–

Ministerio Fiscal, genom E. Tejada de la Fuente,

–

Spaniens regering, genom M. Sampol Pucurull, i egenskap av ombud,

–

Tjeckiens regering, genom M. Smolek, J. Vláčil och A. Brabcová, samtliga i egenskap av ombud,

–

Danmarks regering, genom J. Nymann-Lindegren och M. Wolff, båda i egenskap av ombud,

–

Estlands regering, genom N. Grünberg, i egenskap av ombud,

–

Irland, genom M. Browne, L. Williams, E. Creedon och A. Joyce, samtliga i egenskap av ombud, biträdda av E. Gibson, BL,

–

Frankrikes regering, genom D. Colas, E. de Moustier och E. Armoet, samtliga i egenskap av ombud,

–

Lettlands regering, genom I. Kucina och J. Davidoviča, båda i egenskap av ombud,

–

Ungerns regering, genom M. Fehér och G. Koós, båda i egenskap av ombud,

–

Österrikes regering, genom C. Pesendorfer, i egenskap av ombud,

–

Polens regering, genom B. Majczyna, D. Lutostańska och J. Sawicka, samtliga i egenskap av ombud,

–

Förenade kungarikets regering, genom S. Brandon och C. Brodie, båda i egenskap av ombud, biträdda av C. Knight, barrister, och G. Facenna, QC,

–

Europeiska kommissionen, genom I. Martínez del Peral, P. Costa de Oliveira, R. Troosters och D. Nardi, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58), jämförd med artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).

2

Begäran har framställts i ett mål där Ministerio Fiscal (åklagarmyndigheten, Spanien) överklagat ett beslut av Juzgado de Instrucción nr 3 de Tarragona (undersökningsdomare nr 3 i Tarragona, nedan kallad undersökningsdomaren) att inte ge polisen tillstånd att få tillgång till personuppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster.

3

Enligt artikel 2 b i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) ska ”behandling av personuppgifter” i direktivet förstås som ”varje åtgärd eller serie av åtgärder som automatiskt eller inte vidtas beträffande personuppgifter till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom översändande, spridning eller tillhandahållande på annat sätt, justering eller samkörning, blockering, utplåning eller förstöring”.

4

I artikel 3, med rubriken ”Tillämpningsområde”, i detta direktiv, föreskrivs följande:

”1.   Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2.   Detta direktiv gäller inte för sådan behandling av personuppgifter

5

I skälen 2, 11, 15 och 21 i direktiv 2002/58 anges följande:

…

…

…

6

I artikel 1, med rubriken ”Tillämpningsområde och syfte”, i direktiv 2002/58, föreskrivs följande:

”1.   Genom detta direktiv möjliggörs en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation, samt för att säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom gemenskapen.

2.   Bestämmelserna i detta direktiv skall precisera och komplettera direktiv [95/46] för de ändamål som avses i punkt 1. Bestämmelserna är vidare avsedda att skydda berättigade intressen för de abonnenter som är juridiska personer.

3.   Detta direktiv skall inte tillämpas på verksamheter som faller utanför tillämpningsområdet för Fördraget om upprättandet av Europeiska gemenskapen, t.ex. de som omfattas av avdelningarna V och VI i Fördraget om Europeiska unionen, och inte i något fall på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straffrättens område.”

7

I artikel 2, med rubriken ”Definitioner”, i direktiv 2002/58 föreskrivs följande:

”Om inte annat anges skall definitionerna i [direktiv 95/46] och [i Europaparlamentets och rådet direktiv] 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) [(EGT L 108, 2002, s. 33)] gälla i detta direktiv.

Dessutom skall följande definitioner gälla:

…

…”

8

I artikel 3, med rubriken ”Berörda tjänster”, i direktiv 2002/58, föreskrivs följande:

”Detta direktiv ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom gemenskapen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning.”

9

Artikel 5, som har rubriken ”Konfidentialitet vid kommunikation”, i direktiv 2002/58 har följande lydelse:

”1.   Medlemsstaterna skall genom nationell lagstiftning säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. De skall särskilt förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. …

…

3.   Medlemsstaterna ska se till att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv [95/46], bland annat om ändamålen med behandlingen av uppgifterna. …”

10

I artikel 6, med rubriken ”Trafikuppgifter”, i direktiv 2002/58 föreskrivs följande:

”1.   Trafikuppgifter om abonnenter och användare som behandlas och lagras av leverantören av ett allmänt kommunikationsnät eller en allmänt tillgänglig elektronisk kommunikationstjänst skall utplånas eller avidentifieras när de inte längre behövs för sitt syfte att överföra en kommunikation, utan att det påverkar tillämpningen av punkterna 2, 3 och 5 i den här artikeln samt artikel 15.1.

2.   Trafikuppgifter som krävs för abonnentfakturering och betalning av samtrafikavgifter får behandlas. Sådan behandling är tillåten endast fram till utgången av den period under vilken det lagligen går att göra invändningar mot fakturan eller kräva betalning.

…”

11

Artikel 15 i direktivet har rubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”. I artikel 15.1 föreskrivs följande:

”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

12

Artikel 1 i Ley 25/2007 de conservación de datos relativos a las redes de comunicaciones electrónicas y a las redes públicas de comunicaciones (lag 25/2007 om lagring av uppgifter om elektronisk kommunikation och om allmänna kommunikationsnät) av den 18 oktober 2007 (BOE nr 251 av den 19 oktober 2007, s. 42517) föreskriver följande:

”1.   Syftet med denna lag är att reglera operatörernas skyldighet att lagra uppgifter som genereras eller behandlas i samband med tillhandahållande av elektroniska kommunikationstjänster eller allmänna kommunikationsnät samt skyldigheten att överföra sådana uppgifter till behöriga aktörer i fall där operatörerna i kraft av vederbörligt tillstånd meddelat av domstol anmodas att lämna ut uppgifter för att dessa ska kunna användas för att avslöja, utreda och lagföra allvarliga brott som anges i strafflagen eller i specialstraffrättsliga lagar.

2.   Denna lag är tillämplig på trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer samt på därtill hörande uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren.

…”

13

Artikel 13.1 i Ley Orgánica 10/1995 del Código Penal (strafflagen) av den 23 november 1995 (BOE nr 281 av den 24 november 1995, s. 33987) har följande lydelse:

”Allvarliga brott är de som medför en allvarlig påföljd.”

14

I artikel 33 i denna lag föreskrivs följande:

”1.   Påföljderna indelas utifrån sin art och varaktighet i stränga, mindre stränga och lindriga.

2.   Följande påföljder är stränga:

…”

15

Efter tidpunkten för de faktiska omständigheterna i målet, har Ley de Enjuiciamiento Criminal (straffprocesslagen) ändrats genom Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (lag 13/2015 om ändring av straffprocesslagen i syfte att stärka de processuella garantierna och reglera tekniska utredningsåtgärder) av den 5 oktober 2015 (BOE nr 239 av den 6 oktober 2015, s. 90192).

16

Lagen trädde i kraft den 6 december 2015. Genom den omfattar straffprocesslagen numera frågor som rör tillgång till uppgifter om telefonkommunikation och elektronisk dataöverföring vilka har lagrats av leverantörer av elektroniska kommunikationstjänster.

17

I artikel 579.1 i straffprocesslagen i dess lydelse enligt lag 13/2015 föreskrivs följande:

”1.   Domstolen får meddela tillstånd till uppfångande av privat korrespondens, per post eller telegraf, inbegripet fax, ’burofax’ och internationella postanvisningar, som den misstänkte sänder eller mottar samt öppnande och analys därav, förutsatt dels att det finns indicier som tyder på att detta kommer att göra det möjligt att upptäcka eller kontrollera en omständighet eller en faktor av relevans för ärendet, dels att utredningen avser något av följande brott:

…”

18

I artikel 588 ter j i nämnda lag föreskrivs följande:

”1.   Elektroniska uppgifter som har samband med kommunikationsprocesser och som lagras av tjänsteleverantörer eller personer som möjliggör kommunikation, antingen i enlighet med lagstiftningen om lagring av uppgifter rörande elektronisk kommunikation eller på eget initiativ av kommersiella eller andra skäl, får lämnas ut för användning i förfarandet endast om domstol ger tillstånd till detta.

2.   När kännedom om sådana uppgifter befinns vara oundgänglig för en utredning, ska det till behörig domstol ges in en begäran om tillstånd att få ta del av den information som återfinns i tjänsteleverantörernas automatiserade register, inbegripet genom samkörning eller intelligent sökning efter uppgifter, varvid arten av de uppgifter som det krävs kännedom om och skälen till att dessa uppgifter lämnas ut ska anges.”

19

Hernández Sierra polisanmälde ett rån som inträffade den 16 februari 2015, varvid han blev skadad och blev bestulen på sin plånbok och mobiltelefon.

20

Den 27 februari 2015 begärde polisen att undersökningsdomaren skulle ålägga ett antal leverantörer av elektroniska kommunikationstjänster att lämna ut uppgifter om de telefonnummer som aktiverats mellan den 16 och den 27 februari 2015 med den internationella identifieringskoden för mobiltelefoner (IMEI) för den stulna telefonen samt identitetsuppgifter för innehavarna eller användarna av de telefonnummer som svarade mot de SIM-kort som aktiverats med denna kod, såsom för- och efternamn och eventuellt adress.

21

Genom beslut av den 5 maj 2015 avslog undersökningsdomaren begäran. Han fann för det första att den begärda åtgärden inte var ändamålsenlig för att identifiera förövarna och för det andra att begäran inte kunde bifallas av det skälet att uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster enligt lag 25/2007 bara får lämnas ut i ärenden som rör allvarliga brott. Enligt strafflagen medför allvarliga brott mer än fem års fängelse. Den aktuella gärningen i målet tycktes inte utgöra ett sådant brott.

22

Åklagarmyndigheten överklagade det beslutet till den hänskjutande domstolen och anförde att utlämnandet av uppgifter borde ha beviljats, med hänsyn till de faktiska omständigheterna och enligt en dom från Tribunal Supremo (Högsta domstolen, Spanien) av den 26 juli 2010, som rörde ett liknande fall.

23

Den hänskjutande domstolen har uppgett att efter att beslutet i fråga fattades, har den spanska lagstiftaren ändrat straffprocesslagen genom att anta lag 13/2015. Denna lag, som är relevant för utgången i det nationella målet, införde två nya, alternativa kriterier för hur allvarligt ett brott ska anses vara. Det första kriteriet är materiellt och grundar sig på att vissa gärningar motsvarar brottsrubriceringar av specifik och allvarlig brottslig art och är särskilt skadliga för enskilda och kollektiva rättsligt erkända intressen. Det andra kriteriet är normativt-formellt och grundar sig på den föreskrivna påföljden för det aktuella brottet. Den gräns på minst tre års fängelse som numera föreskrivs täcker dock de allra flesta brott. Den hänskjutande domstolen anser vidare att statens intresse av att bestraffa brottsliga beteenden inte kan rättfärdiga oproportionerliga ingrepp i de grundläggande rättigheter som fastställs i stadgan.

24

I detta hänseende anser den hänskjutande domstolen att det nationella målet har en anknytning till stadgan genom direktiven 95/46 och 2002/58. Den nationella lagstiftningen i fråga omfattas således enligt artikel 51.1 i stadgan av denna, trots ogiltigförklaringen av Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54) genom domen av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238).

25

I denna dom fann EU-domstolen att lagring och överföring av trafikuppgifter är särskilt allvarliga ingrepp i de rättigheter som garanteras genom artiklarna 7 och 8 i stadgan och fastställde enligt vilka kriterier det ska bedömas om proportionalitetsprincipen iakttas i ett givet fall. Allvarliga brott kan motivera att sådana uppgifter lagras och att de lämnas ut för utredningsändamål.

26

Mot denna bakgrund beslutade Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

27

Genom beslut av domstolens ordförande den 23 maj 2016 vilandeförklarades förfarandet vid EU-domstolen till dess att dom meddelades i de förenade målen Tele2 Sverige och Watson m.fl., C‑203/15 och C‑698/15 (dom av den 21 december 2016, EU:C:2016:970, nedan kallad domen Tele2 Sverige och Watson m.fl.). Efter att den domen meddelats tillfrågades den hänskjutande domstolen om den önskade vidhålla eller återkalla sin begäran om förhandsavgörande. Den hänskjutande domstolen svarade i skrivelse av den 30 januari 2017, som inkom till EU-domstolen den14 februari 2017, att den inte ansåg att den domen gjorde det möjligt att med tillräcklig säkerhet bedöma den nationella lagstiftningen i fråga i det nationella målet mot bakgrund av unionsrätten. Med anledning därav återupptogs förfarandet vid EU-domstolen den 16 februari 2017.

28

Den spanska regeringen har gjort gällande att EU-domstolen inte är behörig att besvara tolkningsfrågorna och att begäran om förhandsavgörande ska avvisas.

29

I sitt skriftliga yttrande till EU-domstolen har den spanska regeringen uttryckt den ståndpunkten – vilken Förenade kungarikets regering instämde i vid förhandlingen – att EU-domstolen inte är behörig att besvara tolkningsfrågorna, eftersom det nationella målet enligt artikel 3.2 första strecksatsen i direktiv 95/46 och artikel 1.3 i direktiv 2002/58 är uteslutet från tillämpningsområdena för dessa båda direktiv. Detta mål omfattas därför inte av unionsrätten, och stadgan är därmed enligt dess artikel 51.1 inte tillämplig.

30

Enligt den spanska regeringen fann EU-domstolen förvisso i domen Tele2 Sverige och Watson m.fl. att lagstiftning om de nationella myndigheternas tillgång till uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster omfattas av tillämpningsområdet för direktiv 2002/58. I förevarande fall är det dock fråga om en begäran om tillgång för en myndighet, enligt ett domstolsbeslut inom ramen för en brottsutredning, till personuppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster. Den spanska regeringen har av detta dragit slutsatsen att begäran om tillgång till uppgifter är ett led i de nationella myndigheternas straffrättsliga behörighet (jus puniendi) och därmed utgör en statlig verksamhet på straffrättens område, vilket omfattas av undantaget i artikel 3.2 första strecksatsen i direktiv 95/46 och artikel 1.3 i direktiv 2002/58.

31

Vid prövningen av denna invändning om rättegångshinder på grund av bristande behörighet erinrar EU-domstolen om att artikel 1.1 i direktiv 2002/58 föreskriver att direktivet harmoniserar medlemsstaternas bestämmelser om behandling av personuppgifter inom sektorn för elektronisk kommunikation, för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet och konfidentialitet. Enligt artikel 1.2 i direktiv 2002/58 ska det direktivet precisera och komplettera direktiv 95/46 för de ändamål som anges i artikel 1.1.

32

Artikel 1.3 i direktiv 2002/58 utesluter ”statens verksamhet” på vissa angivna områden från direktivets tillämpningsområde, bland annat straffrättens område liksom verksamheter som avser allmän säkerhet, försvar och statens säkerhet, inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet (Tele2 Sverige och Watson m.fl., punkt 69 och där angiven rättspraxis). De verksamheter som nämns som exempel är i samtliga fall verksamheter som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda (se analogt, beträffande artikel 3.2 första strecksatsen i direktiv 95/46, dom av den 10 juli 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punkt 38 och där angiven rättspraxis).

33

Artikel 3 i direktiv 2002/58 anger att direktivet ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom unionen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning (nedan kallade elektroniska kommunikationstjänster). Direktivet ska därför anses reglera verksamheten för leverantörer av sådana tjänster (domen Tele2 Sverige och Watson m.fl., punkt 70).

34

Vad gäller artikel 15.1 i direktiv 2002/58 har EU-domstolen slagit fast att de lagstiftningsåtgärder som avses i denna bestämmelse omfattas av direktivets tillämpningsområde, även om de rör sådan verksamhet som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda och även om de syften som dessa åtgärder ska ha väsentligen sammanfattar syftena med de verksamheter som avses i artikel 1.3 i direktivet. Artikel 15.1 i direktivet förutsätter nämligen med nödvändighet att de där avsedda nationella åtgärderna omfattas av direktivets tillämpningsområde, eftersom direktivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder endast under förutsättning att de däri angivna villkoren är uppfyllda. De lagstiftningsåtgärder som avses i artikel 15.1 i direktiv 2002/58 reglerar dessutom – för de syften som anges i bestämmelsen – verksamheten för leverantörer av elektroniska kommunikationstjänster (se, för ett liknande resonemang, domen Tele2 Sverige och Watson m.fl., punkterna 72–74).

35

EU-domstolen drog slutsatsen att artikel 15.1 jämförd med artikel 3 i direktiv 2002/58 ska tolkas så, att tillämpningsområdet för direktivet inte bara omfattar lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster en skyldighet att lagra trafikuppgifter och lokaliseringsuppgifter, utan även lagstiftning som innebär att nationella myndigheter får tillgång till uppgifter som lagrats av dessa leverantörer (se, för ett liknande resonemang, domen Tele2 Sverige och Watson m.fl., punkterna 75 och 76).

36

Skyddet för konfidentialitet vid elektronisk kommunikation och för därmed förbundna trafikuppgifter, som säkerställs i artikel 5.1 i direktiv 2002/58, gäller för åtgärder som vidtas av andra personer än användarna, oavsett om de är privatpersoner eller privata enheter eller om de är statliga enheter. Som bekräftas i skäl 21 i samma direktiv, syftar direktivet till att hindra obehörig åtkomst av kommunikation, inbegripet ”uppgifter som har samband med sådan kommunikation”, för att skydda konfidentialiteten vid elektronisk kommunikation (domen Tele2 Sverige och Watson m.fl., punkt 77).

37

Det ska tilläggas att lagstiftning som ålägger leverantörer av elektronisk kommunikation att lagra personuppgifter eller ge de behöriga nationella myndigheterna tillgång till dessa uppgifter med nödvändighet medför behandling av personuppgifter från leverantörernas sida (se, för ett liknande resonemang, domen Tele2 Sverige och Watson m.fl., punkterna 75 och 78). Sådana åtgärder, i den mån de reglerar dessa leverantörers verksamhet, kan således inte likställas med statens verksamheter enligt artikel 1.3 i direktiv 2002/58.

38

I förevarande fall grundar sig, såsom framgår av beslutet om hänskjutande, begäran i fråga i det nationella målet – genom vilken polisen begär tillstånd av domstol för att få tillgång till personuppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster – på lag 25/2007 jämförd med straffprocesslagen, i den lydelse som är tillämplig på de faktiska omständigheterna i målet, vilken reglerar myndigheternas tillgång till sådana uppgifter. Denna lagstiftning ger polisen möjlighet att kräva, efter att ha inhämtat tillstånd av domstol med stöd av denna lagstiftning, att leverantörer av elektroniska kommunikationstjänster tillhandahåller personuppgifter och att de därvidlag ”behandlar” sådana uppgifter i den mening som avses i de båda direktiven, sett till definitionen i artikel 2 b i direktiv 95/46, som är tillämplig även avseende direktiv 2002/58 enligt artikel 2 första stycket i sistnämnda direktiv. Denna lagstiftning reglerar alltså verksamheten för leverantörer av elektroniska kommunikationstjänster och omfattas följaktligen av tillämpningsområdet för direktiv 2002/58.

39

Under dessa omständigheter kan den omständigheten, som den spanska regeringen har framhållit, att begäran om tillgång till uppgifter framställs inom ramen för en brottmålsutredning inte medföra att direktiv 2002/58 inte är tillämpligt i det nationella målet, i enlighet med artikel 1.3 i detta direktiv.

40

Det saknar i detta sammanhang också betydelse att den aktuella begäran om tillgång till handlingar syftar till att – såsom framgår av den spanska regeringens skriftliga svar på en fråga från EU-domstolen och som såväl nämnda regering som allmänna åklagaren bekräftat vid förhandlingen – ge tillgång endast till de telefonnummer som svarar mot SIM-kort som aktiverats med IMEI-koden för den stulna mobiltelefonen och till identitetsuppgifter om innehavarna av dessa kort, såsom deras för- och efternamn och eventuellt adress, men däremot inte till uppgifter om kommunikation med dessa SIM-kort och om lokaliseringsuppgifter avseende den stulna mobiltelefonen.

41

Som generaladvokaten har påpekat i punkt 54 i sitt förslag till avgörande, reglerar direktiv 2002/58 enligt artiklarna 1.1 och 3 all behandling av personuppgifter i samband med tillhandahållande av elektroniska kommunikationstjänster. Enligt artikel 2 andra stycket b i detta direktiv omfattar begreppet trafikuppgifter ”alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den”.

42

Vad mer specifikt gäller identitetsuppgifter för innehavare av SIM-kort, framgår det av skäl 15 i direktiv 2002/58 att trafikuppgifterna kan inkludera namn och adress för den som sänder en kommunikation eller använder en förbindelse för att genomföra en kommunikation. Identitetsuppgifter avseende innehavare av SIM-kort kan dessutom visa sig nödvändiga för fakturering av de elektroniska kommunikationstjänster som tillhandahålls och ingår därför bland trafikuppgifter såsom de definieras i artikel 2 andra stycket b i detta direktiv. Dessa uppgifter omfattas följaktligen av tillämpningsområdet för direktiv 2002/58.

43

EU-domstolen är således behörig att pröva den tolkningsfråga som ställts av den hänskjutande domstolen.

44

Den spanska regeringen har gjort gällande att begäran om förhandsavgörande ska avvisas, eftersom den inte klart anger vilka bestämmelser i unionsrätten som domstolen ska pröva. Dessutom handlar polisens begäran inte om att avlyssna kommunikation med hjälp av SIM-kort som aktiverats med den stulna mobiltelefonens IMEI-kod, utan om att koppla samman korten med deras innehavare, vilket betyder att själva kommunikationens konfidentialitet inte påverkas. Artikel 7 i stadgan, som nämns i tolkningsfrågorna, är därför inte relevant i förevarande mål.

45

Enligt EU-domstolens fasta praxis ankommer det uteslutande på den nationella domstolen, vid vilken målet anhängiggjorts och vilken har ansvaret för det rättsliga avgörandet, att mot bakgrund av de särskilda omständigheterna i målet bedöma såväl om ett förhandsavgörande är nödvändigt för att döma i saken som relevansen av de frågor som ställs till EU-domstolen. EU-domstolen är följaktligen i princip skyldig att meddela ett förhandsavgörande när de frågor som ställts avser tolkningen av unionsrätten. En begäran från en nationell domstol kan bara avvisas då det är uppenbart att den begärda tolkningen av unionsrätten inte har något samband med de verkliga omständigheterna eller saken i det nationella målet eller då frågorna är hypotetiska eller EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som ställts till den (dom av den 10 juli 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, punkt 31 och där angiven rättspraxis).

46

I förevarande fall innehåller begäran om förhandsavgörande tillräckliga uppgifter om de faktiska och rättsliga omständigheterna för att det ska framgå vilka unionsrättsliga bestämmelser som avses i tolkningsfrågorna och för att räckvidden av dessa frågor ska vara begriplig. Det framgår särskilt av beslutet om hänskjutande att de ställda frågorna är avsedda att möjliggöra för den nationella domstolen att bedöma huruvida och i vilken utsträckning den nationella lagstiftning som polisens begäran grundar sig på har ett ändamål som kan motivera en inskränkning av de grundläggande rättigheter som slås fast i artiklarna 7 och 8 i stadgan. Enligt den hänskjutande domstolen omfattas den nationella lagstiftningen av tillämpningsområdet för direktiv 2002/58, och stadgan är således tillämplig i det nationella målet. Tolkningsfrågorna har ett direkt samband med saken i det nationella målet och kan därför inte anses vara hypotetiska.

47

Under dessa omständigheter ska frågorna upptas till sakprövning.

48

Den hänskjutande domstolen har ställt sina två frågor, vilka ska prövas gemensamt, för att få klarhet i huruvida artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7 och 8 i stadgan, ska tolkas på så sätt att myndigheters tillgång till identitetsuppgifter för innehavare av SIM-kort som aktiverats med en stulen mobiltelefon, såsom för- och efternamn och eventuellt adress, utgör ett ingrepp i dessa personers grundläggande rättigheter enligt stadgan av en sådan betydelse att denna tillgång i samband med förebyggande, utredning, upptäckt och lagföring av brott bör begränsas till kampen mot allvarlig brottslighet och, om så är fallet, enligt vilka kriterier brottets svårighetsgrad ska bedömas.

49

Det framgår av beslutet om hänskjutande, vilket generaladvokaten påpekade i punkt 38 i sitt förslag till avgörande, att begäran om förhandsavgörande inte syftar till att fastställa huruvida de personuppgifter som är aktuella i det nationella målet har lagrats av leverantörer av elektroniska kommunikationstjänster i enlighet med de villkor som anges i artikel 15.1 i direktiv 2002/58, mot bakgrund av artiklarna 7 och 8 i stadgan. Begäran avser endast, såsom framgår av punkt 46 ovan, huruvida och i vilken utsträckning det mål som eftersträvas genom den nationella lagstiftningen i fråga kan motivera att myndigheter, såsom polisen, får tillgång till sådana uppgifter. De övriga villkoren för tillgång enligt nämnda artikel 15.1 berörs inte av denna begäran om förhandsavgörande.

50

Den hänskjutande domstolen frågar sig i synnerhet vilka omständigheter den ska beakta när den bedömer om de brott för vilka polisen kan få tillstånd att i utredningssyfte få tillgång till personuppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster är tillräckligt allvarliga för att motivera det ingrepp en sådan tillgång innebär i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan, såsom de tolkats av EU-domstolen i domen av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238), och domen Tele2 Sverige och Watson m.fl.

51

Vad gäller frågan huruvida det sker ett ingrepp i dessa grundläggande rättigheter, erinrar EU-domstolen om att, som generaladvokaten har påpekat i punkterna 76 och 77 i sitt förslag till avgörande, myndigheters tillgång till sådana uppgifter utgör ett ingrepp i den grundläggande rätten till respekt för privatlivet, vilken är stadfäst i artikel 7 i stadgan, även i avsaknad av omständigheter som kan kvalificera detta ingrepp som ”allvarligt” och oavsett om upplysningarna om de berördas privatliv är av känslig art och om de berörda har fått utstå olägenheter på grund av ingreppet. Att ge tillgång till sådana uppgifter utgör även ett ingrepp i den grundläggande rätten till skydd av personuppgifter som garanteras i artikel 8 i stadgan, eftersom det utgör behandling av personuppgifter (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtal EU-Kanada) av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126 och där angiven rättspraxis).

52

Vad gäller de syften som kan motivera en nationell lagstiftning som den aktuella, som reglerar myndigheternas tillgång till uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster och därmed avviker från principen om konfidentialitet vid elektronisk kommunikation, erinrar EU-domstolen om att uppräkningen av mål i artikel 15.1 första meningen i direktiv 2002/58 är uttömmande. Tillgången till sådana uppgifter måste därför vara faktiskt och strikt begränsad till de fall då tillgång krävs för ett av dessa syften (se, för ett liknande resonemang, domen Tele2Sverige och Watson m.fl., punkterna 90 och 115).

53

Med hänsyn till syftet att förebygga, utreda, upptäcka och lagföra brott, bör det noteras att lydelsen i artikel 15.1 första meningen i direktiv 2002/58 inte begränsar detta syfte till kampen mot allvarlig brottslighet, utan hänvisar till ”brott” i allmänhet.

54

Domstolen har slagit fast att vid förebyggande, utredning, upptäckt och lagföring av brott kan endast kampen mot allvarlig brottslighet motivera att myndigheterna får tillgång till personuppgifter som lagras av leverantörer av kommunikationstjänster, uppgifter som sammantagna kan göra det möjligt att dra mycket precisa slutsatser om privatlivet för de personer vilkas uppgifter har lagrats (se, för ett liknande resonemang, domen Tele2 Sverige och Watson m.fl., punkt 99).

55

Domstolen har dock motiverat denna tolkning med att syftet med en lagstiftning måste stå i proportion till hur allvarligt ingrepp i de grundläggande rättigheterna i fråga åtgärden innebär (se, för ett liknande resonemang, domen Tele2 Sverige och Watson m.fl., punkt 115).

56

I enlighet med proportionalitetsprincipen kan ett allvarligt ingrepp i samband med förebyggande, utredning, upptäckt och lagföring av brott nämligen endast motiveras av syftet att bekämpa brottslighet, vilken då också måste kvalificeras som ”allvarlig”.

57

När det ingrepp som en sådan tillgång innebär däremot inte är allvarligt, kan det emellertid motiveras av syftet att förebygga, utreda, upptäcka och lagföra ”brott” i allmänhet.

58

Det ska därför först fastställas huruvida i förevarande fall, med hänsyn till de konkreta omständigheterna, det ingrepp i de grundläggande rättigheterna enligt artiklarna 7 och 8 i stadgan som det innebär att polisen ges tillgång till uppgifterna i fråga ska betraktas som ”allvarligt”.

59

I förevarande fall syftar begäran – där polisen inom ramen för en brottsutredning ansökt om tillstånd av domstol för att få tillgång till personuppgifter som lagras av leverantörer av elektroniska kommunikationstjänster – enbart till att identifiera innehavarna av de SIM-kort som under en tolvdagarsperiod aktiverats med den stulna mobiltelefonens IMEI-kod. Såsom har påpekats i punkt 40 ovan, avser begäran enbart tillgång till de telefonnummer som svarar mot SIM-korten samt identitetsuppgifter för innehavarna av dessa kort, såsom deras för- och efternamn och eventuellt adress. Dessa uppgifter rör däremot inte, vilket såväl den spanska regeringen som åklagarmyndigheten bekräftat vid förhandlingen, den kommunikation som ägt rum med den stulna mobiltelefonen eller telefonens geografiska position.

60

De uppgifter som begäran avser tycks alltså bara koppla samman det eller de SIM-kort som under en viss tidsperiod aktiverats genom den stulna mobiltelefonen med SIM-kortsinnehavarnas identitet. Om man inte stämmer av dessa uppgifter med uppgifterna om den kommunikation som skett med SIM-korten och med lokaliseringsuppgifterna, går det inte att av dessa uppgifter utläsa vare sig datum, tidpunkt, varaktighet eller mottagare för den kommunikation som skett med SIM-kortet eller SIM-korten i fråga eller var denna kommunikation ägt rum eller hur ofta med vissa personer under en viss tidsperiod. Dessa uppgifter gör det således inte möjligt att dra några mer precisa slutsatser om privatlivet för de personer vars uppgifter berörs.

61

Under dessa omständigheter kan tillgång till endast de uppgifter som avses med begäran i fråga inte anses som ett ”allvarligt” ingrepp i de grundläggande rättigheterna för de personer som uppgifterna avser.

62

Som framgår av punkterna 53–57 ovan, kan det ingrepp som tillgång till sådana uppgifter innebär således vara motiverat av syftet att förebygga, utreda, upptäcka och lagföra ”brott” i allmänhet, såsom nämns i artikel 15.1 första meningen i direktiv 2002/58, utan att dessa brott behöver kvalificeras som ”allvarliga”.

63

Mot bakgrund av det ovan anförda ska de hänskjutna frågorna besvaras enligt följande. Artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7 och 8 i stadgan, ska tolkas på så sätt att myndigheters tillgång till identitetsuppgifter för innehavare av SIM-kort som aktiverats med en stulen mobiltelefon, såsom för- och efternamn och eventuellt adress, utgör ett ingrepp i dessa personers grundläggande rättigheter enligt stadgan. Ingreppet är dock inte så allvarligt att denna tillgång i samband med förebyggande, utredning, upptäckt och lagföring av brott måste begränsas till kampen mot allvarlig brottslighet.

64

Eftersom förfarandet i förhållande till parterna i målet vid den nationella domstolen utgör ett led i beredningen av samma mål, ankommer det på den nationella domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas på så sätt att myndigheters tillgång till identitetsuppgifter för innehavare av SIM-kort som aktiverats med en stulen mobiltelefon, såsom för- och efternamn och eventuellt adress, utgör ett ingrepp i dessa personers grundläggande rättigheter enligt stadgan. Ingreppet är dock inte så allvarligt att denna tillgång i samband med förebyggande, utredning, upptäckt och lagföring av brott måste begränsas till kampen mot allvarlig brottslighet.