Apvienotās lietas C‑793/19 un C‑794/19

Bundesrepublik Deutschland

pret

SpaceNet AG
un
Telekom Deutschland GmbH

(Bundesverwaltungsgericht lūgumi sniegt prejudiciālu nolēmumu)

Tiesas (virspalāta) 2022. gada 20. septembra spriedums

Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde elektronisko komunikāciju nozarē – Komunikāciju konfidencialitāte – Elektronisko komunikāciju pakalpojumu sniedzēji – Informācijas par datu plūsmu un atrašanās vietas datu visaptveroša un nediferencēta glabāšana – Direktīva 2002/58 EK – 15. panta 1. punkts – Eiropas Savienības Pamattiesību harta – 6., 7., 8. un 11. pants, kā arī 52. panta 1. punkts – LES 4. panta 2. punkts

1. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Piemērošanas joma – Valsts tiesiskais regulējums, kurā elektronisko komunikāciju pakalpojumu sniedzējiem ir uzlikts pienākums glabāt informāciju par datu plūsmu un atrašanās vietas datus – Valsts drošības aizsardzības un noziedzības apkarošanas mērķi – Iekļaušana

   (LES 4. panta 2. punkts; Eiropas Parlamenta un Padomes Direktīvas 2002/58, redakcijā ar grozījumiem, kas tajā izdarīti ar Direktīvu 2009/136, 1. panta 1. punkts, 3. panta 3. punkts un 15. panta 1. punkts)

   (skat. 48. punktu)

2. Tiesību aktu tuvināšana – Telekomunikāciju nozare – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 – Dalībvalstu tiesības ierobežot noteiktu tiesību un pienākumu piemērošanas jomu – Valsts pasākumi, kuros elektronisko komunikāciju pakalpojumu sniedzējiem ir uzlikts pienākums visaptveroši un nediferencēti glabāt informāciju par datu plūsmu un atrašanās vietas datus – Mērķis apkarot smagu noziedzību un novērst nopietnus draudus sabiedriskajai drošībai – Nepieļaujamība – Šo datu visaptverošas un nediferencētas glabāšanas laikposma ilgums – Ietekmes neesamība – Valsts pasākumi attiecībā uz noteiktu datu kategoriju glabāšanu – Valsts drošības aizsardzības, smagas noziedzības apkarošanas un nopietna sabiedrības drošības apdraudējuma novēršanas mērķi – Pieļaujamība – Nosacījumi

   (Eiropas Savienības Pamattiesību hartas 7., 8. un 11. pants, kā arī 52. panta 1. punkts; Eiropas Parlamenta un Padomes Direktīvas 2002/58, redakcijā ar grozījumiem, kas izdarīti ar Direktīvu 2009/136, 15. panta 1. punkts)

   (skat. 49.–75., 77.–81., 83.–85., 87.–94., 97.–99., 110., 113., 116.–121. un 127.–131. punktu un rezolutīvo daļu)

Rezumējums

Pēdējo gadu laikā Tiesa vairākos spriedumos ir spriedusi par personas datu glabāšanu un piekļuvi tiem elektronisko komunikāciju jomā ( 1 ).

Nesenākajā spriedumā La Quadrature du Net u.c. ( 2 ), kas virspalātas sastāvā pasludināts 2020. gada 6. oktobrī, Tiesa apstiprināja savas no sprieduma Tele2 Sverige un Watson u.c. ( 3 ) izrietošās judikatūras atziņas par to, ka ar elektroniskajām komunikācijām saistītās informācijas par datu plūsmu un atrašanās vietas datu visaptveroša un nediferencēta glabāšana ir nesamērīga. Tā arī precizēja tostarp to, cik plašas pilnvaras Direktīvā par privāto dzīvi un elektronisko komunikāciju ir atzītas dalībvalstīm attiecībā uz šādu datu glabāšanu valsts drošības aizsardzības, noziedzības apkarošanas un sabiedrības drošības aizsardzības nolūkos.

Šajās saistītajās lietās ir izskatīti divi lūgumi sniegt prejudiciālu nolēmumu, ko iesniegusi Bundesverwaltungsgericht (Federālā administratīvā tiesa, Vācija) – tajā Vācijas Federatīvā Republika bija iesniegusi revīzijas prasību par diviem spriedumiem, kuros bija apmierinātas prasības, ko bija iesniegušas divas internetpiekļuves pakalpojumus sniedzošās sabiedrības, proti, SpaceNet AG (lietā C‑793/19) un Telekom Deutschland GmbH (lietā C‑794/19). Šajās prasībās šīs sabiedrības apstrīdēja Vācijas tiesiskajā regulējumā ( 4 ) noteikto pienākumu visaptveroši un nediferencēti glabāt ar savu klientu elektroniskajām komunikācijām saistīto informāciju par datu plūsmu un atrašanās vietas datus.

Iesniedzējtiesa šaubās konkrēti par to, vai ar Direktīvu par privāto dzīvi un elektronisko komunikāciju ( 5 ) – lasot to Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) ( 6 ) un LES 4. panta 2. punkta gaismā – ir saderīgs valsts tiesiskais regulējums, kurā publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzējiem tostarp smagu noziedzīgu nodarījumu apkarošanai vai valsts drošības konkrēta apdraudējuma novēršanai tiek noteikts pienākums visaptveroši un nediferencēti glabāt būtisko informāciju par šo pakalpojumu lietotāju datu plūsmu un atrašanās vietas datus, paredzot gan to, ka šie dati jāglabā vairākas nedēļas, gan noteikumus, ar kuriem jānodrošina glabāto datu efektīva aizsardzība pret ļaunprātīgu izmantošanu un pret jebkādu nelikumīgu piekļuvi šiem datiem.

Virspalātas sastāvā pasludinātajā spriedumā Tiesa apstiprina no sprieduma La Quadrature du Net u.c. un nesenākā sprieduma Commissioner of An Garda Síochána u.c. izrietošo judikatūru, precizējot tās tvērumu ( 7 ). Tā citastarp atgādina, ka nav atļauts smagas noziedzības apkarošanas un nopietna sabiedrības drošības apdraudējuma novēršanas nolūkos preventīvā kārtā visaptveroši un nediferencēti glabāt informāciju par datu plūsmu un atrašanās vietas datus.

Tiesas vērtējums

Tiesa vispirms apstiprina, ka Direktīva par privāto dzīvi un elektronisko komunikāciju ir piemērojama aplūkotajam valsts tiesiskajam regulējumam, pēc tam – pamācoši atgādinājusi no savas judikatūras izrietošos principus – sīki izvērtē aplūkotā valsts tiesiskā regulējuma raksturiezīmes, ko izklāstījusi iesniedzējtiesa.

Pirmkārt, attiecībā uz glabāto datu apjomu Tiesa norāda, ka aplūkotajā valsts tiesiskajā regulējumā paredzētais glabāšanas pienākums attiecas uz ļoti plašu informācijas par datu plūsmu un atrašanās vietas datu kopumu un tas attiecas gandrīz uz visiem iedzīvotājiem, pat ja tie – kaut vai netieši – nav tādā situācijā, kad attiecībā uz tiem būtu jāveic kriminālvajāšana. Tā arī konstatē, ka šajā tiesiskajā regulējumā ir noteikts pienākums bez iemesla, visaptveroši un nešķirojot pēc personas, laika vai ģeogrāfiski, glabāt praktiski visu informāciju par datu plūsmu un atrašanās vietas datus, kuru apjoms būtībā ir tāds pats kā to datu apjoms, kas tika glabāti lietās, kurās taisīts spriedums La Quadrature du Net u.c. Tāpēc, ievērojot šo judikatūru, Tiesa atzīst, ka tāds datu glabāšanas pienākums kā pamatlietās aplūkotais nav uzskatāms par datu mērķorientētu glabāšanu.

Otrkārt, runājot par datu glabāšanas ilgumu, Tiesa atgādina, ka no Direktīvas par privāto dzīvi un elektronisko komunikāciju ( 8 ) izriet, ka glabāšanas ilgums, kas paredzēts valsts tiesiskajā regulējumā, kurā noteikts visaptverošas un nediferencētas glabāšanas pienākums, noteikti ir viens no nozīmīgajiem faktoriem, kas ļauj konstatēt, vai šāds pasākums ir pretrunā Savienības tiesībām, jo šajā direktīvā ir prasīts, lai šis ilgums būtu “ierobežots”. Tomēr iejaukšanās smagums izriet no riska, ka, ņemot vērā glabāto datu apjomu un dažādību, šo datu kopums ļauj izdarīt visnotaļ precīzus secinājumus par tās personas vai personu privāto dzīvi, kuras vai kuru dati ir glabāti, un it īpaši nodrošina līdzekļus, kas ļauj profilēt attiecīgo(‑os) datu subjektu(‑us), un tā tiesību uz privātās dzīves neaizskaramību kontekstā ir tikpat sensitīva informācija kā pats šīs komunikācijas saturs. Tāpēc tādas informācijas par datu plūsmu vai tādu atrašanās vietas datu glabāšana katrā ziņā ir smaga iejaukšanās neatkarīgi nedz no šīs glabāšanas laikposma ilguma, nedz no glabāto datu apjoma un iedabas, ja minētais šo datu kopums sniedz iespēju izdarīt šādus secinājumus ( 9 ).

Visbeidzot, attiecībā uz garantijām, lai aizsargātu glabātos datus pret ļaunprātīgas izmantošanas un nelikumīgas piekļuves riskiem, Tiesa, pamatodamās uz līdzšinējo judikatūru, norāda, ka datu glabāšana un piekļuve tiem ir dažādi iejaukšanās veidi datu subjektu pamattiesībās, kuriem vajadzīgs atšķirīgs attaisnojums. No tā secināms, ka valsts tiesību akti, kas nodrošina no judikatūras jautājumā par piekļuvi glabātajiem datiem izrietošo nosacījumu pilnīgu ievērošanu, pēc savas iedabas nevar nedz ierobežot no visaptverošās glabāšanas izrietošo datu subjektu tiesību smago aizskārumu, nedz pat novērst tā sekas.

Turklāt, lai atbildētu uz Tiesā izklāstītajiem argumentiem, tā norāda, pirmām kārtām, ka valsts drošības apdraudējumam ir jābūt reālam un faktiskam vai vismaz paredzamam, un tas nozīmē, ka ir jābūt pietiekami konkrētiem apstākļiem, lai varētu attaisnot pasākumu informācijas par datu plūsmu un atrašanās vietas datu visaptverošai un nediferencētai glabāšanai uz noteiktu laiku. Tātad šādi draudi pēc sava rakstura, smaguma un to veidojošo apstākļu specifiskuma dēļ atšķiras no vispārīgā un pastāvīgā riska, ka varētu rasties spriedze vai tikt traucēta, pat nopietni traucēta, sabiedrības drošība, kā arī izdarīti smagi noziegumi. Tādējādi noziedzība, pat ja tā ir īpaši smaga, nav pielīdzināma valsts drošības apdraudējumam.

Otrām kārtām, Tiesa norāda, ka smagas noziedzības apkarošanas nolūkos atļaut piekļuvi informācijai par datu plūsmu un atrašanās vietas datiem, kas ir visaptveroši un nediferencēti glabāti tālab, lai reaģētu uz nopietniem draudiem valsts drošībai, būtu pretrunā hierarhijai, kas pastāv starp vispārējo interešu mērķiem, ar kuriem var attaisnot saskaņā ar Direktīvu par privāto dzīvi un elektronisko komunikāciju veiktu pasākumu ( 10 ). Proti, tas nozīmētu pieļaut, ka piekļuve tiek attaisnota ar mērķi, kurš nav tik svarīgs kā šo glabāšanu pamatojušais mērķis, proti, valsts drošības aizsardzība, tādējādi iespējami varētu tikt atņemta visa lietderīgā iedarbība aizliegumam visaptverošu un nediferencētu glabāšanu veikt smagas noziedzības apkarošanas nolūkā.

Apstiprinot savu līdzšinējo judikatūru, Tiesa secina, ka Direktīvai par privāto dzīvi un elektronisko komunikāciju – lasot to Hartas gaismā – ir pretrunā tādi valsts leģislatīvie pasākumi, kuros smagas noziedzības apkarošanai un nopietnu sabiedrības drošības apdraudējumu novēršanai preventīvi tiek paredzēta informācijas par datu plūsmu un atrašanās vietas datu visaptveroša un nediferencēta glabāšana.

Tai turpretim nav pretrunā valsts leģislatīvie pasākumi, kas ļauj ar rīkojumu uzdot elektronisko komunikāciju pakalpojumu sniedzējiem visaptveroši un nediferencēti glabāt informāciju par datu plūsmu un atrašanās vietas datus valsts drošības aizsardzības nolūkā situācijās, kad attiecīgā dalībvalsts sastopas ar nopietniem draudiem valsts drošībai, kuri izrādās patiesi un faktiski vai paredzami. Šajā ziņā Tiesa precizē, ka lēmumu par šo rīkojumu var pakļaut efektīvai pārbaudei vai nu tiesā, vai neatkarīgā administratīvā iestādē – kuras nolēmumam ir saistoša iedarbība –, lai pārbaudītu kādas no šādām situācijām esamību, kā arī paredzēto nosacījumu un garantiju ievērošanu, un minēto rīkojumu var izdot vienīgi uz laikposmu, kura ilgums aprobežojas ar absolūti nepieciešamo, taču to var pagarināt, ja šāds apdraudējums joprojām pastāv.

Šai direktīvai – lasot to Hartas gaismā – nav pretrunā arī valsts leģislatīvie pasākumi, kas valsts drošības aizsardzības, smagas noziedzības apkarošanas un nopietnu sabiedrības drošības apdraudējumu novēršanas nolūkos paredz informācijas par datu plūsmu un atrašanās vietas datu mērķorientētu glabāšanu – kura, pamatojoties uz objektīviem un nediskriminējošiem elementiem, tiek ierobežota atkarībā no attiecīgo personu kategorijām vai pēc ģeogrāfiska kritērija – uz laikposmu, kura ilgums aprobežojas ar absolūti nepieciešamo, taču to var pagarināt.

Tāpat ir ar valsts leģislatīvajiem pasākumiem, kas valsts drošības aizsardzības, smagas noziedzības apkarošanas un nopietna sabiedrības drošības apdraudējuma novēršanas nolūkos paredz visaptveroši un nediferencēti glabāt savienojuma avotam piešķirtās IP adreses uz laikposmu, kura ilgums aprobežojas ar absolūti nepieciešamo, kā arī elektronisko komunikāciju līdzekļu lietotāju personas identitātes datus, kuru glabāšana neapstrīdami var palīdzēt apkarot smagu noziedzību, ja vien šie dati palīdz identificēt personas, kuras ir izmantojušas šo līdzekļus, gatavojoties izdarīt vai izdarot tādu nodarījumu, kas kvalificējams kā smags noziegums.

Tāpat ir arī gadījumā ar valsts leģislatīvajiem pasākumiem, kas smagas noziedzības apkarošanas un a fortiori valsts drošības aizsardzības nolūkos paredz ar kompetentās iestādes lēmumu, kas pakļauts efektīvai pārbaudei tiesā, noformēta rīkojuma izdošanu elektronisko komunikāciju pakalpojumu sniedzējiem uz noteiktu laiku operatīvi saglabāt šo pakalpojumu sniedzēju rīcībā esošo informāciju par datu plūsmu un atrašanās vietas datus.

Tomēr Tiesa norāda, ka visos iepriekš minētajos pasākumos ar skaidriem un konkrētiem noteikumiem ir jānodrošina, ka attiecīgo datu glabāšana notiek atbilstoši tai paredzētajiem materiāltiesiskajiem un procesuālajiem nosacījumiem un ka datu subjektiem ir efektīvas garantijas pret ļaunprātīgas izmantošanas risku. Šos dažādos pasākumus – atkarībā no valsts likumdevēja izvēles un ievērojot absolūti nepieciešamā robežas – var piemērot kopīgi.

( 1 ) Spriedumi, 2014. gada 8. aprīlis, Digital Rights Ireland u.c. (C‑293/12 un C‑594/12, EU:C:2014:238), 2016. gada 21. decembris, Tele2 Sverige un Watson u.c. (C‑203/15 un C‑698/15, EU:C:2016:970), un 2018. gada 2. oktobris, Ministerio Fiscal (C‑207/16, EU:C:2018:788).

( 2 ) Spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791). Skat. arī tajā pašā dienā pasludināto spriedumu Privacy International (C‑623/17, EU:C:2020:790) attiecībā uz informācijas par datu plūsmu un atrašanās vietas datu visaptverošu un nediferencētu nodošanu.

( 3 ) Minētajā spriedumā Tiesa nosprieda, ka Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.; turpmāk tekstā – “Direktīva par privāto dzīvi un elektronisko komunikāciju”), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvu 2009/136/EK (OV 2009, L 337, 11. lpp.), 15. panta 1. punktam ir pretrunā tāds valsts tiesiskais regulējums, kurā noziedzības apkarošanas nolūkā paredzēta visaptveroša un nediferencēta informācijas par datu plūsmu un atrašanās vietas datu glabāšana.

( 4 ) 2004. gada 22. jūnijaTelekommunikationsgesetz (Telekomunikāciju likums; BGBl. 2004 I, 1190. lpp.), redakcijā, kas piemērojama pamatlietām, 113.a panta 1. punkts kopsakarā ar 113.b pantu.

( 5 ) Proti, ar Direktīvas 2002/58 15. panta 1. punktu.

( 6 ) Proti, Hartas 6.–8. un 11. panta, kā arī 52. panta 1. punkta gaismā.

( 7 ) Spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c. (C‑140/20, EU:C:2022:258).

( 8 ) Proti, no Direktīvas 2002/58 15. panta 1. punkta otrā teikuma.

( 9 ) Par piekļuvi šādiem datiem skat. spriedumu, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi) (C‑746/18, EU:C:2021:152, 39. punkts).

( 10 ) Šī hierarhija ir nostiprināta Tiesas judikatūrā, tostarp sprieduma La Quadrature du Net u.c. 135. un 136. punktā. Šajā hierarhijā smagas noziedzības apkarošana ir ne tik nozīmīga kā valsts drošības aizsardzība.