Pravni okvir

Pravo Unije

Direktiva 95/46

Direktiva 97/66

Direktiva 2000/31

Direktiva 2002/21

Direktiva 2002/58

Uredba 2016/679

Francusko pravo

Zakonik o unutarnjoj sigurnosti

CPCE

Zakon br. 2004‑575 od 21. lipnja 2004. za promicanje povjerenja u digitalnu ekonomiju

Uredba br. 2011‑219

Belgijsko pravo

Glavni postupci i prethodna pitanja

Predmet C‑511/18

Predmet C‑512/18

Predmet C‑520/18

Postupak pred Sudom

Prethodna pitanja

Prvo pitanje u predmetima C‑511/18 i C‑512/18 te prvo i drugo pitanje u predmetu C‑520/18

Uvodne napomene

Područje primjene Direktive 2002/58

Tumačenje članka 15. stavka 1. Direktive 2002/58

– Zakonske mjere kojima je predviđeno preventivno zadržavanje podataka o prometu i lokaciji radi zaštite nacionalne sigurnosti

– Zakonske mjere kojima je predviđeno preventivno zadržavanje podataka o prometu i lokaciji radi borbe protiv kriminala i zaštite javne sigurnosti

– Zakonske mjere kojima je predviđeno preventivno zadržavanje IP adresa i podataka o građanskom identitetu radi borbe protiv kriminala i zaštite javne sigurnosti

– Zakonske mjere kojima je predviđeno hitno zadržavanje podataka o prometu i lokaciji radi borbe protiv teških kaznenih djela

Drugo i treće pitanje u predmetu C‑511/18

Automatska analiza podataka o prometu i lokaciji

Prikupljanje podataka o prometu i lokaciji u stvarnom vremenu

Obavještavanje osoba čiji se podaci prikupljaju ili analiziraju

Drugo pitanje u predmetu C‑512/18

Treće pitanje u predmetu C‑520/18

Troškovi

–

za La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net i Center for Democracy and Technology, A. Fitzjean Ò Cobhthaigh, avocat,

–

za French Data Network, Y. Padova, avocat,

–

za Privacy International, H. Roy, avocat,

–

za Ordre des barreaux francophones et germanophone, E. Kiehl, P. Limbrée, E. Lemmens, A. Cassart i J.-F. Henrotte, avocats,

–

za Académie Fiscale ASBL i UA, J.-P. Riquet,

–

za Liga voor Mensenrechten ASBL, J. Vander Velpen, avocat,

–

za Ligue des Droits de l’Homme ASBL, R. Jespers i J. Fermon, avocats,

–

za VZ, WY i XX, D. Pattyn, avocat,

–

za Child Focus, N. Buisseret, K. De Meester i J. Van Cauter, avocats,

–

za francusku vladu, D. Dubois, F. Alabrune, D. Colas, E. de Moustier i A.-L. Desjonquères, a zatim D. Dubois, F. Alabrune, E. de Moustier i A.-L. Desjonquères, u svojstvu agenata,

–

za belgijsku vladu, J.-C. Halleux, P. Cottin i C. Pochet, u svojstvu agenata, uz asistenciju J. Vanpraet, Y. Peeters, S. Depré i E. de Lophem, avocats,

–

za češku vladu, M. Smolek, J. Vláčil i O. Serdula, u svojstvu agenata,

–

za dansku vladu, J. Nymann‑Lindegren, M. Wolff i P. Ngo, a zatim J. Nymann‑Lindegren i M. Wolff, u svojstvu agenata,

–

za njemačku vladu, J. Möller, M. Hellmann, E. Lankenau, R. Kanitz i T. Henze, a zatim J. Möller, M. Hellmann, E. Lankenau i R. Kanitz, u svojstvu agenata,

–

za estonsku vladu, N. Grünberg i A. Kalbus, u svojstvu agentica,

–

za irsku vladu, A. Joyce, M. Browne i G. Hodge, u svojstvu agenata, uz asistenciju D. Fennellyja, BL,

–

za španjolsku vladu, L. Aguilera Ruiz i A. Rubio González, a zatim L. Aguilera Ruiz, u svojstvu agenata,

–

za ciparsku vladu, E. Neofytou, u svojstvu agentice,

–

za latvijsku vladu, V. Soņeca, u svojstvu agentice,

–

za mađarsku vladu, M. Z. Fehér i Z. Wagner, a zatim M. Z. Fehér, u svojstvu agenta,

–

za nizozemsku vladu, M. K. Bulterman i M. A. M. de Ree, u svojstvu agentica,

–

za poljsku vladu, B. Majczyna, J. Sawicka i M. Pawlicka, u svojstvu agenata,

–

za švedsku vladu, H. Shev, H. Eklinder, C. Meyer‑Seitz, i A. Falk, a zatim H. Shev, H. Eklinder, C. Meyer‑Seitz i J. Lundberg, u svojstvu agenatica,

–

za vladu Ujedinjene Kraljevine, S. Brandon, u svojstvu agenta, uz asistenciju G. Facennae, QC, i C. Knighta, barrister,

–

[alineja izbrisana rješenjem od 16. studenoga 2020.],

–

za Europsku komisiju, H. Kranenborg, M. Wasmeier, P. Costa de Oliveira, a zatim H. Kranenborg i M. Wasmeier, u svojstvu agenata,

–

za Europskog nadzornika za zaštitu podataka, T. Zerdick i A. Buchta, u svojstvu agenata,

1

Zahtjevi za prethodnu odluku odnose se na tumačenje članka 15. stavka 1. Direktive 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.), kako je izmijenjena Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. (SL 2009., L 337, str. 11.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 224. i ispravci SL 2017., L 162, str. 56. i SL, 2018., L 74, str. 11.) (u daljnjem tekstu: Direktiva 2002/58), s jedne strane, i članaka 12. do 15. Direktive 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL 2000., L 178, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 39., str. 58.), u vezi s člancima 4., 6. do 8. i 11. kao i člankom 52. stavkom 1. Povelje Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja) te člankom 4. stavkom 2. UEU‑a, s druge stranke.

2

Zahtjev u predmetu C‑511/18 upućen je u okviru sporova između La Quadrature du Net, French Data Network, Fédération des fournisseurs d’accès à Internet associatifs i Igwan.net, s jedne strane, i Premier ministre (predsjednik vlade, Francuska), Garde des Sceaux, ministre de la Justice (čuvar državnog pečata, ministar pravosuđa, Francuska), ministre de l’Intérieur (ministar unutarnjih poslova, Francuska) i ministre des Armées (ministar obrane, Francuska), s druge strane, u vezi sa zakonitošću décret no 2015‑1185, du 28 septembre 2015, portant désignation des services spécialisés de renseignement (Uredba br. 2015‑1185 od 28. rujna 2015. o uspostavi specijaliziranih službi za prikupljanje podataka) (JORF od 29. rujna 2015., tekst 1 od 97, u daljnjem tekstu: Uredba br. 2015‑1185), décret no 2015‑1211, du 1er octobre 2015, relatif au contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’État (Uredba br. 2015‑1211 od 1. listopada 2015. o sporovima o primjeni tehnika prikupljanja podataka podvrgnutih odobrenju i spisima u pogledu nacionalne sigurnosti) (JORF od 2. listopada 2015., tekst 7 od 108, u daljnjem tekstu: Uredba br. 2015‑1211), décret no 2015‑1639, du 11 décembre 2015, relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du livre VIII du code de la sécurité intérieure, pris en application de l’article L. 811‑4 code de la sécurité intérieure (Uredba br. 2015‑1639 od 11. prosinca 2015. o uspostavi službi različitih od specijaliziranih službi za prikupljanje podataka, ovlaštenih koristiti tehnike iz glave V. knjige VIII. Zakonika o unutarnjoj sigurnosti donesene na temelju članka L. 811‑4 Zakonika o unutarnjoj sigurnosti) (JORF od 12. prosinca 2015., tekst 28 od 127, u daljnjem tekstu: Uredba br. 2015‑1639), kao i décret no 2016‑67, du 29 janvier 2016, relatif aux techniques de recueil de renseignement (Uredba br. 2016‑67 od 29. siječnja 2016. o tehnikama prikupljanja podataka) (JORF od 31. siječnja 2016., tekst 2 od 113, u daljnjem tekstu: Uredba br. 2016‑67).

3

Zahtjev u predmetu C‑512/18 upućen je u okviru sporova između French Data Network, La Quadrature du Net i Fédération des fournisseurs d’accès à Internet associatifs, s jedne strane, i Premier ministre (predsjednik vlade, Francuska) i Garde des Sceaux, ministre de la justice (čuvar državnog pečata, ministar pravosuđa, Francuska), s druge strane, u vezi sa zakonitošću članka R. 10‑13 code des postes et des communications électroniques (Zakonik o pošti i elektroničkim komunikacijama, u daljnjem tekstu: CPCE) i décret no 2011‑219, du 25 février 2011, relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (Uredba br. 2011‑219 od 25. veljače 2011. o zadržavanju i priopćavanju podataka koji omogućuju identifikaciju svake osobe koja je doprinijela stvaranju sadržaja dostupnog na internetu) (JORF od 1. ožujka 2011., tekst 32 od 170, u daljnjem tekstu: Uredba br. 2011‑219).

4

Zahtjev u predmetu C‑520/18 upućen je u okviru sporova između Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL, UA, Liga voor Mensenrechten ASBL, Ligue des Droits de l’Homme ASBL, VZ, WY i XX, s jedne strane, i Conseil des ministres (Vijeće ministara, Belgija), s druge strane, u vezi sa zakonitošću loi du 29 mai 2016 relative à la collecte et à la conservation des données dans le secteur des communications électroniques (Zakon od 29. svibnja 2016. o prikupljanju i zadržavanju podataka u području elektroničkih komunikacija) (Moniteur belge od 18. srpnja 2016., str. 44717., u daljnjem tekstu: Zakon od 29. svibnja 2016.).

5

Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.) stavljena je izvan snage Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (SL 2016., L 119, str. 1. i ispravak SL 2018., L 127, str. 2.), s učinkom od 25. svibnja 2018. Članak 3. stavak 2. Direktive 95/46 određivao je:

„Ova se Direktiva ne primjenjuje na obradu osobnih podataka:

6

Članak 22. Direktive 95/46, koji se nalazi u njezinu poglavlju III. naslovljenom „Pravni lijekovi, odgovornost i sankcije”, glasio je kako slijedi:

„Ne dovodeći u pitanje pravne lijekove u upravnom postupku koji se mogu propisati, među ostalim, pred nadzornim tijelom iz članka 28. ove Direktive, prije upućivanja sudskom tijelu države članice utvrđuju pravo svake osobe na pravni lijek za slučaj kršenja prava koje joj je osigurano nacionalnim pravom koje se primjenjuje na tu obradu.”

7

U skladu s člankom 5. Direktive 97/66/EZ Europskog parlamenta i Vijeća od 15. prosinca 1997. o obradi osobnih podataka i zaštiti privatnosti u području telekomunikacija (SL 1997., L 24, str. 1.), naslovljenim „Povjerljivost komunikacija”:

„1.   Države članice putem nacionalnih propisa osiguravaju povjerljivost komunikacija koje se odvijaju preko javne komunikacijske mreže ili javno dostupnih elektroničkih komunikacijskih usluga. One posebno zabranjuju svim osobama koje nisu korisnici slušanje, prisluškivanje, pohranjivanje ili druge oblike presretanja odnosno nadzora nad komunikacijama, bez pristanka korisnika, osim u slučaju kada imaju zakonsko dopuštenje da to učine u skladu s člankom 14. stavkom 1.

2.   Stavak 1. ne utječe na zakonski dopušteno snimanje komunikacija u okviru zakonitog poslovanja u svrhu pružanja dokaza o trgovačkoj transakciji ili o svakoj drugoj poslovnoj komunikaciji.” [neslužbeni prijevod]

8

U uvodnim izjavama 14. i 15. Direktive 2000/31 predviđeno je:

9

Članak 1. Direktive 2000/31 glasi kako slijedi:

„1.   Ova Direktiva ima za cilj doprinijeti pravilnom funkcioniranju unutarnjeg tržišta osiguranjem slobodnog kretanja usluga informacijskog društva između država članica.

2.   Ova Direktiva usklađuje, u mjeri potrebnoj za postizanje cilja iz stavka 1., pojedine nacionalne odredbe o uslugama informacijskog društva koje se odnose na unutarnje tržište, poslovni nastan davatelja usluga, komercijalna priopćenja, elektroničke ugovore, odgovornost posrednika, kodeks ponašanja, izvansudske nagodbe, mogućnosti tužbe i suradnju između država članica.

3.   Ova Direktiva dopunjava pravo Zajednice koje se primjenjuje na usluge informacijskog društva ne dovodeći pritom u pitanje razinu zaštite, posebno zaštite javnog zdravlja i interesa potrošača, koja je utvrđena aktima Zajednice i nacionalnim zakonima kojima se ti akti provode u mjeri u kojoj to ne ograničava slobodu pružanju usluga informacijskog društva.

[…]

5.   Ova Direktiva se ne odnosi na:

[…]

[…]”

10

Članak 2. Direktive 2000/31 glasi kako slijedi:

„Za potrebe ove Direktive, sljedeći pojmovi imaju sljedeća značenja:

[…]”

11

Članak 15. Direktive 2000/31 predviđa:

„1.   Države članice ne mogu uvesti opću obvezu za davatelje usluga da pri pružanju usluga iz članaka 12., 13., i 14. prate informacije koje prenose ili pohranjuju niti opću obvezu da aktivno traže činjenice ili okolnosti koje bi ukazivale na protuzakonite aktivnosti.

2.   Države članice mogu utvrditi obveze za davatelje usluga informacijskog društva da odmah obavijeste nadležna tijela javne vlasti o navodnim protuzakonitim aktivnostima ili informacijama koje poduzimaju odnosno pružaju primatelji njihove usluge ili obvezu da nadležnim tijelima na njihov zahtjev dostave informacije koje omogućuju identifikaciju primatelja njihovih usluga s kojima imaju sporazume o pohrani informacija.”

12

Na temelju uvodne izjave 10. Direktive 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (Okvirna direktiva) (SL 2002., L 108, str. 33.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 49., str. 25.):

„Definicija ‚usluga informacijskog društva’ u članku 1. Direktive [98/34], kako je izmijenjena Direktivom [98/48], obuhvaća cijeli niz gospodarskih aktivnosti koje se odvijaju na internetu. Većina ovih aktivnosti nije obuhvaćena ovom Direktivom budući da se one ne temelje u potpunosti, ili većim dijelom, na prijenosu signala elektroničkim komunikacijskim mrežama. Usluge glasovne telefonije i prijenosa elektroničke pošte obuhvaćene su ovom Direktivom. Isto poduzeće, npr. jedan pružatelj internetskih usluga, može dobavljati oboje, i elektroničke komunikacijske usluge, kao što je pristup internetu, i usluge koje nisu obuhvaćene ovom Direktivom, kao što je pružanje sadržaja na internetu (web‑based).”

13

Članak 2. Direktive 2002/21 predviđa:

„Za potrebe ove Direktive:

[…]

[…]”

14

U uvodnim izjavama 2., 6., 7., 11., 22., 26. i 30. Direktive 2002/58 navodi se:

[…]

[…]

[…]

[…]

[…]

15

Članak 1. Direktive 2002/58, naslovljen „Područje primjene i cilj”, određuje:

„1.   Direktiva osigurava usklađenost nacionalnih odredbi koje su potrebne kako bi se osigurala odgovarajuća razina zaštite osnovnih prava i sloboda, a posebno prava na privatnost i povjerljivost, s obzirom na obradu osobnih podataka u području elektroničkih komunikacija, te kako bi se osiguralo slobodno kretanje takvih podataka i elektroničke komunikacijske opreme i usluga u [Europskoj uniji].

2.   Odredbe ove Direktive pojašnjavaju i nadopunjuju Direktivu [95/46] u svrhe spomenute u stavku 1. Štoviše, one pružaju zaštitu legitimnih interesa pretplatnika koji su pravne osobe.

3.   Ova se Direktiva ne primjenjuje na aktivnosti koje su izvan područja primjene [UFEU‑a], poput onih obuhvaćenih glavama V. i VI. Ugovora o Europskoj uniji, te, u svakom slučaju, na aktivnosti koje se odnose na javnu sigurnost, obranu, državnu sigurnost (uključujući gospodarsku dobrobit države kada se aktivnosti odnose na pitanja državne sigurnosti) te na aktivnosti države u području kaznenog prava.”

16

U skladu s člankom 2. Direktive 2002/58, naslovljenim „Definicije”:

„Definicije iz Direktive [95/46] i Direktive [2002/21] primjenjuju se osim ako nije drukčije određeno.

Sljedeće definicije se također primjenjuju:

[…]”

17

Članak 3. Direktive 2002/58, naslovljen „Usluge”, predviđa:

„Ova se Direktiva primjenjuje na obradu osobnih podataka vezanih uz pružanje javno dostupnih usluga elektroničkih komunikacija na javno dostupnim komunikacijskim mrežama u Zajednici, uključujući javne komunikacijske mreže koje podržavaju prikupljanje podataka i naprava za identifikaciju.”

18

U skladu s člankom 5. Direktive 2002/58, naslovljenim „Povjerljivost komunikacija”:

„1.   Države članice putem svojih zakonodavstava osiguravaju povjerljivost komunikacija i s time povezanih podataka o prometu koji se šalju preko javne komunikacijske mreže i javno dostupnih elektroničkih komunikacijskih usluga. One posebno zabranjuju svim osobama koje nisu korisnici slušanje, prisluškivanje, pohranjivanje ili druge oblike presretanja odnosno nadzora nad komunikacijama i s time povezanim podacima o prometu, bez pristanka korisnika, osim u slučaju kada imaju zakonsko dopuštenje da to učine u skladu s člankom 15. stavkom 1. Ovaj stavak ne sprečava tehničko pohranjivanje koje je nužno za prijenos komunikacije, ne dovodeći u pitanje načelo povjerljivosti.

[…]

3.   Države članice osiguravaju da je pohranjivanje podataka ili uspostavljanje pristupa već pohranjenim podacima na terminalnoj opremi pretplatnika ili korisnika, dozvoljeno samo pod uvjetom da je dotični pretplatnik ili korisnik dao svoj pristanak, nakon što je iscrpno i razumljivo, u skladu s Direktivom [95/46], između ostalog obaviješten o namjeni postupka obrade. Navedeno ne sprečava nikakav oblik tehničke pohrane ili pristupa samo u svrhu izvršavanja prijenosa komunikacije putem elektroničke komunikacijske mreže ili ako je to strogo potrebno, kako bi operator usluge informacijskog društva mogao pružiti uslugu koju je izričito zatražio pretplatnik ili korisnik.”

19

Članak 6. Direktive 2002/58, naslovljen „Podaci o prometu”, određuje:

„1.   Podaci o prometu koji se odnose na pretplatnike i korisnike i koje je davatelj javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge obradio i pohranio moraju se obrisati ili učiniti anonimnima kada više nisu potrebni u svrhu prijenosa komunikacije, ne dovodeći u pitanje stavke 2., 3. i 5. ovog članka te članak 15. stavak 1.

2.   Podaci o prometu koji su nužni u svrhu naplaćivanja usluge od pretplatnika te u svrhu plaćanja međusobnog povezivanja mogu se obraditi. Takva je obrada dopustiva isključivo do kraja razdoblja tijekom kojega se račun može pravno pobijati ili tijekom kojega se može zahtijevati plaćanje.

3.   Za potrebe marketinga usluga elektroničkih komunikacijska ili za potrebe pružanja usluga s dodatnom vrijednošću, operator javno dostupnih usluga elektroničkih komunikacija može obraditi podatke iz stavka 1. u onoj mjeri te u onom vremenskom razdoblju koje je neophodno za takve usluge ili marketing, ako je pretplatnik ili korisnik na kojeg se odnose podaci prethodno dao svoj pristanak. Korisnicima ili pretplatnicima u svakome trenutku daje se mogućnost povlačenja njihovog odobrenja za obradu podataka o prometu.

[…]

5.   Obrada podataka o prometu, u skladu sa stavcima 1., 2., 3. i 4. mora se ograničiti na osobe koje djeluju pod nadzorom davatelja javnih komunikacijskih mreža i javno dostupnih elektroničkih komunikacijskih usluga i koje se bave naplaćivanjem usluga ili upravljanjem prometom, upitima potrošača, otkrivanjem prijevara, marketingom elektroničkih komunikacijskih usluga ili pružanjem usluga s posebnom tarifom, te mora biti ograničena na ono što je nužno u svrhe takvih aktivnosti.”

20

Članak 9. te direktive, naslovljen „Podaci o lokaciji koji nisu podaci o prometu”, predviđa u svojem stavku 1.:

„Ako se mogu obraditi podaci o lokaciji koji nisu podaci o prometu, koji se odnose na korisnike ili pretplatnike javnih komunikacijskih mreža ili javno dostupnih elektroničkih komunikacijskih usluga, takvi podaci mogu se obraditi samo nakon što su učinjeni anonimnima, odnosno uz pristanak korisnika ili pretplatnika, u mjeri i u trajanju potrebnom za pružanje usluge s dodatnom vrijednosti. Davatelj usluga mora obavijestiti korisnike ili pretplatnike, prije dobivanja njihovog pristanka, o vrsti podataka o lokaciji koji nisu podaci o prometu koji će se obraditi, o svrsi i trajanju obrade te hoće li se dotični podaci proslijediti trećoj osobi u svrhu pružanja usluge s posebnom tarifom. […]”

21

Članak 15. navedene direktive, naslovljen „Primjena određenih odredaba Direktive [95/46]”, određuje:

„1.   Države članice mogu donijeti zakonske mjere kojima će ograničiti opseg prava i obveza koji pružaju članak 5., članak 6., članak 8. stavci 1., 2., 3. i 4., te članak 9. ove Direktive kada takvo ograničenje predstavlja nužnu, prikladnu i razmjernu mjeru unutar demokratskog društva s ciljem zaštite nacionalne sigurnosti (odnosno državne sigurnosti), obrane, javne sigurnosti te s ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela odnosno neovlaštene uporabe elektroničkog komunikacijskog sustava iz članka 13. stavka 1. Direktive [95/46]. S tim u vezi, države članice mogu, između ostalog, donijeti zakonske mjere kojima se omogućuje zadržavanje podataka tijekom ograničenog razdoblja opravdane razlozima određenim u ovom stavku. Sve mjere iz ovog stavka moraju biti u skladu s općim načelima prava [Unije], uključujući ona iz članka 6. stavaka 1. i 2. Ugovora o Europskoj uniji.

[…]

2.   Odredbe poglavlja III. o pravnim lijekovima, odgovornosti i sankcijama iz Direktive [95/46] primjenjuju se u vezi s nacionalnim odredbama donesenima prema ovoj Direktivi te u vezi s pravima pojedinaca koja proistječu iz ove Direktive.

[…]”

22

Uvodna izjava 10. Uredbe 2016/679 glasi:

„Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. […]”

23

Člankom 2. te uredbe određeno je:

„1.   Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti [ili djelomično] obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

2.   Ova se Uredba ne odnosi na obradu osobnih podataka:

[…]

[…]

4.   Ovom se Uredbom ne dovodi u pitanje primjena Direktive [2000/31], osobito pravilâ o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. te direktive.”

24

Članak 4. navedene uredbe predviđa:

„Za potrebe ove Uredbe:

[…]”

25

Članak 5. Uredbe 2016/679 određuje:

„1.   Osobni podaci moraju biti:

[…]”

26

Članak 6. te uredbe glasi kako slijedi:

„1.   Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

[…]

[…]

3.   Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:

Svrha obrade određuje se tom pravnom osnovom […] Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.

[…]”

27

Članak 23. navedene uredbe predviđa:

„1.   Na temelju prava Unije ili prava države članice kojem podliježu voditelj obrade podataka ili izvršitelj obrade zakonskom mjerom može se ograničiti opseg obveza i prava iz članaka od 12. do 22. i članka 34. te članka 5. ako te odredbe odgovaraju pravima i obvezama predviđenima u člancima od 12. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu:

2.   Osobito, svaka zakonodavna mjera iz stavka 1. sadrži posebne odredbe, prema potrebi, najmanje o:

28

Prema članku 79. stavku 1. navedene uredbe:

„Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu na temelju članka 77., ispitanik ima pravo na učinkoviti pravni lijek ako smatra da su mu zbog obrade njegovih osobnih podataka protivno ovoj Uredbi prekršena njegova prava iz ove Uredbe.”

29

U skladu s člankom 94. Uredbe 2016/679:

„1.   Direktiva [95/46] stavlja se izvan snage s učinkom od 25. svibnja 2018.

2.   Upućivanja na direktivu koja je stavljena izvan snage tumače se kao upućivanja na ovu Uredbu. Upućivanja na Radnu skupinu o zaštiti pojedinaca s obzirom na obradu osobnih podataka osnovanu člankom 29. Direktive [95/46] tumače se kao upućivanja na Europski odbor za zaštitu podataka osnovan ovom Uredbom.”

30

Člankom 95. te uredbe određeno je:

Ovom Uredbom ne propisuju se dodatne obveze fizičkim ili pravnim osobama u pogledu obrade u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga u javnim komunikacijskim mrežama u Uniji povezanih s pitanjima u pogledu kojih vrijede posebne obveze s istim ciljem iz Direktive [2002/58].”

31

Knjiga VIII. zakonodavnog dijela code de la sécurité intérieure (Zakonik o unutarnjoj sigurnosti, u daljnjem tekstu: CSI) predviđa u svojim člancima L. 801‑1 do L. 898‑1 pravila o prikupljanju podataka.

32

Članak L. 811‑3 CSI‑ja određuje:

„Samo za potrebe obavljanja svojih zadaća, specijalizirane obavještajne službe mogu se koristiti tehnikama spomenutima u glavi V. ove knjige radi prikupljanja podataka koji se odnose na obranu i promicanje sljedećih temeljnih interesa države:

33

Članak L. 811‑4 CSI‑ja određuje:

„Uredbom Conseil d’État (Državno vijeće), donesenom nakon dobivanja mišljenja Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka), određuju se službe različite od specijaliziranih obavještajnih službi koje su podređene ministrima obrane, unutarnjih poslova i pravosuđa te ministrima nadležnima za gospodarstvo, proračun i carinu, i kojima se može odobriti korištenje tehnikama spomenutima u glavi V. ove knjige pod uvjetima predviđenima u istoj knjizi. Za svaku službu njome će se odrediti svrhe spomenute u članku L. 811‑3 i tehnike koje se mogu odobriti.”

34

Članak L. 821‑1 prvi stavak CSI‑ja pojašnjava sljedeće:

„Primjena tehnika za prikupljanje podataka, spomenutih u poglavljima I. do IV. glave V. ove knjige, na državnom području podliježe prethodnom odobrenju predsjednika vlade koje se izdaje nakon što je dobiveno mišljenje Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka).”

35

Članak L. 821‑2 CSI‑ja predviđa:

„Odobrenje spomenuto u članku L. 821‑1 izdaje se na pisani i obrazloženi zahtjev ministra obrane, ministra unutarnjih poslova, ministra pravosuđa ili ministara nadležnih za gospodarstvo, proračun ili carinu. Ovu ovlast svaki ministar može pojedinačno prenijeti samo na neposredne suradnike koji su prošli sigurnosnu provjeru za pristup klasificiranim podacima u vezi s nacionalnom obranom.

U zahtjevu se navodi:

1.° jedna ili više tehnika koje treba primijeniti;

2.° služba za koju se on podnosi;

3.° jedna ili više svrha koje se nastoje postići;

4.° jedan ili više razloga za mjere;

5.° trajanje valjanosti odobrenja;

6.° jedna ili više dotičnih osoba, mjesta ili vozila.

Za primjenu točke 6.°, osobe čiji je identitet nepoznat mogu se označiti svojim identifikatorima ili se njihovo svojstvo, mjesta ili vozila mogu označiti upućivanjem na osobe koje su predmet zahtjeva.

[…]”

36

U skladu s člankom L. 821‑3 trećim stavkom CSI‑ja:

„Zahtjev se dostavlja predsjedniku ili, ako to nije učinjeno, jednom od članova Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) spomenutima u točkama 2.° i 3.° članka L. 831‑1, koji daje mišljenje predsjedniku vlade u roku od dvadeset četiri sata. Ako zahtjev ispituje uži ili puni sastav Komisije, predsjednik vlade se o tome obavještava bez odgode i mišljenje se daje u roku od sedamdeset dva sata.”

37

Članak L. 821‑4 CSI‑ja određuje:

„Odobrenje za primjenu tehnika spomenutih u poglavljima I. do IV. glave V. ove knjige daje predsjednik vlade u najduljem trajanju od četiri mjeseca. […] Odobrenje sadržava obrazloženje i podatke predviđene u točkama 1.° do 6.° članka L. 821‑2. Svako se odobrenje može produljiti pod istim uvjetima koji su predviđeni u ovom poglavlju.

Kada se odobrenje izdaje nakon što je dobiveno nepovoljno mišljenje Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka), u njemu se navode razlozi zbog kojih se to mišljenje nije slijedilo.

[…]”

38

Članak L. 833‑4 CSI‑ja u poglavlju III. te glave određuje:

„Na vlastitu inicijativu ili kada mu je podnesena pritužba bilo koje osobe koja želi provjeriti da se u odnosu na nju nezakonito ne primjenjuje nikakva tehnika za prikupljanje podataka, Komisija provodi nadzor nad navedenom tehnikom ili tehnikama kako bi se provjerilo da su se one primjenjivale ili se primjenjuju poštujući ovu knjigu. Ona obavješćuje podnositelja pritužbe da je provela nužne provjere, pri čemu niti potvrđuje niti opovrgava njihovu primjenu.”

39

Članak L. 841‑1 prvi i drugi stavak CSI‑ja glase kako slijedi:

„Podložno posebnim odredbama predviđenima u članku L. 854‑9 ovog Zakonika, Conseil d’État (Državno vijeće) nadležan je, pod pretpostavkama predviđenima u poglavlju III.bis glave VII. knjige VIII. Zakonika o upravnim sporovima, za odlučivanje o tužbama u vezi s primjenom tehnika za prikupljanje podataka spomenutih u glavi V. ove knjige.

Postupak pred njim može pokrenuti:

1.° svaka osoba koja želi provjeriti da se u odnosu na nju nezakonito ne primjenjuje nikakva tehnika za prikupljanje podataka i koja može dokazati da je prethodno proveden postupak predviđen u članku L. 833‑4;

2.° Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka), pod pretpostavkama predviđenima u članku L. 833‑8.”

40

Glava V. knjige VIII. zakonodavnog dijela CSI‑ja koji se odnosi na „tehnike prikupljanja podataka koje podliježu odobrenju”, uključuje, među ostalim, poglavlje I. naslovljeno „Pristup upravnih tijela podacima o vezi”, koje sadržava članke L. 851‑1 do L. 851‑7 CSI‑ja.

41

Članak L. 851‑1 CSI‑ja određuje:

„U uvjetima utvrđenima u poglavlju I. glave II. ove knjige može se odobriti prikupljanje, od operatora elektroničkih komunikacija i osoba iz članka L. 34‑1 [CPCE‑a] kao i osoba iz članka 6. stavka I. podstavaka 1. i 2. loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (Zakon br. 2004‑575 od 21. lipnja 2004. za promicanje povjerenja u digitalnu ekonomiju) [(JORF od 22. lipnja 2004., str. 11168.)], podataka ili dokumenata koje obrađuju ili zadržavaju njihove mreže ili elektroničke komunikacijske usluge, uključujući tehničkih podataka u pogledu identifikacije pretplatničkih brojeva ili brojeva o vezi s uslugama elektroničkih komunikacija, prikazom svih pretplatničkih brojeva ili brojeva o vezi određene osobe, lokaciji korištene terminalne opreme i komunikacijama pretplatnika, konkretno popis brojeva dolaznih i odlaznih poziva, datume i trajanje komunikacija

Odstupajući od članka L. 821‑2, pojedinačno određeni i ovlašteni agenti obavještajnih službi spomenutih u člancima L. 811‑2 i L. 811‑4 izravno dostavljaju Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) pisane i obrazložene zahtjeve koji se odnose na tehničke podatke u pogledu identifikacije pretplatničkih brojeva ili brojeva o vezi s uslugama elektroničkih komunikacija, prikazom svih pretplatničkih brojeva ili brojeva o vezi određene osobe. Komisija donosi svoje mišljenje pod uvjetima predviđenima u članku L. 821‑3.

Služba predsjednika vlade zadužena je za prikupljanje informacija ili dokumenata od operatora i osoba spomenutih u prvom stavku ovog članka. Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) ima trajan, potpun, izravan i trenutačan pristup prikupljenim informacijama ili dokumentima.

Detaljna pravila za primjenu ovog članka određuju se uredbom u Conseil d’État (Državno vijeće) donesenom nakon što je dobiveno mišljenje Commission nationale de l’informatique et des libertés (Nacionalna komisija za informatiku i slobode) i Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka).”

42

Članak L. 851‑2 CSI‑ja određuje:

„I. – Pod uvjetima predviđenima u poglavlju I. glave II. ove knjige i samo za potrebe sprečavanja terorizma, pojedinačno se može odobriti da se u stvarnom vremenu na mrežama operatora i osoba spomenutih u članku L. 851–1 prikupljaju informacije ili dokumenti koji su spomenuti u istom članku L. 851–1 i odnose se na prethodno identificiranu osobu koja može biti povezana s prijetnjom. Kada postoje ozbiljni razlozi za zaključak da jedna ili više osoba koje pripadaju krugu osobe na koju se odobrenje odnosi mogu pružiti informacije u svrhu kojom je odobrenje obrazloženo, odobrenje se također može izdati pojedinačno za svaku od tih osoba.

I.bis Najveći broj odobrenja koja su izdana primjenom ovog članka i istovremeno su na snazi određuje predsjednik vlade nakon što je dobiveno mišljenje Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka). Komisiju se obavještava o odluci kojom se određuje taj broj i njihova raspodjela među ministrima spomenutima u prvom stavku članka L. 821‑2 kao i broj izdanih odobrenja za presretanje.

[…]”

43

Članak L. 851‑3 CSI‑ja predviđa:

„I. – Pod uvjetima predviđenima u poglavlju I. glave II, ove knjige i samo za potrebe sprečavanja terorizma, operatorima i osobama spomenutima u članku L. 851‑1 može se naložiti da na svojim mrežama primjenjuju postupke za automatsku obradu koji su ovisno o vrijednostima određenima u odobrenju namijenjeni prepoznavanju veza koje mogu otkriti terorističku prijetnju.

Ti postupci za automatsku obradu koriste isključivo informacije ili dokumente spomenute u članku L. 851‑1, pri čemu se ne prikupljaju podaci različiti od onih koji odgovaraju njihovim radnim vrijednostima i ne omogućava identifikacija osoba na koje se informacije ili dokumenti odnose.

Poštujući načelo proporcionalnosti, odobrenjem predsjednika vlade određuje se tehničko područje za provedbu tih postupaka obrade.

II. – Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) izdaje mišljenje o zahtjevu za odobrenje koji se odnosi na postupke za automatsku obradu i odabrane vrijednosti za otkrivanje. Ona ima trajan, potpun i izravan pristup tim postupcima za obradu kao i prikupljenim informacijama i podacima. Nju se obavještava o svakoj izmjeni u postupcima za obradu i vrijednostima te ona može izdavati preporuke.

Prvo odobrenje za primjenu postupaka za automatsku obradu predviđenu u stavku I. ovog članka izdaje se u trajanju od dva mjeseca. Odobrenje se može produljiti pod uvjetima za trajanje predviđenima u poglavlju I. glave II. ove knjige. Zahtjev za produljenje može sadržavati evidenciju o broju identifikatora na koje su upozorili postupci za automatsku obradu i analizu relevantnosti tih upozorenja.

III. – Uvjeti predviđeni u članku L. 871‑6 primjenjivi su na fizičke postupke provedene radi te primjene od strane operatora i osoba spomenutih u članku L. 851‑1.

IV. – Kada se postupcima za obradu spomenutima u stavku I. ovog članka otkriju podaci koji mogu značiti postojanje prijetnje terorističke naravi, predsjednik vlade ili jedna od osoba koju je on delegirao može, nakon mišljenja Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) danog pod uvjetima predviđenima u poglavlju I. glave II. ove knjige, odobriti identifikaciju dotične osobe ili osoba i prikupljanje s time povezanih podataka. Ti se podaci koriste u roku od šezdeset dana od tog prikupljanja i uništavaju se nakon isteka tog roka, osim u slučaju ozbiljnih elemenata koji potvrđuju postojanje terorističke prijetnje povezane s jednom ili više dotičnih osoba.

[…]”

44

Članak L. 851‑4 CSI‑ja glasi kako slijedi:

„Pod uvjetima predviđenima u poglavlju I. glave II. ove knjige, tehničke podatke o lokaciji upotrijebljene terminalne opreme spomenute u članku L. 851‑1 operatori mogu na zahtjev prikupljati s mreže i u stvarnom ih vremenu prenositi službi predsjednika vlade.”

45

Članak R. 851‑5 CSI‑ja, koji se nalazi u regulatornom dijelu tog zakonika, predviđa:

„I. – Informacije ili dokumenti spomenuti u članku L. 851‑1, osim sadržaja razmijenjene prepiske ili informacija do kojih se dolazi, jesu:

1.° one navedene u člancima R. 10‑13 i R. 10‑14 [CPCE‑a] i u članku 1. Uredbe [br. 2011‑219];

2.° tehnički podaci različiti od onih spomenutih u točki 1.°, koji:

(a) omogućuju utvrđivanje lokacije terminalne opreme;

(b) se odnose na pristup terminalne opreme mrežama ili javnim internetskim komunikacijskim uslugama;

(c) se odnose na prijenos elektroničkih komunikacija preko mreža;

(d) se odnose na identificiranje i autentifikaciju korisnika, veze, mreže ili javne internetske komunikacijske usluge;

(e) se odnose na značajke terminalne opreme i podatke za podešavanje njezina softvera.

II. – Na temelju članka L. 851‑1 prikupljati se smiju samo informacije i dokumenti spomenuti u točki 1.° stavka I. To se prikupljanje obavlja izvan stvarnog vremena.

Informacije navedene u točki 2.° stavka I. mogu se prikupljati samo na temelju članaka L. 851‑2 i L. 851‑3 pod uvjetima i u granicama koji su predviđeni u tim člancima te podložno primjeni članka R. 851‑9.”

46

Članak L. 34‑1 CPCE‑a određuje:

„ I – Ovaj se članak primjenjuje na obradu osobnih podataka vezanih uz pružanje javno dostupnih usluga elektroničkih komunikacija; primjenjuje se među ostalim na komunikacijske mreže koje podržavaju prikupljanje podataka i naprave za identifikaciju.

II. – Operatori elektroničkih komunikacija, i osobito osobe čija je djelatnost nuditi pristup javnim internetskim komunikacijskim uslugama, brišu ili anonimiziraju bilo kakav podatak o prometu, podložno odredbama stavaka III., IV., V. i VI.

Pružatelji javno dostupnih elektroničkih komunikacijskih usluga, u skladu s odredbama prethodnog podstavka, uspostavljaju unutarnje postupke za odgovaranje na zahtjeve nadležnih tijela.

Pružatelji koji, na temelju glavne ili sporedne profesionalne djelatnosti, pružaju javno dostupnu vezu koja omogućuje internetsku komunikaciju s pomoću pristupa mreži, čak i besplatno, obvezni su poštovati odredbe koje se primjenjuju na operatore elektroničkih komunikacija na temelju ovog članka.

III. – U svrhu istraživanja, utvrđivanja i progona kaznenih djela ili povrede obveze iz članka L. 336‑3 code de la propriété intellectuelle (Zakonik o intelektualnom vlasništvu) ili u svrhu sprečavanja ugrožavanja sustava automatizirane obrade podataka predviđenog i kažnjivog člancima 323‑1 do 323‑3-1 code pénal (Kazneni zakonik), i u cilju omogućavanja, ako to bude potrebno, stavljanja na raspolaganje sudskom tijelu ili visokom tijelu spomenutom u članku L. 331‑12 Zakonika o intelektualnom vlasništvu ili Autorité nationale de sécurité des systèmes d’information (Nacionalno tijelo za sigurnost informacijskih sustava) spomenutom u članku L. 2321‑1 code de la défense (Zakonika o obrani), radnje kojima je svrha brisanje ili anonimizacija određenih kategorija tehničkih podataka mogu se odgoditi najviše za jednu godinu. Uredbom koju je donio Conseil d’État (Državno vijeće), nakon što je dobiveno mišljenje Commission nationale de l’informatique et des libertés (Nacionalna komisija za informatiku i slobode), određuju se, u granicama utvrđenima u stavku VI., te kategorije podataka i trajanje njihova zadržavanja, ovisno o djelatnosti operatora i prirodi komunikacije te načinu naknade mogućih dodatnih odredivih i posebnih troškova usluga koje su u tom pogledu operatori pružali na zahtjev države.

[…]

VI. – Podaci koji se zadržavaju i obrađuju u uvjetima utvrđenima u stavcima III., IV. i V. odnose se isključivo na identifikaciju korisnika usluga koje pružaju operatori, na tehničke značajke komunikacija koje pružaju potonji operatori i na lokaciju terminalne opreme.

Ni u kojem se slučaju ne odnose na sadržaj razmijenjene prepiske ili informacije do kojih se dolazi, u bilo kojem obliku, u okviru tih komunikacija.

Ti se podaci zadržavaju i obrađuju u skladu s odredbama Zakona br. 78‑17 od 6. siječnja 1978. o informatici, sustavima pohrane i slobodama.

Operatori poduzimaju sve mjere kako bi spriječili uporabu tih podataka u svrhe koje nisu predviđene ovim člankom.”

47

Članak R. 10‑13 CPCE‑a glasi kako slijedi:

« I. – U svrhu istrage, otkrivanja i progona kaznenih djela operatori elektroničkih komunikacija zadržavaju, na temelju stavka III. članka L. 34‑1, sljedeće podatke:

(a) podatke kojima se identificira korisnik;

(b) podatke o korištenoj komunikacijskoj terminalnoj opremi;

(c) tehničke značajke te datum, vrijeme i trajanje svake komunikacije;

(d) podatke o zatraženim ili upotrijebljenim dodatnim uslugama i njihovim pružateljima;

(e) podatke koji omogućuju identifikaciju jednog ili više primatelja komunikacije.

II. – Glede aktivnosti telefonije operator zadržava podatke spomenute u stavku II. te, usto, one koji omogućuju otkrivanje podrijetla i lokacije komunikacije.

III. – Zadržavanje podataka spomenutih u ovom članku traje jednu godinu od dana zapisa.

IV. – Odredivi i posebni troškovi koje snose operatori i koji su potrebni pravosudnim tijelima radi pružanja podataka koji spadaju u kategorije spomenute u ovom članku nadoknađuju se na načine predviđene u članku R. 213‑1 Zakonika o kaznenom postupku.”

48

Članak R. 10‑14 CPCE‑a predviđa:

„I. – Na temelju stavka IV. članka L. 34‑1 operatori elektroničkih komunikacija ovlašteni su za potrebe svojeg poslovanja u vidu izdavanja računa i plaćanja zadržati tehničke podatke na temelju kojih se korisnik može identificirati kao i one spomenute u točkama (b), (c) i (d) stavka I. članka R. 10‑13.

II. – Glede aktivnosti telefonije operatori mogu, osim podataka spomenutih u stavku I., zadržati tehničke podatke o lokaciji komunikacije, identifikaciji jednog ili više adresata komunikacije i podatke za izdavanje računa.

III. – Podaci spomenuti u stavcima I. i II. ovog članka mogu se zadržati samo ako su nužni za izdavanje računa i plaćanje pruženih usluga. Oni će se zadržati toliko dugo koliko je strogo nužno u tu svrhu, a najduže godinu dana.

IV. – Radi sigurnosti mreža i postrojenja, operateri mogu najduže tri mjeseca zadržati:

(a) podatke koji omogućuju identifikaciju izvora komunikacije;

(b) tehničke značajke, poput datuma, vremena i trajanja svake komunikacije;

(c) tehničke podatke koji omogućuju identifikaciju jednog ili više primatelja komunikacije;

(d) podatke o zatraženim ili upotrijebljenim dodatnim uslugama i njihovim pružateljima.”

49

Članak 6. Zakona br. 2004‑575 od 21. lipnja 2004. za promicanje povjerenja u digitalnu ekonomiju (JORF od 22. lipnja 2004., str. 11168., u daljnjem tekstu: LCEN) predviđa:

„I. – 1.   Osobe čija je djelatnost nuditi pristup javnim internetskim komunikacijskim uslugama obavještavaju svoje pretplatnike o postojanju tehničkih sredstava koja omogućavaju ograničavanje pristupa određenim uslugama ili njihovu odabiru te im nude barem jedno od tih sredstava.

[…]

2.   Fizičke ili pravne osobe koje, čak i besplatno, za stavljanje na raspolaganje javnosti posredstvom javnih internetskih komunikacijskih usluga, osiguravaju pohranu bilo koje vrste signala, pisanog teksta, slika, zvukova ili poruka, a koji su dobiveni od primatelja tih usluga, ne mogu biti građanskopravno odgovorne zbog aktivnosti ili informacija pohranjenih na zahtjev adresata tih usluga ako doista nisu znale za njihovu nezakonitost ili činjenice i okolnosti iz kojih ta nezakonitost proizlazi ili ako su, od trenutka u kojem su saznale za isto, odmah djelovale kako bi povukle te podatke ili im onemogućile pristup.

[…]

II. – Osobe spomenute u točkama 1. i 2. stavka I. drže i zadržavaju podatke koji omogućuju identifikaciju bilo koje osobe koja je pridonijela stvaranju sadržaja ili jednog od sadržaja usluga koje pružaju.

One osobama koje uređuju internetsku javnu komunikacijsku uslugu pružaju tehnička sredstva koja im omogućuju da ispune uvjete za identifikaciju predviđene u stavku III.

Pravosudno tijelo može od pružatelja spomenutih u točkama 1. i 2. stavka I. zatražiti dostavu podataka spomenutih u prvom podstavku.

Odredbe članaka 226‑17, 226‑21 i 226‑22 Kaznenog zakonika primjenjuju se na obradu tih podataka.

Uredba Conseil d’État (Državno vijeće) donesena nakon što je dobiveno mišljenje Commission nationale de l’informatique et des libertés (Nacionalna komisija za informatiku i slobode) određuje podatke spomenute u prvom podstavku i utvrđuje trajanje i detaljna pravila za njihovo zadržavanje.

[…]”

50

Poglavlje I. Uredbe br. 2011‑219, donesene na temelju članka 6. stavka II. zadnjeg podstavka LCEN‑a, sadržava članke 1. do 4. te uredbe.

51

Članak 1. Uredbe br. 2011‑219 određuje:

„Podaci spomenuti u stavku II. članka 6. [LCEN‑a], koje su osobe dužne zadržavati na temelju te odredbe, su sljedeći:

1.° Za osobe spomenute u točki 1. stavka I. istog članka i za svaku vezu svojih pretplatnika:

2.° Za osobe spomenute u točki 2. stavka I. istog članka i za svaku radnju stvaranja:

3.° Za osobe spomenute u točkama 1. i 2. stavka I. istog članka, informacije pružene prilikom potpisivanja ugovora od strane korisnika ili izrade računa:

4.° Za osobe spomenute u točkama 1. i 2. stavka I. istog članka, ako je sklopljen ugovor ili izrađen račun za plaćanje, sljedeće informacije o plaćanju za svaku radnju plaćanja:

Podaci spomenuti u točkama 3.° i 4.° smiju se zadržavati samo u mjeri u kojoj ih osobe uobičajeno prikupljaju.”

52

Članak 2. te uredbe glasi kako slijedi:

„Doprinos stvaranju sadržaja obuhvaća radnje koje se odnose na:

53

Članak 3. navedene uredbe predviđa:

„Zadržavanje podataka spomenutih u članku 1. traje godinu dana:

54

Zakon od 29. svibnja 2016. izmijenio je, među ostalim, loi du 13 juin 2005 relative aux communications électroniques (Zakon od 13. lipnja 2005. o elektroničkim komunikacijama) (Moniteur belge od 20. lipnja 2005., str. 28070., u daljnjem tekstu: Zakon od 13. lipnja 2005.), code d’instruction criminelle (Zakonik o kaznenom postupku) i loi du 30 novembre 1998 organique des services de renseignement et de sécurité (Organski zakon od 30. studenoga 1998. o obavještajnim i sigurnosnim službama) (Moniteur belge od 18. prosinca 1998., str. 40312., u daljnjem tekstu: Zakon od 30. studenoga 1998.).

55

Članak 126. Zakona od 13. lipnja 2005., u verziji koja je proizašla iz Zakona od 29. svibnja 2016., određuje:

„1.   Ne dovodeći u pitanje loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (Zakon od 8. prosinca 1992. o zaštiti prava na privatnost u vezi s obradom osobnih podataka), pružatelji javnih telefonskih usluga, uključujući posredstvom internetske mreže, usluga pristupa internetu, usluga elektroničke pošte posredstvom internetske mreže, operatori koji pružaju usluge javne elektroničke komunikacijske mreže i operatori koji pružaju jednu od tih usluga zadržavaju podatke iz stavka 3. koje su dobili ili obradili u vezi s pružanjem predmetnih komunikacijskih usluga.

Ovaj se članak ne odnosi na sadržaj komunikacija.

Obveza zadržavanja podataka iz stavka 3. primjenjuje se također na neuspješne pozive pod uvjetom da u okviru pružanja dotičnih komunikacijskih usluga ti podaci jesu:

1.° telefonski podaci koje su dobili ili obradili operatori javno dostupnih elektroničkih komunikacijskih usluga ili javne elektroničke komunikacijske mreže, ili

2.° internetski podaci koje su zabilježili ti pružatelji.

2.   Samo sljedeća tijela mogu podnošenjem zahtjeva od pružatelja usluga i operatora iz stavka 1. podstavka 1. dobiti podatke koji su zadržani na temelju ovoga članka, u dolje navedene svrhe i pod dolje navedenim uvjetima:

1.° sudska tijela u svrhu otkrivanja, istrage i progona kaznenih djela, za izvršenje mjera iz članaka 46.bis i 88.bis Zakonika o kaznenom postupku i pod uvjetima utvrđenim tim člancima;

2.° obavještajne i sigurnosne službe, kako bi ispunile obavještajne zadaće koristeći se metodama za prikupljanje podataka iz članaka 16/2, 18/7 i 18/8 Organskog zakona od 30. studenoga 1998. o obavještajnim i sigurnosnim službama i pod uvjetima koji su utvrđeni tim zakonom;

3.° svaki službenik pravosudne policije Instituta (Institut belge des services postaux et des télécommunications (Belgijski institut za poštanske usluge i telekomunikacije)), u svrhu otkrivanja, istrage i progona kaznenih djela povezanih s povredom članaka 114. i 124. te povredom ovoga članka;

4.o službe za hitne intervencije koje nude pomoć in situ kada povodom hitnog poziva od predmetnog pružatelja usluge ili operatora ne dobiju identifikacijske podatke osobe koja je izvršila hitni poziv pomoću baze podataka iz članka 107. stavka 2. podstavka 3. ili dobiju nepotpune ili netočne podatke. Mogu se zatražiti samo identifikacijski podaci osobe koja je izvršila poziv, i to unutar roka od 24 sata od poziva;

5.° službenik pravosudne policije Cellule des personnes disparues de la Police Fédérale (Odjel savezne policije za nestale osobe), u okviru svoje zadaće pružanja pomoći osobi koja se nalazi u opasnosti, potrage za osobama čiji je nestanak sumnjiv i kada postoje ozbiljne pretpostavke ili indicije da je tjelesni integritet nestale osobe u neposrednoj opasnosti. Od predmetnog operatora ili pružatelja usluge mogu se zatražiti samo podaci iz stavka 3. podstavaka 1. i 2. koji se odnose na nestalu osobu i koji se zadržavaju tijekom 48 sati koji prethode zahtjevu za dobivanje podataka, i to posredstvom policijske službe koju je odredio kralj;

6.° Service de médiation pour les télécommunications (Telekomunikacijska služba za posredovanje), u svrhu identifikacije osobe koja je zlouporabila mrežu ili elektroničku komunikacijsku uslugu, u skladu s uvjetima iz članka 43.bis stavka 3. točke 7.° loi du 21 mars 1991 portant réforme de certaines entreprises publiques économiques (Zakon od 21. ožujka 1991. o reformi određenih javnih trgovačkih društava). Mogu se zatražiti samo identifikacijski podaci.

Pružatelji usluga i operatori iz stavka 1. podstavka 1. postupaju na način da podaci iz stavka 3. budu u Belgiji dostupni na neograničeni način i da se ti podaci i sve druge potrebne informacije koje se odnose na te podatke mogu bez odgode prenijeti, i to samo tijelima iz ovoga stavka.

Ne dovodeći u pitanje druge zakonske odredbe, pružatelji usluga i operatori iz stavka 1. podstavka 1. ne mogu u druge svrhe upotrebljavati podatke koji su zadržani na temelju stavka 3.

3.   Podaci čija je svrha identifikacija korisnika ili pretplatnika i komunikacijskih sredstava, osim podataka koji su posebno predviđeni u podstavcima 2. i 3., zadržavaju se tijekom dvanaest mjeseci počevši od dana od kojeg je komunikacija posljednji put moguća putem korištene usluge.

Podaci o pristupu i povezivanju terminalne opreme na mrežu i uslugu te o lokaciji te opreme, uključujući i priključnu točku mreže, zadržavaju se tijekom dvanaest mjeseci počevši od dana komunikacije.

Podaci o komunikaciji, osim njezina sadržaja, uključujući njihov izvor i odredište, zadržavaju se tijekom dvanaest mjeseci počevši od dana komunikacije.

Kralj utvrđuje, odlukom koju donosi Conseil des ministres (Vijeće ministara), na prijedlog ministra pravosuđa i ministra [nadležnog za elektroničke komunikacije], te nakon pribavljenog mišljenja Commission de la protection de la vie privée (Povjerenstvo za zaštitu privatnosti, Belgija) i Instituta, koje podatke treba zadržati, i to po vrsti kategorija iz podstavaka 1. do 3. kao i zahtjeve koje ti podaci moraju ispunjavati.

[…]”

56

Tužbama podnesenima 30. studenoga 2015. i 16. ožujka 2016., koje su spojene u glavnom postupku, La Quadrature du Net, French Data Network i Fédération des fournisseurs d’accès à Internet associatifs kao i Igwan.net pokrenuli su pred Conseil d’État (Državno vijeće, Francuska) postupke za poništenje uredbi br. 2015‑1185, 2015‑1211, 2015‑1639 i 2016‑67, osobito iz razloga što krše francuski Ustav, Europsku konvenciju za zaštitu ljudskih prava i temeljnih sloboda (u daljnjem tekstu: EKLJP) kao i direktive 2000/31 i 2002/58, u vezi s člancima 7., 8. i 47. Povelje.

57

Što se osobito tiče razloga koji se temelje na kršenju Direktive 2000/31, sud koji je uputio zahtjev ističe da odredbe članka L. 851‑3 CSI‑ja nalažu operatorima elektroničkih komunikacija i pružateljima tehničkih usluga da „na svojim mrežama primjenjuju postupke za automatsku obradu koji su ovisno o vrijednostima određenima u odobrenju namijenjeni prepoznavanju veza koje mogu otkriti terorističku prijetnju”. Cilj te tehnike isključivo je prikupljanje, tijekom ograničenog vremenskog razdoblja, samo onih podataka, među svim podacima o vezi koje obrađuju ti operatori i ti pružatelji, koji mogu biti povezani s takvim teškim kaznenim djelom. U tim okolnostima navedene odredbe koje ne nalažu opću obvezu aktivnog nadzora ne krše članak 15. Direktive 2000/31.

58

Glede razloga koji se temelje na kršenju Direktive 2002/58, sud koji je uputio zahtjev smatra da osobito iz odredaba te direktive kao i presude od 21. prosinca 2016., Tele2 Sverige i Watson i dr. (C‑203/15 i C‑698/15, u daljnjem tekstu: presuda Tele2, EU:C:2016:970), proizlazi da nacionalne odredbe koje pružateljima elektroničkih komunikacijskih usluga nalažu obveze, poput općenitog i neselektivnog zadržavanja podataka o prometu i lokaciji njihovih korisnika i pretplatnika u svrhe spomenute u članku 15. stavku 1. navedene direktive, među kojima se nalaze zaštita nacionalne sigurnosti, obrane i javne sigurnosti, ulaze u područje primjene iste direktive s obzirom na to da ti propisi uređuju djelatnosti navedenih pružatelja. Isto vrijedi za propise koji uređuju pristup nacionalnih tijela podacima i njihovu korištenju.

59

Sud koji je uputio zahtjev zaključuje iz toga da u područje primjene Direktive 2002/58 ulazi kako obveza zadržavanja koja proizlazi iz članka L. 851‑1 CSI‑ja tako i pristup upravnih tijela navedenim podacima, uključujući onaj u stvarnom vremenu, predviđen u člancima L. 851‑1, L. 851‑2 i L. 851‑4 navedenog zakonika. Isto vrijedi, prema stajalištu tog suda, za odredbe članka L. 851‑3 tog istog zakonika koje, iako one operatorima i uključenim osobama ne propisuju opću obvezu zadržavanja, od njih ipak zahtijevaju da na svojim mrežama primijene automatske postupke obrade namijenjene otkrivanju veza koje mogu otkriti terorističku prijetnju.

60

S druge strane, taj sud smatra da područjem primjene Direktive 2002/58 nisu obuhvaćene odredbe CSI‑ja koje su navedene u zahtjevima za poništenje i odnose se na tehnike prikupljanja informacija koje država izravno primjenjuje, ali kojima se ne uređuju aktivnosti pružatelja elektroničkih komunikacijskih usluga na način da im se propisuju posebne obveze. Za te se odredbe ne može, dakle, smatrati da provode pravo Unije, tako da se ne može korisno pozvati na razloge koji se temelje na njihovu kršenju Direktive 2002/58.

61

Tako se radi rješavanja sporova koji se odnose na zakonitost uredbi br. 2015‑1185, 2015‑1211, 2015‑1639 i 2016‑67 s obzirom na Direktivu 2002/58 u dijelu u kojem su donesene radi provedbe članaka L. 851‑1 do L. 851‑4 CSI‑ja postavljaju tri pitanja o tumačenju prava Unije.

62

Glede tumačenja članka 15. stavka 1. Direktive 2002/58, sud koji je uputio zahtjev dvoji, kao prvo, o pitanju ne bi li obvezu općeg i neselektivnog zadržavanja nametnutu pružateljima elektroničkih komunikacijskih usluga na temelju L. 851‑1 i R. 851‑5 CSI‑ja trebalo smatrati, osobito s obzirom na jamstva i nadzor koji su povezani s pristupom upravnih tijela podacima o vezi i njihovu korištenju, kao zadiranje opravdano pravom na sigurnost zajamčenim u članku 6. Povelje i zahtjevima nacionalne sigurnosti, za što su države članice isključivo odgovorne na temelju članka 4. UEU‑a.

63

Što se tiče, kao drugo, ostalih obveza koje se mogu odrediti pružateljima elektroničkih komunikacijskih usluga, sud koji je uputio zahtjev ističe da odredbe članka L. 851‑2 CSI‑ja dopuštaju da se samo za potrebe sprečavanja terorizma prikupljaju informacije ili dokumenti predviđeni u članku L. 851‑1 tog zakonika, i to od istih osoba. Takvo prikupljanje, koje se odnosi samo na jednog ili više unaprijed određenih pojedinaca za koje se sumnja da su povezani s terorističkom prijetnjom, provodi se u stvarnom vremenu. Isto vrijedi i za odredbe članka L. 851‑4 navedenog zakonika koje dopuštaju prijenos u stvarnom vremenu od strane operatora samo tehničkih podataka u vezi s lokacijom terminalne opreme. Te tehnike uređuju, u različite svrhe i na različite načine, pristup upravnih tijela u stvarnom vremenu podacima zadržanima na temelju CPCE‑a i LCEN‑a a da, međutim, ne propisuju dotičnim pružateljima dodatan zahtjev za zadržavanje u odnosu na ono što je nužno za fakturiranje i pružanje njihovih usluga. Isto tako, odredbe članka L. 851‑3 CSI‑ja, koje predviđaju obvezu za pružatelje usluga da na svojim mrežama primjenjuju automatsku analizu veza, ne uključuju niti opće i neselektivno zadržavanje.

64

No, s jedne strane, sud koji je uputio zahtjev smatra da su kako opće i neselektivno zadržavanje tako i pristup u stvarnom vremenu podacima o vezi od operativne koristi bez premca, u kontekstu koji obilježavaju ozbiljne i postojeće prijetnje nacionalnoj sigurnosti, a osobito glede rizika od terorizma. Naime, opće i neselektivno zadržavanje omogućava obavještajnim službama da podacima o komunikacijama pristupe prije nego što se utvrde razlozi za zaključak da je dotična osoba prijetnja javnoj sigurnosti, obrani ili državnoj sigurnosti. Usto, pristup u stvarnom vremenu podacima o vezi omogućava nadziranje, sa znatnom količinom povratnih podataka, ponašanja pojedinaca koji mogu predstavljati neposrednu prijetnju za javni poredak.

65

S druge strane, tehnika iz članka L. 851‑3 CSI‑ja omogućava otkrivanje, na temelju precizno definiranih kriterija za tu svrhu, pojedinaca čije ponašanje, s obzirom na njihov način komunikacije, može otkriti terorističku prijetnju.

66

Kao treće, glede pristupa nadležnih tijela zadržanim podacima, sud koji je uputio zahtjev pita se treba li Direktivu 2002/58, u vezi s Poveljom, tumačiti na način da ona zakonitost postupaka prikupljanja podataka o vezi u svim slučajevima podvrgava uvjetu da se osobe o kojima je riječ obavijesti onda kada te informacije više ne mogu ugroziti istrage koje provode nadležna tijela, ili se takve postupke može smatrati pravilnima s obzirom na sva ostala postupovna jamstva predviđena nacionalnim pravom kada ona osiguravaju djelotvornost prava na pravni lijek?

67

Glede ostalih postupovnih jamstava, sud koji je uputio zahtjev pojašnjava, među ostalim, da svaka osoba koja želi provjeriti da se u odnosu na nju nezakonito ne primjenjuje nijedna tehnika za prikupljanje podataka može pokrenuti postupak pred specijaliziranim vijećem Conseil d’État (Državno vijeće), na kojem je da provjeri, s obzirom na elemente koji su mu dostavljeni izvan kontradiktornog postupka, je li tužitelj predmet tehnike i je li ona bila primijenjena u skladu s knjigom VIII. CSI‑ja. Ovlasti koje to vijeće ima za ispitivanje tužbi jamče djelotvornost sudskog nadzora koju ono provodi. Tako je ono nadležno za ispitivanje tužbi, isticanje po službenoj dužnosti svih nezakonitosti koje utvrdi i nalaganje upravnim tijelima da donesu sve korisne mjere radi otklanjanja utvrđenih nezakonitosti. Usto, na Commission nationale de contrôle des techniques de renseignement (Nacionalna komisija za nadzor nad tehnikama prikupljanja podataka) je da provjeri primjenjuju li se tehnike prikupljanja podataka na državnom području u skladu sa zahtjevima koji proizlaze iz CSI‑ja. Stoga okolnost da zakonodavne odredbe o kojima je riječ u glavnom postupku ne predviđaju obavještavanje dotičnih osoba o mjerama nadzora, čiji su one predmet, nije sama po sebi prekomjerno uplitanje u pravo na poštovanje privatnog života.

68

U tim je okolnostima Conseil d’État (Državno vijeće) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

69

Tužbom podnesenom 1. rujna 2015. French Data Network, La Quadrature du Net i Fédération des fournisseurs d’accès à Internet associatifs pokrenuli su pred Conseil d’État (Državno vijeće) postupak za poništenje prešutne odluke o odbijanju zbog šutnje predsjednika vlade da odluči o njihovu zahtjevu za stavljanje izvan snage članka R. 10‑13 CPCE‑a i Uredbe br. 2011‑219, među ostalim iz razloga što ti propisi krše članak 15. stavak 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. Povelje. Privacy International i Center for Democracy and Technology dopuštena je intervencija u glavnom postupku.

70

Glede članka R. 10‑13 CPCE‑a i obveze općeg i neselektivnog zadržavanja podataka o komunikacijama koja je u njemu predviđena, sud koji je uputio zahtjev, koji iznosi razloge slične onima iznesenima u okviru predmeta C‑511/18, primjećuje da takvo zadržavanje omogućuje pravosudnom tijelu da pristupa podacima o komunikacijama koje je pojedinac obavio prije nego što je osumnjičen za počinjenje kaznenog djela, tako da je to zadržavanje korist bez premca za otkrivanje, istragu i progon kaznenih djela.

71

Glede Uredbe br. 2011‑219, sud koji je uputio zahtjev smatra da članak 6. stavak II. LCEN‑a, koji nalaže obvezu držanja i zadržavanja samo podataka o stvaranju sadržaja, ne ulazi u područje primjene Direktive 2002/58, s obzirom na to da je ono u skladu s njezinim člankom 3. stavkom 1. ograničeno na javno dostupne elektroničke komunikacijske usluge u javnim komunikacijskim mrežama u Uniji, nego u područje primjene Direktive 2000/31.

72

Taj sud smatra, međutim, da iz članka 15. stavaka 1. i 2. Direktive 2000/31 proizlazi da on ne uvodi načelnu zabranu zadržavanja podataka o stvaranju sadržaja, od koje se samo iznimno može odstupiti. Stoga se postavlja pitanje treba li članke 12., 14. i 15. navedene direktive, u vezi s člancima 6. do 8. i 11. kao i člankom 52. stavkom 1. Povelje, tumačiti na način da dopuštaju državi članici da donese nacionalni propis, poput članka 6. stavka II. LCEN‑a, koji dotičnim osobama nalaže da zadrže podatke koji omogućuju identifikaciju svake osobe koja je doprinijela stvaranju sadržaja ili jednog od sadržaja usluga koje pružaju kako bi pravosudno tijelo moglo, po potrebi, zatražiti da mu se taj sadržaj dostavi u svrhu osiguravanja poštovanja pravila vezanih uz građansku ili kaznenu odgovornost.

73

U tim je okolnostima Conseil d’État (Državno vijeće) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

74

Tužbama podnesenima 10. siječnja, 16. siječnja, 17. siječnja i 18. siječnja 2017., koje su spojene u okviru glavnog postupka, Ordre des barreaux francophones et germanophone, Académie Fiscale ASBL i UA, Liga voor Mensenrechten ASBL i Ligue des Droits de l’Homme ASBL te VZ, WY i XX pokrenuli su pred Cour constitutionnelle (Ustavni sud, Belgija) postupak za poništenje Zakona od 29. svibnja 2016., iz razloga što on krši članke 10. i 11. belgijskog Ustava, u vezi s člancima 5., 6. do 11., 14., 15., 17. i 18. EKLJP‑a, člancima 7., 8., 11. i 47. kao i člankom 52. stavkom 1. Povelje, člankom 17. Međunarodnog pakta o građanskim i političkim pravima, koji je Glavna skupština Ujedinjenih naroda donijela 16. prosinca 1966. i koji je stupio na snagu 23. ožujka 1976., općim načelima pravne sigurnosti, proporcionalnosti, informacijskog samoodređenja i člankom 5. stavkom 4. UEU‑a.

75

U prilog svojim tužbama tužitelji u glavnom postupku ističu, u osnovi, da nezakonitost Zakona od 29. svibnja 2016. proizlazi osobito iz činjenice da on prekoračuje granice onog što je strogo nužno i ne predviđa dovoljna zaštitna jamstva. Konkretno, ni njegove odredbe o zadržavanju podataka niti one koje uređuju pristup tijela zadržanim podacima ne ispunjavaju zahtjeve koji proizlaze iz presude od 8. travnja 2014., Digital Rights Ireland i dr. (C‑293/12 i C‑594/12, u daljnjem tekstu: presuda Digital Rights, EU:C:2014:238), i presude od 21. prosinca 2016., Tele2 (C‑203/15 i C‑698/15, EU:C:2016:970). Naime, te odredbe uključuju rizik da će se utvrditi osobni profili, i to uz moguće zlouporabe koje iz toga proizlaze na strani nadležnih tijela, a ne predviđaju ni prikladnu razinu osiguranja i zaštite zadržanih podataka. Naposljetku, taj zakon obuhvaća osobe koje podliježu profesionalnoj tajni kao i osobe koje su obvezane na povjerljivost, i tiče se osjetljivih osobnih podataka o komunikaciji, a da ne pruža posebna jamstva radi zaštite ovih potonjih podataka.

76

Sud koji je uputio zahtjev ističe da su podaci koje na temelju Zakona od 29. svibnja 2016. moraju zadržavati pružatelji telefonskih usluga, uključujući i preko interneta, pristupa internetu i elektroničke pošte preko interneta kao i operatori koji pružaju javne elektroničke komunikacijske mreže, istovjetni onima koji su navedeni u Direktivi 2006/24/EZ Europskog parlamenta i Vijeća od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ (SL 2006., L 105, str. 54.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 50., str. 30.), pri čemu nije predviđena razlika u pogledu dotičnih osoba ili ovisno o cilju koji se želi postići. U ovom potonjem pogledu taj sud navodi da cilj koji je zakonodavac zadao putem tog zakona nije samo borba protiv terorizma i dječje pornografije, nego i mogućnost korištenja zadržanih podataka u vrlo raznovrsnim situacijama u okviru kaznene istrage. Usto, sud koji je uputio zahtjev utvrđuje da iz obrazloženja navedenog zakona proizlazi da zakonodavac nije smatrao da je moguće, s obzirom na cilj koji se želi postići, uspostaviti obvezu ciljanog i selektivnog zadržavanja te je odabrao uz obvezu općeg i neselektivnog zadržavanja naložiti stroga jamstva, kako u pogledu zadržanih podataka tako i u pogledu pristupa istima, kako bi na najmanju moguću razinu ograničio zadiranje u pravo na zaštitu privatnog života.

77

Sud koji je uputio zahtjev dodaje da članak 126. stavak 2. točke 1.° i 2.° Zakona od 13. lipnja 2005., u verziji koja je proizašla iz Zakona od 29. svibnja 2016., predviđa uvjete pod kojima pravosudna tijela i obavještajne i sigurnosne službe mogu dobiti pristup zadržanim podacima, tako da ispitivanje usklađenosti tog zakona s obzirom na zahtjeve prava Unije treba prekinuti dok Sud ne donese svoje odluke u dvama prethodnim postupcima koji su u tijeku pred njim i odnose se na takav pristup.

78

Naposljetku, sud koji je uputio zahtjev ističe da se Zakonom od 29. svibnja 2016. želi omogućiti djelotvorna kaznena istraga i djelotvorne sankcije u slučaju seksualnog zlostavljanja maloljetnika te omogućiti identificiranje počinitelja takvog kaznenih djela, čak i ako su upotrijebljena elektronička komunikacijska sredstva. U postupku pred njim, pažnja je skrenuta u tom pogledu na pozitivne obveze koje proizlaze iz članaka 3. i 8. EKLJP‑a. Te obveze mogu također proizlaziti iz odgovarajućih odredaba Povelje, koje bi mogle imati posljedice za tumačenje članka 15. stavka 1. Direktive 2002/58.

79

U tim je okolnostima Cour constitutionnelle (Ustavni sud) odlučio prekinuti postupak i uputiti Sudu sljedeća prethodna pitanja:

80

Odlukom predsjednika Suda od 25. rujna 2018. predmeti C‑511/18 i C‑512/18 spojeni su u svrhu pisanog i usmenog postupka te donošenja presude. Predmet C‑520/18 spojen je tim predmetima odlukom predsjednika Suda od 9. srpnja 2020. u svrhu donošenja presude.

81

Prvim pitanjem u predmetima C‑511/18 i C‑512/18 te pitanjima prvim i drugim u predmetu C‑520/18, koja valja zajedno ispitati, sudovi koji su uputili zahtjev nastoje u osnovi saznati treba li članak 15. stavak 1. Direktive 2002/58 tumačiti na način da mu se protivi nacionalni propis koji pružateljima elektroničkih komunikacijskih usluga nalaže, u svrhe predviđene tim člankom 15. stavkom 1., opće i neselektivno zadržavanje podataka o prometu i lokaciji.

82

Iz spisa kojim Sud raspolaže proizlazi da propisi o kojima je riječ u glavnim postupcima obuhvaćaju sva elektronička komunikacijska sredstva te sve korisnike tih sredstava, pri čemu se u tom pogledu ne pravi razlika ili iznimka. Usto, podaci koje pružatelji elektroničkih komunikacijskih usluga moraju zadržavati na temelju tih propisa su osobito oni koji su nužni za identificiranje izvora komunikacije i njezina odredišta, određivanje datuma, vremena, trajanja i vrste komunikacije, identificiranje upotrijebljenog komunikacijskog materijala kao i utvrđivanje lokacije terminalne opreme i komunikacija, među kojim podacima se nalaze, inter alia, ime i adresa korisnika, telefonski brojevi pozivatelja i nazvane osobe i IP adresa za internetske usluge. S druge strane, navedeni podaci ne obuhvaćaju sadržaj dotičnih komunikacija.

83

Tako podaci koji se na temelju nacionalnih propisa o kojima je riječ u glavnim postupcima moraju zadržavati tijekom godine dana omogućuju, među ostalim, da se sazna tko je osoba s kojom je korisnik elektroničkog komunikacijskog sredstva komunicirao i preko kojeg se sredstva ta komunikacija odvijala, odredi datum, vrijeme i trajanje komunikacija i veza s internetom kao i mjesto s kojeg su se one odvijale te sazna lokacija terminalne opreme, pri čemu nije nužan prijenos komunikacija. Nadalje, oni nude mogućnost utvrđivanja učestalosti komunikacija korisnika s određenim osobama tijekom danog razdoblja. Naposljetku, glede nacionalnog propisa o kojem je riječ u predmetima C‑511/18 i C‑512/18, čini se da oni, s obzirom na to da također obuhvaćaju podatke o prijenosu elektroničkih komunikacija preko mreža, također omogućuju određivanje naravi informacija koje su se pretraživale na internetu.

84

Glede ciljeva koji se nastoje postići, valja istaknuti da je cilj propisa o kojima je riječ u predmetima C‑511/18 i C‑512/18, među ostalim, otkrivanje, istraga i progon kaznenih djela općenito, nacionalna neovisnost, teritorijalna cjelovitost i nacionalna obrana, važni interesi vanjske politike, ispunjavanje preuzetih europskih i međunarodnih obveza Francuske, važni gospodarski, industrijski i znanstveni interesi Francuske, kao i sprečavanje terorizma, napada na republikansko uređenje institucija i kolektivnog nasilja koje može ozbiljno ugroziti javni mir. Ciljevi propisa o kojemu je riječ u predmetu C‑520/18 su, među ostalim, istraga, otkrivanje i progon kaznenih djela kao i zaštita nacionalne sigurnosti, teritorijalne obrane i javne sigurnosti.

85

Sudovi koji su uputili zahtjev dvoje osobito glede mogućeg utjecaja prava na sigurnost utvrđenog u članku 6. Povelje na tumačenje članka 15. stavka 1. Direktive 2002/58. Isto tako, oni se pitaju može li se miješanje u temeljna prava utvrđena u člancima 7. i 8. Povelje, koje podrazumijeva zadržavanje podataka predviđeno propisima o kojima je riječ u glavnim postupcima, smatrati opravdanim s obzirom na postojanje pravila koja ograničavaju pristup nacionalnih tijela zadržanim podacima. Nadalje, Conseil d’État (Državno vijeće) smatra da se to pitanje treba također ocijeniti s obzirom na članak 4. stavak 2. UEU‑a jer se postavlja u kontekstu koji uključuje ozbiljne i kontinuirane prijetnje nacionalnoj sigurnosti. Cour constitutionnelle (Ustavni sud) naglašava da se nacionalnim propisom o kojemu je riječ u predmetu C‑520/18 također provode pozitivne obveze koje proizlaze iz članaka 4. i 7. Povelje i sastoje se od usvajanja pravnog okvira koji omogućava djelotvorno suzbijanje seksualnog zlostavljanja maloljetnika.

86

Iako Conseil d’État (Državno vijeće) i Cour constitutionnelle (Ustavni sud) polaze od pretpostavke da nacionalni propisi o kojima je riječ u glavnim postupcima i koji uređuju zadržavanje podataka o prometu i lokaciji kao i pristup tim podacima od strane nacionalnih tijela u svrhe predviđene člankom 15. stavkom 1. Direktive 2002/58, poput zaštite nacionalne sigurnosti, spadaju u područje primjene te direktive, neke stranke u glavnim postupcima i neke države članice koje su Sudu podnijele pisana očitovanja izražavaju različito mišljenje u tom pogledu, osobito u vezi s tumačenjem članka 15. stavka 1. navedene direktive. Valja, dakle, prvo ispitati spadaju li navedeni propisi u područje primjene te iste direktive.

87

La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Igwan.net, Privacy International i Center for Democracy and Technology navode u biti, pozivajući se u tom pogledu na sudsku praksu Suda na području primjene Direktive 2002/58, da kako zadržavanje podataka tako i pristup zadržanim podacima spadaju u to područje primjene, bez obzira na to odvija li se taj pristup izvan stvarnog vremena ili u njemu. Naime, budući da je cilj zaštite nacionalne sigurnosti izričito spomenut u članku 15. stavku 1. te direktive, postizanje tog cilja ne dovodi do neprimjenjivosti navedene direktive. Članak 4. stavak 2. UEU‑a, na koji ukazuju sudovi koji su uputili zahtjev, ne utječe na tu ocjenu.

88

Glede mjera prikupljanja podataka koje nadležna francuska tijela izravno provode, a da se ne uređuje aktivnost pružatelja elektroničkih komunikacijskih usluga tako da im se odrede posebne obveze, Center for Democracy and Technology primjećuje da su te mjere nužno obuhvaćene područjem primjene Direktive 2002/58 i Povelje jer odstupaju od načela povjerljivosti zajamčenog u članku 5. te direktive. Navedene mjere moraju, dakle, poštovati zahtjeve koji proizlaze iz njezina članka 15. stavka 1.

89

S druge strane, francuska, češka i estonska vlada, Irska kao i ciparska, mađarska, poljska i švedska vlada te vlada Ujedinjene Kraljevine ističu, u biti, da se Direktiva 2002/58 ne primjenjuje na nacionalne propise poput onih o kojima je riječ u glavnim postupcima s obzirom na to da je njihova svrha zaštita nacionalne sigurnosti. Budući da se odnose na održavanje javnog reda kao i zaštitu unutarnje sigurnosti i teritorijalne cjelovitosti, aktivnosti obavještajnih službi spadaju u temeljne funkcije država članica te su, slijedom toga, u isključivoj nadležnosti ovih potonjih, kao što to dokazuje osobito članak 4. stavak 2. treća rečenica UEU‑a.

90

Te se vlade kao i Irska pozivaju, osim toga, na članak 1. stavak 3. Direktive 2002/58, koji iz njezina područja primjene isključuje, poput onog što je već bilo predviđeno člankom 3. stavkom 2. prvom alinejom Direktive 95/46, aktivnosti u vezi s javnom sigurnošću, obranom i državnom sigurnošću. One se u tom pogledu oslanjaju na tumačenje ove potonje odredbe u presudi od 30. svibnja 2006., Parlament/Vijeće i Komisija (C‑317/04 i C‑318/04, EU:C:2006:346).

91

U tom pogledu valja navesti da Direktiva 2002/58, na temelju svojeg članka 1. stavka 1., predviđa, među ostalim, usklađenost nacionalnih odredaba koje su potrebne kako bi se osigurala odgovarajuća razina zaštite osnovnih prava i sloboda, a posebno prava na privatnost i povjerljivost, s obzirom na obradu osobnih podataka u području elektroničkih komunikacija.

92

Člankom 1. stavkom 3. te direktive iz njezina su područja primjene isključene „aktivnosti države” u područjima navedenima u tom članku, među ostalim aktivnosti države u području kaznenog prava i aktivnosti koje se odnose na javnu sigurnost, obranu i državnu sigurnost, uključujući gospodarsku dobrobit države kada se aktivnosti odnose na pitanja državne sigurnosti. Aktivnosti koje su u tom članku navedene kao primjer u svakom su slučaju aktivnosti država odnosno državnih tijela koje ne ulaze u područje aktivnosti pojedinaca (presuda od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 32. i navedena sudska praksa).

93

Nadalje, člankom 3. Direktive 2002/58 određeno je da se ona primjenjuje na obradu osobnih podataka vezanih uz pružanje javno dostupnih usluga elektroničkih komunikacija na javno dostupnim komunikacijskim mrežama u Uniji, uključujući javne komunikacijske mreže koje podržavaju prikupljanje podataka i naprava za identifikaciju (u daljnjem tekstu: elektroničke komunikacijske usluge). Slijedom toga, valja smatrati da se tom direktivom uređuju aktivnosti pružatelja takvih usluga (presuda od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 33. i navedena sudska praksa).

94

U tom okviru članak 15. stavak 1. Direktive 2002/58 ovlašćuje države članice da donesu, uz poštovanje njome predviđenih uvjeta, „zakonske mjere kojima će ograničiti opseg prava i obveza koji pružaju članak 5., članak 6., članak 8. stavci 1., 2., 3. i 4., te članak 9. [te] direktive” (presuda od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 71.).

95

Naime, članak 15. stavak 1. Direktive 2002/58 nužno pretpostavlja da njime predviđene nacionalne zakonske mjere ulaze u područje primjene te direktive s obzirom na to da se države članice njome izričito ovlašćuju na njihovo donošenje samo uz poštovanje njome predviđenih uvjeta. Usto, takvim se mjerama uređuju, u svrhe spomenute u toj odredbi, aktivnosti pružatelja usluga elektroničkih komunikacija (presuda od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 34. i navedena sudska praksa).

96

Osobito je s obzirom na ta razmatranja Sud presudio da članak 15. stavak 1. Direktive 2002/58, u vezi s njezinim člankom 3., treba tumačiti na način da u područje primjene te direktive ne ulazi samo zakonska mjera koja pružateljima usluga elektroničkih komunikacija nalaže zadržavanje podataka o prometu i lokaciji, nego i zakonska mjera kojom im se nalaže da nacionalnim nadležnim tijelima odobre pristup tim podacima. Naime, takve zakonske mjere nužno podrazumijevaju da navedeni pružatelji obrađuju navedene podatke i s obzirom na to da se njima uređuju aktivnosti tih istih pružatelja, one se ne mogu izjednačiti s aktivnostima država, o kojima je riječ u članku 1. stavku 3. navedene direktive (vidjeti u tom smislu presudu od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 35. i 37. i navedenu sudsku praksu).

97

Nadalje, s obzirom na razmatranja u točki 95. ove presude i opću strukturu Direktive 2002/58, tumačenje te direktive, prema kojemu su zakonske mjere iz njezina članka 15. stavka 1. isključene iz područja primjene navedene direktive jer se ciljevi kojima takve mjere moraju težiti u biti preklapaju s ciljevima aktivnosti iz članka 1. stavka 3. iste direktive, lišilo bi taj članak 15. stavak 1. bilo kakvog korisnog učinka (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 72. i 73.).

98

Pojam „aktivnosti” u članku 1. stavku 3. Direktive 2002/58 ne može se dakle, kao što je to u osnovi istaknuo nezavisni odvjetnik u točki 75. svojeg mišljenja u spojenim predmetima La Quadrature du Net i dr. (C‑511/18 i C‑512/18, EU:C:2020:6) tumačiti na način da obuhvaća zakonske mjere iz članka 15. stavka 1. te direktive.

99

Odredbe članka 4. stavka 2. UEU‑a, na koje upućuju vlade spomenute u točkama 89. ove presude, ne mogu oboriti taj zaključak. Naime, u skladu s ustaljenom sudskom praksom Suda, iako je na državama članicama da definiraju svoje osnovne interese sigurnosti i donesu prikladne mjere da osiguraju svoju unutarnju i vanjsku sigurnost, sama činjenica da je nacionalna mjera donesena radi zaštite nacionalne sigurnosti ne može dovesti do neprimjenjivosti prava Unije i osloboditi države članice obveze da nužno poštuju to pravo (vidjeti u tom smislu presude od 4. lipnja 2013., ZZ, C‑300/11, EU:C:2013:363, t. 38., od 20. ožujka 2018., Komisija/Austrija (Državna tiskara), C‑187/16, EU:C:2018:194, t. 75. i 76., i od 2. travnja 2020., Komisija/Poljska, Mađarska i Češka Republika (Privremeni mehanizam za premještanje podnositelja zahtjeva za međunarodnu zaštitu), C‑715/17, C‑718/17 i C‑719/17, EU:C:2020:257, t. 143. i 170.).

100

Točno je da je u presudi od 30. svibnja 2006., Parlament/Vijeće i Komisija (C‑317/04 i C‑318/04, EU:C:2006:346, t. 56. do 59.), Sud presudio da prijenos osobnih podataka od strane zračnih prijevoznika javnim tijelima treće države u svrhu sprečavanja i borbe protiv terorizma i drugih teških kaznenih djela nije, na temelju članka 3. stavka 2. prve alineje Direktive 95/46, obuhvaćen područjem primjene te direktive jer taj prijenos spada u okvir koji su uvela tijela javne vlasti i čiji je cilj zaštita javne sigurnosti.

101

S obzirom na razmatranja u točkama 93., 95. i 96. ove presude, ta se sudska praksa ne može primijeniti prilikom tumačenja članka 1. stavka 3. Direktive 2002/58. Naime, kao što je to u osnovi istaknuo nezavisni odvjetnik u točkama 70. do 72. svojeg mišljenja u spojenim predmetima La Quadrature du Net i dr. (C‑511/18 i C‑512/18, EU:C:2020:6), članak 3. stavak 2. prva alineja Direktive 95/46, na koju se navedena sudska praksa odnosi, općenito je iz područja primjene ove potonje direktive isključivao „postupke obrade koji se odnose na javnu sigurnost, obranu, nacionalnu sigurnost”, te se njime nisu razlikovale osobe koje su obavljale dotičnu obradu podataka. S druge strane, u okviru tumačenja članka 1. stavka 3. Direktive 2002/58 takva se razlika pokazuje nužnom. Naime, kao što proizlazi iz točaka 94. do 97. ove presude, svi postupci obrade osobnih podataka koje provode pružatelji elektroničkih komunikacijskih usluga obuhvaćeni su područjem primjene navedene direktive, uključujući postupke obrade koji proizlaze iz obveza koje su im nametnula tijela javne vlasti, dok su ovi potonji postupci obrade mogli, ovisno o okolnostima, biti obuhvaćeni iznimkom predviđenom u članku 3. stavku 2. prvoj alineji Direktive 95/46, vodeći računa o široj formulaciji te odredbe koja obuhvaća sve postupke obrade čiji je cilj javna sigurnost, obrana ili nacionalna sigurnost, neovisno o osobi koja obavlja te aktivnosti.

102

Osim toga, valja istaknuti da je Direktiva 95/46, o kojoj je riječ u predmetu povodom koje je donesena presuda od 30. svibnja 2006., Parlament/Vijeće i Komisija (C‑317/04 i C‑318/04, EU:C:2006:346), bila stavljena izvan snage na temelju članka 94. stavka 1. Uredbe 2016/679 te zamijenjena ovom potonjom, s učinkom od 25. svibnja 2018. No, iako je u članku 2. stavku 2. točki (d) navedene uredbe pojašnjeno da se ne primjenjuje na obrade koje obavljaju „nadležna tijela” u svrhu, među ostalim, sprečavanja i otkrivanja kaznenih djela, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja, iz članka 23. stavka 1. točaka (d) i (h) iste uredbe proizlazi da obrade osobnih podataka koje u te iste svrhe obavljaju pojedinci spadaju u njezino područje primjene. Proizlazi da tumačenje članka 1. stavka 3., članka 3. i članka 15. stavka 1. Direktive 2002/58, koje prethodi, jest dosljedno razgraničenju područja primjene Uredbe 2016/679 koju ta direktiva dopunjuje i pojašnjava.

103

S druge strane, kada države članice izravno provode mjere koje odstupaju od povjerljivosti elektroničkih komunikacija, a da ne određuju obveze obrade pružateljima usluga takvih komunikacija, zaštita podataka dotičnih osoba nije obuhvaćena Direktivom 2002/58, nego samo nacionalnim pravom, podložno primjeni Direktive (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL 2016., L 119, str. 89.), tako da predmetne mjere moraju poštovati, među ostalim, nacionalno ustavno pravo i zahtjeve EKLJP‑a.

104

Iz prethodnih razmatranja proizlazi da nacionalni propis, poput onih o kojima je riječ u glavnim postupcima, a kojim se pružateljima elektroničkih komunikacijskih usluga nalaže da radi zaštite nacionalne sigurnosti i borbe protiv kriminala zadržavaju podatke o prometu i lokaciji, spada u područje primjene Direktive 2002/58.

105

Uvodno treba podsjetiti da, prema ustaljenoj sudskoj praksi, prilikom tumačenja odredbe prava Unije, valja voditi računa ne samo o njezinu tekstu nego i o njezinu kontekstu i ciljevima koji se nastoje postići propisima kojih je ona dio i, osobito, uzeti u obzir kontekst nastanka tih propisa (vidjeti u tom smislu presudu od 17. travnja 2018., Egenberger, C‑414/16, EU:C:2018:257, t. 44.).

106

Direktiva 2002/58 ima za cilj, kao što to proizlazi među ostalim iz njezinih uvodnih izjava 6. i 7., zaštititi korisnike elektroničkih komunikacijskih usluga od opasnosti za njihove osobne podatke i njihov privatni život koje su rezultat novih tehnologija i osobito veće sposobnosti automatskog pohranjivanja i obrade podataka. Konkretno, navedena direktiva traži, kao što to proizlazi iz njezine uvodne izjave 2., poštovanje prava utvrđenih u člancima 7. i 8. Povelje. U tom pogledu iz obrazloženja prijedloga Direktive Europskog parlamenta i Vijeća o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (COM (2000) 385 final), na temelju kojeg je donesena Direktiva 2002/58, proizlazi da je zakonodavac Unije želio „postići to da visoka razina zaštite osobnih podataka i privatnog života bude i dalje zajamčena za sve elektroničke komunikacijske usluge, bez obzira na primijenjenu tehnologiju”.

107

Naime, u članku 5. stavku 1. Direktive 2002/58 utvrđeno je načelo povjerljivosti kako elektroničkih komunikacija tako i s time povezanih podataka o prometu te podrazumijeva, među ostalim, načelnu zabranu svim osobama koje nisu korisnici da bez pristanka potonjih pohranjuju te komunikacije i te podatke.

108

Što se, konkretno, tiče obrade i pohrane podataka o prometu od strane pružatelja elektroničkih komunikacijskih usluga, iz članka 6. te uvodnih izjava 22. i 26. Direktive 2002/58 proizlazi da je takva obrada dopuštena isključivo u onoj mjeri te u onom razdoblju koji su neophodni za marketing usluga, njihovo zaračunavanje i pružanje usluga s dodatnom vrijednošću. Nakon proteka tog razdoblja obrađeni i pohranjeni podaci moraju se obrisati ili učiniti anonimnima. Kad je riječ o podacima o lokaciji koji nisu podaci o prometu, članak 9. stavak 1. te direktive predviđa da se oni mogu obrađivati samo pod određenim uvjetima i nakon što su učinjeni anonimnima odnosno uz pristanak korisnika ili pretplatnika (presuda od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 86. i navedena sudska praksa).

109

Stoga je zakonodavac Unije, donijevši tu direktivu, konkretizirao prava utvrđena u člancima 7. i 8. Povelje, tako da uslijed izostanka vlastitog pristanka korisnici elektroničkih komunikacijskih sredstava imaju u načelu pravo očekivati da njihove komunikacije i s time povezani podaci ostanu anonimni i da se ne mogu bilježiti.

110

Međutim, članak 15. stavak 1. Direktive 2002/58 dopušta državama članicama da uvedu iznimke od načelne obveze utvrđene u članku 5. stavku 1. te direktive, u vidu jamčenja povjerljivosti osobnih podataka kao i od odgovarajućih obveza spomenutih osobito u člancima 6. i 9. navedene direktive, kada je takvo ograničenje nužna, prikladna i proporcionalna mjera unutar demokratskog društva s ciljem zaštite nacionalne sigurnosti, obrane i javne sigurnosti te s ciljem sprečavanja, istrage, otkrivanja ili progona kaznenih djela odnosno neovlaštene uporabe elektroničkog komunikacijskog sustava. S tim u vezi države članice mogu, među ostalim, donijeti zakonske mjere kojima se omogućuje zadržavanje podataka tijekom ograničenog razdoblja opravdane jednim od tih razloga.

111

S obzirom na to, mogućnost odstupanja od prava i obveza predviđenih u člancima 5., 6. i 9. Direktive 2002/58 ne može opravdati to da odstupanje od načelne obveze da se zajamči povjerljivost elektroničkih komunikacija i s time povezanih podataka, a osobito od zabrane pohrane tih podataka, koja je izričito predviđena u članku 5. te direktive, postane pravilo (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 89. i 104.).

112

Kad je riječ o ciljevima kojima se mogu opravdati ograničenja prava i obveze predviđene, među ostalim, u člancima 5., 6. i 9. Direktive 2002/58, Sud je već presudio da su ciljevi u prvoj rečenici članka 15. stavka 1. te direktive navedeni taksativno, slijedom čega zakonska mjera donesena na temelju te odredbe treba strogo odgovarati jednom od tih ciljeva (vidjeti u tom smislu presudu od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 52. i navedenu sudsku praksu).

113

Usto, iz članka 15. stavka 1. treće rečenice Direktive 2002/58 proizlazi da su zakonske mjere kojima će ograničiti opseg prava i obveza iz članaka 5., 6. i 9. te direktive države članice ovlaštene donositi samo u skladu s općim načelima prava Unije, među kojima se nalazi načelo proporcionalnosti, i temeljnim pravima koja su zajamčena Poveljom. U tom je pogledu Sud već presudio da obveza koju je nacionalnim propisom država članica odredila pružateljima elektroničkih komunikacijskih usluga da zadržavaju podatke o prometu kako bi se, u slučaju potrebe, ti podaci učinili dostupnima nadležnim nacionalnim tijelima, postavlja pitanja ne samo u vezi s poštovanjem članaka 7. i 8. Povelje, koji se odnose na zaštitu privatnog života i zaštitu osobnih podataka, nego i u vezi s člankom 11. Povelje koji se odnosi na slobodu izražavanja (vidjeti u tom smislu presude od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 25. i 70., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 91. i 92. i navedenu sudsku praksu).

114

Tako se prilikom tumačenja članka 15. stavka 1. Direktive 2002/58 treba uzeti u obzir važnost kako prava na poštovanje privatnosti zajamčenog člankom 7. Povelje tako i prava na zaštitu osobnih podataka zajamčenog njezinim člankom 8., kako proizlazi iz sudske prakse Suda, kao i prava na slobodu izražavanja, pri čemu je to temeljno pravo, zajamčeno u članku 11. Povelje, jedan od osnovnih temelja demokratskog i pluralističkog društva te je dio vrijednosti na kojima, u skladu s člankom 2. UEU‑a, počiva Unija (vidjeti u tom smislu presude od 6. ožujka 2001., Connolly/Komisija, C‑274/99 P, EU:C:2001:127, t. 39., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 93. i navedenu sudsku praksu).

115

U tom pogledu valja pojasniti da zadržavanje podataka o prometu i lokaciji samo po sebi čini, s jedne strane, odstupanje od zabrane, predviđene u članku 5. stavku 1. Direktive 2002/58 određene svakoj osobi različitoj od korisnika da pohranjuje te podatke, i, s druge strane, zadiranje u temeljna prava na poštovanje privatnog života i zaštitu osobnih podataka, utvrđenih u člancima 7. i 8. Direktive 2002/58, pri čemu je nevažno imaju li dotične informacije o privatnom životu osjetljiv karakter, odnosno jesu li zainteresirane osobe zbog tog zadiranja pretrpjele eventualne neugodnosti (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 124. i 126. i navedenu sudsku praksu; vidjeti po analogiji, glede članka 8. EKLJP‑a, presudu ESLJP‑a od 30. siječnja 2020., Breyer protiv Njemačke, CE:ECHR:2020:0130JUD005000112, t. 81.).

116

Također je irelevantno hoće li se zadržani podaci potom upotrebljavati (vidjeti po analogiji, glede članka 8. EKLJP‑a, presudu ESLJP‑a od 16. veljače 2000., Amann protiv Švicarske, CE:ECHR:2000:0216JUD002779895, t. 69., i od 13. veljače 2020., Trjakovski i Chipovski protiv Sjeverne Makedonije, CE:ECHR:2020:0213JUD005320513, t. 51.), jer je pristup takvim podacima, neovisno o njihovoj naknadnoj upotrebi, posebno zadiranje u temeljna prava iz prethodne točke (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 124. i 126.).

117

Taj se zaključak čini tim više opravdanim jer podaci o prometu i lokaciji mogu otkriti informacije o velikom broju aspekata privatnog života dotičnih osoba, uključujući osjetljive informacije poput spolne orijentacije, političkih gledišta, vjerskih, filozofskih, društvenih ili drugih uvjerenja kao i zdravstvenog stanja, s obzirom na to da takvi podaci uživaju, osim toga, posebnu zaštitu u pravu Unije. Ti podaci, uzeti zajedno, mogu omogućiti donošenje vrlo preciznih zaključaka o privatnom životu osoba čiji su podaci zadržani, kao što su svakodnevne navike, mjesta trajnih ili privremenih boravišta, dnevna ili druga kretanja, obavljane aktivnosti, društveni odnosi tih osoba i društvene sredine koje su te osobe posjećivale. Ti podaci osobito omogućuju utvrđivanje profila predmetnih osoba, što je jednako osjetljiva informacija s obzirom na pravo na poštovanje privatnog života, kao i sam sadržaj komunikacija (vidjeti u tom smislu presude od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 27., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 99.).

118

Stoga, s jedne strane, zadržavanje podataka o prometu i lokaciji u policijske svrhe može samo po sebi ugroziti pravo na poštovanje komunikacija utvrđeno u članku 7. Povelje i stvoriti odvraćajuće učinke na korisnike elektroničkih komunikacijskih sredstava da se koriste svojom slobodom izražavanja zajamčenom člankom 11. Povelje (vidjeti u tom smislu presude od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 28., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 101.). Takvi odvraćajući učinci mogu osobito utjecati na osobe čije komunikacije podliježu, na temelju nacionalnih pravila, profesionalnoj tajni kao i na zviždače čije su aktivnosti zaštićene Direktivom (EU) 2019/1937 Europskog parlamenta i Vijeća od 23. listopada 2019. o zaštiti osoba koje prijavljuju povrede prava Unije (SL 2019., L 305, str. 17.). Usto, ti su učinci tim ozbiljniji što su broj i raznolikost zadržanih podataka veći.

119

S druge strane, vodeći računa o velikoj količini podataka o prometu i lokaciji koji se mogu kontinuirano zadržavati na temelju opće i neselektivne mjere zadržavanja kao i o osjetljivosti informacija koje mogu pružiti ti podaci, samo zadržavanje navedenih podataka od strane pružatelja elektroničkih komunikacijskih usluga podrazumijeva rizik od zlouporabe i nezakonitog pristupa.

120

S obzirom na to, budući da državama članicama dopušta da uvedu odstupanja iz točke 110. ove presude, članak 15. stavak 1. Direktive 2002/58 odražava okolnost da prava priznata člancima 7., 8. i 11. Povelje nisu apsolutna prava, nego ih treba uzeti u obzir s obzirom na njihovu funkciju u društvu (vidjeti u tom smislu presudu od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 172. i navedenu sudsku praksu).

121

Naime, kao što proizlazi iz članka 52. stavka 1. Povelje, ona priznaje ograničenja pri ostvarivanju tih prava samo ako su ograničenja predviđena zakonom, ako poštuju bit tih prava te ako su, uz poštovanje načela proporcionalnosti, nužna i zaista odgovaraju ciljevima od općeg interesa koje priznaje Unija ili potrebi zaštite prava i sloboda drugih osoba.

122

Stoga tumačenje članka 15. stavka 1. Direktive 2002/58 s obzirom na Povelju zahtijeva također da se vodi računa i o značaju prava utvrđenih u člancima 3., 4., 6. i 7. Povelje i značaju ciljeva zaštite nacionalne sigurnosti i borbe protiv teških kaznenih djela, čime se doprinosi zaštiti prava i sloboda drugih osoba.

123

U tom pogledu članak 6. Povelje, na koji se pozivaju Conseil d’État (Državno vijeće) i Cour constitutionnelle (Ustavni sud), utvrđuje ne samo pravo svake osobe na slobodu, nego i na sigurnost te jamči prava koja odgovaraju onima koja su zajamčena u članku 5. EKLJP‑a (vidjeti u tom smislu presude od 15. veljače 2016., N., C‑601/15 PPU, EU:C:2016:84, t. 47., od 28. srpnja 2016., JZ, C‑294/16 PPU, EU:C:2016:610, t. 48., i od 19. rujna 2019., Rayonna prokuratura Lom, C‑467/18, EU:C:2019:765, t. 42. i navedenu sudsku praksu).

124

Nadalje, valja istaknuti da je cilj članka 52. stavka 3. Povelje osiguranje potrebne sukladnosti između prava sadržanih u toj povelji i odgovarajućih prava zajamčenih EKLJP‑om, bez štetnog učinka na autonomiju prava Unije i Suda Europske unije. Zato se radi tumačenja Povelje kao minimalnu razinu zaštite mora uzeti u obzir odgovarajuća prava iz EKLJP‑a (vidjeti u tom smislu presude od 12. veljače 2019., TC, C‑492/18 PPU, EU:C:2019:108, t. 57., i od 21. svibnja 2019., Komisija/Mađarska (Plodouživanja na poljoprivrednim zemljištima), C‑235/17, EU:C:2019:432, t. 72. i navedenu sudsku praksu).

125

Glede članka 5. EKLJP‑a, u kojem je utvrđeno „pravo na slobodu” i „pravo na sigurnost”, prema sudskoj praksi Europskog suda za ljudska prava njime se nastoji pojedinca zaštititi od svakog proizvoljnog ili neopravdanog lišavanja slobode (vidjeti u tom smislu presudu ESLJP‑a od 18. ožujka 2008., Ladent protiv Poljske, CE:ECHR:2008:0318JUD001103603, t. 45. i 46., od 29. ožujka 2010., Medvedyev i dr. protiv Francuske, CE:ECHR:2010:0329JUD000339403, t. 76. i 77., i od 13. prosinca 2012., El‑Masri protiv „The former Yugoslav Republic of Macedonia”, CE:ECHR:2012:1213JUD003963009, t. 239.). Međutim, budući da se ta odredba odnosi na lišavanje slobode koje počini javno tijelo, članak 6. Povelje ne može se tumačiti na način da tijelima javne vlasti određuje obvezu donošenja posebnih mjera radi kažnjavanja određenih kaznenih djela.

126

S druge strane, što se osobito tiče djelotvorne borbe protiv kaznenih djela čije su žrtve, među ostalim, maloljetnici i druge ranjive osobe, a koju je spomenuo Cour constitutionnelle (Ustavni sud), valja naglasiti da iz članka 7. Povelje mogu proizaći pozitivne obveze na teret tijela javne vlasti radi donošenja pravnih mjera za zaštitu privatnog i obiteljskog života (vidjeti u tom smislu presudu od 18. lipnja 2020., Komisija/Mađarska (Transparentnost udruženja), C‑78/18, EU:C:2020:476, t. 123. i navedenu sudsku praksu Europskog suda za ljudska prava). Takve obveze mogu također proizaći iz navedenog članka 7. u pogledu zaštite doma i komunikacija kao i članka 3. i 4. glede zaštite tjelesnog i duhovnog integriteta osoba kao i zabrane mučenja te nečovječnog i ponižavajućeg postupanja.

127

S obzirom na te različite pozitivne obveze treba pomiriti različite interese i prava o kojima je riječ.

128

Naime, Europski sud za ljudska prava presudio je da pozitivna prava koja proizlaze iz članaka 3. i 8. EKLJP‑a, čija se odgovarajuća jamstva nalaze u člancima 4. i 7. Povelje, podrazumijevaju, među ostalim, donošenje materijalnih i postupovnih odredaba kao i praktičnih mjera koje, kroz djelotvorne istrage i progon, omogućuju djelotvornu borbu protiv kaznenih djela protiv osoba, pri čemu je ta obveza tim važnija kada postoji prijetnja tjelesnoj i duševnoj dobrobiti djeteta. S obzirom na to, mjere koje nadležna tijela moraju donijeti trebaju u potpunosti poštovati pravna sredstva i druga jamstva, kojima se može ograničiti opseg ovlasti u kaznenim istragama, kao i druge slobode i prava. Konkretno, taj sud smatra da valja uvesti pravni okvir kojim se mogu pomiriti različiti interesi i prava koje treba zaštititi (presude ESLJP‑a od 28. listopada 1998., Osman protiv Ujedinjene Kraljevine, CE:ECHR:1998:1028JUD002345294, t. 115. i 116., od 4. ožujka 2004., M. C. protiv Bugarske, CE:ECHR:2003:1204JUD003927298, t. 151., od 24. lipnja 2004., Von Hannover protiv Njemačke, CE:ECHR:2004:0624JUD005932000, t. 57. i 58., i od 2. prosinca 2008., K. U. protiv Finske, CE:ECHR:2008:1202JUD 000287202, t. 46., 48. i 49.).

129

Glede poštovanja načela proporcionalnosti, članak 15. stavak 1. prva rečenica Direktive 2002/58 određuje da države članice mogu donijeti mjeru koja odstupa od načela povjerljivosti komunikacija i s time povezanih podataka o prometu kada je takva mjera „nužna, prikladna i proporcionalna unutar demokratskog društva” s obzirom na ciljeve koji su utvrđeni u toj odredbi. U uvodnoj izjavi 11. te direktive pojašnjeno je da takva mjera mora biti „strogo” proporcionalna svrsi za koju se poduzima.

130

U tom pogledu valja podsjetiti da zaštita temeljnog prava na poštovanje privatnog života zahtijeva, sukladno ustaljenoj sudskoj praksi Suda, da su odstupanja i ograničenja u zaštiti osobnih podataka u granicama onoga što je strogo nužno. Usto, cilj od općeg interesa ne može se postići a da se u obzir ne uzme činjenica da se on mora pomiriti s temeljnim pravima na koja se mjera odnosi, tako da se cilj od općeg interesa, s jedne strane, pravilno odvagne s predmetnim pravima, s druge strane (vidjeti u tom smislu presude od 16. prosinca 2008., Satakunnan Markkinapörssi i Satamedia, C‑73/07, EU:C:2008:727, t. 56., od 9. studenoga 2010., Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, t. 76., 77. i 86., i od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 52.; mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 140.).

131

Konkretno, iz sudske prakse Suda proizlazi da mogućnost država članica da opravdaju ograničenje prava i obveza predviđenih, među ostalim, u člancima 5., 6. i 9. Direktive 2002/58 treba ocijeniti tako da se odmjeri ozbiljnost zadiranja takvog ograničenja i provjeri da je važnost cilja od općeg interesa koji se nastoji postići tim ograničenjem povezana s tom ozbiljnošću (vidjeti u tom smislu presudu od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 55. i navedenu sudsku praksu).

132

Da bi ispunio uvjet proporcionalnosti, propis mora imati predviđena jasna i precizna pravila kojima se uređuje doseg i primjena dotične mjere te propisivati minimalne uvjete, na način da osobe o čijim je osobnim podacima riječ raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu tih podataka od rizika zlouporabe. On mora biti zakonski obvezujuć u unutarnjem pravu i osobito navoditi u kojim se okolnostima i pod kojim uvjetima mjera kojom se predviđa obrada takvih podataka može donijeti, jamčeći time da će njezino zadiranje biti ograničeno na ono što je strogo nužno. Nužnost raspolaganja takvim jamstvima još je i značajnija kad su osobni podaci podvrgnuti automatskoj obradi, osobito kada postoji značajan rizik od nezakonitog pristupa tim podacima. Ti zaključci posebice vrijede kad je u pitanju zaštita jedne konkretne kategorije osobnih podataka, a to su osjetljivi podaci (vidjeti u tom smislu presude od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 54. i 55., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 117.; mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 141.).

133

Stoga propis koji predviđa zadržavanje osobnih podataka treba nastaviti ispunjavati objektivne kriterije, uspostavljajući vezu između podataka koji se trebaju zadržati i cilja koji se nastoji postići (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 191. i navedenu sudsku praksu, i presudu od 3. listopada 2019., A i dr., C‑70/18, EU:C:2019:823, t. 63.).

134

Valja primijetiti da cilj zaštite nacionalne sigurnosti, koji su naveli sudovi koji su uputili zahtjev i vlade koje su podnijele očitovanja, Sud još nije konkretno ispitao u svojim presudama kojima se tumači Direktiva 2002/58.

135

U tom pogledu valja odmah istaknuti da je u članku 4. stavku 2. UEU‑a navedeno da nacionalna sigurnost ostaje isključiva odgovornost svake države članice. Ta odgovornost odgovara primarnom interesu zaštite temeljnih državnih funkcija i temeljnih interesa društva te uključuje zaštitu i suzbijanje aktivnosti koje mogu ozbiljno destabilizirati ustavne, političke, gospodarske ili društvene strukture određene zemlje, a osobito izravno ugroziti društvo, stanovništvo ili državu kao takvu, poput, među ostalim, terorističkih aktivnosti.

136

No, važnost cilja u vidu zaštite nacionalne sigurnosti s aspekta članka 4. stavka 2. UEU‑a nadmašuje važnost drugih ciljeva iz članka 15. stavka 1. Direktive 2002/58, osobito ciljeva općenite borbe protiv kriminala, čak i teškog, kao i zaštite javne sigurnosti. Naime, opasnosti poput onih iz prethodne točke razlikuju se po svojoj naravi i posebnoj težini od općeg rizika nastanka napetosti ili poremećaja, čak i teških, glede javne sigurnosti. Pod pretpostavkom poštovanja drugih uvjeta predviđenih u članku 52. stavka 1. Povelje, cilj zaštite nacionalne sigurnosti stoga može opravdati mjere koje podrazumijevaju ozbiljnija zadiranja u temeljna prava od onih koja bi mogli opravdati ti drugi ciljevi.

137

Stoga se u situacijama poput onih opisanih u točkama 135. i 136. ove presude, članku 15. stavku 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, ne protivi u načelu zakonska mjera koja dopušta nadležnim tijelima da nalažu pružateljima elektroničkih komunikacijskih usluga da tijekom ograničenog razdoblja zadržavaju podatke o prometu i lokaciji svih korisnika elektroničkih komunikacijskih sredstava ako postoje dovoljno konkretne okolnosti na temelju kojih se može zaključiti da je dotična država članica suočena s ozbiljnom prijetnjom, poput one iz točaka 135. i 136. ove presude, za nacionalnu sigurnost koja se pokazala stvarnom i trenutačnom ili predvidljivom. Čak i ako se takva mjera odnosi bez razlike na sve korisnike elektroničkih komunikacijskih sredstava, pri čemu se na prvi pogled ne čini da su oni povezani, u smislu sudske prakse iz točke 133. ove presude, s prijetnjom nacionalnoj sigurnosti te države članice, ipak valja zaključiti da postojanje takve opasnosti može samo po sebi uspostaviti takvu vezu.

138

Nalog kojim je predviđeno preventivno zadržavanje podataka svih korisnika elektroničkih komunikacijskih sredstava mora se, međutim, vremenski ograničiti na ono što je strogo nužno. Iako se ne može isključiti da se nalog izdan pružateljima elektroničkih komunikacijskih usluga da zadržavaju podatke može, zbog postojanosti takve opasnosti, produljiti, trajanje svakog naloga ne može premašiti predvidljivo razdoblje. Štoviše, takvo zadržavanje podataka mora se podvrgnuti ograničenjima i uvjetovati strogim jamstvima kojima se osobni podaci dotičnih osoba mogu djelotvorno zaštititi od rizika od zlouporabe. Stoga to zadržavanje ne može biti sustavno.

139

S obzirom na ozbiljnost zadiranja u temeljna prava utvrđena u člancima 7. i 8. Povelje, koje proizlazi iz takve opće i neselektivne mjere zadržavanja podataka, mora se osigurati da se njegovo korištenje u stvarnosti ograniči na situacije u kojima postoji ozbiljna prijetnja nacionalnoj sigurnosti, poput onih iz točaka 135. i 136. ove presude. U tu je svrhu bitno da odluka kojom se pružateljima elektroničkih komunikacijskih usluga nalaže takvo zadržavanje podataka može biti predmet djelotvornog nadzora od strane suda ili neovisnog upravnog tijela čija odluka ima obvezujući učinak, a kojom se nastoji provjeriti postoji li jedna od tih situacija i poštuju li se uvjeti i jamstva koji se moraju predvidjeti.

140

Što se tiče cilja sprečavanja, istrage, otkrivanja ili progona kaznenih djela, u skladu s načelom proporcionalnosti, samo borba protiv teških kaznenih djela i sprečavanje ozbiljnih prijetnji javnoj sigurnosti mogu opravdati ozbiljna zadiranja u temeljna prava utvrđena u člancima 7. i 8. Povelje, poput onih koja podrazumijevaju zadržavanje podataka o prometu i lokaciji. Stoga se samo zadiranja u navedena temeljna prava koja nisu ozbiljna mogu opravdati ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela općenito (vidjeti u tom smislu presude od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 102., i od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 56. i 57.; mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 149.).

141

Nacionalni propis kojim je predviđeno opće i neselektivno zadržavanje podataka o prometu i lokaciji radi borbe protiv teških kaznenih djela, prekoračuje ono što je strogo nužno i ne može se smatrati opravdanim u demokratskom društvu, kao što to zahtijeva članak 15. stavak 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 107.).

142

Naime, vodeći računa o osjetljivosti informacija koje mogu pružiti podaci o prometu i lokaciji, povjerljivost ovih potonjih je ključna za pravo na poštovanje privatnog života. Stoga, vodeći računa, s jedne strane, o odvraćajućim učincima na korištenje temeljnim pravima utvrđenima u člancima 7. i 11. Povelje i navedenima u točki 118. ove presude, do kojih može dovesti zadržavanje tih podataka, i, s druge strane, o ozbiljnosti zadiranja koje podrazumijeva takvo zadržavanje, u demokratskom društvu ono mora, kao što to predviđa sustav uspostavljen Direktivom 2002/58, biti iznimka, a ne pravilo i ti podaci ne mogu biti predmet sustavnog i kontinuiranog zadržavanja. Taj se zaključak nameće čak i u pogledu ciljeva borbe protiv teških kaznenih djela i sprečavanja ozbiljnih prijetnji javnoj sigurnosti kao i značaja koji im treba priznati.

143

Nadalje, Sud je naglasio da propis kojim je predviđeno opće i neselektivno zadržavanje podataka o prometu i lokaciji obuhvaća elektroničke komunikacije gotovo cijelog stanovništva, a da se nikakva razlika, ograničenje niti iznimka ne pravi ovisno o cilju koji se želi postići. Takav se propis, za razliku od zahtjeva navedenog u točki 133. ove presude, općenito odnosi na sve osobe koje se koriste elektroničkim komunikacijskim uslugama a da se pritom te osobe ne nalaze, čak ni posredno, u situaciji koja može dovesti do kaznenih progona. On se, dakle, primjenjuje čak i na osobe za koje ne postoji nikakva naznaka koja bi navela na mišljenje da njihovo ponašanje može imati vezu, čak i posrednu ili daleku, s tim ciljem borbe protiv teških kaznenih djela, pri čemu posebno nije predviđen odnos između podataka čije je zadržavanje propisano i prijetnje javnoj sigurnosti (vidjeti u tom smislu presude od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 57. i 58., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 105.).

144

Konkretnije, kao što je to Sud već presudio, takav propis nije ograničen na zadržavanje podataka iz jednog privremenog razdoblja i/ili jednog određenog zemljopisnog područja i/ili jednog kruga osoba koje mogu na bilo koji način biti umiješane u teško kazneno djelo ili na osobe koje, ako se zadrže njihovi podaci, mogu zbog drugih razloga doprinijeti borbi protiv teških kaznenih djela (vidjeti u tom smislu presudu od 8. travnja 2014., Digital Rights, C‑293/12 i C‑594/12, EU:C:2014:238, t. 59., i od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 106.).

145

No, čak i pozitivne obveze država članica koje mogu proizaći, ovisno o slučaju, iz članaka 3., 4. i 7. Povelje i odnose se, kao što je to istaknuto u točkama 126. i 128. ove presude, na uspostavu pravila koja omogućuju djelotvornu borbu protiv kaznenih dijela, ne mogu imati za posljedicu to da opravdaju toliko ozbiljna zadiranja, kao i ona proizašla iz propisa kojim je predviđeno zadržavanje podataka o prometu i lokaciji, u temeljna prava utvrđena u člancima 7. i 8. Povelje, i to gotovo cijelog stanovništva, a da podaci dotičnih osoba ne mogu otkriti vezu, barem neizravnu, s ciljem koji se želi postići.

146

S druge strane, u skladu s onim što je istaknuto u točkama 142. do 144. ove presude i s obzirom na potrebu da se pomire predmetni prava i interesi, ciljevi borbe protiv teških kaznenih djela, sprečavanja ozbiljnih ugroza po javnu sigurnost i, a fortiori, zaštite nacionalne sigurnosti mogu, vodeći računa o njihovoj važnosti i s obzirom na pozitivne obveze navedene u prethodnoj točki na koje je uputio, među ostalim, Cour constitutionnelle (Ustavni sud), opravdati osobito ozbiljno zadiranje do kojeg dovodi ciljano zadržavanje podataka o prometu i lokaciji.

147

Stoga, kao što je to Sud već presudio, članku 15. stavku 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. i člankom 52. stavkom 1. Povelje, ne protivi se to da država članica donese propis koji s ciljem prevencije omogućava ciljano zadržavanje podataka o prometu i lokaciji u svrhu borbe protiv teških kaznenih djela i sprečavanja ozbiljnih opasnosti javnoj sigurnosti, kao i zaštite nacionalne sigurnosti, pod uvjetom da takvo zadržavanje – kad je riječ o kategorijama podataka koji trebaju biti zadržani, predviđenim komunikacijskim sredstvima, osobama na koje se zadržavanje odnosi kao i njegovu trajanju – bude ograničeno na ono što je strogo nužno (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 108.).

148

Kad je riječ o ograničenju čiji predmet mora biti takva mjera zadržavanja podataka, ona se može, među ostalim, odrediti ovisno o kategorijama dotičnih osoba jer se članku 15. stavku 1. Direktive 2002/58 ne protivi propis koji se temelji na objektivnim kriterijima koji omogućuju obuhvaćanje osoba čiji podaci o prometu i lokaciji mogu otkriti vezu, makar i posrednu, s teškim kaznenim djelima, doprinošenje na bilo koji način borbi protiv teških kaznenih djela ili sprečavanje ozbiljne opasnosti za javnu sigurnost ili pak rizik za nacionalnu sigurnost (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 111.).

149

U tom pogledu valja pojasniti da tako obuhvaćene osobe mogu biti, među ostalim, one za koje je prethodno utvrđeno u okviru primjenjivih nacionalnih postupaka i na temelju objektivnih kriterija da su prijetnja javnoj sigurnosti ili nacionalnoj sigurnosti dotične države članice.

150

Ograničenje mjere koja predviđa zadržavanje podataka o prometu i lokaciji može se također zasnivati na zemljopisnom kriteriju kad nacionalna nadležna tijela na temelju objektivnih i nediskriminatornih elemenata utvrde da na jednom ili više zemljopisnih područja postoji situacija koju obilježava pojačana opasnost od pripremanja ili počinjenja teških kaznenih djela (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 111.). Ta područja mogu biti, među ostalim, mjesta koja obilježava velik broj teških kaznenih djela, mjesta koja su osobito izložena počinjenju teških kaznenih djela, poput mjesta ili infrastrukture koje redovito posjećuje vrlo velik broj osoba, ili pak strateška mjesta poput zračnih luka, kolodvora ili područja s naplatnim postajama.

151

Kako bi se zajamčilo da zadiranje, koje podrazumijevaju mjere ciljanog zadržavanja opisane u točkama 147. do 150. ove presude, bude u skladu s načelom proporcionalnosti, njihovo trajanje ne može premašiti ono što je strogo nužno s obzirom na cilj koji se želi postići kao i na okolnosti koje ih opravdavaju, ne dirajući u moguće produljenje zbog postojanosti potrebe za takvo zadržavanje.

152

Valja istaknuti da iako su IP adrese dio podataka o prometu, one se stvaraju a da nisu povezane s određenom komunikacijom i uglavnom služe za to da se pomoću pružatelja elektroničkih komunikacijskih usluga identificira fizička osoba koja je vlasnik terminalne opreme s koje se obavlja komunikacija posredstvom interneta. Tako na području elektroničke pošte kao i internetske telefonije, pod uvjetom da se zadržavaju samo IP adrese izvora komunikacije, a ne IP adrese njezina adresata, te adrese, kao takve, ne otkrivaju nikakvu informaciju o trećim osobama koje su bile u kontaktu s osobom na izvoru komunikacije. Ta je kategorija podataka, dakle, manje osjetljiva od drugih podataka o prometu.

153

Međutim, budući da se IP adrese mogu upotrijebiti za iscrpno praćenje tijeka kretanja korisnika interneta prilikom pregledavanja i, potom, njegove internetske aktivnosti, ti podaci omogućuju da se utvrdi detaljan profil ovog potonjeg. Stoga zadržavanje i analiza navedenih IP adresa koja zahtijeva takvo praćenje jesu ozbiljna zadiranja u temeljna prava korisnika interneta utvrđena u člancima 7. i 8. Povelje koja mogu imati odvraćajuće učinka poput onih iz točke 118. ove presude.

154

No, radi potrebe za pomirenjem predmetnih prava i interesa koje zahtijeva sudska praksa navedena u točki 130. ove presude, valja uzeti u obzir činjenicu da u slučaju prijestupa počinjenog na internetu IP adresa može biti jedino istražno sredstvo kojim se može identificirati osoba kojoj je ta adresa bila dodijeljena u trenutku počinjenja tog prijestupa. Ovome valja dodati činjenicu da zadržavanje IP adresa od strane pružatelja elektroničkih komunikacijskih usluga i nakon trajanja dodjele tih podataka nije u načelu nužno radi naplate predmetnih usluga, tako da se otkrivanje prijestupa počinjenih na internetu može zbog toga, kao što je to navelo više vlada u svojim očitovanjima podnesenima Sudu, pokazati nemogućim bez korištenja zakonske mjere na temelju članka 15. stavka 1. Direktive 2002/58. Kao što su to istaknule te vlade, to može osobito biti slučaj s posebno teškim kaznenim djelima u vezi s dječjom pornografijom, kao što je nabavljanje, distribuiranje, širenje ili stavljanje na raspolaganje na internetu dječje pornografije u smislu članka 2. točke (c) Direktive 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije, te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL 2011., L 335, str. 1.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 19., svezak 16., str. 261. i ispravak SL 2018., L 128, str. 22.).

155

U tim okolnostima, iako je točno da bi se zakonska mjera koja predviđa zadržavanje IP adresa svih fizičkih osoba koje su vlasnici terminalne opreme s koje se može obavljati pristup internetu odnosila na osobe koje na prvi pogled nisu povezane, u smislu sudske prakse navedene u točki 133. ove presude, s ciljevima koji se žele postići i da korisnici interneta imaju, u skladu s onim što je utvrđeno u točki 109. ove presude, pravo da na temelju članaka 7. i 8. Povelje očekuju da se njihov identitet neće, u načelu, otkriti, za zakonsku mjeru koja predviđa opće i neselektivno zadržavanje samo IP adresa dodijeljenih izvoru veze ne proizlazi u načelu da je suprotna članku 15. stavku 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, pod uvjetom da ta mogućnost podliježe strogom poštovanju materijalnih i postupovnih uvjeta kojima se mora urediti upotreba tih podataka.

156

S obzirom na ozbiljnost zadiranja u temeljna prava utvrđena u člancima 7. i 8. Povelje koje podrazumijeva to zadržavanje, samo borba protiv teških kaznenih djela i sprečavanje ozbiljnih prijetnji javnoj sigurnosti mogu, kao i zaštita nacionalne sigurnosti, opravdati to zadiranje. Usto, trajanje zadržavanja ne može prekoračiti ono što je strogo nužno s obzirom na cilj koji se želi postići. Naposljetku, mjerom te naravi moraju se predvidjeti strogi uvjeti i jamstva glede korištenja tih podataka, osobito preko praćenja, s obzirom na komunikacije i aktivnosti koje dotične osobe obavljaju na internetu.

157

Što se, naposljetku, tiče podataka o građanskom identitetu korisnika elektroničkih komunikacijskih sredstava, ti podaci ne omogućuju sami za sebe da se sazna datum, vrijeme, trajanje i adresati obavljenih komunikacija, a niti mjesta na kojima su se te komunikacije odvijale ili njihova učestalost s određenim osobama tijekom danog razdoblja, tako da one ne pružaju, osim njihovih kontaktnih podataka poput njihovih adresa, nikakvu informaciju o komunikacijama i, slijedom toga, o njihovu privatnom životu. Stoga se zadiranje koje zadržavanje tih podataka podrazumijeva ne može u načelu okvalificirati ozbiljnim (vidjeti u tom smislu presudu od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 59. i 60.).

158

Iz toga proizlazi da se, u skladu s onim što je izloženo u točki 140. ove presude, zakonske mjere za obradu tih podataka kao takvih, osobito njihovo zadržavanje i pristup istima samo radi identifikacije dotičnog korisnika, pri čemu se navedeni podaci ne mogu povezati s informacijama koje se odnose na obavljene komunikacije, mogu opravdati ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela općenito, koji je naveden u prvoj rečenici članka 15. stavka 1. Direktive 2002/58 (vidjeti u tom smislu presudu od 2. listopada 2018., Ministerio Fiscal, C‑207/16, EU:C:2018:788, t. 62.).

159

U tim okolnostima, s obzirom na potrebu da se pomire predmetna prava i interesi te iz razloga u točkama 131. i 158. ove presude, valja zaključiti da se, čak i uslijed nepostojanja veze između svih korisnika elektroničkih komunikacijskih sredstava i ciljeva koji se žele postići, članku 15. stavku 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, ne protivi zakonska mjera kojom se bez konkretnog roka nalaže pružateljima elektroničkih komunikacijskih službi da zadržavaju podatke o građanskom identitetu svih korisnika elektroničkih komunikacijskih sredstava u svrhu sprečavanja, istrage, otkrivanja i progona kaznenih djela kao i zaštite javne sigurnosti, pri čemu nije nužno da se radi o teškim kaznenim djelima odnosno ozbiljnim prijetnjama ili ugrozama za javnu sigurnost.

160

Glede podataka o prometu i lokaciji koje obrađuju i pohranjuju pružatelji elektroničkih komunikacijskih usluga na temelju članaka 5., 6. i 9. Direktive 2002/58, ili zakonskih mjera donesenih na temelju njezina članka 15. stavka 1., kako su opisane u točkama 134. do 159. ove presude, valja istaknuti da se ti podaci moraju, u načelu i ovisno o slučaju, brisati ili anonimizirati na kraju zakonskih rokova u kojima se oni moraju obraditi i pohraniti u skladu s nacionalnim odredbama kojima se prenosi ta direktiva.

161

Međutim, tijekom te obrade i pohrane može doći do situacija u kojima nastane potreba za zadržavanjem podataka i nakon tih rokova radi rasvjetljavanja teških kaznenih djela ili ugroza nacionalne sigurnosti, i to kako u situaciji u kojoj su ta kaznena djela ili te ugroze već mogli biti utvrđeni tako i u situaciji u kojoj se na kraju objektivnog ispitivanja svih relevantnih okolnosti može osnovano sumnjati u njihovo postojanje.

162

U tom pogledu valja istaknuti da Konvencija Vijeća Europe o kibernetičkom kriminalu (Serija europskih ugovora – br. 185), koju je potpisalo 27 država članica i ratificiralo njih 25, a čiji je cilj borba protiv kaznenih djela počinjenih preko informatičkih mreža, predviđa u svojem članku 14. da će radi specifičnih kaznenih istraga ili postupaka ugovorne stranke donijeti određene mjere glede već pohranjenih podataka o prometu, poput hitne zaštite tih podataka. Konkretno, članak 16. stavak 1. te konvencije propisuje da će ugovorne stranke donijeti zakonske mjere potrebne kako bi njihova nadležna tijela mogla naložiti, ili na drugi način postići, hitnu zaštitu podataka o prometu koji su pohranjeni pomoću računalnog sustava, a osobito kada postoji osnova za sumnju da su ti podaci podložni mogućnosti uništenja ili mijenjanja.

163

U situaciji poput one iz točke 161. ove presude, države članice su slobodne, s obzirom na potrebu da pomire predmetna prava i interese iz točke 130. ove presude, predvidjeti u zakonodavstvu donesenom na temelju članka 15. stavka 1. Direktive 2002/58 mogućnost da se posredstvom odluke nadležnog tijela, koja podliježe djelotvornom sudskom nadzoru, naloži pružateljima elektroničkih komunikacijskih usluga da na neodređeno vrijeme hitno zadržavaju podatke o prometu i lokaciji kojima raspolažu.

164

Budući da svrha takvog hitnog zadržavanja ne odgovara više svrsi u koju su se podaci prvotno prikupili i zadržali te da se svaka obrada podataka mora na temelju članka 8. stavka 2. Povelje odvijati u utvrđene svrhe, države članice moraju pojasniti u svojem zakonodavstvu svrhu u koju se podaci mogu hitno zadržavati. S obzirom na ozbiljnost zadiranja u temeljna prava utvrđena u člancima 7. i 8. Povelje koje takvo zadržavanje može uključivati, samo borba protiv teških kaznenih djela i, a fortiori, zaštita nacionalne sigurnosti mogu opravdati to zadiranje. Usto, kako bi se zajamčilo da zadiranje koje mjera te vrste podrazumijeva bude ograničeno na ono što je strogo nužno, s jedne se strane obveza zadržavanja mora odnositi samo na podatke o prometu i lokaciji koji mogu doprinijeti rasvjetljavanju teškog kaznenog djela ili ugroze dotične nacionalne sigurnosti. S druge strane, trajanje zadržavanja podataka mora biti ograničeno na ono što je strogo nužno, pri čemu se ono ipak može produljiti kada okolnosti i cilj koji se želi postići navedenom mjerom to opravdavaju.

165

U tom pogledu mora se pojasniti da se takvo hitno zadržavanje ne mora ograničiti na podatke osoba koje su konkretno osumnjičene da su počinile kazneno djelo ili ugrozile nacionalnu sigurnost. Iako se poštuje okvir koji je utvrđen člankom 15. stavkom 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, te uzimajući u obzir razmatranja u točki 133. ove presude, takva se mjera može, ovisno o odabiru zakonodavca i poštujući granice onoga što je strogo nužno, proširiti na podatke o prometu i lokaciji koji su povezani s osobama različitima od onih koje su osumnjičene da su planirale ili počinile teško kazneno djelo ili da su ugrozile nacionalnu sigurnost, pod uvjetom da ti podaci mogu, na temelju objektivnih i nediskriminatornih kriterija, doprinijeti rasvjetljavanju takvog djela ili takve ugroze nacionalne sigurnosti, poput podataka o njezinoj žrtvi, društvenom i poslovnom okružju, ili pak određenim zemljopisnim područjima, poput mjesta počinjenja i pripreme predmetnog djela ili ugroze nacionalne sigurnosti. Usto, pristup nadležnih tijela tako zadržanim podacima mora se odvijati uz poštovanje uvjeta koji proizlaze iz sudske prakse kojom je protumačena Direktive 2002/58 (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 118. do 121. i navedenu sudsku praksu).

166

Valja još dodati, kao što to osobito proizlazi iz točaka 115. i 133. ove presude, da se pristup podacima o prometu i lokaciji koje su pružatelji zadržali primjenom mjere donesene na temelju članka 15. stavka 1. Direktive 2002/58 može u načelu opravdati samo ciljem od općeg interesa glede kojeg je to zadržavanje naloženo tim pružateljima. Iz toga osobito proizlazi da se pristup takvim podacima u svrhu progona i kažnjavanja običnog kaznenog djela ne može ni u kojem slučaju odobriti kada je njihovo zadržavanje opravdano ciljem borbe protiv teških kaznenih djela ili, a fortiori, zaštite nacionalne sigurnosti. S druge strane, u skladu s načelom proporcionalnosti, kako je pojašnjeno u točki 131. ove presude, pristup zadržanim podacima radi borbe protiv teških kaznenih djela može se, pod uvjetom da se poštuju materijalni i postupovni uvjeti za takav pristup navedeni u prethodnoj točki, opravdati ciljem zaštite nacionalne sigurnosti.

167

U tom su pogledu države članice slobodne predvidjeti u svojem zakonodavstvu da se pristup podacima o prometu i lokaciji može, uz poštovanje tih istih materijalnih i postupovnih uvjeta, dopustiti u svrhu borbe protiv teških kaznenih djela ili zaštite nacionalne sigurnosti, kada pružatelj zadržava navedene podatke na način sukladan člancima 5., 6. i 9. ili pak članku 15. stavku 1. Direktive 2002/58.

168

S obzirom na prethodna razmatranja, na prvo pitanje u predmetima C‑511/18 i C‑512/18 kao i na prvo i drugo pitanje u predmetu C‑520/18 valja odgovoriti da članak 15. stavak 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, treba tumačiti na način da mu se protive zakonske mjere kojima je, u svrhe predviđene tim člankom 15. stavkom 1., preventivno predviđeno opće i neselektivno zadržavanje podataka o prometu i lokaciji. S druge strane, navedenom članku 15. stavku 1., u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, ne protive se zakonske mjere koje

ako te mjere osiguravaju jasnim i preciznim pravilima da predmetno zadržavanje podataka podliježe poštovanju s time povezanih materijalnih i postupovnih uvjeta te da dotične osobe imaju djelotvorna jamstva protiv rizika od zlouporabe.

169

Drugim i trećim pitanjem u predmetu C‑511/18, sud koji je uputio zahtjev pita, u osnovi, treba li članak 15. stavak 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, tumačiti na način da mu se protivi nacionalni propis koji pružateljima elektroničkih komunikacijskih usluga nalaže da na svojim mrežama primjenjuju mjere koje omogućuju, s jedne strane, automatsku analizu i prikupljanje u stvarnom vremenu podataka o prometu i lokaciji i, s druge strane, prikupljanje u stvarnom vremenu tehničkih podataka o lokaciji upotrijebljene terminalne opreme a da nije predviđeno obavještavanje osoba na koje se ta obrada i prikupljanje odnose.

170

Sud koji je uputio zahtjev pojašnjava da tehnike prikupljanja podataka predviđene u člancima L. 851‑2 do L. 851‑4 CSI‑ja ne podrazumijevaju za pružatelje elektroničkih komunikacijskih usluga posebnu obvezu zadržavanja podataka o prometu i lokaciji. Što se posebno tiče automatske analize navedene u članku L. 851‑3 CSI‑ja, taj sud ističe da ta obrada ima za cilj da se, ovisno o kriterijima određenima u tu svrhu, otkriju veze preko kojih se može prepoznati teroristička prijetnja. Glede prikupljanja u stvarnom vremenu navedenog u članku L. 851‑2 CSI‑ja, navedeni sud utvrđuje da se ono tiče samo jedne ili više osoba za koje je prethodno utvrđeno da mogu biti povezane s terorističkom prijetnjom. Isti sud smatra da se te dvije tehnike mogu primjenjivati samo radi sprečavanja terorizma i odnose se na podatke navedene u člancima L. 851‑1 i R. 851‑5 CSI‑ja.

171

Uvodno valja pojasniti da okolnost, da, prema članku L. 851‑3 CSI‑ja, automatska analiza koju on predviđa ne omogućuje kao takva identifikaciju korisnika čiji se podaci podvrgavaju toj analizi, nije prepreka kvalifikaciji takvih podataka kao „osobnih podataka”. Naime, budući da postupak predviđen u točki IV. te iste odredbe omogućuje u kasnijem stadiju da se identificira jedna ili više osoba na koje se odnose podaci čija je automatska analiza otkrila da mogu upućivati na postojanje terorističke prijetnje, sve osobe čiji su podaci predmet automatske analize i dalje se mogu identificirati tim podacima. No, prema definiciji osobnih podataka sadržanoj u članku 4. točki 1. Uredbe 2016/679, takve podatke čine podaci koji se, među ostalim, odnose na pojedinca čiji se identitet može utvrditi.

172

Iz članka L. 851‑3 CSI‑ja proizlazi da automatska analiza koju on predviđa odgovara u biti filtriranju svih podataka o prometu i lokaciji zadržanih od strane pružatelja elektroničkih komunikacijskih usluga koji tu analizu obavljaju na zahtjev nacionalnih nadležnih tijela i na temelju vrijednosti koje su ona odredila. Proizlazi da se provjeravaju svi podaci korisnika elektroničkih komunikacijskih sredstava ako odgovaraju tim vrijednostima. Stoga se za takvu automatsku analizu mora smatrati da uključuje obvezu dotičnih pružatelja elektroničkih komunikacijskih usluga da za račun nadležnog tijela primjenjuju opću i neselektivnu obradu u obliku uporabe automatiziranim sredstvom u smislu članka 4. stavka 2. Uredbe 2016/679, koja obuhvaća sve podatke o prometu i lokaciji svih korisnika elektroničkih komunikacijskih usluga. Ta je obrada neovisna o naknadnom prikupljanju podataka povezanih s osobama identificiranih povodom automatske analize, pri čemu se to prikupljanje odobrava na temelju članka L. 851‑3 stavka IV. CSI‑ja.

173

Nacionalni propis kojim se odobrava takva automatska analiza podataka o prometu i lokaciji odstupa od načelne obveze koja je utvrđena u članku 5. Direktive 2002/58 u vidu jamčenja povjerljivosti elektroničkih komunikacija i s time povezanih podataka. Takav je propis također zadiranje u temeljna prava utvrđena u člancima 7. i 8. Povelje, neovisno o kasnijoj upotrebi tih podataka. Naposljetku, navedeni propis može, u skladu sa sudskom praksom navedenom u točki 118. ove presude, dovesti do odvraćajućih učinaka na korištenje slobodom izražavanja utvrđenom u članku 11. Povelje.

174

Nadalje, zadiranje koje proizlazi iz automatske analize podataka o prometu i lokaciji, poput one o kojoj je riječ u glavnom postupku, pokazuje se osobito ozbiljnim jer općenito i neselektivno obuhvaća podatke osoba koje se koriste elektroničkom komunikacijskim uslugama. Taj se zaključak nameće tim više kada, kako to proizlazi iz nacionalnog propisa o kojemu je riječ u glavnom postupku, podaci koji su predmet automatske analize mogu otkriti narav informacija koje su se pretraživale na internetu. Štoviše, takva se automatska analiza primjenjuje sveobuhvatno na sve osobe koje upotrebljavaju elektronička komunikacijska sredstva te, slijedom toga, i na one za koje ne postoji nikakva naznaka koja bi navela na mišljenje da njihovo ponašanje može imati vezu, čak i posrednu ili daleku, s terorističkim aktivnostima.

175

Glede opravdanja za takvo zadiranje, valja pojasniti da uvjet, postavljen u članku 52. stavku 1. Povelje, a prema kojem svako ograničenje ostvarivanja temeljnih prava mora biti predviđeno zakonom znači da se u samoj pravnoj osnovi kojom se dopušta zadiranje u ta prava mora definirati doseg ograničenja ostvarivanja dotičnog prava (vidjeti u tom smislu presudu od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 175. i navedenu sudsku praksu).

176

Usto, kako bi se ispunio uvjet proporcionalnosti koji je naveden u točkama 130. i 131. ove presude i prema kojem odstupanja i ograničenja u zaštiti osobnih podataka moraju biti u granicama onoga što je strogo nužno, nacionalni propis kojim se uređuje pristup nadležnih tijela zadržanim podacima o prometu i lokaciji mora poštovati zahtjeve koji proizlaze iz sudske prakse navedene u točki 132. ove presude. Konkretno, takav se propis ne može ograničiti na zahtjev da pristup tijela podacima odgovara cilju iz tog propisa, nego također mora predvidjeti materijalne i postupovne uvjete kojima se uređuje to korištenje (vidjeti po analogiji mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 192. i navedenu sudsku praksu).

177

U tom pogledu valja podsjetiti da osobito ozbiljno zadiranje koje podrazumijeva opće i neselektivno zadržavanje podataka o prometu i lokaciji, navedeno u razmatranjima u točkama 134. do 139. ove presude, kao i osobito ozbiljno zadiranje koje čini njihova automatska analiza mogu ispuniti zahtjev proporcionalnosti samo u situacijama u kojima se država članica nađe suočena s ozbiljnom prijetnjom nacionalnoj sigurnosti koja se pokazala stvarnom i trenutačnom ili predvidljivom, i pod uvjetom da je trajanje tog zadržavanja ograničeno na ono što je strogo nužno.

178

U situacijama poput onih iz prethodne točke, provedba automatske analize podataka o prometu i lokaciji svih korisnika elektroničkih komunikacijskih sredstava, tijekom strogo ograničenog razdoblja, može se smatrati opravdanom s obzirom na zahtjeve koji proizlaze iz članka 15. stavka 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje.

179

S obzirom na to, kako bi se zajamčilo da se korištenje takvom mjerom doista ograniči na ono što je strogo nužno za zaštitu nacionalne sigurnosti, i konkretnije za sprečavanje terorizma, bitno je da, u skladu s onim što je utvrđeno u točki 139. ove presude, odluka kojom se odobrava automatska analiza može biti predmet djelotvornog nadzora od strane suda ili neovisnog upravnog tijela čija odluka ima obvezujući učinak, a kojom se nastoji provjeriti postoji li situacija koja opravdava navedenu mjeru i poštuju li se uvjeti i jamstva koji se moraju predvidjeti.

180

U tom pogledu valja pojasniti da unaprijed definirani modeli i kriteriji na kojima počiva ta vrsta obrade podataka moraju biti, s jedne strane, specifični i pouzdani, tako da omogućavaju da se dođe do rezultata kojima se identificiraju pojedinci u pogledu kojih može postojati osnovana sumnja glede sudjelovanja u kaznenim djelima terorizma, te, s druge strane, nediskriminirajući (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 172.).

181

Usto valja podsjetiti da bi svaka automatska obrada, obavljena prema modelima i kriterijima zasnovanima na postulatu da bi rasno ili etničko podrijetlo, politička gledišta, vjerska ili filozofska uvjerenja, članstvo u sindikatima, informacije o zdravlju ili spolnom životu osobe mogli, sami za sebe i neovisno o pojedinačnom ponašanju te osobe, biti relevantni u odnosu na sprečavanje terorizma, kršila prava zajamčena u člancima 7. i 8. u vezi s člankom 21. Povelje. Stoga se unaprijed definirani modeli i kriteriji za potrebe automatske obrade radi sprečavanja terorističkih aktivnosti koje su ozbiljna prijetnja nacionalnoj sigurnosti ne mogu zasnivati samo na tim osjetljivim podacima (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 165.).

182

Osim toga, budući da automatske analize podataka o prometu i lokaciji nužno uključuju određenu stopu pogreške, svaki pozitivni rezultat dobiven provođenjem automatske obrade mora biti podvrgnut pojedinačnoj provjeri korištenjem sredstava koja nisu automatska, prije donošenja pojedinačne mjere koja će na dotične osobe imati štetne učinke, poput naknadnog prikupljanja podataka o prometu o lokaciji u stvarnom vremenu jer rezultat automatske obrade ne može biti odlučujuć za određivanje takve mjere. Isto tako, kako bi se u praksi zajamčilo da unaprijed definirani modeli i kriteriji, njihova uporaba kao i korištene baze podataka ne budu diskriminatorne naravi te da su ograničeni samo na ono što je krajnje nužno s obzirom na cilj sprečavanja terorističkih aktivnosti koje su ozbiljna opasnost nacionalnoj sigurnosti, pouzdanost i ažuriranost tih unaprijed definiranih modela i kriterija te korištenih baza podataka moraju podlijegati redovitom preispitivanju (vidjeti u tom smislu mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 173. i 174.).

183

Glede prikupljanja podataka o prometu i lokaciji u stvarnom vremenu, koje je navedeno u članku L. 851‑2 CSI‑ja, valja istaknuti da se ono može pojedinačno odobriti u odnosu na „prethodno identificiranu osobu koja može biti povezana s [terorističkom] prijetnjom”. Isto tako, prema toj odredbi „[k]ada postoje ozbiljni razlozi za zaključak da jedna ili više osoba koje pripadaju krugu osobe na koju se odobrenje odnosi mogu pružiti informacije u svrhu kojom je odobrenje obrazloženo, odobrenje se također može izdati pojedinačno za svaku od tih osoba”.

184

Podaci koji su predmet mjere te naravi omogućuju nacionalnim nadležnim tijelima da tijekom trajanja odobrenja nadziru, kontinuirano i u stvarnom vremenu, osobe s kojima dotične osobe komuniciraju, sredstva koja upotrebljavaju, trajanje komunikacije, te njihovo mjesto boravka i kretanja. Isto tako, čini se da oni mogu otkriti narav informacija koje su se pretraživale na internetu. Razmatrani zajedno, ti podaci omogućuju, kao što to proizlazi iz točke 117. ove presude, donošenje vrlo preciznih zaključaka o privatnom životu dotičnih osoba, te utvrđivanje njihova profila, što je jednako osjetljiva informacija s obzirom na pravo na poštovanje privatnog života, kao i sam sadržaj komunikacija.

185

Glede prikupljanja podataka u stvarnom vremenu koje je navedeno u članku L. 851‑4 CSI‑ja, tom se odredbom odobrava prikupljanje tehničkih podataka o lokaciji terminalne opreme i prijenosa u stvarnom vremenu službi predsjednika vlade. Proizlazi da takvi podaci omogućuju nadležnoj službi da u svakom trenutku tijekom trajanja odobrenja određuju kontinuirano i u stvarnom vremenu lokaciju upotrijebljene terminalne opreme, poput prijenosnih telefona.

186

Nacionalni propis kojim se odobrava takvo prikupljanje u stvarnom vremenu, kao i onaj kojim se odobrava automatska analiza podataka, odstupa od načelne obveze koja je utvrđena u članku 5. Direktive 2002/58 u vidu jamčenja povjerljivosti elektroničkih komunikacija i s time povezanih podataka. Stoga je on također zadiranje u temeljna prava utvrđena u člancima 7. i 8. Povelje te može stvoriti odvraćajuće učinke na korištenje slobodom izražavanja zajamčenom u članku 11. Povelje.

187

Valja naglasiti da za zadiranje, koje podrazumijeva prikupljanje podataka u stvarnom vremenu koji omogućuju određivanje lokacije terminalne opreme, proizlazi da je osobito ozbiljno jer se tim podacima daje nacionalnim nadležnim tijelima precizno i trajno sredstvo za praćenje kretanja korisnika prijenosnih telefona. Budući da se ti podaci moraju stoga smatrati osobito osjetljivima, pristup nadležnih tijela takvim podacima u stvarnom vremenu mora se razlikovati od pristupa istima izvan stvarnog vremena jer je prvi nametljiviji po tome što dopušta skoro potpun nadzor tih korisnika (vidjeti po analogiji, glede članka 8. EKLJP‑a, presudu ESLJP‑a od 8. veljače 2018., Ben Faiza protiv Francuske, CE:ECHR:2018:0208JUD003144612, t. 74.). Intenzitet tog zadiranja je usto veći kada se prikupljanje u stvarnom vremenu proteže također na podatke o prometu dotičnih osoba.

188

Iako cilj sprečavanja terorizma koji se želi postići nacionalnim propisima o kojima je riječ u glavnom postupku može, s obzirom na svoj značaj, opravdati zadiranje koje uključuje prikupljanje podataka o prometu i lokaciji u stvarnom vremenu, takva se mjera može provesti, vodeći računa o njezinoj osobitoj nametljivosti, samo u odnosu na osobe za koje postoji valjan razlog za sumnju da su na bilo koji način uključene u terorističke aktivnosti. Glede podataka osoba koje ne spadaju u tu kategoriju, oni mogu biti samo predmet pristupa izvan stvarnog vremena jer do njega može doći, u skladu sa sudskom praksom Suda, samo u posebnim okolnostima, poput onih o kojima je riječ u terorističkim aktivnostima, kad postoje objektivni elementi koji omogućavaju zaključak da ti podaci u konkretnom slučaju mogu dati stvaran doprinos borbi protiv terorizma (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 119. i navedenu sudsku praksu).

189

Usto, odluka kojom se odobrava prikupljanje podataka o prometu i lokaciji u stvarnom vremenu mora se zasnivati na objektivnim kriterijima koji su predviđeni nacionalnim zakonodavstvom. Konkretno, tim se zakonodavstvom moraju definirati, u skladu sa sudskom praksom navedenom u točki 176. ove presude, okolnosti i uvjeti u kojima se takvo prikupljanje može odobriti te se, kao što je to pojašnjeno u prethodnoj točki, takvo prikupljanje može odnositi samo na osobe koje su povezane s ciljem sprečavanja terorizma. Usto, odluka kojom se odobrava prikupljanje podataka o prometu i lokaciji u stvarnom vremenu mora se zasnivati na objektivnim i nediskriminatornim kriterijima koji su predviđeni nacionalnim zakonodavstvom. Kako bi se u praksi zajamčilo poštovanje tih uvjeta, bitno je da provedba mjere kojom se odobrava prikupljanje u stvarnom vremenu bude podvrgnuta prethodnom nadzoru suda ili neovisnog upravnog tijela čija odluka ima obvezujući učinak, pri čemu se taj sud ili tijelo moraju osobito uvjeriti da je takvo prikupljanje u stvarnom vremenu odobreno samo u granicama onog što je strogo nužno (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 120.). U slučaju opravdane hitnosti, nadzor mora uslijediti u kratkim rokovima.

190

Bitno je da nacionalna nadležna tijela koja u stvarnom vremenu prikupljaju podatke o prometu i podacima lokacija o tome obavijeste dotične osobe u okviru primjenjivih nacionalnih postupaka, pod uvjetom da, i od trenutka u kojem, ta obavijest ne može ugroziti zadaće koje ta tijela imaju. Naime, to je obavještavanje doista nužno da se tim osobama omogući da se koriste svojim pravima koja proizlaze iz članaka 7. i 8. Povelje, da zahtijevaju pristup svojim osobnim podacima koji su predmet tih mjera te, po potrebi, njihov ispravak ili brisanje, kao i da, u skladu s člankom 47. prvim stavkom Povelje, podnesu djelotvoran pravni lijek pred sudom, pri čemu je takvo pravo, osim toga, izričito zajamčeno u članku 15. stavku 2. Direktive 2002/58, u vezi s člankom 79. stavkom 1. Uredbe 2016/679 (vidjeti u tom smislu presudu od 21. prosinca 2016., Tele2, C‑203/15 i C‑698/15, EU:C:2016:970, t. 121. i navedenu sudsku praksu, i mišljenje 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 219. i 220.).

191

Glede obavještavanja potrebnog u kontekstu automatske obrade podataka o prometu i lokaciji, nacionalno nadležno tijelo dužno je objaviti opće informacije o toj analizi, pri čemu ne mora pojedinačno obavještavati dotične osobe. S druge strane, u slučaju da podaci koji odgovaraju konkretnim vrijednostima u mjeri kojom se odobrava automatska obrada i da to tijelo identificira dotičnu osobu radi temeljitije analize podataka koji se odnose na nju, pojedinačno obavještavanje te osobe pokazuje se nužnim. Do takvog obavještavanja mora, međutim, doći ako i tek od trenutka kad ono ne može ugroziti zadaće koje navedeno tijelo ima (vidjeti po analogiji 1/15 (Sporazum PNR EU‑Kanada) od 26. srpnja 2017., EU:C:2017:592, t. 222. do 224.).

192

S obzirom na sva prethodna razmatranja, na drugo i treće pitanje u predmetu C‑511/18 valja odgovoriti da članak 15. stavak 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, treba tumačiti na način da mu se ne protivi nacionalni propis koji nalaže pružateljima elektroničkih komunikacijskih usluga da se koriste, s jedne strane, automatskom analizom i prikupljanjem u stvarnom vremenu, među ostalim, podataka o prometu i lokaciji, i, s druge strane, prikupljanjem u stvarnom vremenu tehničkih podataka o lokaciji upotrijebljene terminalne opreme, kada je

193

Drugim pitanjem u predmetu C‑512/18 sud koji je uputio zahtjev nastoji, u osnovi, saznati treba li odredbe Direktive 2000/31, u vezi s člancima 6. do 8. i 11. kao i člankom 52. stavkom 1. Povelje, tumačiti na način da im se protivi nacionalni propis koji pružateljima pristupa javnim internetskim komunikacijskim uslugama i pružateljima usluga smještaja informacija na poslužitelju nalaže opće i neselektivno zadržavanje, među ostalim, osobnih podataka povezanih s tim uslugama.

194

Iako smatra da takve usluge spadaju u područje primjene Direktive 2000/31, a ne u područje primjene Direktive 2002/58, sud koji je uputio zahtjev smatra da se samim člankom 15. stavcima 1. i 2. Direktive 2000/31, u vezi s njezinim člancima 12. i 14., ne uvodi načelna zabrana zadržavanja podataka o stvaranju sadržaja od koje bi se moglo samo iznimno odstupiti. Taj sud se, međutim, pita treba li tu ocjenu prihvatiti uzimajući u obzir da se temeljna prava utvrđena u člancima 6. do 8. i 11. Povelje moraju nužno poštovati.

195

Usto, sud koji je uputio zahtjev pojašnjava da se njegovo pitanje odnosi na obvezu zadržavanja predviđenu u članku 6. LCEN‑a, u vezi s Uredbom br. 2011‑219. Podaci koje pružatelji dotičnih usluga moraju zadržavati po toj osnovi uključuju, među ostalim, podatke o građanskom identitetu osoba koje su se koristile tim uslugama, poput njihova prezimena, imena, njihovih povezanih poštanskih adresa, njihovih povezanih adresa elektroničke pošte ili računa, njihovih lozinki i, ako je sklopljen ugovor ili izrađen račun za plaćanje, načina izvršenog plaćanja, referentnog broja plaćanja, iznosa te datuma i vremena transakcije.

196

Isto tako, podaci obuhvaćeni obvezom zadržavanja uključuju identifikatore pretplatnika, veza i upotrijebljene terminalne opreme, identifikatore dodijeljene sadržajima, datum i vrijeme početka i kraja veze i radnji kao i vrste protokola upotrijebljenih za vezu s uslugom i za prijenos sadržaja. Pristup tim podacima, koji se zadržavaju u trajanju od godinu dana, može se zatražiti u okviru kaznenih i građanskih postupaka radi poštovanja pravila o građanskoj ili kaznenoj odgovornosti, kao i u okviru mjera prikupljanja podataka na koje se primjenjuje članak 851‑1 CSI‑ja.

197

U tom pogledu valja istaknuti da, u skladu sa svojim člankom 1. stavkom 2., Direktiva 2000/31 usklađuje određene nacionalne odredbe koje se primjenjuju na usluge informacijskog društva iz njezina članka 2. točke (a).

198

Takve usluge obuhvaćaju, doduše, one koje se pružaju na daljinu, elektroničkom opremom za obradu i pohranu podataka, na pojedinačni zahtjev korisnika usluge te, u pravilu, uz naknadu, poput usluga pristupa internetu ili komunikacijskoj mreži te usluga smještaja informacija na poslužitelju (vidjeti u tom smislu presude od 24. studenoga 2011., Scarlet Extended, C‑70/10, EU:C:2011:771, t. 40., od 16. veljače 2012., SABAM, C‑360/10, EU:C:2012:85, t. 34., od 15. rujna 2016., Mc Fadden, C‑484/14, EU:C:2016:689, t. 55., i od 7. kolovoza 2018., SNB‑REACT, C‑521/17, EU:C:2018:639, t. 42. i navedenu sudsku praksu).

199

Međutim, članak 1. stavak 5. Direktive 2000/31 određuje da se ona ne odnosi na pitanja vezana uz usluge informacijskog društva koje pokrivaju direktive 95/46 i 97/66. U tom pogledu iz uvodnih izjava 14. i 15. Direktive 2000/31 proizlazi da je zaštita povjerljivosti komunikacija i pojedinaca u pogledu obrade osobnih podataka u okviru usluga informacijskog društva isključivo uređena direktivama 95/46 i 97/66, pri čemu u svojem članku 5. ova potonja zabranjuje, radi zaštite povjerljivosti komunikacija, svaki oblik presretanja ili nadzora komunikacija.

200

Stoga se pitanja povezana sa zaštitom povjerljivosti komunikacija i osobnih podataka moraju ocijeniti s aspekta Direktive 2002/58 i Uredbe 2016/679, koje su zamijenile direktive 97/66 i 95/46, pri čemu se pojašnjava da zaštita koja se nastoji osigurati Direktivom 2002/58 ne može u svakom slučaju negativno utjecati na zahtjeve koji proizlaze iz Direktive 2002/58 i Uredbe 2016/679 (vidjeti u tom smislu presudu od 29. siječnja 2008., Promusicae, C‑275/06, EU:C:2008:54, t. 57.).

201

Obveza koja je nacionalnim propisima iz točke 195. ove presude određena pružateljima pristupa javnim internetskim komunikacijskim uslugama i pružateljima usluga smještaja informacija na poslužitelju da zadržavaju osobne podatke povezane s tim uslugama mora se, dakle, kao što je to u biti nezavisni odvjetnik istaknuo u točki 141. svojeg mišljenja u spojenim predmetima La Quadrature du Net i dr. (C‑511/18 i C‑512/18, EU:C:2020:6), ocijeniti s aspekta Direktive 2002/58 ili Uredbe 2016/679.

202

Tako, ovisno o tome spada li pružanje usluga obuhvaćenih tim nacionalnim propisima pod Direktivu 2002/58, njega će uređivati ova potonja direktiva, osobito njezin članak 15. stavak 1., u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, ili Uredba 2016/679, osobito članak 23. stavak 1. navedene uredbe, u vezi s istim odredbama Povelje.

203

U konkretnom se slučaju ne može isključiti, kao što je to Europska komisija istaknula u svojim pisanim očitovanjima, da određene usluge na koje se primjenjuju nacionalni propisi iz točke 195. ove presude jesu elektroničke komunikacijske usluge u smislu Direktive 2002/58, a što je na sudu koji je uputio zahtjev da provjeri.

204

U tom pogledu valja istaknuti da Direktiva 2002/58 obuhvaća elektroničke komunikacijske usluge koje ispunjavaju uvjete utvrđene u članku 2. točki (c) Direktive 2002/21, na koju upućuje članak 2. Direktive 2002/58 i u kojoj je elektronička komunikacijska usluga definirana kao „usluga koja se uobičajeno pruža uz naknadu i sastoji se u cijelosti, ili većim dijelom, od prijenosa signala u elektroničkim komunikacijskim mrežama, uključujući telekomunikacijske usluge i usluge prijenosa u radiodifuzijskim mrežama”. Glede usluga informacijskog društva, poput onih iz točaka 197. i 198., ove presude, koje su obuhvaćene Direktivom 2000/31, one čine elektroničke komunikacijske usluge jer se sastoje, u cijelosti ili većim dijelom, od prijenosa signala u elektroničkim komunikacijskim mrežama (vidjeti u tom smislu presudu od 5. lipnja 2019., Skype Communications, C‑142/18, EU:C:2019:460, t. 47. i 48.).

205

Stoga usluge pristupa internetu, koje su, čini se, obuhvaćene nacionalnim propisima iz točke 195. ove presude, jesu, kao što to potvrđuje uvodna izjava 10. Direktive 2002/21, elektroničke komunikacijske usluge u smislu te direktive (vidjeti u tom smislu presudu od 5. lipnja 2019., Skype Communications, C‑142/18, EU:C:2019:460, t. 37.). To je također slučaj s uslugama razmjene poruka na internetu za koje se ne čini isključenim da su također obuhvaćene tim nacionalnim propisima jer u tehničkom smislu one uključuju u cijelosti ili većim dijelom prijenos signala u elektroničkim komunikacijskim mrežama (vidjeti u tom smislu presudu od 13. lipnja 2019., Google, C‑193/18, EU:C:2019:498, t. 35. i 38.).

206

Glede zahtjeva koji proizlaze iz članka 15. stavka 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, valja uputiti na sva utvrđenja i ocjene koji su izneseni u okviru odgovora danog na prvo pitanje u predmetima C‑511/18 i C‑512/18 te na prvo i drugo pitanje u predmetu C‑520/18.

207

Glede zahtjeva koji proizlaze iz Uredbe 2016/679, valja podsjetiti na to da ona ima za cilj, kao što to proizlazi iz njezine uvodne izjave 10., osigurati visoku razinu zaštite pojedinaca u Uniji te u tu svrhu osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka u čitavoj Uniji (vidjeti u tom smislu presudu od 16. srpnja 2020., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, t. 101.).

208

U tu svrhu svaka obrada osobnih podataka, osim odstupanja dopuštenih u članku 23. Uredbe 2016/679, mora poštovati načela koja uređuju obradu osobnih podataka i prava dotične osobe utvrđena u poglavljima II. i III. te uredbe. Konkretno, svaka obrada osobnih podataka mora, s jedne strane, biti u skladu s načelima utvrđenima u članku 5. navedene uredbe i, s druge strane, ispuniti uvjete zakonitosti navedene u članku 6. te iste uredbe (vidjeti po analogiji, glede Direktive 95/46, presudu od 30. svibnja 2013., Worten, C‑342/12, EU:C:2013:355, t. 33. i navedenu sudsku praksu).

209

Što se konkretnije tiče članka 23. stavka 1. Uredbe 2016/679, valja istaknuti da on, kao i ono što je propisano u članku 15. stavku 1. Direktive 2002/58, dopušta državama članicama da, s obzirom na svrhe koje on predviđa i putem zakonskih mjera, ograniče opseg obveza i prava koja su u njoj navedena „ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu” cilja koji se želi postići. Svaka zakonska mjera donesena na toj osnovi mora osobito poštovati specifične zahtjeve utvrđene u članku 23. stavku 2. te uredbe.

210

Stoga se članak 23. stavci 1. i 2. Uredbe 2016/679 ne mogu tumačiti na način da državama članicama može dodijeliti ovlast posezanja u privatni život, kršeći članak 7. Povelje, kao i druga jamstva koja su njome predviđena (vidjeti po analogiji, glede Direktive 95/46, presudu od 20. svibnja 2003., Österreichischer Rundfunk i dr., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 91.). Konkretno te poput onoga što vrijedi za članak 15. stavak 1. Direktive 2002/58, ovlast koju članak 23. stavak 1. Uredbe 2016/679 dodjeljuje državama članicama može se koristiti samo uz poštovanje uvjeta proporcionalnosti prema kojem odstupanja i ograničenja u zaštiti osobnih podataka moraju biti u granicama onoga što je strogo nužno (vidjeti po analogiji, glede Direktive 95/46, presudu od 7. studenoga 2013., IPI, C‑473/12, EU:C:2013:715, t. 39. i navedenu sudsku praksu).

211

Slijedi da se utvrđenja i ocjene koji su izneseni u okviru odgovora danog na prvo pitanje u predmetima C‑511/18 i C‑512/18 kao i na prvo i drugo pitanje u predmetu C‑520/18 primjenjuju mutatis mutandis na članak 23. Uredbe 2016/679.

212

S obzirom na prethodna razmatranja, na drugo pitanje u predmetu C‑512/18 valja odgovoriti da Direktivu 2000/31 treba tumačiti na način da nije primjenjiva na području zaštite povjerljivosti komunikacija i fizičkih osoba u pogledu obrade osobnih podataka u okviru usluga informacijskog društva jer je ta zaštita uređena, ovisno o slučaju, Direktivom 2002/58 ili Uredbom 2016/679. Članak 23. stavak 1. Uredbe 2016/679, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, treba tumačiti na način da mu se protivi nacionalni propis koji pružateljima pristupa javnim internetskim komunikacijskim uslugama i pružateljima usluga smještaja informacija na poslužitelju nalaže opće i neselektivno zadržavanje, među ostalim, osobnih podataka povezanih s tim uslugama.

213

Trećim pitanjem u predmetu C‑520/18 sud koji je uputio zahtjev nastoji, u biti, saznati može li nacionalni sud primijeniti odredbu svojeg nacionalnog prava koja ga ovlašćuje da vremenski ograniči učinke utvrđenja nezakonitosti koje mora iznijeti na temelju tog prava u odnosu na nacionalno zakonodavstvo koje pružateljima elektroničkih komunikacijskih usluga nalaže, radi, inter alia, postizanja ciljeva zaštite nacionalne sigurnosti i borbe protiv kriminala, opće i neselektivno zadržavanje podataka o prometu i lokaciji, i to zbog njegove nespojivosti s člankom 15. stavkom 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje.

214

Načelo nadređenosti prava Unije utvrđuje prvenstvo prava Unije nad pravom država članica. Stoga to načelo zahtijeva da sva tijela država članica osiguraju puni učinak različitih odredbi Unije, pri čemu pravo država članica ne može utjecati na učinak koji se tim različitim odredbama priznaje na području navedenih država (presude od 15. srpnja 1964., Costa, 6/64, EU:C:1964:66, str. 1159. i 1160., i od 19. studenoga 2019., A. K. i dr. (Neovisnost Disciplinskog vijeća Vrhovnog suda), C‑585/18, C‑624/18 i C‑625/18, EU:C:2019:982, t. 157. i 158. i navedena sudska praksa).

215

Na temelju načela nadređenosti, ako nacionalni propis nije moguće tumačiti u skladu sa zahtjevima prava Unije, nacionalni sud koji je u okviru svojih nadležnosti zadužen za primjenu odredbi prava Unije dužan je osigurati njihov puni učinak izuzimajući iz primjene, prema potrebi, svaku suprotnu odredbu nacionalnog prava, pa bila ona i naknadna, a da pritom ne mora zatražiti ni čekati prethodno stavljanje izvan snage te nacionalne odredbe kroz zakonodavni ili bilo koji drugi postupak predviđen Ustavom (presude od 22. lipnja 2010., Melki i Abdeli, C‑188/10 i C‑189/10, EU:C:2010:363, t. 43. i navedena sudska praksa, od 24. lipnja 2019., Popławski, C‑573/17, EU:C:2019:530, t. 58., i od 19. studenoga 2019., A. K. i dr. (Neovisnost Disciplinskog vijeća Vrhovnog suda), C‑585/18, C‑624/18 i C‑625/18, EU:C:2019:982, t. 160.).

216

Samo Sud može, u iznimnim slučajevima i iz važnih razloga pravne sigurnosti, odobriti privremenu suspenziju poništavajućeg učinka koji pravilo prava Unije ima u odnosu na nacionalno pravo koje mu se protivi. Takvo se vremensko ograničenje učinaka tumačenja tog prava koje je Sud dao može dopustiti samo u istoj presudi kojom se odlučuje o traženom tumačenju (vidjeti u tom smislu presude od 23. listopada 2012., Nelson i dr., C‑581/10 i C‑629/10, EU:C:2012:657, t. 89. i 91., od 23. travnja 2020., Herst, C‑401/18, EU:C:2020:295, t. 56. i 57., i od 25. lipnja 2020., A i dr. (Vjetroelektrane u Aalteru i Neveleu), C‑24/19, EU:C:2020:503, t. 84. i navedenu sudsku praksu).

217

Naime, ugrozila bi se nadređenost i ujednačena primjena prava Unije kad bi nacionalni sudovi imali ovlast dati prednost nacionalnim odredbama u odnosu na pravo Unije kojemu se te odredbe protive, makar i samo privremeno (vidjeti u tom smislu presudu od 29. srpnja 2019., Inter‑Environnement Wallonie i Bond Beter Leefmilieu Vlaanderen, C‑411/17, EU:C:2019:622, t. 177. i navedenu sudsku praksu).

218

Međutim, u predmetu u kojem je riječ bila o zakonitosti mjera donesenih kršenjem obveze utvrđene pravom Unije u vidu davanja prethodne procjene utjecaja projekta na okoliš i zaštićeno područje Sud je presudio da nacionalni sud može, ako nacionalno pravo to dopušta, iznimno održati na snazi učinke takvih mjera ako je to održavanje na snazi opravdano važnim razlozima u vezi s potrebom da se otkloni stvarna i ozbiljna prijetnja od prekida opskrbe dotične države članice električnom energijom, na koju se ne bi moglo odgovoriti drugim sredstvima i mogućnostima, osobito u okviru unutarnjeg tržišta, pri čemu navedeno održavanje na snazi može trajati samo onoliko dugo koliko je nužno potrebno za ispravljanje te nezakonitosti (vidjeti u tom smislu presudu od 29. srpnja 2019., Inter‑Environnement Wallonie i Bond Beter Leefmilieu Vlaanderen, C‑411/17, EU:C:2019:622, t. 175., 176., 179. i 181.).

219

No, za razliku od neispunjavanja postupovne obveze poput prethodne procjene utjecaja projekta u posebnom području zaštite okoliša, kršenje članka 15. stavka 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje, ne može se ispraviti postupkom koji je usporediv s onim spomenutim u prethodnoj točki. Naime, održavanje na snazi učinaka nacionalnog zakonodavstva, poput onog o kojemu je riječ u glavnom postupku, značilo bi da to zakonodavstvo nastavlja pružateljima elektroničkih komunikacijskih usluga određivati obveze koje su suprotne pravu Unije i koje podrazumijevaju ozbiljna zadiranja u temeljna prava osoba čiji se podaci zadržavaju.

220

Prema tome, sud koji je uputio zahtjev ne može primijeniti odredbu svojeg nacionalnog prava koja ga ovlašćuje da vremenski ograniči učinke utvrđenja nezakonitosti koje mora iznijeti na temelju tog prava u pogledu nacionalnog zakonodavstva o kojemu je riječ u glavnom postupku.

221

S obzirom na to, u svojim očitovanjima koja su podnijeli Sudu, VZ, WY i XX ističu da se trećim pitanjem implicitno, ali nužno traži odgovor na to protivi li se pravu Unije korištenje informacijama i dokazima u okviru kaznenog postupka koji su pribavljeni općim i neselektivnim zadržavanjem podataka o prometu i lokaciji koje nije spojivo s tim pravom.

222

U tom pogledu i radi davanja korisnog odgovora sudu koji je uputio zahtjev, valja podsjetiti da je u trenutačnom stanju prava Unije u načelu samo na nacionalnom pravu da odredi pravila o dopuštenosti i ocjeni, u okviru kaznenog postupka pokrenutog protiv osoba osumnjičenih za teška kaznena djela, onih informacija i dokaza koji su pribavljeni takvim zadržavanjem podataka suprotnim pravu Unije.

223

Naime, ustaljena je sudska praksa da kada u određenom području u pravu Unije ne postoje pravila unutarnji pravni poredak svake države članice treba, na temelju načela procesne autonomije, uspostaviti postupovna pravila za sudske postupke koji moraju osigurati zaštitu prava koja pojedinci izvode iz prava Unije, ali pod uvjetom da ona nisu nepovoljnija od onih koja uređuju slične situacije u unutarnjem pravu (načelo ekvivalentnosti) i da ne čine u praksi nemogućim ili pretjerano otežanim korištenje prava dodijeljenih pravom Unije (načelo djelotvornosti) (vidjeti u tom smislu presude od 6. listopada 2015., Târşia, C‑69/14, EU:C:2015:662, t. 26. i 27., od 24. listopada 2018., XC i dr., C‑234/17, EU:C:2018:853, t. 21. i 22. i navedenu sudsku praksu, te od 19. prosinca 2019., Deutsche Umwelthilfe, C‑752/18, EU:C:2019:1114, t. 33.).

224

Glede načela ekvivalentnosti, na nacionalnom je sudu, koji odlučuje u kaznenom postupku zasnovanom na informacijama ili dokazima pribavljenima kršenjem zahtjeva koji proizlaze iz Direktive 2002/58, da provjeri predviđa li nacionalno pravo, koje uređuje taj postupak, pravila koja su glede dopuštenosti i korištenja takvih informacija i dokaza nepovoljnija od onih koja uređuju informacije i dokaze pribavljene povredom unutarnjeg prava.

225

Što se tiče načela djelotvornosti, valja istaknuti da nacionalna pravila o dopuštenosti i korištenju informacija i dokaza imaju, na temelju odabira napravljenih u nacionalnom pravu, za cilj izbjeći da informacije i dokazi koji su nezakonito pribavljeni neopravdano naštete osobi koja je osumnjičena da je počinila kaznena djela. No, taj se cilj može prema nacionalnom pravu postići ne samo zabranom korištenja takvih informacija i dokaza, nego i nacionalnim pravilima te praksom kojima je uređena ocjena i odvagivanje informacija i dokaza, ili čak uzimanjem u obzir njihove nezakonitosti u okviru određivanja kazne.

226

S obzirom na to, iz sudske prakse Suda proizlazi da nužnost izdvajanja informacija i dokaza pribavljenih kršenjem odredbi prava Unije treba ocijeniti osobito s obzirom na rizik koji dopuštenost takvih informacija i dokaza nosi za poštovanje načela kontradiktornosti i prema tome prava na pošteno suđenje (vidjeti u tom smislu presudu od 10. travnja 2003., Steffensen, C‑276/01, EU:C:2003:228, t. 76. i 77.). No, sud koji smatra da stranka nije u mogućnosti učinkovito se izjasniti o dokaznom sredstvu, koje proizlazi iz područja glede kojeg suci ne raspolažu znanjem i koje može prevagnuti prilikom ocjene činjenica, mora utvrditi povredu prava na pošteno suđenje i izdvojiti to dokazno sredstvo kako bi se takva povreda izbjegla (vidjeti u tom smislu presudu od 10. travnja 2003., Steffensen, C‑276/01, EU:C:2003:228, t. 78. i 79.).

227

Prema tome, načelo djelotvornosti nalaže nacionalnom kaznenom sudu da, u okviru kaznenog postupka pokrenutog protiv osoba osumnjičenih za kaznena djela, izdvoji informacije i dokaze koji su pribavljeni općim i neselektivnim zadržavanjem podataka o prometu i lokaciji koje je nespojivo s pravom Unije, ako te osobe nisu u mogućnosti učinkovito se izjasniti o tim informacijama i dokazima koji potječu iz područja glede kojeg suci ne raspolažu znanjem i koji mogu prevagnuti prilikom ocjene činjenica.

228

S obzirom na prethodna razmatranja, na treće pitanje u predmetu C‑520/18 valja odgovoriti da nacionalni sud ne može primijeniti odredbu svojeg nacionalnog prava koja ga ovlašćuje da vremenski ograniči učinke utvrđenja nezakonitosti koje mora izreći na temelju tog prava, u odnosu na nacionalno zakonodavstvo koje pružateljima elektroničkih komunikacijskih usluga nalaže, radi, inter alia, zaštite nacionalne sigurnosti i borbe protiv kriminala, općenito i neselektivno zadržavanje podataka o prometu i lokaciji koje je nespojivo s člankom 15. stavkom 1. Direktive 2002/58, u vezi s člancima 7., 8. i 11. kao i člankom 52. stavkom 1. Povelje. Taj članak 15. stavak 1., protumačen s obzirom na načelo djelotvornosti, nalaže nacionalnom kaznenom sudu da, u okviru kaznenog postupka pokrenutog protiv osoba osumnjičenih za kaznena djela, izdvoji informacije i dokaze koji su pribavljeni općim i neselektivnim zadržavanjem podataka o prometu i lokaciji koje je nespojivo s pravom Unije ako te osobe nisu u mogućnosti učinkovito se izjasniti o tim informacijama i dokazima koji potječu iz područja glede kojeg suci ne raspolažu znanjem i koji mogu prevagnuti prilikom ocjene činjenica.

229

Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnog postupka pred sudom koji je uputio zahtjev, na tom je sudu da odluči o troškovima postupka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se.

Slijedom navedenog, Sud (veliko vijeće) odlučuje: