8. travnja 2014. ( *1 )
„Elektroničke komunikacije — Direktiva 2006/24/EZ — Javno dostupne elektroničke komunikacijske usluge ili javne komunikacijske mreže — Zadržavanje podataka dobivenih ili obrađenih u vezi s pružanjem takvih usluga — Valjanost — Članci 7., 8. i 11. Povelje Europske unije o temeljnim pravima“
U spojenim predmetima C‑293/12 i C‑594/12,
povodom zahtjevâ za prethodnu odluku na temelju članka 267. UFEU‑a, koje su uputili High Court (Irska) i Verfassungsgerichtshof (Austrija), odlukama od 27. siječnja i 28. studenoga 2012., koje je Sud zaprimio 11. lipnja i 19. prosinca 2012., u postupcima
Digital Rights Ireland Ltd (C‑293/12)
protiv
Minister for Communications, Marine and Natural Resources,
Minister for Justice, Equality and Law Reform,
Commissioner of the Garda Síochána,
Irske,
The Attorney General,
uz sudjelovanje:
Irish Human Rights Commission
i
Kärntner Landesregierung (C‑594/12),
Michaela Seitlingera,
Christofa Tschohla i dr.,
SUD (veliko vijeće),
u sastavu: V. Skouris, predsjednik, K. Lenaerts, potpredsjednik, A. Tizzano, R. Silva de Lapuerta, T. von Danwitz (izvjestitelj), E. Juhász, A. Borg Barthet, C. G. Fernlund i J. L. da Cruz Vilaça, predsjednici vijeća, A. Rosas, G. Arestis, J.‑C. Bonichot, A. Arabadjiev, C. Toader i C. Vajda, suci,
nezavisni odvjetnik: P. Cruz Villalón,
tajnik: K. Malacek, administrator,
uzimajući u obzir pisani postupak i nakon rasprave održane 9. srpnja 2013.,
uzimajući u obzir očitovanja koja su podnijeli:
— |
za Digital Rights Ireland Ltd., F. Callanan, SC i F. Crehan, BL, koje je ovlastio S. McGarr, solicitor, |
— |
za M. Seitlingera, G. Otto, Rechtsanwalt, |
— |
za C. Tschohla i dr., E. Scheucher, Rechtsanwalt, |
— |
za Irish Human Rights Commission, P. Dillon Malone, BL, kojeg je ovlastila S. Lucey, solicitor, |
— |
za Irsku, E. Creedon i D. McGuinness, u svojstvu agenata, uz asistenciju E. Regana, SC i D. Fennellyja, JC, |
— |
za austrijsku vladu, G. Hesse i G. Kunnert, u svojstvu agenata, |
— |
za španjolsku vladu, N. Díaz Abad, u svojstvu agenta, |
— |
za francusku vladu, G. de Bergues i D. Colas kao i B. Beaupère‑Manokha, u svojstvu agenata, |
— |
za talijansku vladu, G. Palmieri, u svojstvu agenta, uz asistenciju A. De Stefana, avvocato dello Stato, |
— |
za poljsku vladu, B. Majczyna i M. Szpunar, u svojstvu agenata, |
— |
za portugalsku vladu, L. Inez Fernandes i C. Vieira Guerra, u svojstvu agenata, |
— |
za vladu Ujedinjene Kraljevine, L. Christie, u svojstvu agenta, uz asistenciju S. Lee, barrister, |
— |
za Europski parlament, U. Rösslein i A. Caiola kao i K. Zejdová, u svojstvu agenata, |
— |
za Vijeće Europske unije, J. Monteiro i E. Sitbon kao i I. Šulce, u svojstvu agenata, |
— |
za Europsku komisiju, D. Maidani kao i B. Martenczuk i M. Wilderspin, u svojstvu agenata, |
saslušavši mišljenje nezavisnog odvjetnika na raspravi održanoj 12. prosinca 2013.,
donosi sljedeću
Presudu
1 |
Zahtjevi za prethodnu odluku odnose se na valjanost Direktive 2006/24/EZ Europskog parlamenta i Vijeća od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ (SL L 105, str. 54.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 50., str. 30.). |
2 |
Zahtjev koji je uputio High Court (predmet C‑293/12) odnosi se na spor između Digital Rights Ireland Ltd. (u daljnjem tekstu: Digital Rights) i Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irske kao i Attorney Generala glede zakonitosti nacionalnih zakonodavnih i upravnih mjera koje se odnose na zadržavanje podataka u vezi s elektroničkim komunikacijama. |
3 |
Zahtjev koji je uputio Verfassungsgerichtshof (predmet C‑594/12) odnosi se na ustavne tužbe koje su pred tim sudom podnijeli Kärntner Landesregierung (vlada pokrajine Koruške) kao i M. Seitlinger, C. Tschohl i 11.128 drugih tužitelja u vezi s usklađenošću zakona kojim se prenosi Direktiva 2006/24 u domaće austrijsko pravo s federalnim ustavnim zakonom (Bundes‑Verfassungsgesetz). |
Pravni okvir
Direktiva 95/46/EZ
4 |
Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.) ima za cilj, sukladno članku 1. stavku 1., osigurati zaštitu temeljnih prava i sloboda fizičkih osoba, a posebno njihovih prava na privatnost u vezi s obradom osobnih podataka. |
5 |
U vezi sa sigurnošću obrade takvih podataka članak 17. stavak 1. navedene direktive propisuje: „Države članice utvrđuju da nadzornik mora provoditi odgovarajuće tehničke i organizacijske mjere kako bi zaštitio osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže te protiv svih drugih nezakonitih oblika obrade. Uzimajući u obzir najnovija dostignuća i trošak njihove provedbe, takve mjere osiguravaju razinu sigurnosti koja odgovara rizicima obrade i prirodi podataka koje je potrebno zaštititi.“ |
Direktiva 2002/58/EZ
6 |
Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.), izmijenjena Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. (SL L 337, str. 11.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 224.) (u daljnjem tekstu: Direktiva 2002/58), ima za cilj, u skladu sa svojim člankom 1. stavkom 1., usklađivanje odredaba država članica koje trebaju osigurati ujednačenu razinu zaštite temeljnih prava i sloboda, a posebno prava na privatnost i povjerljivost u vezi s obradom osobnih podataka u području elektroničkih komunikacija, te osiguranje slobodnog prijenosa takvih podataka i elektroničke komunikacijske opreme i usluga u Europskoj uniji. Na temelju stavka 2. istog članka odredbe te direktive pojašnjavaju i nadopunjuju Direktivu 95/46 u svrhe spomenute u gore navedenom stavku 1. |
7 |
Što se tiče sigurnosti obrade podataka, članak 4. Direktive 2002/58 predviđa: „1. Davatelj javno dostupnih elektroničkih komunikacijskih usluga mora poduzeti odgovarajuće tehničke i organizacijske mjere kako bi zaštitio sigurnost svojih usluga, ako je potrebno zajedno s davateljem javne komunikacijske mreže, u vezi sa sigurnošću mreže. Uzimajući u obzir najnovija dostignuća i trošak njihove provedbe, ove mjere moraju osigurati razinu sigurnosti koja odgovara prikazanim opasnostima. 1a. Ne dovodeći u pitanje Direktivu 95/46/EZ, mjere navedene u stavku 1. barem:
Nadležna državna tijela imaju mogućnost provođenja revizije mjera koje provode operatori javno dostupnih usluga elektroničkih komunikacija te objavljivanja preporuka o najboljim iskustvima koja se odnose na razinu sigurnosti koju bi navedene mjere trebale ostvariti. 2. U slučaju posebne opasnosti narušavanja sigurnosti mreže, davatelj javno dostupne elektroničke komunikacijske usluge mora obavijestiti pretplatnike o takvoj opasnosti te, ako opasnost leži izvan opsega mjera koje treba poduzeti davatelj usluge, o mogućim sredstvima za otklanjanje opasnosti, uključujući i naznaku vjerojatnih troškova koji će se s tim u vezi pojaviti.“ |
8 |
Kad je riječ o povjerljivosti komunikacija i s time povezanih podataka o prometu, članak 5. stavci 1. i 3. navedene direktive propisuju: „1. Države članice putem svojih zakonodavstava osiguravaju povjerljivost komunikacija i s time povezanih podataka o prometu koji se šalju preko javne komunikacijske mreže i javno dostupnih elektroničkih komunikacijskih usluga. One posebno zabranjuju svim osobama koje nisu korisnici slušanje, prisluškivanje, pohranjivanje ili druge oblike presretanja odnosno nadzora nad komunikacijama i s time povezanim podacima o prometu, bez pristanka korisnika, osim u slučaju kada imaju zakonsko dopuštenje da to učine u skladu s člankom 15. stavkom 1. Ovaj stavak ne sprečava tehničko pohranjivanje koje je nužno za prijenos komunikacije, ne dovodeći u pitanje načelo povjerljivosti. [...] 3. Države članice osiguravaju da uporaba elektroničkih komunikacijskih mreža za pohranu informacija ili za pristup informacijama pohranjenima u terminalnoj opremi pretplatnika ili korisnika bude dopuštena samo pod uvjetom da se pretplatniku ili korisniku pruže jasne i sveobuhvatne informacije u skladu s Direktivom 95/46/EZ, između ostalog, o svrsi obrade te ako mu nadzornik podataka ponudi pravo da odbije takvu obradu. Ovo ne sprečava tehničko pohranjivanje ili pristup isključivo u svrhu provođenja ili olakšavanja prijenosa komunikacija preko elektroničke komunikacijske mreže ili ako je strogo nužno kako bi se pružila neka usluga informacijskog društva koju je pretplatnik ili korisnik izričito zatražio.“ |
9 |
U skladu s člankom 6. stavkom 1. Direktive 2002/58: „Podaci o prometu koji se odnose na pretplatnike i korisnike i koje je davatelj javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge obradio i pohranio moraju se obrisati ili učiniti anonimnima kada više nisu potrebni u svrhu prijenosa komunikacije, ne dovodeći u pitanje stavke 2., 3. i 5. ovog članka te članak 15. stavak 1.“ |
10 |
Članak 15. Direktive 2002/58 propisuje u stavku 1.: „Države članice mogu donijeti zakonske mjere kojima će ograničiti opseg prava i obveza koji pružaju članak 5., članak 6., članak 8. stavci 1., 2., 3. i 4., te članak 9. ove Direktive kada takvo ograničenje predstavlja nužnu, prikladnu i razmjernu mjeru unutar demokratskog društva s ciljem zaštite nacionalne sigurnosti (odnosno državne sigurnosti), obrane, javne sigurnosti te s ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela odnosno neovlaštene uporabe elektroničkog komunikacijskog sustava iz članka 13. stavka 1. Direktive 95/46/EZ. S tim u vezi, države članice mogu, između ostalog, donijeti zakonske mjere kojima se omogućuje zadržavanje podataka tijekom ograničenog razdoblja opravdane razlozima određenim u ovom stavku. Sve mjere iz ovog stavka moraju biti u skladu s općim načelima prava Zajednice, uključujući ona iz članka 6. stavaka 1. i 2. Ugovora o Europskoj uniji.“ |
Direktiva 2006/24
11 |
Nakon savjetovanja s predstavnicima represivnih službi, sektora za elektroničke komunikacije i stručnjacima u području zaštite podataka, Komisija je 21. rujna 2005. predstavila procjenu učinka političkih opcija u vezi s pravilima o zadržavanju podataka o prometu (u daljnjem tekstu: procjena učinka). Ta analiza poslužila je kao osnova za izradu prijedloga Direktive Europskog parlamenta i Vijeća o zadržavanju podataka obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga i o izmjeni Direktive 2002/58/EZ [COM(2005) 438 final, u daljnjem tekstu: prijedlog direktive], koja je predstavljena istoga dana i koja je dovela do donošenja Direktive 2006/24 na temelju članka 95. UEZ‑a. |
12 |
Uvodna izjava 4. Direktive 2006/24 glasi: „Člankom 15. stavkom 1. Direktive 2002/58/EZ propisuju se uvjeti pod kojima države članice mogu ograničiti opseg prava i obveza iz članka 5., članka 6., članka 8. stavaka 1., 2., 3. i 4. te članka 9. navedene Direktive. Svako takvo ograničenje u demokratskom društvu mora biti nužno, prikladno i razmjerno za posebne potrebe očuvanja javnog reda, tj. za zaštitu nacionalne sigurnosti (tj. državne sigurnosti), obrane, javne sigurnosti ili sprečavanje, istragu, otkrivanje i progon kaznenih djela ili neovlaštene uporabe sustava elektroničke komunikacije.“ |
13 |
Prema prvoj rečenici uvodne izjave 5. Direktive 2006/24 „[n]ekoliko je država članica donijelo zakonodavstvo koje uređuje zadržavanje podataka koje obavljaju pružatelji usluga u svrhu sprečavanja, istrage, otkrivanja i progona kaznenih djela“. |
14 |
Uvodne izjave 7. do 11. Direktive 2006/24 glase kako slijedi:
|
15 |
Uvodne izjave 16., 21. i 22. te direktive navode:
|
16 |
Direktiva 2006/24 predviđa obvezu pružateljâ javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža da zadrže određene podatke koje skupljaju ili obrađuju ti pružatelji. U tom pogledu članci 1. do 9., 11. i 13. te direktive propisuju: „Članak 1. Predmet i područje primjene 1. Cilj ove Direktive je uskladiti odredbe država članica koje se odnose na obveze pružatelja javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža u odnosu na zadržavanje određenih podataka koje skupljaju ili obrađuju pružatelji, kako bi se osiguralo da ti podaci budu dostupni u svrhu istrage, otkrivanja i progona teških kaznenih djela, kako su određena nacionalnim zakonodavstvom svake države članice. 2. Ova se Direktiva primjenjuje na podatke o prometu i lokaciji kako pravnih tako i fizičkih osoba te na uz to vezane podatke nužne za identificiranje pretplatnika ili registriranog korisnika. Ona se ne primjenjuje na sadržaj elektroničke komunikacije kao ni na informacije do kojih se dolazi korištenjem elektroničke komunikacijske mreže. Članak 2. Pojmovi 1. U svrhu ove Direktive primjenjuju se pojmovi iz Direktive 95/46/EZ, Direktive 2002/21/EZ Europskog parlamenta i Vijeća od 7. ožujka 2002. o zajedničkom regulatornom okviru za elektroničke komunikacijske mreže i usluge (Okvirna direktiva) [...] te iz Direktive 2002/58/EZ. 2. U smislu ove Direktive:
Članak 3. Obveza zadržavanja podataka 1. Iznimno od odredaba članka 5., 6. i 9. Direktive 2002/58/EZ, države članice donose mjere kojima se osigurava da se podaci iz članka 5. ove Direktive, ako su nastali pri ili su ih obradili pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javne komunikacijske mreže unutar njihove nadležnosti prilikom pružanja predmetnih komunikacijskih usluga, zadržavaju u skladu s odredbama ove Direktive. 2. Obveza zadržavanja podataka iz stavka 1. uključuje zadržavanje podataka iz članka 5. koji se odnose na neuspješne pozive kada su ti podaci nastali pri ili su ih obradili te pohranili (kada se radi o podacima o telefoniji) ili zabilježili (kada se radi o internetskim podacima) pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javne komunikacijske mreže u nadležnosti predmetne države članice prilikom pružanja predmetnih komunikacijskih usluga. Ova Direktiva ne zahtijeva da se zadržavaju podaci koji se odnose na nespojene pozive. Članak 4. Pristup podacima Države članice donose mjere kako bi osigurale da se podaci zadržani u skladu s ovom Direktivom daju samo nadležnim nacionalnim tijelima u posebnim slučajevima te u skladu s nacionalnim pravom. Uzimajući u obzir odgovarajuće odredbe prava Europske unije ili međunarodnog javnog prava, a posebno ECHR‑a kako ga tumači Europski sud za ljudska prava, svaka država članica u svom nacionalnom pravu propisuje postupak i uvjete koji se moraju ispuniti kako bi se ostvarilo pravo na pristup zadržanim podacima u skladu sa zahtjevima nužnosti i proporcionalnosti. Članak 5. Kategorije podataka koji se zadržavaju 1. Države članice osiguravaju da se u skladu s ovom Direktivom zadržavaju sljedeće kategorije podataka:
2. U skladu s ovom Direktivom ne smiju se pohranjivati podaci koji otkrivaju sadržaj komunikacije. Članak 6. Trajanje zadržavanja podataka Države članice osiguravaju da se kategorije podataka iz članka 5. ove Direktive zadržavaju na razdoblje koje nije kraće od 6 mjeseci niti dulje od dvije godine od datuma komunikacije. Članak 7. Zaštita i sigurnost podataka Ne dovodeći u pitanje odredbe donesene na temelju Direktive 95/46/EZ i Direktive 2002/58/EZ, svaka država članica osigurava da pružatelji javno dostupnih usluga elektroničke komunikacije ili javne komunikacijske mreže, poštuju najmanje sljedeća načela sigurnosti podataka u vezi s podacima zadržanim u skladu s ovom Direktivom:
Članak 8. Zahtjevi u vezi sa zadržavanjem podataka Države članice osiguravaju da se podaci iz članka 5. ove Direktive pohranjuju u skladu s ovom Direktivom na takav način da se zadržani podaci i sve druge potrebne informacije vezane uz te podatke mogu na zahtjev dostaviti nadležnim tijelima bez nepotrebnog odlaganja. Članak 9. Nadzorno tijelo 1. Svaka država članica imenuje jedno ili više tijela javne vlasti koja su na njenom državnom području odgovorna za praćenje primjene odredaba koje su države članice donijele u skladu s člankom 7. ove Direktive u vezi sa sigurnosti pohranjenih podataka. Ta tijela mogu biti tijela iz članka 28. Direktive 95/46/EZ. 2. Tijela iz stavka 1. ovog članka prilikom obavljanja nadzora iz navedenog stavka djeluju potpuno neovisno. [...] Članak 11. Izmjena Direktive 2002/58/EZ U članak 15. Direktive 2002/58/EZ dodaje se sljedeći stavak: ‚1.a Stavak 1. ne primjenjuje se na podatke iz [Direktive 2006/24] čije se zadržavanje posebno zahtijeva u svrhe iz članka 1. stavka 1. te Direktive.’ [...] Članak 13. Pravni lijekovi, odgovornost i sankcije 1. Svaka država članica poduzima potrebne mjere kako bi osigurala da se u vezi s obradom podataka u okviru ove Direktive potpuno primjenjuju nacionalne mjere za provedbu poglavlja III. Direktive 95/46/EZ koje predviđa pravne lijekove, odgovornost i sankcije. 2. Svaka država članica posebno poduzima potrebne mjere kako bi osigurala da se svaki namjerni pristup podacima ili prijenos podataka zadržanih u skladu s ovom Direktivom koji nije dopušten u nacionalnom pravu donesenom na temelju ove Direktive sankcionira, administrativnim ili kaznenim sankcijama, koje su učinkovite, razmjerne i odvraćajuće.“ |
Glavni postupci i prethodna pitanja
Predmet C‑293/12
17 |
Digital Rights podnio je 11. kolovoza 2006. tužbu pred High Court u kojoj je naveo da je vlasnik mobilnog telefona registriranoga 3. lipnja 2006. te da ga koristi od tog datuma. On dovodi u pitanje zakonitost nacionalnih zakonodavnih i upravnih mjera koje se odnose na zadržavanje podataka u vezi s elektroničkim komunikacijama i od suda koji je uputio zahtjev traži, osobito, poništenje Direktive 2006/24 i sedmog dijela Zakona o kaznenom pravosuđu (teroristička kaznena djela) iz 2005. [Criminal Justice (Terrorist Offences) Act 2005], koji predviđaju da pružatelji telefonskih komunikacijskih usluga moraju zadržavati podatke o prometu i lokaciji koji se odnose na te usluge tijekom razdoblja određenog zakonom radi sprečavanja i otkrivanja kaznenih djela, njihove istrage i progona kao i radi osiguranja državne sigurnosti. |
18 |
High Court, smatrajući da nije u mogućnosti donijeti odluku o pitanjima po kojima postupa u vezi s nacionalnim pravom, a da se prethodno ne ispita valjanost Direktive 2006/24, odlučio je prekinuti postupak i Sudu postaviti sljedeća prethodna pitanja:
|
Predmet C‑594/12
19 |
Razlog podnošenja zahtjeva za prethodnu odluku u predmetu C‑594/12 nalazi se u više tužbi koje su pred Verfassungsgerichtshofom podnijeli Kärntner Landesregierung kao i g. Seitlinger, g. Tschohl te 11.128 drugih tužitelja tražeći poništenje članka 102.a Zakona o telekomunikacijama iz 2003. (Telekommunikationsgesetz 2003), koji je u taj zakon unesen federalnim zakonom o izmjenama i dopunama tog zakona (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) radi prenošenja Direktive 2006/24 u domaće austrijsko pravo. Te stranke osobito smatraju da članak 102.a krši temeljeno pravo pojedinaca na zaštitu svojih podataka. |
20 |
Verfassungsgerichtshof se osobito pita je li Direktiva 2006/24 usklađena s Poveljom s obzirom na to da omogućava pohranjivanje veliku količinu vrsta podataka u odnosu na neograničen broja osoba tijekom dugog razdoblja. Zadržavanje podataka odnosi se gotovo isključivo na osobe čije ponašanje nikako ne opravdava zadržavanje podataka koji se na njih odnose. Te su osobe izložene povećanom riziku od toga da tijela vlasti pretražuju njihove podatke, dobiju uvid u njihov sadržaj, informiraju se o njihovom privatnom životu i koriste te podatke u mnogobrojne svrhe, uzimajući osobito u obzir nemjerljiv broj osoba koje imaju pristup podacima tijekom razdoblja od najmanje šest mjeseci. Prema mišljenju suda koji je uputio zahtjev postoje sumnje u vezi sa, s jedne strane, činjenicom je li ta direktiva u mogućnosti ostvariti ciljeve koje slijedi i, s druge strane, proporcionalnošću miješanja u dotična temeljna prava. |
21 |
U tim je uvjetima Verfassungsgerichtshof odlučio prekinuti postupak i Sudu postaviti sljedeća prethodna pitanja:
|
22 |
Odlukom predsjednika Suda od 11. lipnja 2013. predmeti C‑293/12 i C‑594/12 spojeni su u svrhu usmenog postupka i donošenja presude. |
O prethodnim pitanjima
Drugo pitanje, točke (b) do (d) u predmetu C‑293/12 i prvo pitanje u predmetu C‑594/12
23 |
Svojim drugim pitanjem, u točkama (b) do (d) u predmetu C–293/12 i prvim pitanjem u predmetu C–594/12, koje valja ispitati zajedno, sudovi koji su uputili zahtjeve od Suda u biti traže ispitivanje valjanosti Direktive 2006/24 u svjetlu članaka 7., 8. i 11. Povelje. |
Relevantnost članaka 7., 8. i 11. Povelje s obzirom na pitanje valjanosti Direktive 2006/24
24 |
Iz članka 1. kao i uvodnih izjava 4., 5., 7. do 11., 21. i 22. Direktive 2006/24 proizlazi da je njezin glavni cilj uskladiti odredbe država članica koje se odnose na zadržavanje određenih podataka koje skupljaju ili obrađuju pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža kako bi se osiguralo da ti podaci budu dostupni u svrhu sprečavanja, istrage, otkrivanja i progona teških kaznenih djela kao što su ona povezana s organiziranim kriminalom i terorizmom, a poštujući prava iz članaka 7. i 8. Povelje. |
25 |
Obveza pružatelja javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža, predviđena u članku 3. Direktive 2006/24, zadržavanja podataka navedenih u njezinom članku 5. u svrhu, ako je potrebno, njihove dostupnosti nadležnim nacionalnim tijelima postavlja pitanja u vezi sa zaštitom privatnog života i komuniciranja iz članka 7. Povelje, zaštitom osobnih podataka iz njezinog članka 8. kao i poštovanjem slobode izražavanja zajamčene u članku 11. Povelje. |
26 |
U tom pogledu valja navesti da su podaci koje su pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža obvezni zadržati na temelju članaka 3. i 5. Direktive 2006/24 osobito oni podaci koji su potrebni za pronalaženje i identifikaciju izvora i odredišta komunikacije, oni za utvrđivanje datuma, vremena, trajanja i vrste komunikacije, komunikacijske opreme korisnikâ kao i za otkrivanje lokacije opreme za pokretnu komunikaciju, podaci o broju koji osobito sadrže ime i adresu pretplatnika ili registriranoga korisnika, telefonski broj s kojeg se poziva i koji se poziva kao i adresa IP‑a za internetske usluge. Ti podaci osobito omogućavaju saznanje s kojom osobom je pretplatnik ili registrirani korisnik komunicirao i kojim sredstvom kao i utvrđivanje vremena komunikacije te mjesta s kojeg se ona odvijala. Nadalje, oni omogućavaju uvid u učestalost komunikacija pretplatnika ili registriranoga korisnika s određenim osobama tijekom danog razdoblja. |
27 |
Ti podaci, uzeti zajedno, mogu omogućiti donošenje vrlo preciznih zaključaka o privatnom životu osoba čiji su podaci zadržani, kao što su svakodnevne navike, mjesta trajnih ili privremenih boravaka, dnevna ili druga kretanja, obavljane aktivnosti, društveni odnosi i društvene sredine koje su te osobe posjećivale. |
28 |
U takvim okolnostima, iako Direktiva 2006/24 ne dopušta, kao što to proizlazi iz njezinog članka 1. stavka 2. i članka 5. stavka 2., zadržavanje sadržaja komunikacije i informacija do kojih se dolazi korištenjem elektroničke komunikacijske mreže, nije isključeno da zadržavanje podataka o kojima je riječ može imati utjecaj na korištenje od strane pretplatnika ili registriranih korisnika komunikacijskih sredstava predviđenih ovom direktivom i stoga na uživanje njihove slobode izražavanja zajamčene u članku 11. Povelje. |
29 |
Zadržavanje podataka kako bi se osiguralo da im nadležna nacionalna tijela mogu eventualno pristupiti, kao što je to predviđeno Direktivom 2006/24, na izravan i specifičan način utječe na privatan život i, stoga, na prava zajamčena u članku 7. Povelje. Nadalje, na takvo zadržavanje podataka primjenjuje se i njezin članak 8. jer ono predstavlja obradu osobnih podataka u smislu tog članka i dakle nužno mora ispunjavati uvjete zaštite podataka koji proizlaze iz tog članka (presuda Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, t. 47.). |
30 |
Iako zahtjevi za prethodnim odlukama u ovim predmetima posebice postavljaju načelno pitanje mogu li ili ne mogu podaci pretplatnika i registriranih korisnika biti zadržani s obzirom na članak 7. Povelje, oni se također odnose na pitanje ispunjava li Direktiva 2006/24 zahtjeve zaštite osobnih podataka koji proizlaze iz članka 8. Povelje. |
31 |
S obzirom na prethodna razmatranja, u cilju odgovora na drugo pitanje, točke (b) do (d) u predmetu C–293/12 i na prvo pitanje u predmetu C–594/12, valja ispitati valjanost direktive u odnosu na članke 7. i 8. Povelje. |
Postojanje miješanja u prava iz članaka 7. i 8. Povelje
32 |
Nametnuvši zadržavanje podataka koji su navedeni u članku 5. stavku 1. Direktive 2006/24 i omogućivši nadležnim nacionalnim tijelima da im pristupaju, ta direktiva odstupa, kao što to navodi nezavisni odvjetnik osobito u točkama 39. i 40. svojeg mišljenja, od režima zaštite prava na poštovanje privatnog života uspostavljenoga direktivama 95/46 i 2002/58, koje su u pogledu obrade osobnih podatka u području elektroničkih komunikacija propisale povjerljivost komunikacija i s time povezanih podataka o prometu kao i obvezu da se ti podaci obrišu ili učine anonimnima kada više nisu potrebni u svrhu prijenosa komunikacije, osim kad su potrebni za naplaćivanje i jedino toliko dugo dok traje ta potreba. |
33 |
Radi utvrđivanja postojanja miješanja u temeljno pravo na poštovanje privatnog života, nevažno je imaju li ili ne dotične informacije o privatnom životu osjetljiv karakter, odnosno jesu li ili ne zainteresirane osobe pretrpjele eventualne nepogodnosti zbog tog miješanja (vidjeti u tom smislu presudu Österreichischer Rundfunk i dr., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, t. 75.). |
34 |
Iz toga proizlazi da obveza nametnuta pružateljima javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža u člancima 3. i 6. Direktive 2006/24 da tijekom određenog razdoblja zadržavaju podatke o privatnom životu osobe i o njezinim komunikacijama, kao što su oni predviđeni člankom 5. te direktive, predstavlja samo po sebi miješanje u prava zajamčena u članku 7. Povelje. |
35 |
Nadalje, pristup nadležnih nacionalnih tijela podacima dodatno je miješanje u to temeljno pravo (vidjeti što se tiče članka 8. ECHR‑a presude ECtHR‑a, Leander protiv Švedske, 26. ožujka 1987., serija A br. 116, t. 48.; Rotaru protiv Rumunjske [GC], br. 28341/95, t. 46., ECHR 2000-V kao i Weber i Saravia protiv Njemačke (dec.), br. 54934/00, t. 79., ECHR 2006-XI). Stoga članci 4. i 8. Direktive 2006/24, koji predviđaju pravila o pristupu nadležnih nacionalnih tijela podacima, također predstavljaju miješanje u prava zajamčena u članku 7. Povelje. |
36 |
Na isti način, Direktiva 2006/24 predstavlja miješanje u temeljno pravo na zaštitu osobnih podataka zajamčeno u članku 8. Povelje s obzirom na to da predviđa obradu osobnih podataka. |
37 |
Potrebno je ustvrditi da se pokazuje, kao što to također navodi nezavisni odvjetnik osobito u točkama 77. i 80. svojeg mišljenja, da je miješanje Direktive 2006/24 u temeljna prava iz članaka 7. i 8. Povelje široko i treba se smatrati osobito teškim. Nadalje, okolnost da se zadržavanje i naknadno korištenje podataka izvršava bez obavještavanja pretplatnika ili registriranoga korisnika može kod dotičnih osoba, kao što to navodi nezavisni odvjetnik u točkama 52. i 72. svojeg mišljenja, stvoriti osjećaj da je njihov privatni život predmet trajnog nadzora. |
Opravdanje miješanja u temeljna prava zajamčena u člancima 7. i 8. Povelje
38 |
U skladu s člankom 52. stavkom 1. Povelje, svako ograničenje pri ostvarivanju prava i sloboda priznatih njome mora biti predviđeno zakonom i mora poštovati bit tih prava i sloboda te su, podložno načelu proporcionalnosti, ograničenja tih prava i sloboda moguća samo ako su potrebna i ako zaista odgovaraju ciljevima od općeg interesa koje priznaje Unija ili potrebi zaštite prava i sloboda drugih osoba. |
39 |
Što se tiče bitnog sadržaja temeljnog prava na poštovanje privatnog života i drugih prava iz članka 7. Povelje, valja ustvrditi da iako zadržavanje podataka propisano Direktivom 2006/24 predstavlja osobito teško miješanje u ta prava, ono nije takve naravi da bi povrijedilo navedeni sadržaj s obzirom na to da, kao što proizlazi iz njezinog članka 1. stavka 2., ta direktiva ne dopušta uvid u sadržaj elektroničke komunikacije kao takav. |
40 |
To zadržavanje podataka također nije takve naravi da bi povrijedilo bitan sadržaj temeljnog prava na zaštitu osobnih podataka iz članka 8. Povelje jer se u članku 7. Direktive 2006/24 predviđa pravilo u vezi sa zaštitom i sigurnošću podataka prema kojem, ne dovodeći u pitanje odredbe donesene na temelju direktiva 95/46 i 2002/58, pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža moraju poštovati određena načela zaštite i sigurnosti podataka – načela kojima države članice osiguravaju donošenje primjerenih tehničkih i organizacijskih mjera kako bi se podatke zaštitilo od nenamjernog ili nezakonitog uništenja i nenamjernoga gubitka ili izmjene. |
41 |
U vezi s pitanjem odgovara li navedeno miješanje cilju u općem interesu, valja navesti da iako Direktiva 2006/24 nastoji uskladiti odredbe država članica koje se odnose na obveze navedenih pružatelja u odnosu na zadržavanje određenih podataka koje oni skupljaju ili obrađuju, materijalni cilj te direktive predviđa, kao što to proizlazi iz njezinog članka 1. stavka 1., osiguranje dostupnosti tih podataka u svrhu istrage, otkrivanja i progona teških kaznenih djela, kako su određena nacionalnim zakonodavstvom svake države članice. Stoga je materijalni cilj te direktive doprinos borbi protiv teškoga kriminala i na taj način, u konačnici, javnoj sigurnosti. |
42 |
Iz sudske prakse Suda proizlazi da je cilj u općem interesu Unije borba protiv međunarodnog terorizma radi održavanja međunarodnog mira i sigurnosti (vidjeti u tom smislu presude Kadi i Al Barakaat International Foundation/Vijeće i Komisija, C‑402/05 P i C‑415/05 P, EU:C:2008:461, t. 363. kao i Al‑Aqsa/Vijeće, C‑539/10 P i C‑550/10 P, EU:C:2012:711, t. 130.). Jednako vrijedi i za borbu protiv teškoga kriminala radi osiguranja javne sigurnosti (vidjeti u tom smislu presudu Tsakouridis, C‑145/09, EU:C:2010:708, t. 46. i 47.). Osim toga, u tom pogledu valja navesti da članak 6. Povelje navodi da svatko ima pravo ne samo na slobodu, nego i na sigurnost. |
43 |
U tom pogledu iz uvodne izjave 7. Direktive 2006/24 proizlazi da je zbog značajnog porasta mogućnosti koje pružaju elektroničke komunikacije Vijeće za pravosuđe i unutarnje poslove, održano 19. prosinca 2002., smatralo da su podaci koji se odnose na uporabu elektroničkih komunikacija posebno važni i stoga predstavljaju vrijedno sredstvo u sprečavanju kaznenih djela i borbi protiv kriminala, a posebno organiziranoga kriminala. |
44 |
Potrebno je dakle ustvrditi da zadržavanje podataka kako bi se nadležnim nacionalnim tijelima omogućilo da im eventualno pristupe, kao što je to predviđeno Direktivom 2006/24, stvarno odgovara cilju u općem interesu. |
45 |
U tim uvjetima, potrebno je provjeriti proporcionalnost utvrđenog miješanja. |
46 |
U tom pogledu valja podsjetiti na to da, prema ustaljenoj sudskoj praksi Suda, načelo proporcionalnosti zahtijeva da su akti institucija Unije sposobni ostvariti legitimne ciljeve koje slijedi zakonodavstvo o kojem je riječ i da ne prelaze granice onoga što je prikladno i nužno za ostvarenje tih ciljeva (vidjeti u tom smislu presude Afton Chemical, C‑343/09, EU:C:2010:419, t. 45.; Volker und Markus Schecke i Eifert, EU:C:2010:662, t. 74.; Nelson i dr., C‑581/10 i C‑629/10, EU:C:2012:657, t. 71.; Sky Österreich, C‑283/11, EU:C:2013:28, t. 50. kao i Schaible, C‑101/12, EU:C:2013:661, t. 29.). |
47 |
Što se tiče sudskog nadzora poštovanja tih uvjeta, kad je riječ o miješanju u temeljna prava, širina ovlasti ocjene zakonodavca Unije može se pokazati ograničenom s obzirom na određeni broj elemenata, među kojima su posebice područje o kojem je riječ, narav predmetnog prava koje je zajamčeno Poveljom, narav i težina miješanja kao i njegova svrha (vidjeti analogijom što se tiče članka 8. ECHR‑a presudu ECtHR‑a, S i Marper protiv Ujedinjene Kraljevine [GC], br. 30562/04 i 30566/04, t. 102., ECHR 2008-V). |
48 |
U predmetnom slučaju, s obzirom na, s jedne strane, važnu ulogu koju ima zaštita osobnih podataka u odnosu na temeljno pravno na poštovanje privatnog života i, s druge strane, širinu i težinu miješanja u to pravo koje sadrži Direktiva 2006/24, ovlast ocjene zakonodavca Unije smanjena je na način da je potrebno provesti strog nadzor. |
49 |
Što se tiče pitanja može li zadržavanje podataka prikladno ostvariti cilj koji slijedi Direktiva 2006/24, valja ustvrditi da, s obzirom na rastuću važnost sredstava elektroničke komunikacije, podaci koji se moraju zadržavati na temelju te direktive omogućuju u području kaznenog progona nadležnim nacionalnim tijelima raspolaganje s dodatnim mogućnostima otkrivanja teških kaznenih djela i u tom pogledu, dakle, predstavljaju korisno sredstvo za kaznene istrage. Na taj se način zadržavanje takvih podataka može smatrati prikladnim za ostvarenje cilja koji slijedi navedena direktiva. |
50 |
Tu ocjenu ne može dovesti u pitanje okolnost, koju posebno navode g. Tschohl i g. Seitlinger kao i portugalska vlada u svojim pisanim očitovanjima podnesenima Sudu, da postoji više oblika elektroničke komunikacije koji nisu obuhvaćeni područjem primjene Direktive 2006/24, odnosno koji omogućuju anonimnu komunikaciju. Iako je ta okolnost doista takve naravi da ograničava prikladnost mjere zadržavanja podataka u ostvarivanju cilja koji se slijedi, ona ipak nije takve naravi, kao što je to naveo nezavisni odvjetnik u točki 137. svog mišljenja, da tu mjeru čini neprikladnom. |
51 |
Što se tiče nužnosti zadržavanja podataka koje propisuje Direktiva 2006/24, valja ustvrditi da je borba protiv teškoga kriminala, a osobito protiv organiziranoga kriminala i terorizma, uistinu od primarne važnosti za jamstvo javne sigurnosti i njezina učinkovitost može u velikoj mjeri ovisiti o korištenju modernih tehnika istrage. Međutim, takav cilj u općem interesu, koliko god bio temeljan, ne može sâm opravdati da se mjera zadržavanja, kao što je ona uspostavljena Direktivom 2006/24, smatra nužnom u svrhu navedene borbe. |
52 |
Kad je riječ o pravu na poštovanje privatnog života, prema ustaljenoj sudskoj praksi Suda zaštita tog temeljnog prava u svakom slučaju zahtijeva da su odstupanja i ograničenja u zaštiti osobnih podataka u granicama onog što je strogo nužno (presuda IPI, C‑473/12, EU:C:2013:715, t. 39. i navedena sudska praksa). |
53 |
U tom pogledu valja podsjetiti na to da zaštita osobnih podataka koja proizlazi iz izričite obveze predviđene u članku 8. stavku 1. Povelje ima osobitu važnost za pravo na poštovanje privatnog života iz njezinog članka 7. |
54 |
Na taj način, zakonodavstvo Unije o kojem je riječ mora predvidjeti jasna i precizna pravila koja uređuju doseg i primjenu mjere o kojoj je riječ te propisati minimalne uvjete na način da osobe čiji su podaci zadržani raspolažu dostatnim jamstvima koja omogućuju učinkovitu zaštitu njihovih osobnih podataka od rizika zloporabe kao i od svih nezakonitih pristupa i korištenja tih podataka (vidjeti analogijom što se tiče članka 8. ECHR‑a presude ECtHR‑a, Liberty i dr. protiv Ujedinjene Kraljevine, br. 58243/00, t. 62. i 63., od 1. srpnja 2008.; gore navedenu presudu Rotaru protiv Rumunjske, t. 57. do 59. kao i gore navedenu presudu S i Marper protiv Ujedinjene Kraljevine, t. 99.). |
55 |
Nužnost raspolaganja takvim jamstvima još je i značajnija zato što su, kao što to predviđa Direktiva 2006/24, osobni podaci podvrgnuti automatskoj obradi te postoji značajan rizik od nezakonitog pristupa tim podacima (vidjeti analogijom što se tiče članka 8. ECHR‑a, prije navedenu presudu ECtHR‑a, S i Marper protiv Ujedinjene Kraljevine, t. 103. kao i M. K. protiv Francuske, br. 19522/09, t. 35., od 18. travnja 2013.). |
56 |
U vezi s pitanjem je li miješanje koje sadrži Direktiva 2006/24 ograničeno na ono što je strogo nužno, valja navesti da ta direktiva obvezuje, u skladu sa svojim člankom 3. i u vezi s člankom 5. stavkom 1., zadržavanje svih podataka u vezi s prometom koji se odnosi na telefoniju u nepokretnoj mreži, pokretnu telefoniju, pristup internetu, internetsku elektroničku poštu i internetsku telefoniju. Na taj način ono obuhvaća sva sredstva elektroničke komunikacije čije je korištenje vrlo rašireno i koja imaju rastuću važnost u svačijem svakodnevnom životu. Nadalje, u skladu s njezinim člankom 3., navedena direktiva uključuje sve pretplatnike i registrirane korisnike. Ona dakle obuhvaća miješanje u temeljna prava gotovo sveukupnog europskog stanovništva. |
57 |
U tom pogledu treba ustvrditi, kao prvo, da Direktiva 2006/24 na općenit način obuhvaća svaku osobu i sva sredstva elektroničke komunikacije kao i sve podatke o prometu bez ikakvog razlikovanja, ograničenja ili iznimke s obzirom na cilj borbe protiv teških kaznenih djela. |
58 |
Naime, s jedne strane, Direktiva 2006/24 odnosi se općenito na sve osobe koje koriste usluge elektroničkih komunikacija, a da se pritom osobe čiji se podaci zadržavaju ne nalaze, čak ni posredno, u situaciji koja može dovesti do kaznenih progona. Ona se dakle primjenjuje i na osobe za koje ne postoji nikakva naznaka koja bi navela na mišljenje da njihovo ponašanje može imati vezu, čak i posrednu ili daleku, s teškim kaznenim djelima. Nadalje, ona ne predviđa nikakvu iznimku pa se primjenjuje i na osobe čije su komunikacije prema pravilima nacionalnog prava podvrgnute profesionalnoj tajni. |
59 |
S druge strane, u cilju doprinosa borbi protiv teškoga kriminala, navedena direktiva ne zahtijeva nikakav odnos između podataka čije se zadržavanje propisuje i prijetnje javnoj sigurnosti te, posebice, nije ograničena na zadržavanje podataka iz jednog privremenog razdoblja i/ili jednog određenog zemljopisnog područja i/ili jednoga danoga kruga osoba koje mogu na jedan ili drugi način biti umiješane u teško kazneno djelo ili na osobe koje, ako se zadrže njihovi podaci, mogu zbog drugih razloga doprinijeti sprečavanju, otkrivanju ili progonu teških kaznenih djela. |
60 |
Kao drugo, toj općenitoj odsutnosti ograničenja nadodana je činjenica da Direktiva 2006/24 ne predviđa nikakav objektivni kriterij koji bi omogućio ograničenje pristupa nadležnih nacionalnih tijela podacima i njihove naknadne uporabe u svrhu sprečavanja, otkrivanja ili kaznenih progona koji se odnose na kaznena djela koja se mogu, s obzirom na širinu i težinu miješanja u temeljna prava iz članaka 7. i 8. Povelje, smatrati dovoljno teškima za opravdanje takvog miješanja. Suprotno tome, direktiva se u članku 1. stavku 1. ograničava na općenito upućivanje na teška kaznena djela koja svaka država članica definira u svojem unutarnjem pravu. |
61 |
Nadalje, u vezi s pristupom nadležnih nacionalnih tijela podacima i njihovim naknadnim korištenjem, Direktiva 2006/24 ne sadrži pripadajuće materijalne i postupovne uvjete. Članak 4. te direktive, koji uređuje pristup tih tijela zadržanim podacima, ne propisuje izričito da taj pristup i naknadno korištenje podataka o kojima je riječ moraju biti strogo ograničeni u svrhu sprečavanja i otkrivanja točno utvrđenih teških kaznenih djela ili s njima povezanih kaznenih progona, nego je ograničen na navođenje toga da svaka država članica propisuje postupak i uvjete koji se moraju ispuniti kako bi se ostvario pristup zadržanim podacima u skladu sa zahtjevima nužnosti i proporcionalnosti. |
62 |
Osobito, Direktiva 2006/24 ne predviđa nikakav objektivan kriterij koji bi omogućio ograničenje broja osoba koje raspolažu ovlaštenjem za pristup i naknadno korištenje zadržanih podataka samo na ono što je strogo nužno s obzirom na cilj koji se slijedi. Štoviše, pristup nadležnih nacionalnih tijela zadržanim podacima nije podređen prethodnom nadzoru suda ili neovisnog upravnog tijela čija bi odluka ograničavala pristup podacima i njihovo korištenje samo na ono što je strogo nužno u svrhu ostvarivanja cilja koji se slijedi i koja bi se donijela nastavno na obrazloženi zahtjev nadležnih nacionalnih tijela podnesen u okviru postupaka sprečavanja, otkrivanja ili kaznenih progona. Također nije predviđena precizna obveza država članica da utvrde takva ograničenja. |
63 |
Kao treće, kad je riječ o trajanju zadržavanja podataka, Direktiva 2006/24 u članku 6. propisuje njihovo zadržavanje tijekom razdoblja koje nije kraće od šest mjeseci, a da se pritom ne navodi nikakvo razlikovanje između kategorija podataka predviđenih u članku 5. te direktive s obzirom na njihovu eventualnu korist za cilj koji se slijedi ili s obzirom na osobe na koje se odnosi. |
64 |
Nadalje, to je trajanje utvrđeno između najmanje šest mjeseci i najviše 24 mjeseca, a pritom nije pobliže određeno da utvrđivanje trajanja zadržavanja mora biti utemeljeno na objektivnim kriterijima kako bi se zajamčilo da je ograničeno na ono što je strogo nužno. |
65 |
Iz prethodno navedenoga slijedi da Direktiva 2006/24 ne predviđa jasna i precizna pravila koja bi uredila doseg miješanja u temeljna prava iz članaka 7. i 8. Povelje. Nužno je dakle ustvrditi da se ta direktiva široko i osobito teško miješa u ta temeljna prava u pravnom poretku Unije, a da pritom to miješanje nije precizno ograničeno odredbama koje bi jamčile da je stvarno ograničeno na ono što je strogo nužno. |
66 |
Nadalje, što se tiče pravila koja se odnose na sigurnost i zaštitu podataka zadržanih od strane pružatelja javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža, valja ustvrditi da Direktiva 2006/24 ne predviđa dostatna jamstva, kakva zahtijeva članak 8. Povelje, koja bi omogućila učinkovitu zaštitu zadržanih podataka od rizika zloporaba kao i od svih nezakonitih pristupa ili korištenja tih podataka. Naime, kao prvo, članak 7. Direktive 2006/24 ne predviđa specifična i prilagođena pravila za veliku količinu podataka čije zadržavanje propisuje ta direktiva, osjetljiv karakter tih podataka kao ni rizik od nezakonitog pristupanja njima – pravila koja bi za cilj osobito imala uređivanje na jasan i strog način zaštite i sigurnosti podataka o kojima je riječ kako bi se jamčio njihov puni integritet i povjerljivost. Nadalje, nije predviđena ni precizna obveza država članica da utvrde takva pravila. |
67 |
Članak 7. Direktive 2006/24, zajedno s člankom 4. stavkom 1. Direktive 2002/58 i člankom 17. stavkom 1. drugim podstavkom Direktive 95/46, ne jamči da navedeni pružatelji putem tehničkih i organizacijskih mjera primjenjuju posebno visoku razinu zaštite i sigurnosti, nego posebice dopušta da ti pružatelji uzimaju u obzir gospodarska razmatranja prilikom utvrđivanja razine zaštite koju primjenjuju što se tiče troškova provedbe sigurnosnih mjera. Posebice, Direktiva 2006/24 ne jamči nepovratno uništenje podataka nakon isteka razdoblja njihovog zadržavanja. |
68 |
Kao drugo, valja dodati da navedena direktiva ne propisuje da se podaci o kojima je riječ zadržavaju na području Unije pa se ne može smatrati da je u potpunosti zajamčen nadzor neovisnog tijela, kako se to izričito zahtijeva u članku 8. stavku 3. Povelje, poštovanja zahtjeva zaštite i sigurnosti kako su navedeni u dvije prethodne točke. Štoviše, takav nadzor, izvršen na temelju prava Unije, predstavlja suštinski element poštovanja zaštite osoba u pogledu obrade osobnih podataka (vidjeti u tom smislu presudu Komisija/Austrija, C‑614/10, EU:C:2012:631, t. 37.). |
69 |
S obzirom na sva prethodna razmatranja valja smatrati da je usvajanjem Direktive 2006/24 zakonodavac Unije prekoračio granice koje nameće poštovanje načela proporcionalnosti s obzirom na članak 7., članak 8. i članak 52. stavak 1. Povelje. |
70 |
U tim uvjetima nije potrebno ispitivati valjanost Direktive 2006/24 s obzirom na članak 11. Povelje. |
71 |
Stoga na drugo pitanje, točke (b) do (d) u predmetu C‑293/12 i na prvo pitanje u predmetu C‑594/12 valja odgovoriti tako da je Direktiva 2006/24 nevaljana. |
Prvo pitanje i drugo pitanje, točke (a) i (e) kao i treće pitanje u predmetu C‑293/12 te drugo pitanje u predmetu C‑594/12
72 |
Iz onoga što je presuđeno u prethodnoj točki proizlazi da nije potrebno odgovoriti na prvo pitanje, na drugo pitanje, točke (a) i (e) te na treće pitanje u predmetu C‑293/12 kao ni na drugo pitanje u predmetu C‑594/12. |
Troškovi
73 |
Budući da ovaj postupak ima značaj prethodnog pitanja za stranke glavnih postupaka pred sudovima koji su uputili zahtjeve, na tim je sudovima da odluče o troškovima postupaka. Troškovi podnošenja očitovanja Sudu, koji nisu troškovi spomenutih stranaka, ne nadoknađuju se. |
Slijedom navedenoga, Sud (veliko vijeće) odlučuje: |
Direktiva 2006/24/EZ Europskog parlamenta i Vijeća od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ je nevaljana. |
Potpisi |
( *1 ) Jezici postupka: engleski i njemački