CONCLUSIE VAN ADVOCAAT-GENERAAL

M. CAMPOS SÁNCHEZ-BORDONA

van 15 januari 2020 ( 1 )

Zaak C‑623/17

Privacy International

tegen

Secretary of State for Foreign and Commonwealth Affairs,

Secretary of State for the Home Department,

Government Communications Headquarters,

Security Service,

Secret Intelligence Service

[verzoek van de Investigatory Powers Tribunal (rechter die toezicht uitoefent op de onderzoeksbevoegdheden, Verenigd Koninkrijk) om een prejudiciële beslissing]

„Prejudiciële verwijzing – Verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie – Richtlijn 2002/58/EG – Werkingssfeer – Artikel 1, lid 3 – Artikel 15, lid 3 – Handvest van de grondrechten van de Europese Unie – Artikelen 7, 8 en 51 en artikel 52, lid 1 – Artikel 4, lid 2, VEU – Algemene en ongedifferentieerde doorzending aan de veiligheidsdiensten van verbindingsgegevens van gebruikers van een elektronischecommunicatiedienst”

In de afgelopen jaren heeft het Hof een vaste lijn aangehouden in zijn rechtspraak met betrekking tot de bewaring van en de toegang tot persoonsgegevens, met als belangrijkste mijlpalen:

–	zijn arrest van 8 april 2014, Digital Rights Ireland e.a. ( 2 ), waarbij het richtlijn 2006/24/EG ( 3 ) ongeldig heeft verklaard omdat die een onevenredige inmenging in de door de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie erkende rechten mogelijk maakte;

–	zijn arrest van 21 december 2016, Tele2 Sverige en Watson e.a. ( 4 ), waarin het artikel 15, lid 1, van richtlijn 2002/58/EG ( 5 ) heeft uitgelegd, en

–	zijn arrest van 2 oktober 2018, Ministerio Fiscal ( 6 ), waarin het de uitlegging van diezelfde bepaling van richtlijn 2002/58 heeft bevestigd.

Deze arresten (in het bijzonder het tweede) baren de autoriteiten van bepaalde lidstaten zorgen, omdat die volgens hen tot gevolg hebben dat hun een instrument wordt ontnomen dat zij noodzakelijk achten om de nationale veiligheid te waarborgen en terrorisme te bestrijden. Derhalve pleiten sommige van deze lidstaten ervoor dat het Hof terugkomt van deze rechtspraak of deze nuanceert.

3.	Enkele rechterlijke instanties van de lidstaten hebben diezelfde bezorgdheid naar voren gebracht in vier prejudiciële verwijzingen ( 7 ), waarin ik vandaag conclusie neem.

In de vier zaken rijst allereerst de vraag of richtlijn 2002/58 van toepassing is op activiteiten die verband houden met de nationale veiligheid en de bestrijding van terrorisme. Indien deze richtlijn in die context van toepassing is, moet vervolgens worden nagegaan in hoeverre de lidstaten de door de richtlijn beschermde privacyrechten kunnen beperken. Ten slotte moet worden onderzocht in hoeverre de verschillende nationale regelingen ter zake (de Britse ( 8 ), de Belgische ( 9 ) en de Franse ( 10 )) verenigbaar zijn met het Unierecht, zoals dat door het Hof is uitgelegd.

I. Toepasselijke bepalingen

A. Unierecht

5.	Ik verwijs naar het desbetreffende deel van mijn conclusie in de gevoegde zaken C‑511/18 en C‑512/18.

B. Nationaal recht (van toepassing op het onderhavige geval)

1. Telecommunications Act 1984

Krachtens section 94 van de Telecommunications Act 1984 ( 11 ) mag de Secretary of State (minister) aan een exploitant van een openbaar elektronischecommunicatienetwerk de algemene of specifieke aanwijzingen geven die hij noodzakelijk acht in het belang van de nationale veiligheid of de betrekkingen met de regering van een land of gebied buiten het Verenigd Koninkrijk.

2. Data Retention and Investigatory Powers Act 2014

Section 1 van de Data Retention and Investigatory Powers Act 2014 ( 12 ) bepaalt:

„(1) De Secretary of State kan door middel van een aanzegging tot bewaring eisen dat een openbaar telecommunicatiebedrijf relevante communicatiegegevens bewaart indien hij van mening is dat dit noodzakelijk en evenredig is met het oog op één of meer van de doelstellingen van section 22, lid 2, onder (a) tot en met (h), van de Regulation of Investigatory Powers Act 2000 [(wet van 2000 houdende regeling van de onderzoeksbevoegdheden; hierna: „RIPA”)].

(2) Een aanzegging tot bewaring kan

(a)	betrekking hebben op één bepaald bedrijf of een bepaalde categorie bedrijven;

(b)	de bewaring van alle gegevens of een bepaald type gegevens vereisen;

(c)	de periode of de perioden aangeven gedurende welke de gegevens moeten worden bewaard;

(d)	andere voorwaarden of beperkingen bevatten met betrekking tot de bewaring van de gegevens;

(e)	voor verschillende doeleinden in verschillende regelingen voorzien, en

(f)	betrekking hebben op gegevens die al dan niet bestaan op het moment waarop de aanzegging wordt gedaan of van kracht wordt.

(3) De Secretary of State kan, bij wege van verordening, nadere voorschriften over de bewaring van relevante communicatiegegevens vaststellen.

(4) Dergelijke voorschriften kunnen met name betrekking hebben op:

(a)	de voorwaarden voor het doen van een aanzegging tot bewaring;

(b)	de maximumduur van de gegevensbewaring op grond van een aanzegging tot bewaring;

(c)	de inhoud, de vaststelling, het van kracht worden, de herziening, de wijziging of de herroeping van een aanzegging tot bewaring;

(d)	de volledigheid, de beveiliging of de bescherming van de op grond van deze section bewaarde gegevens, de toegang tot die gegevens en het openbaar maken of het vernietigen ervan;

(e)	de handhaving, of de controle op de naleving, van de relevante voorschriften of beperkingen;

(f)	een gedragscode met betrekking tot de relevante voorwaarden, beperkingen of bevoegdheden;

(g)	de vergoeding (al dan niet onder bepaalde voorwaarden) door de Secretary of State van de kosten die openbare telecommunicatiebedrijven maken om te voldoen aan relevante voorschriften of beperkingen;

[…]

(5) De maximumduur bedoeld in lid 4, onder (b), bedraagt niet meer dan twaalf maanden vanaf de genoemde dag met betrekking tot de gegevens die worden beheerst door de in lid 3 bedoelde verordeningen.

(6) Een openbaar telecommunicatiebedrijf dat op grond van deze section relevante communicatiegegevens bewaart, mag deze gegevens slechts bekendmaken indien

(a)

dat in overeenstemming gebeurt met:

(i)	deel 1, hoofdstuk 2, [RIPA], of

(ii)	een rechterlijke beslissing of elke andere rechterlijke goedkeuring of machtiging, of

(b)	daarin is voorzien in de in lid 3 bedoelde verordeningen.

(7) De Secretary of State kan, bij wege van verordening, voorschriften vaststellen met betrekking tot de voorschriften die zijn (of kunnen worden) vastgesteld krachtens lid 4, onder (d) tot en met (g), of lid 6, in verband met communicatiegegevens die door aanbieders van telecommunicatiediensten worden bewaard op grond van een gedragscode overeenkomstig section 102 van de Anti-terrorism, Crime and Security Act 2001 [(wet inzake veiligheid en bestrijding van criminaliteit en terrorisme van 2001)].”

3. RIPA

Section 21 bepaalt:

„[…]

(4) In dit hoofdstuk wordt onder ‚communicatiegegevens’ verstaan:

(a)	verkeersgegevens die deel uitmaken van een communicatie of daaraan zijn toegevoegd (door de afzender of anderszins) ten behoeve van de posterijen of van een telecommunicatiesysteem waardoor deze communicatie wordt of kan worden doorgeleid;

(b)

informatie die geen inhoud van een communicatie omvat [behalve informatie die onder (a) valt] en betrekking heeft op het gebruik door een persoon

(i)	van de posterijen of van een telecommunicatiedienst, of

(ii)	in verband met het aanbieden aan of gebruik door een persoon van een telecommunicatiedienst of een onderdeel van een telecommunicatiesysteem;

(c)	informatie die niet onder (a) of (b) valt, die door een persoon die een post- of telecommunicatiedienst aanbiedt, wordt bewaard of verkregen met betrekking tot personen aan wie hij de dienst aanbiedt.

[…]

(6) In deze section wordt onder ‚verkeersgegevens’, met betrekking tot een communicatie, verstaan:

(a)	alle gegevens die strekken tot identificatie, of die de identificatie beogen, van een persoon, apparaat of locatie waarnaar of waarvandaan een communicatie wordt of kan worden verzonden;

(b)	alle gegevens die strekken tot identificatie of selectie, of die de identificatie of selectie beogen, van de apparatuur door middel waarvan de communicatie wordt of kan worden verzonden;

(c)	alle gegevens die signalen bevatten voor de bediening van de apparatuur die wordt gebruikt in een telecommunicatiesysteem voor het verzenden van een communicatie, en

(d)	alle gegevens die strekken tot identificatie van de gegevens die deel uitmaken van een bepaalde communicatie of daaraan zijn toegevoegd, of van andere gegevens als gegevens die deel uitmaken van een bepaalde communicatie of daaraan zijn toegevoegd,

[…]

[…]”

Section 22 bepaalt:

„(1) Deze section is van toepassing wanneer een voor de toepassing van dit hoofdstuk verantwoordelijke persoon van mening is dat het om in lid 2 genoemde redenen noodzakelijk is communicatiegegevens te verkrijgen.

(2) Het is om in dit lid genoemde redenen noodzakelijk de communicatiegegevens te verkrijgen wanneer dit nodig is:

(a)	in het belang van de nationale veiligheid;

(b)	om criminaliteit te voorkomen of aan het licht te brengen of om verstoring van de openbare orde te voorkomen;

(c)	in het belang van het economisch welzijn van het Verenigd Koninkrijk, mits die belangen ook relevant zijn voor de belangen van de nationale veiligheid;

(d)	in het belang van de openbare veiligheid;

(e)	ter bescherming van de volksgezondheid;

(f)	voor het vaststellen van de grondslag of voor het innen van aan de overheid verschuldigde belastingen, accijnzen, heffingen of andere imposten, bijdragen of lasten;

(g)	ter voorkoming, in een noodsituatie, van de dood, van verwondingen of van andere schade aan de lichamelijke of geestelijke gezondheid van een persoon, of ter leniging van verwondingen of schade aan de lichamelijke of geestelijke gezondheid van een persoon;

(h)	voor alle andere [niet onder (a) tot en met (g) vallende] doelen die met het oog op de toepassing van dit lid nader worden bepaald in een door de Secretary of State uitgevaardigd bevel.

(4) Onverminderd het bepaalde in lid 5 kan de verantwoordelijke, indien hij van mening is dat een post- of telecommunicatiebedrijf in het bezit is van communicatiegegevens, in het bezit van communicatiegegevens zou kunnen zijn of communicatiegegevens zou kunnen verkrijgen, van dit post- of telecommunicatiebedrijf eisen dat het

(a)	deze gegevens verkrijgt voor zover het deze niet al bezit, en

(b)	in elk geval alle in zijn bezit zijnde of later verkregen gegevens bekendmaakt.

(5) De verantwoordelijke mag geen toestemming in de zin van lid 3 geven en geen aanzegging in de zin van lid 4 doen, tenzij hij van oordeel is dat het verkrijgen van de betrokken gegevens op grond van een toegestane gedraging of van een aanzegging evenredig is met het doel dat met het verkrijgen van de gegevens wordt nagestreefd.”

10.	Volgens section 65 kan bij de Investigatory Powers Tribunal (rechter die toezicht uitoefent op de onderzoeksbevoegdheden, Verenigd Koninkrijk) een klacht worden ingediend indien er redenen zijn om aan te nemen dat gegevens op onjuiste wijze zijn verkregen.

II. Feiten en prejudiciële vragen

11.	Volgens de verwijzende rechter betreft het hoofdgeding de verwerving en het gebruik van bulkcommunicatiegegevens door de United Kingdom Security and Intelligence Agencies (veiligheids- en inlichtingendiensten van het Verenigd Koninkrijk).

12.

Die gegevens hebben betrekking op „wie” de telefoon en het internet gebruikt en „wanneer, waar, hoe en met wie” de betrokkene die gebruikt, met inbegrip van de locatie van mobiele en vaste telefoons waarmee wordt gebeld of waarmee oproepen worden ontvangen en de locatie van computers die worden gebruikt om toegang te krijgen tot het internet. De inhoud van de communicatie behoort niet tot de bulkcommunicatiegegevens; deze kan enkel worden verkregen op rechterlijk bevel.

13.

Verzoekster in het hoofdgeding (Privacy International, een niet-gouvernementele mensenrechtenorganisatie) heeft bij de verwijzende rechter beroep ingesteld op grond dat de verwerving en het gebruik van de vermelde gegevens door de veiligheids- en inlichtingendiensten een inbreuk vormen op het recht op eerbiediging van het privéleven dat is neergelegd in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens (hierna: „EVRM”) en in strijd zijn met het Unierecht.

14.	De verwerende autoriteiten ( 13 ) stellen dat de uitoefening van hun bevoegdheden ter zake wettig is en essentieel, met name om de nationale veiligheid te waarborgen.

15.

Volgens de informatie in de verwijzingsbeslissing ontvangen de veiligheids- en inlichtingendiensten in overeenstemming met de aanwijzingen die door de Secretary of State uit hoofde van section 94 van de wet van 1984 worden gegeven, bulkcommunicatiegegevens van exploitanten van openbare elektronischecommunicatienetwerken.

16.

Deze gegevens omvatten verkeers- en locatiegegevens alsook informatie over de sociale, commerciële en financiële activiteiten, de communicatie en de reizen van de gebruikers. Door de veiligheids- en inlichtingendiensten verkregen gegevens worden veilig bewaard. De door die diensten toegepaste technieken zijn niet-gericht (het gaat bijvoorbeeld om filteren en aggregatie), dat wil zeggen niet gericht op specifieke, bekende doelen.

17.

Volgens de verwijzende rechter staat vast dat deze technieken essentieel zijn voor het werk van de veiligheids- en inlichtingendiensten bij het tegengaan van ernstige bedreigingen voor de openbare veiligheid, in het bijzonder op het gebied van terrorismebestrijding, contraspionage en bestrijding van nucleaire proliferatie. Om de nationale veiligheid van het Verenigd Koninkrijk te verzekeren, is het essentieel dat de veiligheids- en inlichtingendiensten deze gegevens kunnen verwerven en gebruiken.

18.	Naar het oordeel van de verwijzende rechter zijn de omstreden maatregelen in overeenstemming met het nationale recht en met artikel 8 EVRM. In het licht van het arrest Tele2 Sverige en Watson twijfelt hij echter of zij verenigbaar zijn met het Unierecht.

19.

In deze omstandigheden verzoekt de verwijzende rechter het Hof om een prejudiciële beslissing over de volgende vragen:

„1)

Valt het vereiste in een aanwijzing van een Secretary of State aan een leverancier van een elektronischecommunicatienetwerk om bulkcommunicatiegegevens aan de veiligheids- en inlichtingendiensten van een lidstaat te verstrekken, gezien artikel 4 VEU en artikel 1, lid 3, van [richtlijn 2002/58], binnen de werkingssfeer van het Unierecht en [richtlijn 2002/58]?

Indien het antwoord op de eerste vraag bevestigend luidt: zijn de in het arrest Watson geformuleerde vereisten[ ( 14 )] of andere vereisten, naast de vereisten die worden opgelegd door het EVRM, van toepassing op een dergelijke aanwijzing van een Secretary of State? Zo ja, hoe en in welke mate zijn deze vereisten dan van toepassing, rekening houdende met de essentiële noodzaak voor de veiligheids- en inlichtingendiensten om bulkverwerving en automatische verwerkingstechnieken te gebruiken om de nationale veiligheid te waarborgen en met de mate waarin die mogelijkheden – voor zover zij in overeenstemming zijn met het EVRM – door dergelijke vereisten op kritieke wijze kunnen worden belemmerd?”

20.

De verwijzende rechter schetst de context van zijn vragen als volgt:

„a)

het vermogen (van de veiligheids- en inlichtingendiensten) om de aan hen geleverde bulkcommunicatiegegevens te gebruiken is essentieel om de nationale veiligheid van het Verenigd Koninkrijk te verzekeren, met name op het gebied van terrorismebestrijding, contraspionage en de bestrijding van nucleaire proliferatie;

een fundamenteel doel van het gebruik van [deze gegevens] door de veiligheids- en inlichtingendiensten is om voorheen onbekende bedreigingen voor de nationale veiligheid op te sporen door middel van niet-gerichte bulktechnieken die zijn gebaseerd op de aggregatie van bulkcommunicatiegegevens op één plaats. Het grootste nut ervan ligt in de snelle identificatie en bepaling van het profiel van het doelwit, alsook in de verschaffing van een grond voor actie in geval van een onmiddellijke bedreiging;

c)	de leverancier van een elektronischecommunicatienetwerk is daarna niet verplicht om de bulkcommunicatiegegevens te bewaren (na de periode die vereist is voor zijn normale bedrijf); deze worden enkel bewaard door de staat (de veiligheids- en inlichtingendiensten);

d)	de nationale rechter heeft vastgesteld dat de waarborgen die betrekking hebben op het gebruik van [deze gegevens] door de veiligheids- en inlichtingendiensten (onder voorbehoud van enkele buiten beschouwing gelaten kwesties) in overeenstemming zijn met het EVRM, en

de nationale rechter heeft vastgesteld dat de oplegging van de vereisten die gespecificeerd zijn in […] het arrest [Tele2 Sverige en Watson], indien van toepassing, de maatregelen van de veiligheids- en inlichtingendiensten om de nationale veiligheid te waarborgen zullen dwarsbomen en daardoor de nationale veiligheid van het Verenigd Koninkrijk in gevaar zullen brengen”.

III. Procedure bij het Hof

21.	Het verzoek om een prejudiciële beslissing is ter griffie van het Hof ingekomen op 31 oktober 2017.

22.

Schriftelijke opmerkingen zijn ingediend door de Duitse en de Belgische regering, de regering van het Verenigd Koninkrijk, de Tsjechische, de Cypriotische, de Spaanse, de Estse, de Franse, de Hongaarse, de Ierse, de Letse, de Nederlandse, de Noorse, de Poolse, de Portugese en de Zweedse regering alsmede door de Commissie.

23.

De openbare terechtzitting voor deze zaak heeft plaatsgevonden op 9 september 2019, samen met die voor de gevoegde zaken C‑511/18 en C‑512/18 en die voor zaak C‑520/18. Op die terechtzitting zijn de partijen bij de vier prejudiciële verwijzingen verschenen alsook de voornoemde regeringen, de Commissie en de Europese Toezichthouder voor gegevensbescherming.

IV. Beoordeling

A. Werkingssfeer van richtlijn 2002/58 en uitsluiting van de nationale veiligheid (eerste prejudiciële vraag)

24.

In mijn conclusie in de gevoegde zaken C‑511/18 en C‑512/18, die ik eveneens vandaag neem, zet ik uiteen waarom richtlijn 2002/58 naar mijn mening „in beginsel van toepassing is wanneer aanbieders van elektronische diensten wettelijk worden verplicht om de gegevens van hun abonnees te bewaren en de overheid daar toegang toe te verlenen. Aan dit standpunt wordt niet afgedaan door het feit dat de verplichtingen aan aanbieders worden opgelegd om redenen van nationale veiligheid.” ( 15 )

25.	Bij de uitwerking van mijn argumenten ga ik in op de gevolgen van het arrest van het Hof van 30 mei 2006, Parlement/Raad en Commissie ( 16 ), en het arrest Tele2 Sverige en Watson. Daarbij pleit ik voor een uitlegging die beide arresten onderling verzoent. ( 17 )

26.	In die conclusie heb ik, na te hebben bevestigd dat richtlijn 2002/58 van toepassing is, de daarin vervatte uitsluiting van de nationale veiligheid en de gevolgen van artikel 4, lid 2, VEU onderzocht. ( 18 )

27.	Zonder vooruit te lopen op hetgeen ik hieronder zal uiteenzetten, verwijs ik naar wat er al is gezegd in die conclusie en in de conclusie in zaak C‑520/18.

1. Toepassing van richtlijn 2002/58 op deze zaak

28.

Volgens de in de onderhavige zaak aan de orde zijnde bepalingen rust op aanbieders van elektronischecommunicatiediensten de verplichting om de gegevens waarover zij uit hoofde van hun dienstverlening aan de gebruikers van de openbare communicatienetwerken van de Unie beschikken, niet alleen te bewaren maar ook te verwerken. ( 19 )

29.	Die aanbieders zijn namelijk verplicht om deze gegevens door te zenden aan de veiligheids- en inlichtingendiensten. In casu rijst de vraag of deze doorzending, gezien het doel ervan, op grond van artikel 15, lid 1, van richtlijn 2002/58 zonder meer van het Unierecht kan worden uitgesloten.

30.

Dat is mijns inziens niet het geval. De bewaring van dergelijke gegevens, gevolgd door de latere doorzending ervan, kan worden aangemerkt als verwerking van persoonsgegevens door aanbieders van elektronischecommunicatiediensten en valt derhalve uit haar aard binnen de werkingssfeer van richtlijn 2002/58.

31.

Redenen van nationale veiligheid kunnen aan deze vaststelling niet afdoen – in tegenstelling tot de opvatting van de verwijzende rechter, die tot gevolg zou hebben dat de omstreden verplichting buiten de werkingssfeer van het Unierecht valt. Zoals ik reeds heb opgemerkt, wordt mijns inziens aan de aanbieders een verplichting opgelegd tot verwerking van gegevens in verband met de levering van openbare elektronischecommunicatiediensten over openbare communicatienetwerken in de Unie, wat precies de werkingssfeer van richtlijn 2002/58 is, zoals artikel 3, lid 1, van deze richtlijn bepaalt.

32.

Hiermee rekening houdend, gaat de discussie niet langer over de activiteiten van de veiligheids- en inlichtingendiensten (die, zoals hierboven opgemerkt, buiten het Unierecht zouden kunnen vallen indien zij geen betrekking hebben op de aanbieders van elektronischecommunicatiediensten), maar over de bewaring en de daaropvolgende doorzending van de gegevens waarover deze aanbieders beschikken. Vanuit die invalshoek bezien, zijn het de door de Unie gewaarborgde grondrechten die in het geding zijn.

33.	De bepalende factor voor de beslechting van deze discussie is – opnieuw – de plicht tot algemene en ongedifferentieerde bewaring van gegevens waartoe overheidsorganen toegang wordt verleend.

2. Beroep op de nationale veiligheid

34.

Aangezien de verwijzende rechter in casu bijzondere nadruk legt op de activiteiten van de veiligheids- en inlichtingendiensten met betrekking tot de nationale veiligheid, wil ik in dit verband enkele punten weergeven uit mijn conclusie in de gevoegde zaken C‑511/18 en C‑512/18, die eveneens vandaag wordt genomen:

„77.

De nationale veiligheid […] wordt in richtlijn 2002/58 op twee manieren benaderd. Enerzijds vormt zij een grond tot uitsluiting (van de toepassing van die richtlijn) voor alle activiteiten van de lidstaten die specifiek daarmee ‚verband houden’. Anderzijds is zij een – bij wet in te voeren – grond tot beperking van de rechten en verplichtingen waarin richtlijn 2002/58 voorziet, dat wil zeggen voor activiteiten van particuliere of commerciële aard die buiten de sfeer vallen van de activiteiten die aan de staat zijn voorbehouden.

78.

Op welke activiteiten heeft artikel 1, lid 3, van richtlijn 2002/58 betrekking? Naar mijn mening geeft de Conseil d’État [hoogste bestuursrechter, Frankrijk] zelf een goed voorbeeld door de artikelen L. 851‑5 en L. 851‑6 van de code de la sécurité intérieure [Frans wetboek binnenlandse veiligheid] te noemen, waarin wordt verwezen naar ‚technieken voor het inwinnen van inlichtingen die rechtstreeks door de staat worden toegepast zonder dat de activiteiten van aanbieders van elektronischecommunicatiediensten worden geregeld door oplegging van specifieke verplichtingen’. […]

79.

Mijns inziens is dat het sleutelelement om de omvang van de in artikel 1, lid 3, van richtlijn 2002/58 vervatte uitsluiting te bepalen. De activiteiten die de overheid, met het oog op de bescherming van de nationale veiligheid, zelf uitvoert, zonder de medewerking van particulieren te vereisen en dus zonder hun verplichtingen op te leggen met betrekking tot hun bedrijfsvoering, vallen niet onder de regeling van die richtlijn.

80.

De lijst van overheidsactiviteiten die zijn vrijgesteld van de algemene regeling voor de verwerking van persoonsgegevens moet echter restrictief worden uitgelegd. Met name kan het begrip nationale veiligheid, waarvoor de uitsluitende verantwoordelijkheid krachtens artikel 4, lid 2, VEU bij elke lidstaat ligt, niet worden uitgebreid tot andere, min of meer aangrenzende, sectoren van het openbare leven.

[…]

82.

Naar mijn mening kan […] een richtsnoer worden gevonden in het criterium van [kaderbesluit 2006/960/JBZ van de Raad van 18 december 2016 betreffende de vereenvoudiging van de uitwisseling van informatie en inlichtingen tussen de rechtshandhavingsautoriteiten van de lidstaten van de Europese Unie (PB 2006, L 386, blz. 89)], waarvan artikel 2, onder a), een onderscheid maakt tussen rechtshandhavingsautoriteiten in ruime zin – waaronder ,een nationale politie-, douane- of andere autoriteit die krachtens het nationale recht is gemachtigd om strafbare feiten of criminele activiteiten op te sporen, te voorkomen en te onderzoeken, en in het kader hiervan gezag uit te oefenen en dwangmaatregelen toe te passen’ – en ,bureaus of eenheden die zich specifiek bezighouden met aangelegenheden van nationale veiligheid’. […]

[…]

84.

Wat de bevoegdheden van de lidstaten inzake nationale veiligheid betreft, bestaat er […] continuïteit tussen richtlijn 95/46 en richtlijn 2002/58. Geen van beide is gericht op de bescherming van de grondrechten op dit specifieke gebied, waarbinnen de activiteiten van de lidstaten niet ‚onder het [Unierecht vallen]’.

85.

Het in [overweging 11 van richtlijn 2002/58] bedoelde ‚evenwicht’ vloeit voort uit de noodzaak om de bevoegdheden van de lidstaten op het gebied van de nationale veiligheid te eerbiedigen wanneer zij deze rechtstreeks en met hun eigen middelen uitoefenen. Wanneer echter, ook om diezelfde redenen van nationale veiligheid, de medewerking wordt vereist van particulieren, aan wie bepaalde verplichtingen worden opgelegd, valt de activiteit binnen een gebied (de bescherming van de persoonlijke levenssfeer die door deze particuliere actoren moet worden gewaarborgd) dat door het Unierecht wordt beheerst.

86.

Zowel richtlijn 95/46 als richtlijn 2002/58 tracht dit evenwicht te bereiken door toe te staan dat de rechten van particulieren worden beperkt door wettelijke maatregelen die door de lidstaten worden getroffen op grond van artikel 13, lid 1, respectievelijk artikel 15, lid 1. Dienaangaande is er tussen beide richtlijnen geen enkel verschil.

[…]

89.

Deze activiteiten van de overheid moeten noodzakelijkerwijs restrictief worden bepaald, anders wordt het Unierecht inzake de bescherming van de persoonlijke levenssfeer zijn werking ontnomen. Artikel 23 van [verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46 (algemene verordening gegevensbescherming) (PB 2016, L 119, blz. 1)] voorziet – net als artikel 15, lid 1, van richtlijn 2002/58 – in de beperking, door middel van wettelijke maatregelen, van de daarin vastgestelde rechten en verplichtingen, wanneer dit nodig is om onder meer de staatsveiligheid, de landsverdediging of de openbare veiligheid te waarborgen. Nogmaals, indien de bescherming van deze doelstellingen voldoende zou zijn om ze van de werkingssfeer van verordening 2016/679 uit te sluiten, zou het overbodig zijn om de staatsveiligheid in te roepen als rechtvaardiging voor de invoering van wettelijke maatregelen om de door die verordening gewaarborgde rechten te beperken.”

3. Gevolgen van de toepassing van het arrest Tele2 Sverige en Watson op deze zaak

35.	De verwijzende rechter heeft zijn aandacht gericht op de uitlegging die het Hof heeft gegeven in het arrest Tele2 Sverige en Watson en heeft daarbij de moeilijkheden uiteengezet die de toepassing van dat arrest op deze zaak volgens hem met zich zou brengen.

36.	In het arrest Tele2 Sverige en Watson zijn de voorwaarden vastgesteld waaraan moet worden voldaan door een nationale regeling die voorziet in de verplichting om verkeers- en locatiegegevens te bewaren met het oog op latere toegang door overheidsorganen.

37.

Net als in de gevoegde zaken C‑511/18 en C‑512/18 – en om soortgelijke redenen – ben ik hier van mening dat de nationale regels waarop de onderhavige prejudiciële verwijzing betrekking heeft, niet voldoen aan de voorwaarden van het arrest Tele2 Sverige en Watson, aangezien zij voorzien in de algemene en ongedifferentieerde bewaring van persoonsgegevens waardoor een gedetailleerd beeld van het leven van de betrokken personen over een langere periode wordt verschaft.

38.

In mijn conclusie in die twee zaken vraag ik mij af of het mogelijk zou zijn de in dat arrest uiteengezette rechtspraak te nuanceren of aan te vullen, gezien de implicaties ervan voor de bestrijding van terrorisme of voor de bescherming van de staat tegen andere soortgelijke bedreigingen voor de nationale veiligheid.

39.

Ook in dit verband wil ik hieronder enkele punten van die conclusie weergeven, waarin ik in wezen het standpunt inneem dat die rechtspraak weliswaar kan worden genuanceerd, maar niettemin in essentie moet worden bevestigd:

„135.

Het is moeilijk maar niet onmogelijk om nauwkeurig en op basis van objectieve criteria te bepalen voor welke categorieën gegevens de bewaring essentieel wordt geacht en op welke groep personen de bewaring moet worden gericht. Uiteraard zou de meest praktische en doeltreffende oplossing bestaan in een algemene en ongedifferentieerde bewaring van alle gegevens die door aanbieders van elektronischecommunicatiediensten kunnen worden verzameld, doch […] deze kwestie [moet] niet worden opgelost in termen van praktische doeltreffendheid, maar in termen van juridische doeltreffendheid en in de context van de rechtsstaat.

136.	De taak om het bovenstaande te bepalen, is een typische wetgevingsaangelegenheid, en moet binnen de in de rechtspraak van het Hof gestelde grenzen plaatsvinden. […]

137.

Ervan uitgaande dat de exploitanten gegevens hebben verzameld op een wijze die voldoet aan de voorschriften van richtlijn 2002/58 en dat deze gegevens zijn bewaard in overeenstemming met artikel 15, lid 1, ervan […], moet de toegang van de bevoegde autoriteiten tot deze informatie vervolgens plaatsvinden onder de voorwaarden die het Hof heeft gesteld en die ik analyseer in mijn conclusie in zaak C‑520/18, waarnaar ik verwijs. […]

138.

Een nationale regeling moet dus ook in dat geval de materiële en procedurele voorwaarden voor de toegang van de bevoegde autoriteiten tot de bewaarde gegevens bepalen. […] In het kader van deze prejudiciële verwijzingen zouden deze voorwaarden toegang verlenen tot de gegevens van personen die ervan worden verdacht een terroristische daad te plannen, te gaan plegen of te hebben gepleegd, of bij een dergelijke daad betrokken te zijn. […]

139.

Van wezenlijk belang is al met al dat de toegang tot de gegevens in kwestie, behalve in naar behoren gerechtvaardigde gevallen van spoedeisendheid, wordt onderworpen aan een voorafgaand toezicht door een rechterlijke instantie of door een onafhankelijke administratieve autoriteit die haar beslissing geeft op een met redenen omkleed verzoek van de bevoegde autoriteiten. […] Zo wordt gegarandeerd dat waar een kwestie niet abstract kan worden beoordeeld door de wet, zij concreet zal worden beoordeeld door deze onafhankelijke autoriteit, die zich in gelijke mate inzet voor het waarborgen van de veiligheid van de staat en de verdediging van de grondrechten van de burgers.”

B. Tweede prejudiciële vraag

40.

De verwijzende rechter stelt zijn tweede vraag voor het geval dat de eerste vraag bevestigend wordt beantwoord. In dat geval wenst hij te vernemen welke „andere vereisten” moeten worden gesteld „naast de vereisten die worden opgelegd door het EVRM” of de vereisten die voortvloeien uit het arrest Tele2 Sverige en Watson.

41.	In dit verband wijst hij erop dat de oplegging van de voorwaarden van het arrest Tele2 Sverige en Watson „de maatregelen van de veiligheids- en inlichtingendiensten om de nationale veiligheid te waarborgen zullen dwarsbomen”.

42.

Aangezien ik voorstel om de eerste vraag ontkennend te beantwoorden, hoeft op de tweede vraag niet te worden ingegaan. Zoals de verwijzende rechter zelf opmerkt, wordt die tweede vraag gesteld voor zover het met het Unierecht verenigbaar is om „bulkverwerving en automatische verwerkingstechnieken” toe te passen op de persoonsgegevens van alle gebruikers van het Verenigd Koninkrijk, die de aanbieders van elektronischecommunicatiediensten zouden moeten doorzenden aan de veiligheids- en inlichtingendiensten.

43.

Indien het Hof het noodzakelijk acht om de tweede vraag te beantwoorden, dient het volgens mij de genoemde voorwaarden van het arrest Tele2 Sverige en Watson te bevestigen wat betreft:

–	het verbod op niet-gerichte toegang tot gegevens;

–	de noodzaak van voorafgaande toestemming van een rechter of een onafhankelijke autoriteit om deze toegang te legitimeren;

–	de verplichting om de betrokkenen te informeren, tenzij dat de doeltreffendheid van de maatregel in gevaar zou brengen;

–	de bewaring van de gegevens op het grondgebied van de Unie.

44.

Ik herhaal dat het zou volstaan om deze voorwaarden, die verplicht van toepassing zijn, te bevestigen om de redenen die ik in mijn conclusie in de gevoegde zaken C‑511/18 en C‑512/18 en in zaak C‑520/18 heb uiteengezet, zonder dat het nodig is om nog „andere” vereisten vast te stellen in de door de verwijzende rechter bedoelde zin.

V. Conclusie

45.

Gelet op het voorgaande geef ik het Hof in overweging om de vragen van de Investigatory Powers Tribunal te beantwoorden als volgt:

„Artikel 4 VEU en artikel 1, lid 3, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) moeten aldus worden uitgelegd dat zij zich verzetten tegen een nationale regeling die een leverancier van een elektronischecommunicatienetwerk de verplichting oplegt om aan de veiligheids- en inlichtingendiensten van een lidstaat ‚bulkcommunicatiegegevens’ te verstrekken die eerst op algemene en ongedifferentieerde wijze zijn verzameld.”

Subsidiair:

„De toegang van de veiligheids- en inlichtingendiensten van een lidstaat tot de door de leveranciers van elektronischecommunicatienetwerken doorgezonden gegevens moet voldoen aan de voorwaarden die zijn vastgesteld in het arrest van 21 december 2016, Tele2 Sverige en Watson (C‑203/15 en C‑698/15, EU:C:2016:970).”

( 1 ) Oorspronkelijke taal: Spaans.

( 2 ) Gevoegde zaken C‑293/12 en C‑594/12, EU:C:2014:238; hierna: „arrest Digital Rights”.

( 3 ) Richtlijn van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronischecommunicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG (PB 2006, L 105, blz. 54).

( 4 ) Gevoegde zaken C‑203/15 en C‑698/15, EU:C:2016:970; hierna: „arrest Tele2 Sverige en Watson”.

( 5 ) Richtlijn van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB 2002, L 201, blz. 37).

( 6 ) Zaak C‑207/16, EU:C:2018:788; hierna: „arrest Ministerio Fiscal”.

( 7 ) Het betreft, naast de onderhavige zaak, de gevoegde zaken La Quadrature du Net e.a. (C‑511/18 en C‑512/18) en de zaak Ordre des barreaux francophones et germanophone e.a. (C‑520/18).

( 8 ) Zaak Privacy International, C‑623/17.

( 9 ) Zaak Ordre des barreaux francophones et germanophone e.a., C‑520/18.

( 10 ) Gevoegde zaken La Quadrature du Net e.a., C‑511/18 en C‑512/18.

( 11 ) Telecommunicatiewet van 1984; hierna: „wet van 1984”.

( 12 ) Wet van 2014 betreffende gegevensbewaring en onderzoeksbevoegdheden; hierna: „DRIPA”.

( 13 ) De Secretary of State for Foreign and Commonwealth Affairs (minister van Buitenlandse Zaken en Gemenebestzaken), de Secretary of State for the Home Department (minister van Binnenlandse Zaken) en de drie veiligheids- en inlichtingendiensten, te weten: de Government Communications Headquarters (hoofdkwartier voor regeringscommunicatie; GCHQ), de Security Service (veiligheidsdienst; MI5) en de Secret Intelligence Service (geheime inlichtingendienst; MI6).

( 14 ) Dit wil zeggen, de in het arrest Tele2 Sverige en Watson ontwikkelde rechtspraak.

( 15 ) Conclusie in de gevoegde zaken C‑511/18 en C‑512/18, punt 42.

( 16 ) Gevoegde zaken C‑317/04 en C‑318/04, EU:C:2006:346.

( 17 ) Conclusie in de gevoegde zaken C‑511/18 en C‑512/18, punten 44‑76.

( 18 ) Ibidem, punten 77‑90.

( 19 ) In artikel 2 van richtlijn 2002/58 is bepaald dat met het oog op de toepassing van die richtlijn de definities gelden van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995, L 281, blz. 31). In overeenstemming met artikel 2, onder b), van de laatstgenoemde richtlijn wordt onder „verwerking van persoonsgegevens” verstaan „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.