62017CC0623

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 62017CC0623 - EN

Document 62017CC0623

Help

Förslag till avgörande av generaladvokat M. Campos Sánchez-Bordona föredraget den 15 januari 2020.
Privacy International mot Secretary of State for Foreign and Commonwealth Affairs m.fl.
Begäran om förhandsavgörande från Investigatory Powers Tribunal - London.
Begäran om förhandsavgörande – Behandling av personuppgifter inom sektorn för elektronisk kommunikation – Leverantörer av elektroniska kommunikationstjänster – Generell och odifferentierad överföring av trafikuppgifter och lokaliseringsuppgifter – Skydd av nationell säkerhet – Direktiv 2002/58/EG – Tillämpningsområde – Artiklarna 1.3 och 3 – Konfidentialitet vid elektronisk kommunikation – Skydd – Artiklarna 5 och 15.1 – Stadgan om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Artikel 4.2 FEU.
Mål C-623/17.

Court reports – general ; Court reports – general

ECLI identifier: ECLI:EU:C:2020:5

Language of the case

HTML

PDF

Document published in the digital reports of cases. They have official status.

FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT

MANUEL CAMPOS SÁNCHEZ-BORDONA

föredraget den 15 januari 2020 ( 1 )

Mål C‑623/17

Privacy International

mot

Secretary of State for Foreign and Commonwealth Affairs,

Secretary of State for the Home Department,

Government Communications Headquarters,

Security Service Srl,

Secret Intelligence Service

(begäran om förhandsavgörande från Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket))

”Begäran om förhandsavgörande – Behandling av personuppgifter och skydd för privatlivet inom sektorn för elektronisk kommunikation Direktiv 2002/58/EG – Tillämpningsområde – Artikel 1.3 – Artikel 15.3 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 51 och 52.1 – Artikel 4.2 FEU – Generell och odifferentierad överföring till säkerhetstjänsterna av uppkopplingsuppgifter avseende användare av en elektronisk kommunikationstjänst”

Domstolen har de senaste åren upprätthållit en fast praxis avseende lagring av och tillgång till personuppgifter, som innefattar följande vägledande domar:

–

Dom av den 8 april 2014, Digital Rights Ireland m.fl., ( 2 ) där domstolen slog fast att direktiv 2006/24/EG ( 3 ) var ogiltigt på grund av att det tillät ett oproportionerligt ingrepp i de rättigheter som föreskrivs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

–	Dom av den 21 december 2016, Tele2 Sverige och Watson m.fl., ( 4 ) där domstolen tolkade artikel 15.1 i direktiv 2002/58/EG. ( 5 )

–	Dom av den 2 oktober 2018, Ministerio Fiscal, ( 6 ) där domstolen bekräftade tolkningen av nyss nämnda bestämmelse i direktiv 2002/58.

Dessa domar (särskilt den andra) oroar myndigheterna i vissa medlemsstater, eftersom de, enligt dessa myndigheter, medför att de fråntas ett instrument som anses nödvändigt för att upprätthålla den nationella säkerheten och för att bekämpa terrorism. Därför förespråkar vissa av dessa medlemsstater en ändring eller nyansering av denna rättspraxis.

3.	Denna oro har belysts av vissa av medlemsstaternas domstolar i fyra fall av begäran om förhandsavgörande, ( 7 ) beträffande vilka jag i dag föredrar mitt förslag till avgörande.

De fyra målen rör framför allt frågan om tillämpningen av direktiv 2002/58 på verksamhet rörande nationell säkerhet och bekämpning av terrorism. Om direktiv 2002/58 ansågs vara tillämpligt i det sammanhanget, skulle det därefter behöva prövas i vilken utsträckning medlemsstaterna får inskränka de rättigheter avseende skydd för privatlivet som det skyddar. Slutligen måste det undersökas i vilken mån de olika nationella lagstiftningarna (den brittiska, ( 8 ) den belgiska ( 9 ) och den franska ( 10 )) på detta område är förenliga med unionsrätten, såsom EU-domstolen har tolkat den.

I. Tillämpliga bestämmelser

A. Unionsrätt

5.	Jag hänvisar till motsvarande punkt i mitt förslag till avgörande i målen C‑511/18 och C‑512/18.

B. Nationell rätt (som är tillämplig i det nu aktuella målet)

1. Telecommunications Act 1984 ( 11 )

Enligt section 94 i lagen kan en minister ge en operatör som driver ett allmänt nät för elektronisk kommunikation de generella eller särskilda anvisningar som ministern anser vara nödvändiga med hänsyn till nationell säkerhet eller till relationerna med ett lands regering eller territorium utanför Förenade kungariket.

2. Data Retention and Investigatory Powers Act 2014 ( 12 )

I section 1 i den lagen föreskrivs följande:

”(1) En minister kan förelägga en offentlig teleoperatör att lagra uppgifter, om ministern anser att detta är nödvändigt och proportionerligt för ett eller flera av de syften som anges i leden a–h i section 22.2 i Regulation of Investigatory Powers Act 2000 [(2000 års lag om utredningsbefogenheter) (nedan kallad Ripa)].

(2) Ett föreläggande att lagra uppgifter kan

(a)	riktas mot en viss operatör eller alla slags operatörer,

(b)	innebära en skyldighet att lagra alla uppgifter eller alla kategorier av uppgifter,

c)	ange den period eller de perioder under vilken eller vilka uppgifterna ska lagras,

(d)	innehålla andra krav eller begränsningar avseende lagringen av uppgifter,

(e)	innehålla olika föreskrifter för olika syften,

(f)	avse uppgifter som finns eller inte finns det datum då föreläggandet att lagra uppgifter antas eller träder i kraft.

(3) En minister kan, genom förordning, anta fler bestämmelser avseende lagring av relevanta uppgifter om kommunikationer.

(4) Dessa bestämmelser kan särskilt avse

(a)	de krav som gäller för antagandet av föreläggandet att lagra uppgifter,

(b)	den längsta period under vilken uppgifterna får lagras enligt ett föreläggande att lagra uppgifter,

(c)	innehåll, antagande, ikraftträdande, omprövning, ändring eller återkallande av ett föreläggande att lagra uppgifter,

(d)	integritet, säkerhet eller skydd för de uppgifter som lagras med tillämpning av denna artikel, tillgång till uppgifterna, samt spridning eller förstöring av dessa,

(e)	efterlevnaden av de relevanta kraven eller begränsningarna eller kontroll av överensstämmelse med dessa,

(f)	en uppförandekod avseende de relevanta kraven, begränsningarna eller befogenheterna,

(g)	återbetalning från ministern (eventuellt underkastad villkor) av utgifter som offentliga teleoperatörer haft för att följa relevanta krav eller begränsningar,

…

(5) Den längsta period som gäller enligt punkt 4 b får inte överskrida 12 månader från det datum som anges i samband med de uppgifter som omfattas av de bestämmelser som avses i punkt 3.

(6) En offentlig teleoperatör som lagrar relevanta uppgifter avseende kommunikationer med tillämpning av denna artikel får inte sprida dessa uppgifter såvida inte

(a)

de sprids i enlighet med

(i)	kapitel 2 i del 1 i [RIPA] eller

(ii)	ett rättsligt avgörande eller annat tillstånd eller mandat som utfärdats av domstol, eller

(b)	detta föreskrivits i de bestämmelser som det hänförs till i punkt 3.

(7) En minister får, genom förordningar, anta bestämmelser avseende varje bestämmelse som antagits (eller kan komma att antas) med stöd av punkt 4 d–g eller punkt 6, avseende uppgifterna avseende kommunikationer som lagrats för telekommunikationstjänster med tillämpning av en uppförandekod med stöd av section 102 i Anti-terrorism, Crime and Security Act 2001 [2001 års lag om terrorism-bekämpning, kriminalitet och säkerhet]”.

3. RIPA

Section 21 i Ripa har följande lydelse:

”…

(4) I detta kapitel avses med ’uppgifter avseende kommunikation’ något av följande begrepp:

(a)	varje uppgift avseende den trafik som omfattas av, eller hänger samman med, en kommunikation (från avsändaren eller på annat sätt) med avseende på någon posttjänst eller något telekommunikationssystem varigenom den överförs eller kan överföras,

(b)

varje upplysning som inte omfattar något innehåll från en kommunikation [med undantag för varje upplysning som omfattas av led (a)] och som avser en persons användning

(i)	av någon post- eller kommunikationstjänst, eller

(ii)	någon del av ett telekommunikationssystem i samband med tillhandahållande till en person eller en persons användande av en telekommunikationstjänst,

(c)	varje upplysning som inte omfattas av leden (a) eller (b) som innehas eller erhålls, i samband med de personer tjänsten riktar sig till, av en person som tillhandahåller en posttjänst eller en telekommunikationstjänst.

…

(6) I detta avsnitt avser begreppet ’uppgift avseende trafik’ i samband med en kommunikation följande:

(a)	varje uppgift som identifierar eller kan identifiera en person, apparat eller plats mot vilken, eller från vilken, en kommunikation överförs eller kan överföras,

(b)	varje uppgift som identifierar eller väljer ut, eller kan identifiera eller välja ut den utrustning genom vilken en kommunikation överförs eller kan överföras,

(c)	varje uppgift som omfattar signaler för manövrering av den apparat som i ett kommunikationssystem används för överföring av varje kommunikation, och

(d)	varje uppgift som identifierar de uppgifter som omfattas av eller fogas till en särskild kommunikation eller andra uppgifter som omfattas av eller fogas till en viss kommunikation.

…”

I section 22 föreskrivs följande:

”(1) Denna artikel ska tillämpas när en person som är ansvarig enligt detta kapitel anser att det, av de skäl som anges i punkt 2 i denna artikel, är nödvändigt att erhålla en kommunikationsuppgift.

(2) Det är av skäl som omfattas av denna punkt nödvändigt att erhålla kommunikationsuppgifterna om dessa är nödvändiga

(a)	med hänsyn till den nationella säkerheten,

(b)	för förebyggande eller upptäckande av brott eller för förebyggande av störningar av den allmänna ordningen,

(c)	med hänsyn till Förenade kungarikets ekonomiska välstånd under förutsättning att dessa hänsyn också är relevanta för den nationella säkerheten,

(d)	med hänsyn till den allmänna säkerheten,

(e)	med hänsyn till skyddet för folkhälsan,

(f)	för bedömning av påförande eller uppbörd av skatt, tull, royalty eller andra avgifter, bidrag eller pålagor som ska betalas till den offentliga förvaltningen,

(g)	i förebyggande syfte, i brådskande fall, i händelse av en fysisk persons bortgång, skador eller fysisk eller psykisk sjukdom,

(h)	i annat syfte [som inte omfattas av punkterna a–g] som fastställs genom ett annat uppdrag av ministern med stöd av section 22.2 punkt h i [Dripa].

(4) Om inget annat följer av punkt 5, får den ansvariga personen, när denne tror att en teleoperatör eller en postoperatör förfogar över uppgifter, skulle kunna förfoga över dem eller skulle kunna ha möjlighet att förfoga över dem, kräva att teleoperatören eller postoperatören

(a)	inhämtar uppgifterna, om operatören inte förfogar över dem, och

(b)	under alla omständigheter överför alla de uppgifter som operatören förfogade över eller har inhämtat sedan dess.

(5) Den ansvariga personen får endast ge tillstånd enligt punkt 3 eller framställa en begäran enligt punkt 4 om denne anser att inhämtningen av uppgifterna i fråga genom ett handlande som är godkänt eller som fordras enligt ett tillstånd eller en begäran är proportionerlig mot det mål som eftersträvas med inhämtning av uppgifterna.”

10.	Enligt section 65 i Ripa kan talan väckas vid Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) om det finns anledning att anta att uppgifterna har inhämtats på ett otillbörligt sätt.

II. Bakgrund och tolkningsfrågorna

11.

Enligt den hänskjutande domstolen rör det nationella målet United Kingdom Security and Intelligence Agencies (Förenade kungarikets säkerhets- och underrättelseorgan) inhämtning och användning av mycket stora mängder uppgifter om kommunikation [så kallade Bulk Communications Data (BCD), nedan kallade mängddata].

12.

Sådana uppgifter omfattar ”vem/när/var/hur och med vem” när det gäller kommunikation via både telefon och internet, inbegripet lokaliseringsuppgifter om mobiltelefoner och fasta telefoner från vilka samtal rings eller tas emot samt om datorer som används för uppkoppling mot internet. Mängddata innefattar inte innehållet i nyss nämnda kommunikationer, och tillgång till innehållet kräver domstolsbeslut.

13.

Sökanden i det nationella målet (Privacy International, som är en icke statlig organisation för mänskliga rättigheter) har väckt talan vid den hänskjutande domstolen och gjort gällande att säkerhets- och underrättelseorganens inhämtning och användning av mängddata åsidosätter rätten till skydd för privatlivet enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad Europakonventionen) och strider mot unionsrätten.

14.	Svarandena ( 13 ) har gjort gällande att deras användning av deras befogenheter är lagenlig och nödvändig bland annat för att skydda den nationella säkerheten.

15.	Enligt upplysningarna i beslutet om hänskjutande anges i de instruktioner som ministern har utfärdat enligt section 94 i 1984 års lag att säkerhets- och underrättelseorganen ska ta emot mängddata genom tillhandahållarna av de elektroniska kommunikationsnäten.

16.

Dessa uppgifter omfattar trafik- och lokaliseringsinformation, liksom information om social, kommersiell och ekonomisk verksamhet samt användarnas kommunikationer och resor. När säkerhets- och underrättelseorganen förfogar över uppgifterna lagrar de uppgifterna på ett säkert sätt och använder tekniker (exempelvis filtrering och aggregering) som är icke-riktade, det vill säga som inte är riktade mot specifika, kända mål.

17.

Den hänskjutande domstolen anser att det är styrkt att dessa tekniker är väsentliga för säkerhets- och underrättelseorganens arbete vid bekämpningen av allvarliga hot mot den allmänna säkerheten, särskilt terrorism, spionage och kärnvapenspridning. Möjligheten att kunna inhämta och använda uppgifterna, bland annat för säkerhets- och underrättelseorganen, är av väsentlig betydelse för att skydda Förenade kungarikets säkerhet.

18.	Enligt den hänskjutande domstolen överensstämmer de omtvistade åtgärderna med Förenade kungarikets lagstiftning och med artikel 8 i Europakonventionen. Den anser emellertid, mot bakgrund av domen Tele2 Sverige och Watson, att det är tveksamt huruvida de är förenliga med unionsrätten.

19.

Mot denna bakgrund har den hänskjutande domstolen hänskjutit följande frågor till EU-domstolen för förhandsavgörande:

”1)

Med beaktande av artikel 4 FEU och artikel 1.3 i direktiv 2002/58 …, ska ett krav i anvisningar som en minister lämnar till en tillhandahållare av ett elektroniskt kommunikationsnät och som innebär att tillhandahållaren måste lämna ut mängddata till en medlemsstats säkerhets- och underrättelseorgan anses omfattas av tillämpningsområdet för unionsrätten och [direktiv 2002/58]?

Om fråga 1 ska besvaras jakande, är något av kraven som följer av Tele2-domen[ ( 14 )] – eller några andra krav utöver de som följer av Europakonventionen – tillämpliga på sådana anvisningar som lämnas av en minister? Om så är fallet, hur och i vilken mån är då dessa krav tillämpliga, med beaktande av att det är absolut nödvändigt för säkerhets- och underrättelseorganen att använda inhämtning av mängddata och tekniker för automatiserad behandling för att skydda den nationella säkerheten och med beaktande av den utsträckning i vilken åläggandet av sådana krav allvarligt kan inskränka nyss nämnda möjligheter för dessa organ, om de i övrigt är förenliga med Europakonventionen?”

20.

Den hänskjutande domstolen har angett att dessa frågor ställs mot följande bakgrund:

”a)

[Säkerhets- och underrättelseorganens] möjligheter att använda [mycket stora mängder uppgifter om kommunikation (mängddata)] som lämnas ut till dem är nödvändiga för skyddet av Förenade kungarikets nationella säkerhet, vilket omfattar verksamhet inom kontraterrorism, kontraspionage och icke‑spridning av kärnvapen.

Ett centralt inslag i säkerhets- och underrättelseorganens användning av [dessa uppgifter] är att upptäcka tidigare okända hot mot nationell säkerhet genom olika tekniker för icke-riktad massinsamling av uppgifter, vilka är beroende av att [dessa uppgifter] samlas på ett och samma ställe. Den huvudsakliga nyttan med nämnda tekniker består i att de gör det möjligt att snabbt kunna identifiera och nå ökad förståelse om spaningsobjekt samt i att de ger en grund för åtgärder vid ett omedelbart hot.

c)	En tillhandahållare av ett elektroniskt kommunikationsnät är inte därefter skyldig att lagra mängddata (längre än den tid som följer av deras ordinarie verksamhetskrav), vilka lagras enbart av staten (säkerhets- och underrättelseorganen).

d)	Den nationella domstolen har funnit (med vissa reservationer) att de garantier som omgärdar säkerhets- och underrättelseorganens användning av [dessa uppgifter] är förenliga med kraven i Europakonventionen.

Den nationella domstolen har funnit att åläggandet av de krav som anges i domen [Tele2 Sverige och Watson], om de var tillämpliga, skulle omintetgöra de åtgärder som säkerhets- och underrättelseorganen vidtagit för att skydda nationell säkerhet, och därigenom äventyra Förenade kungarikets nationella säkerhet.”

III. Förfarandet vid EU-domstolen

21.	Begäran om förhandsavgörande inkom till domstolen den 31 oktober 2017.

22.

Skriftliga yttranden har inkommit från den belgiska, den cypriotiska, den estniska, den franska, den irländska, den lettiska, den nederländska, den norska, den polska, den portugisiska, den spanska, den svenska, den tjeckiska, den tyska och den ungerska regeringen samt Förenade kungarikets regering och kommissionen.

23.	Den 9 september 2019 hölls en förhandling, varvid målen C‑511/18, C‑512/18, och C‑520/18 behandlades gemensamt och vid vilken parterna i de fyra målen om förhandsavgörande, de ovannämnda regeringarna samt kommissionen och Europeiska datatillsynsmannen närvarade.

IV. Bedömning

A. Tillämpningsområdet för direktiv 2002/58 och undantaget om nationell säkerhet (den första tolkningsfrågan)

24.

I det förslag till avgörande som jag föredrar i dag i målen C‑511/18 och C‑512/18 anger jag skälen till varför direktiv 2002/85, enligt min uppfattning, ”i princip är tillämpligt när tillhandahållarna av elektroniska kommunikationsnät har en lagstadgad skyldighet att lagra sina abonnenters uppgifter och att ge myndigheterna tillgång till dessa. Detta resonemang påverkas inte av att skyldigheterna åläggs tillhandahållarna av elektroniska kommunikationsnät av skäl som är att hänföra till den nationella säkerheten”. ( 15 )

25.	I utvecklingen av mina argument nämner jag betydelsen av domstolens dom av den 30 maj 2006, Europaparlamentet/rådet och kommissionen, ( 16 ) och domen Tele2 Sverige och Watson, och förespråkar en systematisk tolkning av båda dessa domar. ( 17 )

26.	I nämnda förslag till avgörande slår jag fast att direktiv 2002/58 är tillämpligt och prövar därefter det däri angivna undantaget om nationell säkerhet och konsekvenserna av artikel 4.2 FEU. ( 18 )

27.	Utan att det påverkar den redogörelse som nu följer, hänvisar jag till vad jag anfört i det förslaget till avgörande och i mitt förslag till avgörande i mål C‑520/18.

1. Tillämpningen av direktiv 2002/58 i det nu aktuella målet

28.	Enligt de bestämmelser som är aktuella i detta mål har tillhandahållare av elektroniska kommunikationsnät en skyldighet att inte endast lagra, utan även att behandla de uppgifter som de förfogar över på grund av den tjänst som de erbjuder användare av allmänna kommunikationsnät inom unionen. ( 19 )

29.

Det är nämligen obligatoriskt för dessa operatörer att översända dessa uppgifter till säkerhets- och underrättelseorganen. Frågan som uppkommer i förevarande fall är huruvida artikel 15.1 i direktiv 2002/58 tillåter att detta översändande, med hänsyn till dess syfte, utan vidare undantas från unionsrättens tillämpningsområde.

30.

Jag anser inte det. Lagringen av nämnda uppgifter och det senare översändandet av dem kan klassificeras som behandling av personuppgifter som genomförs av leverantörer av elektroniska kommunikationstjänster, vilket innebär att sådan lagring och behandling på ett naturligt sätt omfattas av tillämpningsområdet för direktiv 2002/58.

31.

Hänsyn till den nationella säkerheten kan inte, såsom den hänskjutande domstolen har gjort gällande, anses ha företräde framför detta konstaterande, med resultatet att den omtvistade skyldigheten skulle falla utanför unionsrättens tillämpningsområde. Som jag redan anfört anser jag att tillhandahållare av elektroniska kommunikationsnät har en skyldighet att behandla uppgifter i samband med tillhandahållandet av allmänt tillgängliga elektroniska kommunikationstjänster i allmänna kommunikationsnät inom unionen, vilket just är tillämpningsområdet för direktiv 2002/58, enligt dess artikel 3.1.

32.

Givet denna förutsättning rör sig diskussionen inte längre om säkerhets- och underrättelsetjänsternas verksamheter (vilka, som jag har nämnt ovan, skulle kunna falla utanför unionsrättens tillämpningsområde om de inte påverkade operatörer inom elektronisk kommunikation), utan om lagring och senare överföring av de uppgifter som dessa operatörer förfogar över. Ur detta perspektiv är det de grundläggande rättigheter som unionen garanterar som står på spel.

33.	Nyckelfaktorn för att avgöra denna diskussion är, än en gång, skyldigheten avseende en generell och odifferentierad lagring av uppgifter som myndigheterna får tillgång till.

2. Hänvisningen till nationell säkerhet

34.

Eftersom den hänskjutande domstolen i detta mål särskilt har betonat säkerhets- och underrättelsetjänsternas verksamheter som rör nationell säkerhet, tillåter jag mig att återge några av punkterna som behandlar denna fråga i mitt förslag till avgörande som jag också föredrar denna dag i målen C‑511/18 och C‑512/18:

”77.

Den nationella säkerheten … behandlas i två avseenden i direktiv 2002/58. För det första utgör den ett undantag (från direktivets tillämpning) för alla sådana verksamheter i medlemsstaterna som uttryckligen ”avser” statens säkerhet. För det andra utgör den ett skäl för begränsning, som ska vara föreskriven i lag, av de rättigheter och skyldigheter som fastställs i direktiv 2002/58, det vill säga i fråga om privata eller kommersiella verksamheter som faller utanför området för verksamheter som är förbehållna staten.

78.

Vad är det då för verksamheter som avses i artikel 1.3 i direktiv 2002/58? Jag anser att Conseil d’État (Högsta förvaltningsdomstolen) själv ger ett bra exempel på det när den nämner artiklarna L. 851–5 och L. 851–6 i lagen om inre säkerhet och hänvisar till ’metoder för insamling av underrättelseuppgifter som tillämpas direkt av staten, men inte reglerar verksamheter som bedrivs av leverantörer av elektroniska kommunikationstjänster genom att ålägga dem specifika skyldigheter’…

79.

Jag anser att detta är av central betydelse för att klargöra omfattningen av undantaget i artikel 1.3 i direktiv 2002/58. Det omfattar inte verksamheter som myndigheterna bedriver för att skydda nationell säkerhet, utan att ålägga enskilda att samarbeta och således utan att ålägga dem skyldigheter i deras företagsledning.

80.

Uppräkningen av de myndighetsverksamheter som är undantagna från det allmänna regelverket för behandling av personuppgifter ska emellertid tolkas restriktivt. Närmare bestämt får begreppet nationell säkerhet, som uteslutande faller under varje medlemsstats ansvar enligt artikel 4.2 FEU uteslutande, inte utsträckas till att omfatta andra mer eller mindre närliggande områden inom den offentliga förvaltningen.

…

82.

Jag anser … att vägledning kan hämtas från det kriterium som tillämpas i rambeslut 2006/960/RIF, … i vilket det i artikel 2 a görs en åtskillnad mellan å ena sidan brottsbekämpande myndigheter i vid mening – vilka omfattar ’en nationell polismyndighet, tullmyndighet eller annan myndighet som enligt nationell lagstiftning har behörighet att upptäcka, förebygga och utreda brott eller brottslig verksamhet och utöva myndighetsutövning samt i samband härmed vidta tvångsåtgärder’ och å andra sidan ’[o]rgan eller enheter som arbetar särskilt med nationella säkerhetsfrågor’…

…

84.

Det finns … en kontinuitet mellan direktiv 95/46 och direktiv 2002/58 när det gäller medlemsstaternas befogenheter beträffande nationell säkerhet. Inget av de två direktiven har till syfte att skydda de grundläggande rättigheterna inom detta specifika område, där medlemsstaternas verksamheter inte ’regleras av [unionslagstiftningen]’.

85.

Den ’jämvikt’ som avses i [skäl 11 i direktiv 2002/58] följer av behovet av att medlemsstaternas befogenheter inom området nationell säkerhet ska iakttas, när de utövar dessa befogenheter direkt och med egna resurser. När det däremot, även av nyss nämnda skäl avseende nationell säkerhet, krävs att enskilda medverkar och de åläggs vissa skyldigheter, innebär denna omständighet huruvida de omfattas av ett område (det vill säga det skydd för privatlivet som krävs av dessa privata aktörer) som regleras av unionsrätten.

86.

Både direktiv 95/46 och direktiv 2002/58 syftar till att uppnå en sådan jämvikt genom att de tillåter att enskildas rättigheter får begränsas genom lagstiftningsåtgärder som medlemsstaterna vidtar med stöd av artikel 13.1 respektive artikel 15.1 i nämnda direktiv. Det finns i detta avseende ingen skillnad mellan de båda direktiven.

…

89.

Dessa myndighetsverksamheter måste nödvändigtvis definieras snävt, för att unionslagstiftningen rörande skydd för privatlivet inte ska berövas sin ändamålsenliga verkan. I förordning nr 2016/679 föreskrivs i artikel 23 – vilket ligger i linje med artikel 15.1 i direktiv 2002/58 – att de rättigheter och skyldigheter som föreskrivs i direktivet får begränsas, genom en lagstiftningsåtgärd, om det är nödvändigt för att skydda bland annat den nationella säkerheten, försvaret eller den allmänna säkerheten. Såsom redan nämnts skulle det, om skyddet av dessa syften utgjorde ett tillräckligt skäl för att en viss verksamhet ska undantas från tillämpningsområdet för förordning nr 2016/679, inte finnas något behov av att hänvisa till den nationella säkerheten för att motivera begränsningen, genom lagstiftningsåtgärder, av de rättigheter som garanteras i nämnda förordning.”

3. Konsekvenserna av en tillämpning av domen Tele2 Sverige och Watson i förevarande mål

35.	Den hänskjutande domstolen har fokuserat på den tolkning som EU-domstolen gjorde i domen Tele2 Sverige och Watson och angett de svårigheter som den anser att det skulle medföra att tillämpa den domen i förevarande mål.

36.	I domen Tele2 Sverige och Watson angav EU-domstolen nämligen de villkor som en nationell lagstiftning om införande av en skyldighet att lagra trafik- och lokaliseringsuppgifter, för att myndigheterna senare ska kunna få tillgång till dessa, ska uppfylla.

37.

Liksom i målen C‑511/18 och C‑512/18, och av liknande skäl, anser jag att den nationella lagstiftning som den nu aktuella begäran om förhandsavgörande rör inte uppfyller de villkor som fastställs i domen Tele2 Sverige och Watson, eftersom den innebär en generell och odifferentierad lagring av personuppgifter som ger en detaljerad redogörelse för de berörda personernas liv, under en omfattande tidsperiod.

38.

I förslaget till avgörande i dessa båda mål undersöker jag huruvida det skulle vara möjligt att nyansera eller komplettera den rättspraxis som följer av domen Tele2 Sverige och Watson, med hänsyn till dess konsekvenser för bekämpning av terrorism eller för statens skydd mot andra liknande hot mot den nationella säkerheten.

39.

Jag tillåter mig även här att återge några av punkterna i nämnda förslag till avgörande, i vilket jag i huvudsak betonar att även om det går att nyansera nämnda rättspraxis ska den i huvudsak bekräftas:

”135.

Även om det är svårt, så är det inte omöjligt att med precision och på grundval av objektiva kriterier fastställa vilka kategorier av uppgifter vars lagring bedöms som oumbärlig och vilken personkrets som berörs. Det mest praktiska och effektiva vore visserligen att generellt och utan åtskillnad lagra alla uppgifter som leverantörer av elektroniska kommunikationstjänster kan komma att samla in, men … frågan kan inte avgöras i termer av praktisk effektivitet, utan av rättslig effektivitet inom ramen för en rättsstat.

136.	Det är typiskt sett en uppgift för lagstiftaren att avgöra frågor av nyss nämnt slag, inom de gränser som EU-domstolen har uppställt i sin praxis …

137.

Om det förutsätts att operatörerna har inhämtat uppgifterna i enlighet med bestämmelserna i direktiv 2002/58 och att de har lagrats i enlighet med artikel 15.1 i direktivet, … ska de behöriga myndigheterna ges tillgång till uppgifterna på de villkor som EU-domstolen har slagit fast och som jag har undersökt i mitt förslag till avgörande i målet C-520/18, till vilket jag hänvisar.

138.

Även i det fallet måste det således i den nationella lagstiftningen anges vilka materiella och formella villkor som gäller för de behöriga nationella myndigheternas tillgång till de lagrade uppgifterna. … I förevarande mål medges enligt dessa villkor tillgång till uppgifter om personer som misstänks planera, ha för avsikt att begå, ha begått eller kunna vara inblandade i en terroristhandling …

139.

Förutom i vederbörligen underbyggda brådskande fall gäller likväl att tillgång till de aktuella uppgifterna ska vara underkastad förhandskontroll av en domstol eller oberoende förvaltningsmyndighet. … Detta innebär att i de fall där det inte är möjligt att göra en abstrakt bedömning enligt lagen, säkerställs en konkret bedömning av den oberoende förvaltningsmyndigheten, som ålägger sig både att skydda den nationella säkerheten och att försvara medborgarnas grundläggande rättigheter.”

B. Den andra tolkningsfrågan

40.

Den hänskjutande domstolen har ställt den andra tolkningsfrågan för det fall den första tolkningsfrågan besvaras jakande. Om detta är fallet önskar den hänskjutande domstolen få klarhet i vilka ”andra krav utöver de som följer av Europakonventionen” och dem som följer av domen Tele2 Sverige och Watson som bör uppställas.

41.	Den hänskjutande domstolen har i detta avseende anfört att en tillämpning av de villkor som anges i domen Tele2 Sverige och Watson ”skulle omintetgöra de åtgärder som säkerhets- och underrättelseorganen vidtagit för att skydda nationell säkerhet”.

42.

Eftersom det svar som jag föreslår på den första tolkningsfrågan är nekande, är det inte nödvändigt att behandla den andra tolkningsfrågan. Denna sistnämnda fråga förutsätter, såsom den hänskjutande domstolen har understrukit, att ”inhämtning av mängddata och tekniker för automatiserad behandling” av personuppgifter för alla användare i Förenade kungariket, som leverantörer av elektroniska kommunikationstjänster skulle vara skyldiga att överföra till säkerhets- och underrättelsetjänsterna, förklaras vara förenlig med unionsrätten.

43.

Om domstolen skulle anse att det är nödvändigt att besvara den andra tolkningsfrågan, anser jag att den bör bekräfta de ovannämnda villkoren i domen Tele2 Sverige och Watson med avseende på följande punkter:

–	Förbud mot allmän tillgång till uppgifterna.

–	Behov av förhandstillstånd av en domstol eller en oberoende förvaltningsmyndighet för att motivera en sådan tillgång.

–	Skyldighet att informera de berörda personerna, såvida detta inte äventyrar åtgärdernas effektivitet.

–	Lagring av uppgifterna inom unionen.

44.	Det ska erinras om att det skulle räcka att bekräfta dessa tvingande krav av de skäl som jag har angett i mina förslag till avgörande i målen C‑511/18 och C‑512/18 samt i mål C‑520/18, utan att det behöver fastställas några ”andra” krav, i den mening som den hänskjutande domstolen har angett.

V. Förslag till avgörande

45.

Mot denna bakgrund föreslår jag att domstolen ska besvara de frågor som ställts av Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) enligt följande:

Artikel 4 FEU och artikel 1.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) ska tolkas på så sätt att de utgör hinder för en nationell lagstiftning som föreskriver en skyldighet för leverantörer av elektroniska kommunikationstjänster att till en medlemsstats säkerhets- och underrättelsetjänster överföra ”mängddata” som innebär en generell och odifferentierad insamling av sådana data på förhand.

Alternativt:

En medlemsstats säkerhets- och underrättelsetjänsters tillgång till uppgifter som överförts av tillhandahållare av elektroniska kommunikationsnät ska uppfylla de villkor som fastställs i domen av den 21 december 2016, Tele2 Sverige och Watson (C‑203/15 och C‑698/15, EU:C:2016:970).

( 1 ) Originalspråk: spanska.

( 2 ) Förenade målen C‑293/12 och C‑594/12, nedan kallad ”domen Digital Rights, EU:C:2014:238.

( 3 ) Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54).

( 4 ) I de förenade målen C‑203/15 och C‑698/15, nedan kallad ”domen Tele2 Sverige och Watson, EU:C:2016:970.

( 5 ) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37).

( 6 ) Mål C‑207/16, medan kallad ”domen Ministerio FiscalEU:C:2018:788.

( 7 ) Utöver förevarande mål rör det sig om målen C‑511/18 och C‑512/18, La Quadrature du Net m.fl., och C‑520/18, Ordre des barreaux francophones et germanophone m.fl.

( 8 ) Domen Privacy International, C‑623/17.

( 9 ) Domen Ordre des barreaux francophones et germanophone m.fl., C‑520/18.

( 10 ) Domen La Quadrature du Net m.fl., C‑511/18 och C‑512/18.

( 11 ) 1984 års lag om telekommunikation (nedan kallad 1984 års lag).

( 12 ) 2014 års lag om datalagring och utredningsbefogenheter (nedan kallad Dripa).

( 13 ) Secretary of State for Foreign and Commonwealth Affairs (Minister för Utrikes- och Samväldesfrågor), Secretary of State for the Home Department (inrikesministern) och Förenade kungarikets tre säkerhets- och underrättelseorgan, nämligen Government Communications Headquarters (regeringens kommunikationsorgan, GCHQ), Security Service (säkerhetstjänsten, MI5), och Secret Intelligence Service (underrättelsetjänsten, MI6).

( 14 ) Det vill säga domen Tele2 Sverige och Watson.

( 15 ) Förslag till avgörande i målen C‑511/18 och C‑512/18, punkt 42.

( 16 ) Målen C‑317/04 och C‑318/04, EU:C:2006:346.

( 17 ) Förslag till avgörande i målen C‑511/18 och C‑512/18, punkterna 44 och 76.

( 18 ) Idem, punkterna 77–90.

( 19 ) Enligt artikel 2 i direktiv 2002/58 ska definitionerna i direktiv 95/46 gälla i detta direktiv. Enligt artikel 2 b i direktiv 95/46 ska med ”behandling av personuppgifter (behandling)” avses ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring” (min kursivering).

Top