EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62017CC0623
Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 January 2020.#Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others.#Request for a preliminary ruling from the Investigatory Powers Tribunal - London.#Reference for a preliminary ruling – Processing of personal data in the electronic communications sector – Providers of electronic communications services – General and indiscriminate transmission of traffic data and location data – Safeguarding of national security – Directive 2002/58/EC – Scope – Article 1(3) and Article 3 – Confidentiality of electronic communications – Protection – Article 5 and Article 15(1) – Charter of Fundamental Rights of the European Union – Articles 7, 8 and 11 and Article 52(1) – Article 4(2) TEU.#Case C-623/17.
Förslag till avgörande av generaladvokat M. Campos Sánchez-Bordona föredraget den 15 januari 2020.
Privacy International mot Secretary of State for Foreign and Commonwealth Affairs m.fl.
Begäran om förhandsavgörande från Investigatory Powers Tribunal - London.
Begäran om förhandsavgörande – Behandling av personuppgifter inom sektorn för elektronisk kommunikation – Leverantörer av elektroniska kommunikationstjänster – Generell och odifferentierad överföring av trafikuppgifter och lokaliseringsuppgifter – Skydd av nationell säkerhet – Direktiv 2002/58/EG – Tillämpningsområde – Artiklarna 1.3 och 3 – Konfidentialitet vid elektronisk kommunikation – Skydd – Artiklarna 5 och 15.1 – Stadgan om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Artikel 4.2 FEU.
Mål C-623/17.
Förslag till avgörande av generaladvokat M. Campos Sánchez-Bordona föredraget den 15 januari 2020.
Privacy International mot Secretary of State for Foreign and Commonwealth Affairs m.fl.
Begäran om förhandsavgörande från Investigatory Powers Tribunal - London.
Begäran om förhandsavgörande – Behandling av personuppgifter inom sektorn för elektronisk kommunikation – Leverantörer av elektroniska kommunikationstjänster – Generell och odifferentierad överföring av trafikuppgifter och lokaliseringsuppgifter – Skydd av nationell säkerhet – Direktiv 2002/58/EG – Tillämpningsområde – Artiklarna 1.3 och 3 – Konfidentialitet vid elektronisk kommunikation – Skydd – Artiklarna 5 och 15.1 – Stadgan om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Artikel 4.2 FEU.
Mål C-623/17.
Court reports – general ; Court reports – general
ECLI identifier: ECLI:EU:C:2020:5
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
MANUEL CAMPOS SÁNCHEZ-BORDONA
föredraget den 15 januari 2020 ( 1 )
Mål C‑623/17
Privacy International
mot
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service Srl,
Secret Intelligence Service
(begäran om förhandsavgörande från Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket))
”Begäran om förhandsavgörande – Behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation Direktiv 2002/58/EG – Tillämpningsområde – Artikel 1.3 – Artikel 15.3 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 51 och 52.1 – Artikel 4.2 FEU – Generell och odifferentierad överföring till säkerhetstjänsterna av uppkopplingsuppgifter avseende användare av en elektronisk kommunikationstjänst”
1. |
Domstolen har de senaste åren upprätthållit en fast praxis avseende lagring av och tillgång till personuppgifter, som innefattar följande vägledande domar:
|
2. |
Dessa domar (särskilt den andra) oroar myndigheterna i vissa medlemsstater, eftersom de, enligt dessa myndigheter, medför att de fråntas ett instrument som anses nödvändigt för att upprätthålla den nationella säkerheten och för att bekämpa terrorism. Därför förespråkar vissa av dessa medlemsstater en ändring eller nyansering av denna rättspraxis. |
3. |
Denna oro har belysts av vissa av medlemsstaternas domstolar i fyra fall av begäran om förhandsavgörande, ( 7 ) beträffande vilka jag i dag föredrar mitt förslag till avgörande. |
4. |
De fyra målen rör framför allt frågan om tillämpningen av direktiv 2002/58 på verksamhet rörande nationell säkerhet och bekämpning av terrorism. Om direktiv 2002/58 ansågs vara tillämpligt i det sammanhanget, skulle det därefter behöva prövas i vilken utsträckning medlemsstaterna får inskränka de rättigheter avseende skydd för privatlivet som det skyddar. Slutligen måste det undersökas i vilken mån de olika nationella lagstiftningarna (den brittiska, ( 8 ) den belgiska ( 9 ) och den franska ( 10 )) på detta område är förenliga med unionsrätten, såsom EU-domstolen har tolkat den. |
I. Tillämpliga bestämmelser
A. Unionsrätt
5. |
Jag hänvisar till motsvarande punkt i mitt förslag till avgörande i målen C‑511/18 och C‑512/18. |
B. Nationell rätt (som är tillämplig i det nu aktuella målet)
1. Telecommunications Act 1984 ( 11 )
6. |
Enligt section 94 i lagen kan en minister ge en operatör som driver ett allmänt nät för elektronisk kommunikation de generella eller särskilda anvisningar som ministern anser vara nödvändiga med hänsyn till nationell säkerhet eller till relationerna med ett lands regering eller territorium utanför Förenade kungariket. |
2. Data Retention and Investigatory Powers Act 2014 ( 12 )
7. |
I section 1 i den lagen föreskrivs följande: ”(1) En minister kan förelägga en offentlig teleoperatör att lagra uppgifter, om ministern anser att detta är nödvändigt och proportionerligt för ett eller flera av de syften som anges i leden a–h i section 22.2 i Regulation of Investigatory Powers Act 2000 [(2000 års lag om utredningsbefogenheter) (nedan kallad Ripa)]. (2) Ett föreläggande att lagra uppgifter kan
(3) En minister kan, genom förordning, anta fler bestämmelser avseende lagring av relevanta uppgifter om kommunikationer. (4) Dessa bestämmelser kan särskilt avse
… (5) Den längsta period som gäller enligt punkt 4 b får inte överskrida 12 månader från det datum som anges i samband med de uppgifter som omfattas av de bestämmelser som avses i punkt 3. (6) En offentlig teleoperatör som lagrar relevanta uppgifter avseende kommunikationer med tillämpning av denna artikel får inte sprida dessa uppgifter såvida inte
(7) En minister får, genom förordningar, anta bestämmelser avseende varje bestämmelse som antagits (eller kan komma att antas) med stöd av punkt 4 d–g eller punkt 6, avseende uppgifterna avseende kommunikationer som lagrats för telekommunikationstjänster med tillämpning av en uppförandekod med stöd av section 102 i Anti-terrorism, Crime and Security Act 2001 [2001 års lag om terrorism-bekämpning, kriminalitet och säkerhet]”. |
3. RIPA
8. |
Section 21 i Ripa har följande lydelse: ”… (4) I detta kapitel avses med ’uppgifter avseende kommunikation’ något av följande begrepp:
… (6) I detta avsnitt avser begreppet ’uppgift avseende trafik’ i samband med en kommunikation följande:
…” |
9. |
I section 22 föreskrivs följande: ”(1) Denna artikel ska tillämpas när en person som är ansvarig enligt detta kapitel anser att det, av de skäl som anges i punkt 2 i denna artikel, är nödvändigt att erhålla en kommunikationsuppgift. (2) Det är av skäl som omfattas av denna punkt nödvändigt att erhålla kommunikationsuppgifterna om dessa är nödvändiga
(4) Om inget annat följer av punkt 5, får den ansvariga personen, när denne tror att en teleoperatör eller en postoperatör förfogar över uppgifter, skulle kunna förfoga över dem eller skulle kunna ha möjlighet att förfoga över dem, kräva att teleoperatören eller postoperatören
(5) Den ansvariga personen får endast ge tillstånd enligt punkt 3 eller framställa en begäran enligt punkt 4 om denne anser att inhämtningen av uppgifterna i fråga genom ett handlande som är godkänt eller som fordras enligt ett tillstånd eller en begäran är proportionerlig mot det mål som eftersträvas med inhämtning av uppgifterna.” |
10. |
Enligt section 65 i Ripa kan talan väckas vid Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) om det finns anledning att anta att uppgifterna har inhämtats på ett otillbörligt sätt. |
II. Bakgrund och tolkningsfrågorna
11. |
Enligt den hänskjutande domstolen rör det nationella målet United Kingdom Security and Intelligence Agencies (Förenade kungarikets säkerhets- och underrättelseorgan) inhämtning och användning av mycket stora mängder uppgifter om kommunikation [så kallade Bulk Communications Data (BCD), nedan kallade mängddata]. |
12. |
Sådana uppgifter omfattar ”vem/när/var/hur och med vem” när det gäller kommunikation via både telefon och internet, inbegripet lokaliseringsuppgifter om mobiltelefoner och fasta telefoner från vilka samtal rings eller tas emot samt om datorer som används för uppkoppling mot internet. Mängddata innefattar inte innehållet i nyss nämnda kommunikationer, och tillgång till innehållet kräver domstolsbeslut. |
13. |
Sökanden i det nationella målet (Privacy International, som är en icke statlig organisation för mänskliga rättigheter) har väckt talan vid den hänskjutande domstolen och gjort gällande att säkerhets- och underrättelseorganens inhämtning och användning av mängddata åsidosätter rätten till skydd för privatlivet enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen) och strider mot unionsrätten. |
14. |
Svarandena ( 13 ) har gjort gällande att deras användning av deras befogenheter är lagenlig och nödvändig bland annat för att skydda den nationella säkerheten. |
15. |
Enligt upplysningarna i beslutet om hänskjutande anges i de instruktioner som ministern har utfärdat enligt section 94 i 1984 års lag att säkerhets- och underrättelseorganen ska ta emot mängddata genom tillhandahållarna av de elektroniska kommunikationsnäten. |
16. |
Dessa uppgifter omfattar trafik- och lokaliseringsinformation, liksom information om social, kommersiell och ekonomisk verksamhet samt användarnas kommunikationer och resor. När säkerhets- och underrättelseorganen förfogar över uppgifterna lagrar de uppgifterna på ett säkert sätt och använder tekniker (exempelvis filtrering och aggregering) som är icke-riktade, det vill säga som inte är riktade mot specifika, kända mål. |
17. |
Den hänskjutande domstolen anser att det är styrkt att dessa tekniker är väsentliga för säkerhets- och underrättelseorganens arbete vid bekämpningen av allvarliga hot mot den allmänna säkerheten, särskilt terrorism, spionage och kärnvapenspridning. Möjligheten att kunna inhämta och använda uppgifterna, bland annat för säkerhets- och underrättelseorganen, är av väsentlig betydelse för att skydda Förenade kungarikets säkerhet. |
18. |
Enligt den hänskjutande domstolen överensstämmer de omtvistade åtgärderna med Förenade kungarikets lagstiftning och med artikel 8 i Europakonventionen. Den anser emellertid, mot bakgrund av domen Tele2 Sverige och Watson, att det är tveksamt huruvida de är förenliga med unionsrätten. |
19. |
Mot denna bakgrund har den hänskjutande domstolen hänskjutit följande frågor till EU-domstolen för förhandsavgörande:
|
20. |
Den hänskjutande domstolen har angett att dessa frågor ställs mot följande bakgrund:
|
III. Förfarandet vid EU-domstolen
21. |
Begäran om förhandsavgörande inkom till domstolen den 31 oktober 2017. |
22. |
Skriftliga yttranden har inkommit från den belgiska, den cypriotiska, den estniska, den franska, den irländska, den lettiska, den nederländska, den norska, den polska, den portugisiska, den spanska, den svenska, den tjeckiska, den tyska och den ungerska regeringen samt Förenade kungarikets regering och kommissionen. |
23. |
Den 9 september 2019 hölls en förhandling, varvid målen C‑511/18, C‑512/18, och C‑520/18 behandlades gemensamt och vid vilken parterna i de fyra målen om förhandsavgörande, de ovannämnda regeringarna samt kommissionen och Europeiska datatillsynsmannen närvarade. |
IV. Bedömning
A. Tillämpningsområdet för direktiv 2002/58 och undantaget om nationell säkerhet (den första tolkningsfrågan)
24. |
I det förslag till avgörande som jag föredrar i dag i målen C‑511/18 och C‑512/18 anger jag skälen till varför direktiv 2002/85, enligt min uppfattning, ”i princip är tillämpligt när tillhandahållarna av elektroniska kommunikationsnät har en lagstadgad skyldighet att lagra sina abonnenters uppgifter och att ge myndigheterna tillgång till dessa. Detta resonemang påverkas inte av att skyldigheterna åläggs tillhandahållarna av elektroniska kommunikationsnät av skäl som är att hänföra till den nationella säkerheten”. ( 15 ) |
25. |
I utvecklingen av mina argument nämner jag betydelsen av domstolens dom av den 30 maj 2006, Europaparlamentet/rådet och kommissionen, ( 16 ) och domen Tele2 Sverige och Watson, och förespråkar en systematisk tolkning av båda dessa domar. ( 17 ) |
26. |
I nämnda förslag till avgörande slår jag fast att direktiv 2002/58 är tillämpligt och prövar därefter det däri angivna undantaget om nationell säkerhet och konsekvenserna av artikel 4.2 FEU. ( 18 ) |
27. |
Utan att det påverkar den redogörelse som nu följer, hänvisar jag till vad jag anfört i det förslaget till avgörande och i mitt förslag till avgörande i mål C‑520/18. |
1. Tillämpningen av direktiv 2002/58 i det nu aktuella målet
28. |
Enligt de bestämmelser som är aktuella i detta mål har tillhandahållare av elektroniska kommunikationsnät en skyldighet att inte endast lagra, utan även att behandla de uppgifter som de förfogar över på grund av den tjänst som de erbjuder användare av allmänna kommunikationsnät inom unionen. ( 19 ) |
29. |
Det är nämligen obligatoriskt för dessa operatörer att översända dessa uppgifter till säkerhets- och underrättelseorganen. Frågan som uppkommer i förevarande fall är huruvida artikel 15.1 i direktiv 2002/58 tillåter att detta översändande, med hänsyn till dess syfte, utan vidare undantas från unionsrättens tillämpningsområde. |
30. |
Jag anser inte det. Lagringen av nämnda uppgifter och det senare översändandet av dem kan klassificeras som behandling av personuppgifter som genomförs av leverantörer av elektroniska kommunikationstjänster, vilket innebär att sådan lagring och behandling på ett naturligt sätt omfattas av tillämpningsområdet för direktiv 2002/58. |
31. |
Hänsyn till den nationella säkerheten kan inte, såsom den hänskjutande domstolen har gjort gällande, anses ha företräde framför detta konstaterande, med resultatet att den omtvistade skyldigheten skulle falla utanför unionsrättens tillämpningsområde. Som jag redan anfört anser jag att tillhandahållare av elektroniska kommunikationsnät har en skyldighet att behandla uppgifter i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät inom unionen, vilket just är tillämpningsområdet för direktiv 2002/58, enligt dess artikel 3.1. |
32. |
Givet denna förutsättning rör sig diskussionen inte längre om säkerhets- och underrättelsetjänsternas verksamheter (vilka, som jag har nämnt ovan, skulle kunna falla utanför unionsrättens tillämpningsområde om de inte påverkade operatörer inom elektronisk kommunikation), utan om lagring och senare överföring av de uppgifter som dessa operatörer förfogar över. Ur detta perspektiv är det de grundläggande rättigheter som unionen garanterar som står på spel. |
33. |
Nyckelfaktorn för att avgöra denna diskussion är, än en gång, skyldigheten avseende en generell och odifferentierad lagring av uppgifter som myndigheterna får tillgång till. |
2. Hänvisningen till nationell säkerhet
34. |
Eftersom den hänskjutande domstolen i detta mål särskilt har betonat säkerhets- och underrättelsetjänsternas verksamheter som rör nationell säkerhet, tillåter jag mig att återge några av punkterna som behandlar denna fråga i mitt förslag till avgörande som jag också föredrar denna dag i målen C‑511/18 och C‑512/18:
…
…
…
|
3. Konsekvenserna av en tillämpning av domen Tele2 Sverige och Watson i förevarande mål
35. |
Den hänskjutande domstolen har fokuserat på den tolkning som EU-domstolen gjorde i domen Tele2 Sverige och Watson och angett de svårigheter som den anser att det skulle medföra att tillämpa den domen i förevarande mål. |
36. |
I domen Tele2 Sverige och Watson angav EU-domstolen nämligen de villkor som en nationell lagstiftning om införande av en skyldighet att lagra trafik- och lokaliseringsuppgifter, för att myndigheterna senare ska kunna få tillgång till dessa, ska uppfylla. |
37. |
Liksom i målen C‑511/18 och C‑512/18, och av liknande skäl, anser jag att den nationella lagstiftning som den nu aktuella begäran om förhandsavgörande rör inte uppfyller de villkor som fastställs i domen Tele2 Sverige och Watson, eftersom den innebär en generell och odifferentierad lagring av personuppgifter som ger en detaljerad redogörelse för de berörda personernas liv, under en omfattande tidsperiod. |
38. |
I förslaget till avgörande i dessa båda mål undersöker jag huruvida det skulle vara möjligt att nyansera eller komplettera den rättspraxis som följer av domen Tele2 Sverige och Watson, med hänsyn till dess konsekvenser för bekämpning av terrorism eller för statens skydd mot andra liknande hot mot den nationella säkerheten. |
39. |
Jag tillåter mig även här att återge några av punkterna i nämnda förslag till avgörande, i vilket jag i huvudsak betonar att även om det går att nyansera nämnda rättspraxis ska den i huvudsak bekräftas:
|
B. Den andra tolkningsfrågan
40. |
Den hänskjutande domstolen har ställt den andra tolkningsfrågan för det fall den första tolkningsfrågan besvaras jakande. Om detta är fallet önskar den hänskjutande domstolen få klarhet i vilka ”andra krav utöver de som följer av Europakonventionen” och dem som följer av domen Tele2 Sverige och Watson som bör uppställas. |
41. |
Den hänskjutande domstolen har i detta avseende anfört att en tillämpning av de villkor som anges i domen Tele2 Sverige och Watson ”skulle omintetgöra de åtgärder som säkerhets- och underrättelseorganen vidtagit för att skydda nationell säkerhet”. |
42. |
Eftersom det svar som jag föreslår på den första tolkningsfrågan är nekande, är det inte nödvändigt att behandla den andra tolkningsfrågan. Denna sistnämnda fråga förutsätter, såsom den hänskjutande domstolen har understrukit, att ”inhämtning av mängddata och tekniker för automatiserad behandling” av personuppgifter för alla användare i Förenade kungariket, som leverantörer av elektroniska kommunikationstjänster skulle vara skyldiga att överföra till säkerhets- och underrättelsetjänsterna, förklaras vara förenlig med unionsrätten. |
43. |
Om domstolen skulle anse att det är nödvändigt att besvara den andra tolkningsfrågan, anser jag att den bör bekräfta de ovannämnda villkoren i domen Tele2 Sverige och Watson med avseende på följande punkter:
|
44. |
Det ska erinras om att det skulle räcka att bekräfta dessa tvingande krav av de skäl som jag har angett i mina förslag till avgörande i målen C‑511/18 och C‑512/18 samt i mål C‑520/18, utan att det behöver fastställas några ”andra” krav, i den mening som den hänskjutande domstolen har angett. |
V. Förslag till avgörande
45. |
Mot denna bakgrund föreslår jag att domstolen ska besvara de frågor som ställts av Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) enligt följande: Artikel 4 FEU och artikel 1.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) ska tolkas på så sätt att de utgör hinder för en nationell lagstiftning som föreskriver en skyldighet för leverantörer av elektroniska kommunikationstjänster att till en medlemsstats säkerhets- och underrättelsetjänster överföra ”mängddata” som innebär en generell och odifferentierad insamling av sådana data på förhand. Alternativt: En medlemsstats säkerhets- och underrättelsetjänsters tillgång till uppgifter som överförts av tillhandahållare av elektroniska kommunikationsnät ska uppfylla de villkor som fastställs i domen av den 21 december 2016, Tele2 Sverige och Watson (C‑203/15 och C‑698/15, EU:C:2016:970). |
( 1 ) Originalspråk: spanska.
( 2 ) Förenade målen C‑293/12 och C‑594/12, nedan kallad ”domen Digital Rights, EU:C:2014:238.
( 3 ) Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54).
( 4 ) I de förenade målen C‑203/15 och C‑698/15, nedan kallad ”domen Tele2 Sverige och Watson, EU:C:2016:970.
( 5 ) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37).
( 6 ) Mål C‑207/16, medan kallad ”domen Ministerio FiscalEU:C:2018:788.
( 7 ) Utöver förevarande mål rör det sig om målen C‑511/18 och C‑512/18, La Quadrature du Net m.fl., och C‑520/18, Ordre des barreaux francophones et germanophone m.fl.
( 8 ) Domen Privacy International, C‑623/17.
( 9 ) Domen Ordre des barreaux francophones et germanophone m.fl., C‑520/18.
( 10 ) Domen La Quadrature du Net m.fl., C‑511/18 och C‑512/18.
( 11 ) 1984 års lag om telekommunikation (nedan kallad 1984 års lag).
( 12 ) 2014 års lag om datalagring och utredningsbefogenheter (nedan kallad Dripa).
( 13 ) Secretary of State for Foreign and Commonwealth Affairs (Minister för Utrikes- och Samväldesfrågor), Secretary of State for the Home Department (inrikesministern) och Förenade kungarikets tre säkerhets- och underrättelseorgan, nämligen Government Communications Headquarters (regeringens kommunikationsorgan, GCHQ), Security Service (säkerhetstjänsten, MI5), och Secret Intelligence Service (underrättelsetjänsten, MI6).
( 14 ) Det vill säga domen Tele2 Sverige och Watson.
( 15 ) Förslag till avgörande i målen C‑511/18 och C‑512/18, punkt 42.
( 16 ) Målen C‑317/04 och C‑318/04, EU:C:2006:346.
( 17 ) Förslag till avgörande i målen C‑511/18 och C‑512/18, punkterna 44 och 76.
( 18 ) Idem, punkterna 77–90.
( 19 ) Enligt artikel 2 i direktiv 2002/58 ska definitionerna i direktiv 95/46 gälla i detta direktiv. Enligt artikel 2 b i direktiv 95/46 ska med ”behandling av personuppgifter (behandling)” avses ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring” (min kursivering).