ne ovat väittäneet muun muassa, ettei kyseistä direktiiviä ole sovellettava kyseessä oleviin kansallisiin säännöstöihin, koska näiden tarkoituksena on kansallisen turvallisuuden takaaminen, joka kuuluu niiden yksinomaiseen toimivaltaan, kuten etenkin SEU 4 artiklan 2 kohdan kolmas virke osoittaa. Unionin tuomioistuin katsoo kuitenkin, että kansalliset säännöstöt, joiden mukaan sähköisten viestintäpalvelujen tarjoajien on säilytettävä liikenne- ja paikkatietoja tai siirrettävä ne kansallisille turvallisuus- ja turvallisuusviranomaisille tähän tarkoitukseen, kuuluvat direktiivin soveltamisalaan.
Unionin tuomioistuin muistuttaa niinikään, että sähköisen viestinnän tietosuojadirektiivissä ( 2 ) ei sallita sitä, että sähköisen viestinnän ja siihen liittyvien tietojen luottamuksellisuuden takaamista koskevasta periaatteellisesta velvollisuudesta ja näiden tietojen tallentamista koskevasta kiellosta poikkeamisesta tulisi sääntö. Tämä merkitsee sitä, että kyseisessä direktiivissä sallitaan se, että jäsenvaltiot toteuttavat muun muassa kansallisen turvallisuuden vuoksi lainsäädännöllisiä toimenpiteitä, joilla rajoitetaan kyseisessä direktiivissä säädettyjen oikeuksien ja velvollisuuksien ulottuvuutta ja erityisesti velvollisuutta taata viestinnän ja liikennetietojen luottamuksellisuus, ( 3 ) ainoastaan, jos unionin oikeuden yleisiä periaatteita, joihin kuuluu suhteellisuusperiaate, ja perusoikeuskirjassa taattuja perusoikeuksia ( 4 ) noudatetaan.
Unionin tuomioistuin katsoo tässä yhteydessä yhtäältä asiassa Privacy International, että sähköisen viestinnän tietosuojadirektiivi, luettuna perusoikeuskirjan valossa, on esteenä kansalliselle säännöstölle, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on kansallisen turvallisuuden takaamiseksi siirrettävä liikenne- ja paikkatietoja yleisesti ja erotuksetta turvallisuus- ja tiedustelupalveluille. Toisaalta yhdistetyissä asioissa La Quadrature du Net ym. ja asiassa Ordre des barreaux francophones et germanophone ym. unionin tuomioistuin katsoo, että tämä sama direktiivi on esteenä lainsäädännöllisille toimenpiteille, joilla sähköisten viestintäpalvelujen tarjoajat velvoitetaan ennakoivasti säilyttämään liikenne- ja paikkatietoja yleisesti ja erotuksetta. Nämä velvollisuudet, jotka koskevat tällaisten tietojen siirtämistä ja yleistä ja erotuksetta tapahtuvaa säilyttämistä, merkitsevät näet erityisen vakavaa puuttumista perusoikeuskirjassa taattuihin perusoikeuksiin ilman, että niiden henkilöiden, joiden tiedot ovat kyseessä, toiminta liittyisi kyseessä olevan säännöstön tavoitteeseen. Unionin tuomioistuin tulkitsee yleisen tietosuoja-asetuksen ( 5 ) 23 artiklan 1 kohtaa, luettuna perusoikeuskirjan valossa, analogisesti siten, että se on esteenä kansalliselle säännöstölle, jonka mukaan yhteyttä yleisölle tarkoitettuihin verkkoviestintäpalveluihin tarjoavien toimijoiden ja hosting-palvelujen tarjoajien on säilytettävä yleisesti ja erotuksetta muun muassa kyseisiin palveluihin liittyvät henkilötiedot.
Unionin tuomioistuin katsoo sitä vastoin, että tilanteissa, joissa asianomaisen jäsenvaltion kansalliseen turvallisuuteen kohdistuu vakava uhka, joka osoittautuu todelliseksi ja olemassa olevaksi tai ennakoitavaksi olevaksi, sähköisen viestinnän tietosuojadirektiivi, luettuna perusoikeuskirjan valossa, ei ole esteenä sille, että sähköisten viestintäpalvelujen tarjoajat määrätään säilyttämään liikenne- ja paikkatietoja yleisesti ja erotuksetta. Unionin tuomioistuin täsmentää tässä yhteydessä, että joko tuomioistuimen tai riippumattoman hallinnollisen elimen, jonka ratkaisu on sitova, on valvottava tehokkaasti päätös, jolla tällainen määräys annetaan ajanjaksoksi, joka on rajoitettu täysin välttämättömään, sen tarkastamiseksi, että kyseessä on jokin näistä tilanteista ja että niitä edellytyksiä ja takeita, joista on säädettävä, noudatetaan. Mainittu direktiivi ei samoin edellytyksin ole esteenä myöskään kaikkien sähköisten viestintävälineiden käyttäjien tietojen ja muun muassa liikenne- ja paikkatietojen automaattiselle analysoinnille.
Unionin tuomioistuin toteaa vielä, että sähköisen viestinnän tietosuojadirektiivi, luettuna perusoikeuskirjan valossa, ei ole esteenä lainsäädännöllisille toimenpiteille, jotka mahdollistavat liikenne- ja paikkatietojen kohdennetun säilyttämisen, joka on ajallisesti rajoitettu täysin välttämättömään ja joka on objektiivisten ja syrjimättömien seikkojen perusteella rajattu asianomaisten henkilöiden ryhmien mukaan tai maantieteellisen kriteerin avulla. Kyseinen direktiivi ei niinikään ole esteenä tällaisille toimenpiteille, joissa säädetään viestinnän lähteelle annettujen IP-osoitteiden yleisestä ja erotuksetta tapahtuvasta säilyttämisestä, siltä osin kuin säilytysaika on rajoitettu täysin välttämättömään, eikä toimenpiteille, joissa säädetään sähköisten viestintävälineiden käyttäjien henkilöllisyyttä koskevien tietojen tällaisesta säilyttämisestä, ja jäsenvaltioiden ei viimeksi mainitussa tapauksessa tarvitse rajoittaa säilyttämistä ajallisesti. Mainittu direktiivi ei myöskään ole esteenä lainsäädännölliselle toimenpiteelle, jossa sallitaan palveluntarjoajien käytössä olevien tietojen säilyttämisen nopea varmistaminen silloin, kun syntyy tilanteita, joissa on välttämätöntä säilyttää mainitut tiedot lakisääteisten säilytysaikojen päättymisen jälkeen vakavien rikosten tai kansalliseen turvallisuuteen kohdistuvien loukkausten selvittämiseksi, kun nämä rikokset tai loukkaukset on jo todettu tai kun niiden olemassaoloa voidaan kohtuudella epäillä.
Unionin tuomioistuin toteaa lisäksi, että sähköisen viestinnän tietosuojadirektiivi, luettuna perusoikeuskirjan valossa, ei ole esteenä kansalliselle säännöstölle, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on kerättävä reaaliajassa muun muassa liikenne- ja paikkatietoja, kun tämä kerääminen on rajattu henkilöihin, joiden osalta on olemassa pätevä syy epäillä, että he osallistuvat tavalla tai toisella terrorismiin, ja keräämiseen kohdistuu joko tuomioistuimen tai sellaisen riippumattoman hallinnollisen elimen, jonka ratkaisu on sitova, suorittama etukäteisvalvonta, jolla varmistetaan, että tällainen tietojen kerääminen reaaliajassa sallitaan ainoastaan täysin välttämättömän rajoissa. Kiireellisessä tapauksessa valvonta on suoritettava viipymättä.
Unionin tuomioistuin tarkastelee lopuksi kysymystä unionin oikeuden vastaiseksi todetun kansallisen säännöstön ajallisten vaikutusten pysyttämisestä. Se katsoo tältä osin, että kansallinen tuomioistuin ei voi soveltaa kansallisen oikeutensa säännöstä, jossa sille annetaan toimivalta rajoittaa ajallisesti sellaisen lainvastaisuutta koskevan toteamuksen vaikutuksia, joka sen on kyseisen oikeuden nojalla tehtävä kansallisesta lainsäädännöstä, jonka mukaan sähköisten viestintäpalvelujen tarjoajien on säilytettävä sähköisen viestinnän tietosuojadirektiivin, luettuna perusoikeuskirjan valossa, vastaisesti liikenne- ja paikkatietoja yleisesti ja erotuksetta.
Jotta kansalliselle tuomioistuimelle voidaan antaa hyödyllinen vastaus, unionin tuomioistuin huomauttaa tämän jälkeen, että sellaisten todisteiden hyväksyttävyys ja arviointi, jotka on hankittu unionin oikeuden vastaisella tietojen säilyttämisellä, rikosprosessissa, joka on pantu vireille vakavista rikoksista epäiltyjä henkilöitä vastaan, kuuluu unionin oikeuden nykytilassa yksinomaan kansallisen oikeuden soveltamisalaan. Unionin tuomioistuin täsmentää kuitenkin, että sähköisen viestinnän tietosuojadirektiivissä, tulkittuna tehokkuusperiaatteen valossa, edellytetään, että kansallinen rikostuomioistuin jättää tällaisessa rikosprosessissa huomiotta todisteet, jotka on hankittu unionin oikeuden vastaisella liikenne- ja paikkatietojen yleisesti ja erotuksetta tapahtuvalla säilyttämisellä, jos rikoksista epäillyt henkilöt eivät voi tehokkaasti ilmaista käsitystään näistä todisteista.
( 1 ) Unionin tuomioistuin totesi siten 8.4.2014 antamassaan tuomiossa Digital Rights Ireland ym. (C-293/12 ja C-594/12, EU:C:2014:238) (ks. lehdistötiedote nro 54/14), että yleisesti saatavilla olevien sähköisten viestintäpalvelujen tai yleisten viestintäverkkojen yhteydessä tuotettavien tai käsiteltävien tietojen säilyttämisestä ja direktiivin 2002/58/EY muuttamisesta 15.3.2006 annettu Euroopan parlamentin ja neuvoston direktiivi 2006/24/EY (EUVL 2006, L 105, s. 54) oli pätemätön sillä perusteella, ettei kyseisessä direktiivissä säädetystä yleisestä velvollisuudesta säilyttää liikenne- ja paikkatietoja aiheutuvaa puuttumista Euroopan unionin perusoikeuskirjassa (jäljempänä perusoikeuskirja) tunnustettuihin yksityiselämän kunnioitusta ja henkilötietojen suojaa koskeviin oikeuksiin ollut rajoitettu täysin välttämättömään. Unionin tuomioistuin tulkitsi 21.12.2016 antamassaan tuomiossa Tele2 Sverige ja Watson ym. (C-203/15 ja C-698/15, EU:C:2016:970) (lehdistötiedote nro 145/16) tämän jälkeen henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12.7.2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) (EYVL 2002, L 201, s. 37), sellaisena kuin se on muutettuna 25.11.2009 annetulla Euroopan parlamentin ja neuvoston direktiivillä 2009/136/EY (EUVL 2009, L 337, s. 11) (jäljempänä sähköisen viestinnän tietosuojadirektiivi), 15 artiklan 1 kohtaa. Kyseisessä artiklassa jäsenvaltioille annetaan toimivalta toteuttaa – muun muassa kansallisen turvallisuuden suojaamiseen liittyvistä syistä – ”lainsäädännöllisiä toimenpiteitä” tiettyjen direktiivissä säädettyjen oikeuksien ja velvollisuuksien ulottuvuuden rajoittamiseksi. Unionin tuomioistuin tulkitsi lopuksi 2.10.2018 annetussa tuomiossa Ministerio Fiscal (C-207/16, EU:C:2018:788) (ks. lehdistötiedote nro 141/18) samaa 15 artiklan 1 kohtaa asiassa, joka koski viranomaisten oikeutta saada tietoja sähköisten viestintävälineiden käyttäjien henkilöllisyydestä.
( 2 ) Direktiivin 2002/58 15 artiklan 1 ja 3 kohta.
( 3 ) Direktiivin 2002/58 5 artiklan 1 kohta
( 4 ) Erityisesti perusoikeuskirjan 7, 8 ja 11 artikla sekä 52 artiklan 1 kohta.
( 5 ) Luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta 27.4.2016 annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus) (EUVL 2016, L 119, s. 1).