1.

Denna begäran om förhandsavgörande rör tolkningen av begreppet ”allvarliga brott” ( 2 ) i den mening som avses i domstolens praxis som grundar sig på domen i målet Digital Rights Ireland m.fl. ( 3 ) (nedan kallad Digital Rights-domen) och den därefter meddelade domen i målet Tele2 Sverige och Watson m.fl. ( 4 ) (nedan kallad Tele2-domen), där nämnda begrepp användes som kriterium för att bedöma det berättigade och proportionerliga i ett ingrepp i de rättigheter som stadfästs i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan), nämligen rätten till respekt för privatlivet och familjelivet respektive rätten till skydd av personuppgifter.

2.

Bakgrunden till begäran om förhandsavgörande är ett överklagande av ett domstolsbeslut varigenom polismyndigheter fick avslag på en ansökan om att få tillgång till vissa uppgifter av folkbokföringskaraktär som mobiltelefonoperatörer förfogade över. Polisen avsåg att använda uppgifterna för att identifiera personer inom ramen för en brottsutredning. I skälen till det överklagade beslutet angavs bland annat att den gärning som låg till grund för utredningen inte kunde anses utgöra ett allvarligt brott, vilket var ett krav enligt den tillämpliga spanska lagstiftningen.

3.

Den hänskjutande domstolen önskar nu att EU-domstolen ska bringa klarhet i hur det ska slås fast vad som är den nedre gränsen för när ett brott är så allvarligt att det, mot bakgrund av ovan nämnd praxis, kan anses motivera att de grundläggande rättigheter som skyddas genom artiklarna 7 och 8 i stadgan blir föremål för ett ingrepp i form av att behöriga nationella myndigheter bereds tillgång till personuppgifter som har lagrats av leverantörer av elektroniska kommunikationstjänster.

4.

Jag kommer i det följande att – efter att först ha slagit fast att EU-domstolen är behörig att pröva begäran om förhandsavgörande och att denna kan tas upp till prövning i sak – visa att tillgång till personuppgifter under sådana omständigheter som är för handen i det nationella målet innebär ett ingrepp i de ovannämnda grundläggande rättigheterna som inte är av sådan art att det är att hänföra till de fall där det i överensstämmelse med ovan nämnd praxis endast är bekämpandet av allvarliga brott som kan motivera ingrepp i dessa rättigheter.

5.

Mot bakgrund av vad som är i fråga i det nationella målet anser jag att EU-domstolen saknar anledning att besvara tolkningsfrågorna i deras ursprungliga lydelse. Därför kommer jag endast i andra (och tredje) hand att lämna upplysningar om de kriterier som eventuellt skulle kunna användas för att definiera begreppet ”allvarliga brott” i den mening som avses i ovan nämnd praxis, särskilt såvitt avser det kriterium som grundar sig på den påföljd som kan utdömas.

6.

I ingressen till Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) ( 5 ) i dess lydelse enligt direktiv 2009/136/EG ( 6 ) (nedan kallat direktiv 2002/58) anges följande:

…

7.

Artikel 1 i direktiv 2002/58, med rubriken ”Tillämpningsområde och syfte”, har följande lydelse:

”1.   Genom detta direktiv möjliggörs en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation …

…

3.   Detta direktiv skall inte tillämpas på verksamheter som faller utanför tillämpningsområdet för Fördraget om upprättandet av Europeiska gemenskapen, t.ex. de som omfattas av avdelningarna V och VI i Fördraget om Europeiska unionen, och inte i något fall på verksamheter som avser allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet) och statens verksamhet på straffrättens område.”

8.

Artikel 2 i samma direktiv, med rubriken ”Definitioner”, har följande lydelse:

”Om inte annat anges skall definitionerna i … direktiv [95/46] och [i Europaparlamentets och rådets] direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv)[ ( 9 )] gälla i detta direktiv.

Dessutom skall följande definitioner gälla:

…”

9.

I artikel 15.1 i direktiv 2002/58, under artikelrubriken ”Tillämpningen av vissa bestämmelser i direktiv [95/46]”, föreskrivs att ”[m]edlemsstaterna … genom lagstiftning [får] vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv [95/46]. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period som motiveras av de skäl som fastställs i denna punkt. Alla åtgärder som avses i denna punkt skall vara i enlighet med de allmänna principerna i gemenskapslagstiftningen, inklusive principerna i artikel 6.1 och 6.2 i Fördraget om Europeiska unionen.”

10.

Genom Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (lag 25/2007 av den 18 oktober [2007] om lagring av uppgifter rörande elektronisk kommunikation och allmänna kommunikationsnät) ( 10 ) (nedan kallad lag 25/2007) införlivades direktiv 2006/24 ( 11 ) – som domstolen ogiltigförklarade genom Digital Rights-domen – med den spanska rättsordningen.

11.

I artikel 1 i lag 25/2007, i den version som är tillämplig på de faktiska omständigheterna i det nationella målet, föreskrivs följande:

”1.   Syftet med denna lag är att reglera operatörernas skyldighet att lagra uppgifter som genereras eller behandlas i samband med tillhandahållande av elektroniska kommunikationstjänster eller allmänna kommunikationsnät samt skyldigheten att överföra sådana uppgifter till behöriga aktörer i fall där operatörerna i kraft av vederbörligt tillstånd meddelat av domstol anmodas att lämna ut uppgifter för att dessa ska kunna användas för att avslöja, utreda och lagföra allvarliga brott som anges i strafflagen eller i specialstraffrättsliga lagar.

2.   Denna lag är tillämplig på trafik- och lokaliseringsuppgifter om såväl fysiska som juridiska personer samt på därtill hörande uppgifter som är nödvändiga för att kunna identifiera abonnenten eller den registrerade användaren.

…”

12.

Artikel 3 i samma lag innehåller en uppräkning av de uppgifter som operatörerna är skyldiga att lagra. Det rör sig (enligt artikel 3.1 a.1 ii) bland annat om de uppgifter som krävs för att spåra och identifiera en kommunikationskälla, exempelvis – när det gäller mobiltelefoni – abonnentens eller den registrerade användarens namn och adress.

13.

I artikel 13.1 i den spanska strafflagen, i den version som är tillämplig på de faktiska omständigheterna i det nationella målet, stadgas att ”[a]llvarliga brott är de brott för vilka lagen föreskriver en allvarlig påföljd”.

14.

Artikel 33 i samma lag har följande lydelse:

”1.   Påföljderna indelas utifrån sin art och varaktighet i allvarliga, mindre allvarliga och lindriga.

2.   Följande påföljder är allvarliga:

…”

15.

Den spanska straffprocesslagen har ändrats genom Ley Orgánica 13/2015, de 5 de octubre, de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Organisk lag 13/2015 av den 5 oktober [2015] om ändring av straffprocesslagen i syfte att stärka de processuella garantierna och reglera tekniska utredningsåtgärder) ( 12 ) (nedan kallad lag 13/2015).

16.

Till följd av lag 13/2015, som trädde i kraft den 6 december 2015, omfattar straffprocesslagen numera frågor som rör tillgång till uppgifter om telefonkommunikation och elektronisk dataöverföring vilka har lagrats av leverantörer av elektroniska kommunikationstjänster.

17.

Enligt artikel 579.1 i straffprocesslagen i dess lydelse enligt lag 13/2015 får ”[d]omstol … meddela tillstånd till uppfångande av privat korrespondens, per post eller telegraf, inbegripet fax, ’burofax’ och internationella postanvisningar, som den misstänkte sänder eller mottar samt öppnande och analys därav, förutsatt dels att det finns indicier som tyder på att detta kommer att göra det möjligt att upptäcka eller kontrollera en omständighet eller en faktor av relevans för ärendet, dels att utredningen avser något av följande brott:

18.

I artikel 588 ter j i straffprocesslagen, under artikelrubriken ”Uppgifter som finns i tjänsteleverantörers automatiserade register”, stadgas följande:

”1.   Elektroniska uppgifter som har samband med kommunikationsprocesser och som lagras av tjänsteleverantörer eller personer som möjliggör kommunikation, antingen i enlighet med lagstiftningen om lagring av uppgifter rörande elektronisk kommunikation eller på eget initiativ av kommersiella eller andra skäl, får lämnas ut för användning i förfarandet endast om domstol meddelar tillstånd till detta.

2.   När kännedom om sådana uppgifter befinns vara oundgänglig för en utredning, ska det till behörig domstol inges en ansökan om tillstånd att få ta del av den information som återfinns i tjänsteleverantörernas automatiserade register, inbegripet genom samkörning eller intelligent sökning efter uppgifter, varvid arten av de uppgifter som det krävs kännedom om och skälen till att dessa uppgifter behöver lämnas ut ska anges.”

19.

Hernández Sierra anmälde till polisen att han den 16 februari 2015 hade blivit rånad på sin plånbok och sin mobiltelefon, varvid han hade blivit allvarligt skadad.

20.

Den 27 februari 2015 ansökte kriminalpolisen hos Juzgado de Instrucción no 3 de Tarragona (Undersökningsdomstol nr 3 i Tarragona, Spanien) (nedan kallad undersökningsdomstolen) om att olika telefonoperatörer skulle föreläggas att lämna ut dels uppgifter om de telefonnummer som mellan den 16 och den 27 februari 2015 hade aktiverats med den stulna mobiltelefonens IMEI-kod, ( 13 ) dels personuppgifter för innehavarna eller användarna av samtliga telefonnummer som var knutna till de SIM-kort som hade aktiverats med hjälp av nämnda IMEI-kod. ( 14 )

21.

Genom beslut av den 5 maj 2015 avslog undersökningsdomstolen ansökan med motiveringen att den efterfrågade åtgärden var föga ägnad att identifiera gärningsmännen och att lag 25/2007 dessutom i alla händelser innebar att uppgifter som telefonoperatörer hade lagrat fick lämnas ut endast i samband med allvarliga brott – det vill säga, enligt den spanska strafflagen, ( 15 ) brott för vilka fängelse i mer än fem år kunde utdömas – under det att den aktuella gärningen inte var att anse som ett allvarligt brott.

22.

Ministerio Fiscal (den spanska allmänna åklagarmyndigheten), som var ensam part i målet, överklagade detta beslut till Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien) och gjorde därvid gällande att de berörda uppgifterna borde ha fått lämnas ut med tanke på gärningens art och mot bakgrund av en dom som Tribunal Supremo (Högsta domstolen, Spanien) hade meddelat i ett mål av liknande karaktär. ( 16 )

23.

Genom beslut av den 9 februari 2016 förordnade nämnda appellationsdomstol interimistiskt om förlängning av den tid under vilken telefonoperatörerna var skyldiga att spara de uppgifter som berördes av den omtvistade ansökan.

24.

I begäran om förhandsavgörande har samma domstol angett att den spanska lagstiftaren, efter det att det överklagade beslutet meddelades, har infört (genom lag 13/2015 ( 17 )) två alternativa kriterier för att avgöra ett brotts grad av allvar. Det första kriteriet är materiellt och grundar sig på att vissa gärningar motsvarar brottsrubriceringar av specifik och allvarlig brottslig art och är särskilt skadliga för enskilda och kollektiva rättsligt erkända intressen. ( 18 ) Det andra kriteriet är normativt–formellt och grundar sig uteslutande på den föreskrivna påföljden för det aktuella brottet. Den nedre gräns på tre års fängelse som gäller inom ramen för detta andra kriterium innebär emellertid, enligt den hänskjutande domstolen, att de allra flesta brottsrubriceringarna kan uppfylla nämnda kriterium. Därutöver har den hänskjutande domstolen påpekat att statens intresse av att skydda medborgarna och bestraffa brottsliga handlingar inte kan motivera oproportionerliga ingrepp i enskildas grundläggande rättigheter.

25.

Mot denna bakgrund beslutade Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien), genom beslut av den 6 april 2016 som inkom till EU-domstolen den 14 april 2016, att vilandeförklara målet och ställa följande tolkningsfrågor till EU-domstolen:

26.

Förfarandet vid EU-domstolen vilandeförklarades genom beslut av dess ordförande den 23 maj 2016 i avvaktan på att EU-domstolen skulle meddela dom i de förenade målen Tele2 Sverige och Watson m.fl., C‑203/15 och C‑698/15.

27.

Som svar på en fråga som EU-domstolen ställde efter att den 21 december 2016 ha meddelat dom i de nämnda förenade målen ( 19 ) angav den hänskjutande domstolen att den avsåg att vidmakthålla sin begäran om förhandsavgörande. Därvid gjorde den hänskjutande domstolen gällande att dess tolkningsfrågor fortfarande var relevanta av det skälet att EU-domstolen visserligen i sin dom gav exempel på allvarliga brott ( 20 ) men däremot inte tillräckligt tydligt definierade det materiella innehållet i begreppet ”ett brotts grad av allvar” såsom kriterium för bedömning av huruvida en åtgärd som innebär ett ingrepp är motiverad. Enligt den hänskjutande domstolen fanns det en risk för att medlemsstaterna skulle göra en så vid tolkning av detta begrepp när de fastställde villkoren på nationell nivå för lagring och utlämnande av uppgifter att de grundläggande rättigheter som avses i Tele2-domen skulle komma att åsidosättas. Exempelvis hade den spanska lagstiftaren – oaktat de kriterier som anges i Digital Rights-domen ( 21 ) – i samband med antagandet av lag 13/2015 avsevärt (jämfört med de tidigare bestämmelser som härrörde från lag 25/2007) sänkt den gräns i fråga om brottets grad av allvar från och med vilken tillstånd kan meddelas för lagring och utlämnande av personuppgifter.

28.

Med anledning av detta svar återupptogs förfarandet vid EU-domstolen den 16 februari 2017. Därefter inkom skriftliga yttranden från den spanska, den tjeckiska, den estniska, den irländska, den franska, den lettiska, den ungerska och den österrikiska regeringen, Förenade kungarikets regering och Europeiska kommissionen.

29.

Inför den muntliga förhandlingen ställde domstolen frågor till den spanska regeringen att besvaras skriftligen, som denna besvarade den 9 januari 2018, och frågor att besvaras muntligen till samtliga intressenter som avses i artikel 23 i stadgan för Europeiska unionens domstol.

30.

Vid den muntliga förhandlingen den 29 januari 2018 yttrade sig den spanska allmänna åklagarmyndigheten, den spanska, den tjeckiska, den danska, den estniska, den irländska, den franska, den lettiska och den polska regeringen, Förenade kungarikets regering och kommissionen.

31.

Innan jag går närmare in på de frågor som aktualiseras av begäran om förhandsavgörande anser jag det nödvändigt att redovisa några synpunkter som rör det specifika föremålet för nämnda begäran.

32.

För det första vill jag, mot bakgrund av de upplysningar som ges i begäran om förhandsavgörande och de kompletterande upplysningar som den spanska regeringen har lämnat, understryka att det nationella målet uppvisar vissa anmärkningsvärda kännetecken som i synnerhet innebär att det skiljer sig från de mål som föranledde Digital Rights-domen och Tele2-domen. ( 22 )

33.

Vad polismyndigheterna i det aktuella fallet har ansökt om att få tillgång till är nämligen uteslutande uppgifter som gör det möjligt att identifiera innehavarna eller användarna av de telefonnummer som är knutna till de SIM-kort som har satts in i den stulna mobiltelefonen. ( 23 ) Dessutom avser ansökan en tydligt avgränsad och förhållandevis kort period av omkring tolv dagar. ( 24 )

34.

Under sådana omständigheter är antalet personer som skulle kunna komma att beröras av den omtvistade åtgärden inte obegränsat utan begränsat. Dessa personer är dessutom inte vilka SIM-kortsinnehavare som helst utan personer som uppvisar ytterst specifika kännetecken, med tanke på att det ju rör sig om de personer som har använt den stulna telefonen efter tillgreppet eller till och med fortfarande har denna i sin besittning och således på goda grunder kan misstänkas för att antingen själva ha begått brottet eller ha någon form av relation till gärningsmännen.

35.

Vad som har efterfrågats är vidare inte samtliga typer av ”personuppgifter” ( 25 ) som finns hos leverantörerna av elektroniska kommunikationstjänster, utan endast uppgifter av folkbokföringskaraktär om de ovannämnda personerna, nämligen för- och efternamn och eventuellt adress ( 26 ) – något som också skulle kunna betecknas som kontaktuppgifter. Som jag förstår saken omfattar förfarandet vid den nationella domstolen inte övriga upplysningar om de berörda personerna som skulle kunna finnas i leverantörernas register. ( 27 )

36.

Till yttermera visso är det mål som eftersträvas i det aktuella fallet enligt min uppfattning att samla in upplysningar som inte rör vare sig lokalisering eller kommunikation som sådana ( 28 ) utan som rör fysiska personer vilka eftersöks därför att de kan ha utnyttjat en elektronisk kommunikationstjänst med hjälp av den stulna telefonen. Detta kan dessa personer för övrigt ha gjort utan att ringa något konkret telefonsamtal. Av de förklaringar som domstolen har erhållit från den spanska allmänna åklagarmyndigheten framgår nämligen att det tekniskt sett är möjligt att en sådan anknytning mellan ett visst SIM-kort och den stulna telefonens IMEI-kod som ligger till grund för att de berörda personuppgifterna efterfrågas kan uppkomma genom att telefonen kopplar upp sig mot en mobiltelefonmast, utan att innehavaren av SIM-kortet ringer något samtal med den berörda telefonen och således oberoende av faktisk kommunikation. ( 29 ) Det ankommer på den hänskjutande domstolen att kontrollera riktigheten av detta sakpåstående, men jag anser att nämnda påstående framstår som tillräckligt plausibelt för att det ska vara rimligt att hålla det för sant.

37.

Mot bakgrund av det ovan anförda sammantaget vill jag inledningsvis understryka att det nationella målet inte rör en ansökan om ett generellt och odifferentierat utlämnande av personuppgifter, utan en ansökan om utlämnande av personuppgifter som avser specificerade personer och en begränsad period. Dessutom förefaller inte de efterfrågade uppgifterna vid första anblicken vara särskilt känsliga, även om de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan förvisso kan påverkas av att uppgifter av det aktuella slaget lämnas ut. ( 30 )

38.

För det andra noterar jag att det framgår av skälen i begäran om förhandsavgörande att tolkningsfrågorna i detta mål inte rör villkoren för lagring av personuppgifter inom sektorn för elektronisk kommunikation utan villkoren för nationella myndigheters tillgång till sådana uppgifter som har lagrats av tjänsteleverantörer inom nämnda sektor. ( 31 )

39.

Den hänskjutande domstolen har bland annat påtalat att det enligt artikel 588 ter j i straffprocesslagen krävs tillstånd av domstol för att elektroniska uppgifter som tjänsteleverantörerna har registrerat ska få överföras till de behöriga myndigheterna för användning i ett förfarande. I punkt 1 i den artikeln anges att leverantörerna kan ha lagrat uppgifterna antingen i enlighet med den relevanta lagstiftningen eller på eget initiativ, och då av kommersiella eller andra skäl.

40.

I det aktuella fallet torde de personuppgifter som polismyndigheterna har begärt tillgång till för utredningsändamål ha registrerats av mobiltelefonoperatörerna i enlighet med en skyldighet som följer av spansk lagstiftning. ( 32 ) Den hänskjutande domstolen har inte lämnat några upplysningar på denna punkt. Härvid ska det erinras om om att dess begäran om förhandsavgörande är inriktad på frågan om eventuell tillgång till uppgifter som redan har registrerats och att det i det nationella målet inte har ifrågasatts huruvida lagringen av uppgifterna är förenlig med unionsrättens krav. ( 33 ) Enligt min uppfattning är det därför lämpligt att utgå från att de uppgifter som är i fråga i det nationella målet har lagrats i enlighet med den nationella lagstiftningen och i överensstämmelse med de villkor som anges i artikel 15.1 i direktiv 2002/58, något som det uteslutande ankommer på den hänskjutande domstolen att kontrollera. ( 34 )

41.

Jag återkommer i mina resonemang nedan till den rättsliga innebörden av dessa inledande konstateranden. ( 35 )

42.

Den spanska regeringen har framställt processuella invändningar av två slag, avseende dels huruvida domstolen är behörig, dels huruvida begäran om förhandsavgörande kan tas upp till prövning i sak. Domstolen måste yttra sig om dessa invändningar innan den i förekommande fall prövar begäran om förhandsavgörande i sak.

43.

Allra först vill jag erinra om att det följer av fast rättspraxis att de grundläggande rättigheter som garanteras i unionens rättsordning – däribland de rättigheter som stadfästs i artiklarna 7 och 8 i stadgan – är tillämpliga endast i situationer som regleras av unionsrätten. ( 36 ) Dessutom riktar sig stadgans bestämmelser enligt artikel 51.1 i denna till medlemsstaterna endast ”när dessa tillämpar unionsrätten” i den mening som avses i domstolens praxis rörande detta begrepp. ( 37 ) Om en rättslig situation inte faller inom unionsrättens tillämpningsområde saknar domstolen behörighet att pröva den situationen. De bestämmelser i stadgan som eventuellt har åberopats kan inte i och för sig grunda någon sådan behörighet. ( 38 )

44.

I det aktuella fallet avser den hänskjutande domstolens tolkningsfrågor uteslutande artiklarna 7 och 8 i stadgan och ”unionsrättens grundläggande principer, vilka domstolen tillämpade i [Digital Rights-domen]”. Den hänskjutande domstolen anser emellertid att de direktiv som är tillämpliga på skydd av personuppgifter, exempelvis direktiv 95/46 och direktiv 2002/58, visar att det föreligger en sådan anknytning mellan det nationella målet och unionsrätten som krävs enligt artikel 51.1 i stadgan.

45.

Härvidlag ska det för det första påpekas att den spanska regeringen i första hand har gjort gällande att EU-domstolen saknar behörighet att pröva den aktuella begäran om förhandsavgörande av det skälet att nämnda begäran inte rör tillämpningen av unionsrätten. Till stöd för detta påstående har den spanska regeringen bland annat hävdat att det nationella målet faller utanför unionsrättens tillämpningsområde därför att det rör polisens möjligheter att få tillgång till uppgifter i enlighet med ett domstolsbeslut och inom ramen för en utredning, något som enligt den spanska regeringen är att hänföra till statens verksamhet på straffrättens område ( 39 ) och således träffas av undantagen enligt artikel 1.3 i direktiv 2002/58 och artikel 3.2 första strecksatsen i direktiv 95/46. ( 40 ) Vid den muntliga förhandlingen angav Förenade kungarikets regering att den delade den spanska regeringens uppfattning på denna punkt.

46.

Jag anser emellertid att direktiv 2002/58 är tillämpligt på sådana nationella åtgärder som är i fråga i det nationella målet. Domstolen har i Tele2-domen slagit fast att nationell lagstiftning om lagring av uppgifter för att bekämpa brott faller inom det direktivets tillämpningsområde, inte endast av det skälet att det i sådan lagstiftning anges skyldigheter i det aktuella sammanhanget för leverantörerna av elektroniska kommunikationstjänster utan även av det skälet att sådan lagstiftning reglerar de nationella myndigheternas tillgång till uppgifter som har lagrats i nämnda sammanhang. ( 41 ) Jag delar kommissionens uppfattning att de överväganden som anges i Tele2-domen kan tillämpas även på de här aktuella nationella reglerna, nämligen regler som härrör från lag 25/2007 jämförd med den spanska straffprocesslagen i dess lydelse enligt lag 13/2015, ( 42 ) och att nämnda överväganden således kan tillämpas på föremålet för det nationella målet.

47.

Till detta ska läggas att det är viktigt att inte blanda samman å ena sidan personuppgifter som direkt behandlas inom ramen för statens verksamhet – av ”regal” ( 43 ) karaktär – på ett straffrättsligt område ( 44 ) och å andra sidan personuppgifter som behandlas inom ramen för verksamhet – av kommersiell karaktär – som bedrivs av en leverantör av elektroniska kommunikationstjänster och som därefter används av behöriga statliga myndigheter. ( 45 ) Dessutom noterar jag att domstolen nyligen mottagit en begäran om förhandsavgörande angående, särskilt, tolkningen av artikel 1.3 i direktiv 2002/58 i samband med att säkerhets- och underrättelsetjänsterna i en medlemsstat använder uppgifter som överförts till dem i stora kvantiteter av sådana tjänsteleverantörer, ( 46 ) vilket är en problematik som jag inte anser att domstolen behöver behandla i detta mål. ( 47 )

48.

För det andra noterar jag att det även har ifrågasatts huruvida tillämpningsområdet för direktiv 2002/58, som ligger till grund för domstolens behörighet i det aktuella målet, omfattar uppgifter av det slag som är i fråga i det nationella målet.

49.

Som jag redan har framhållit, ( 48 ) framgår det av handlingarna i målet att den omtvistade ansökan avsåg tillgång till uppgifter om vilka innehavarna eller användarna var av de telefonnummer som motsvarade de SIM-kort som hade aktiverats med hjälp av den stulna mobiltelefonen, och syftet med ansökan var att finna de personer som hade haft nämnda telefon i sin besittning, inte att få fram information om de samtal som eventuellt hade ringts med telefonen i fråga.

50.

Med andra ord rör det nationella målet – trots att den spanska lagstiftningen innebär att ett bredare spektrum av personuppgifter potentiellt hade kunnat beröras ( 49 ) – uppgifter som uteslutande avser identiteten för ”användarna” i den mening som avses i artikel 2 andra stycket led a i direktiv 2002/58 och som således inte avser vare sig någon ”lokalisering” ( 50 ) i den mening som avses i artikel 2 andra stycket led c eller någon egentlig ”kommunikation” i den mening som avses i artikel 2 andra stycket led d. ( 51 )

51.

Enligt den spanska allmänna åklagarmyndigheten, den spanska, den danska, den irländska och den lettiska regeringen, Förenade kungarikets regering och kommissionen ska sådana uppgifter som är i fråga här – förutsatt att de beaktas separat, det vill säga oberoende av den kommunikation som i förekommande fall kan ha ägt rum – i princip inte heller omfattas av begreppet ”trafikuppgifter” i den mening som avses i artikel 2 andra stycket led b i direktiv 2002/58, där sådana uppgifter definieras som ”alla uppgifter som behandlas i syfte att överföra en kommunikation via ett elektroniskt kommunikationsnät eller för att fakturera den”. ( 52 )

52.

Det förefaller förvisso som om de identifieringsuppgifter som polismyndigheterna i det aktuella fallet har efterfrågat inte avser kommunikationstrafik i egentlig mening, eftersom dessa uppgifter torde kunna fås fram även om det under den period som ansökan avser inte har ringts några samtal över huvud taget med den stulna telefonen och följaktligen ingen interpersonell kommunikation har förmedlats av en mobiltelefonoperatör under denna period. ( 53 )

53.

Jag anser emellertid att ett sådant mål som det nationella målet omfattas av tillämpningsområdet för direktiv 2002/58, av det skälet att behandling av den aktuella informationen med anknytning till SIM-korten och deras innehavare är nödvändig i kommersiellt hänseende för tillhandahållandet av elektroniska kommunikationstjänster, ( 54 ) åtminstone för faktureringen av den tillhandahållna tjänsten, ( 55 ) oavsett vilka samtal som rings eller inte rings inom ramen för denna tjänst.

54.

Mot bakgrund av artiklarna 1.1 och 3 i direktiv 2002/58 ( 56 ) delar jag därvidlag den åsikt som i synnerhet företräds av kommissionen, nämligen att nämnda direktiv på ett övergripande sätt reglerar behandlingen av personuppgifter inom ramen för tillhandahållande av elektroniska kommunikationstjänster och att dess tillämpningsområde därför innefattar även sådana identitetsuppgifter om användarna av sådana tjänster som är aktuella här – inte endast uppgifter som rör en specifik kommunikation. Med tanke även på de skyddssyften som eftersträvas genom direktiv 2002/58, vilka i huvudsak avser skydd av grundläggande rättigheter som garanteras i stadgan, ( 57 ) anser jag således att begreppet ”kommunikation” i den mening som avses i nämnda rättsakt ska ges en vid tolkning och att den princip om konfidentialitet vid kommunikation som föreskrivs i nämnda rättsakt ( 58 ) verkligen är i fråga i det aktuella fallet.

55.

Jag anser också att denna tolkning får stöd av en tidigare dom där domstolen fann att tillämpningsområdet för direktiv 2002/58 omfattade en tvist som rörde överföring av namn och adresser för användare av en elektronisk kommunikationstjänst. ( 59 ) Tilläggas bör att artikel 12 i nämnda direktiv, som rör abonnentförteckningar, enligt min uppfattning definitivt avser uppgifter av detta slag ( 60 ) och att skäl 15 i direktivet också avspeglar en flexibel syn på begreppet ”kommunikation” i så måtto att det där anges att detta begrepp bland annat innefattar ”uppgifter om … adress från sändaren av en kommunikation”. ( 61 )

56.

Till yttermera visso ligger ett sådant synsätt i linje med Europadomstolens praxis på området, ( 62 ) varvid det ska erinras om att det framhålls i ingressen till direktiv 2002/58 att detta direktiv är avsett att garantera konfidentialiteten vid kommunikation och användarnas rätt till privatliv i överensstämmelse med Europakonventionen såsom denna har tolkats av Europadomstolen, ( 63 ) även om Europakonventionen inte i formell mening har införlivats med unionens rättsordning. ( 64 )

57.

Följaktligen anser jag att ett sådant mål som det nationella målet faller inom det materiella tillämpningsområdet för direktiv 2002/58 och att den spanska regeringen därför inte kan vinna framgång med sin invändning om bristande behörighet.

58.

För fullständighetens skull ska det emellertid också – för den händelse att direktiv 2002/58 inte skulle befinnas vara tillämpligt i ett sådant fall som det aktuella – framhållas att direktiv 95/46, som såväl den hänskjutande domstolen som den spanska regeringen har hänvisat till, inte kan ligga till grund för domstolens behörighet att pröva det aktuella målet.

59.

Direktiv 95/46 är förvisso, som kommissionen också har påpekat, det instrument som har allmän räckvidd när det gäller behandling av personuppgifter, ( 65 ) men jag anser att den hänskjutande domstolens tolkningsfrågor skulle förlora sin relevans om de prövades uteslutande mot bakgrund av det direktivet, med tanke på att syftet med frågorna är att få klarhet i var den nedre gränsen går för när ett brott kan anses som ”allvarligt” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen – vilka inte rörde tolkningen av direktiv 95/46. ( 66 )

60.

Den spanska regeringen har i andra hand – för den händelse att domstolen skulle finna att den är behörig att besvara tolkningsfrågorna – gjort gällande att begäran om förhandsavgörande ska avvisas, av två olika skäl.

61.

För det första har den spanska regeringen hävdat att den hänskjutande domstolen har underlåtit att tydligt ange de unionsrättsliga regler som EU-domstolen ska yttra sig om.

62.

I detta sammanhang har den spanska regeringen erinrat om att EU-domstolen, enligt sin egen fasta praxis, inom ramen för samarbetet enligt artikel 267 FEUF får avstå från att besvara tolknings- eller giltighetsfrågor (som ska presumeras vara relevanta) endast då det är uppenbart att den begärda tolkningen eller giltighetsprövningen av en unionsrättlig bestämmelse inte har något samband med de verkliga omständigheterna eller saken i det nationella målet, då frågorna är hypotetiska eller då EU-domstolen inte har tillgång till sådana uppgifter om de faktiska eller rättsliga omständigheterna som är nödvändiga för att kunna ge ett användbart svar på de frågor som har ställts till den. ( 67 )

63.

Jag anser emellertid att den spanska regeringen saknar fog för sin invändning i det aktuella fallet. Mot bakgrund av de upplysningar som den hänskjutande domstolen har lämnat gör jag nämligen bedömningen att nämnda domstol i tillräcklig utsträckning har angett de unionsrättsliga bestämmelser som den anser vara relevanta. Härvidlag vill jag erinra om att tolkningsfrågorna särskilt avser artiklarna 7 och 8 i stadgan, om att den hänskjutande domstolen har framhållit att direktiven 95/46 och 2002/58 utgör den nödvändiga förbindelselänken mellan den i det nationella målet tillämpliga nationella lagstiftningen och unionsrätten ( 68 ) och avslutningsvis att direktiv 2002/58 – som anges i skäl 2 i detta – särskilt är avsett att säkerställa full respekt för de rättigheter som anges i artiklarna 7 och 8 i stadgan. ( 69 )

64.

Till detta ska läggas att det saknar betydelse att en av de spanska författningar som det hänvisas till i begäran om förhandsavgörande, nämligen lag 25/2007, var avsedd att med den spanska rättsordningen införliva direktiv 2006/24, vilket har upphävts efter att ha ogiltigförklarats genom Digital Rights-domen. ( 70 ) Som den hänskjutande domstolen på goda grunder har framhållit, vore det felaktigt att anse att de här aktuella tolkningsfrågorna till EU-domstolen skulle ha blivit irrelevanta till följd av det ogiltigförklarandet. Därvidlag är det tillräckligt att konstatera att det område som dessa frågor rör, nämligen skydd av personuppgifter, faller inom unionens befogenhetsområde och att det nationella målet faller inom tillämpningsområdet för en unionsrättsakt, nämligen direktiv 2002/58, ( 71 ) som det ogiltigförklarade direktiv 2006/24 skulle ändra.

65.

För övrigt kan det noteras att de allra flesta av dem som har inkommit med yttranden till domstolen utgår från att den aktuella begäran om förhandsavgörande ska prövas mot bakgrund av artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7 och 8 i stadgan och på grundval av de upplysningar som kan hämtas i Digital Rights-domen och Tele2-domen. Jag företräder också den uppfattningen, även om jag vill framhålla att det uttryck som förekommer i direktiv 2002/58 är ”brott” och inte ”allvarliga brott” samt att detta uttryck endast förekommer i nämnda artikel 15.1. ( 72 )

66.

För det andra har den spanska regeringen gjort gällande att artikel 7 i stadgan, som enligt dess uppfattning är den centrala beståndsdelen i den aktuella begäran om förhandsavgörande, saknar relevans, eftersom den utredningsåtgärd som ansökan i det nationella målet avser inte rör avlyssning av kommunikation och således inte kan påverka konfidentialiteten vid kommunikation, varför tolkningsfrågorna är hypotetiska.

67.

För min del anser jag att artikel 7 i stadgan faktiskt är relevant i det aktuella målet och att begäran om förhandsavgörande således inte är hypotetisk. Det är förvisso riktigt att det i det aktuella fallet inte föreligger någon risk för åsidosättande av rätten till kommunikationshemlighet, med tanke på syftet med den åtgärd som är i fråga i det nationella målet. ( 73 ) Däremot kan en åtgärd av det berörda slaget kränka den rätt till respekt för privatlivet som garanteras genom artikel 7 i stadgan, även om det enligt min uppfattning handlar om en mindre kränkning. ( 74 )

68.

Som domstolen konsekvent har funnit, innebär nämligen en överföring av personuppgifter till tredje part, exempelvis en offentlig myndighet, att det sker ett ingrepp i den grundläggande rättighet som stadfästs i artikel 7 i stadgan, oavsett hur de överförda uppgifterna därefter används. Detsamma gäller när personuppgifter lagras, exempelvis av leverantörer av elektroniska kommunikationstjänster, och när offentliga myndigheter bereds tillgång till sådana uppgifter för att kunna använda dem. ( 75 )

69.

Jag anser således att den spanska regeringen inte kan vinna framgång med sin invändning om rättegångshinder utan att domstolen ska pröva begäran om förhandsavgörande i sak.

70.

Den hänskjutande domstolen har ställt sin första tolkningsfråga till EU-domstolen för att få klarhet i vilka aspekter som ska beaktas vid bedömningen av huruvida ett brott, i överensstämmelse med den rättspraxis som grundar sig på Digital Rights-domen och den därefter meddelade Tele2-domen, är tillräckligt allvarligt för att kunna motivera ett ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan när det gäller lagring av och tillgång till personuppgifter.

71.

Härvidlag ska det erinras om att begreppet ”allvarliga brott” användes av EU-domstolen i Digital Rights-domen, ( 76 ) emellanåt i kombination med begreppet ”grov brottslighet”, ( 77 ) som kriterium för kontroll av syftet med och det proportionerliga i det ingrepp i de ovannämnda grundläggande rättigheterna som uppkom till följd av de unionsrättsliga bestämmelserna om personuppgifter, närmare bestämt bestämmelserna i direktiv 2006/24. Begreppet ”allvarliga brott” förekommer inte i direktiv 2002/58 ( 78 ) men användes däremot i direktiv 2006/24, ( 79 ) som ju ogiltigförklarades genom Digital Rights-domen. Därefter använde domstolen båda begreppen ”allvarliga brott” och ”grov brottslighet” i Tele2-domen, ( 80 ) också där som bedömningskriterium, även om bedömningen denna gång avsåg huruvida bestämmelser som medlemsstaterna hade antagit var förenliga med unionsrätten. ( 81 )

72.

Den första tolkningsfrågan innebär närmare bestämt att domstolen uppmanas att slå fast huruvida det, vid bedömning av huruvida det föreligger ett ”allvarligt brott” som kan motivera ett personuppgiftsrelaterat ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan, uteslutande ska tas hänsyn till vilken påföljd det omtvistade brottet kan föranleda eller även till huruvida den brottsliga gärningen är särskilt skadlig för de enskilda eller kollektiva rättsligt erkända intressen som är i fråga.

73.

Liksom kommissionen anser jag emellertid att det inte är möjligt att yttra sig i denna fråga innan det har undersökts huruvida det ingrepp som är i fråga i ett sådant mål som det nationella målet är så allvarligt att det enligt unionsrätten kan tillåtas endast om det kan motiveras med hänvisning till bekämpande av ett brott av allvarlig karaktär. Om EU-domstolen skulle finna att ingreppet inte är så allvarligt, bör den enligt min uppfattning göra en tolkning av de relevanta unionsrättsliga bestämmelserna där den inte inskränker sig till den tolkning som den hänskjutande domstolen har begärt utan först omformulerar den första tolkningsfrågan ( 82 ) i den utsträckning som krävs mot bakgrund av omständigheterna i det nationella målet. ( 83 )

74.

Inledningsvis ska det slås fast att sådana åtgärder som är i fråga i det nationella målet verkligen kan kränka de grundläggande rättigheter som garanteras genom artiklarna 7 och 8 i stadgan och således utgöra ett ingrepp i dessa rättigheter i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen.

75.

De uppgifter som i det aktuella fallet har efterfrågats av de myndigheter som ansvara för brottsutredningen förefaller förvisso – som den spanska och den danska regeringen har framhållit i sina muntliga yttranden ( 84 ) och som jag själv redan har påpekat ( 85 ) – vara av mindre känslig art än personuppgifter tillhörande vissa andra kategorier. ( 86 ) Den aktuella ansökan avser ju uteslutande för- och efternamn och eventuellt adress för de personer som ingår i utredningen av det skälet att de använder telefonnummer som har aktiverats från den stulna mobiltelefonen som utredningen avser.

76.

Jag anser emellertid att när det gäller att fastställa huruvida personuppgifter ska omfattas av det skydd som föreskrivs i unionsrätten, särskilt i direktiv 2002/58, ( 87 ) saknar det betydelse huruvida de uppgifter som avses i en ansökan om lagring eller tillgång är av särskilt känslig art eller inte. Som påpekades i de första förarbetena på området, kan ”[v]arje uppgift som rör en person, även skenbart harmlösa uppgifter (såsom en postadress), … vara av känslig art, beroende på de ändamål för vilka uppgiften används”. ( 88 ) Dessutom har domstolen slagit fast att när det gäller att avgöra huruvida det föreligger ett ingrepp i den grundläggande rättighet som stadfästs i artikel 7 i stadgan, ”har [det] föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte”. ( 89 )

77.

Jag vill också erinra om att överföring av personuppgifter till tredje part, även till en offentlig myndighet som kriminalpolisen, alltid utgör ett ingrepp i den grundläggande rättighet som garanteras genom artikel 7 i stadgan, ( 90 ) även när uppgifterna överförs för att användas i en brottsutredning – ett fall som för övrigt uttryckligen avses i artikel 15.1 i direktiv 2002/58. ( 91 ) En sådan åtgärd kan därutöver, eftersom den medför att personuppgifter behandlas, även innebära en kränkning av den grundläggande rätt till skydd av personuppgifter som garanteras genom artikel 8 i stadgan. ( 92 )

78.

Därför anser jag att det finns fog för slutsatsen att en sådan åtgärd som den som är i fråga i det nationella målet utgör ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.

79.

Emellertid saknas det i det aktuella fallet enligt min bedömning en väsentlig faktor som EU-domstolen har angett som förutsättning för att ett sådant ingrepp, i egenskap av undantag från principen om konfidentialitet vid elektronisk kommunikation, måste motiveras av förekomsten av ett ”allvarligt brott” (det begrepp som den hänskjutande domstolen önskar få uttolkat). Det som jag anser saknas i det aktuella fallet, och som gör att det inte finns förutsättningar för att besvara den första tolkningsfrågan såsom den hänskjutande domstolen har formulerat denna, är ett allvarligt ingrepp. Om ingreppet hade varit allvarligt, skulle det däremot ha krävts en sådan särskild motivering.

80.

I detta sammanhang vill jag påpeka att EU-domstolen i Digital Rights-domen särskilt betonade den långtgående och synnerligen allvarliga karaktären av det ingrepp som den berörda lagstiftningen gav upphov till och därvid bland annat framhöll att ”direktiv 2006/24 generellt omfattar samtliga personer, samtliga elektroniska kommunikationsmedel och samtliga trafikuppgifter utan att det görs några åtskillnader, begränsningar eller undantag utifrån syftet att bekämpa allvarliga brott”. ( 93 )

81.

På liknande sätt slog domstolen i Tele2-domen fast att ”[a]rtikel 15.1 i direktiv 2002/58 … utgör hinder för en nationell lagstiftning som i brottsbekämpande syfte föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel”. ( 94 ) Domstolen noterade också i samma dom att det fanns ett samband mellan å ena sidan konstaterandet att ingreppet således var särskilt allvarligt och å andra sidan behovet av att motivera ett så omfattande ingrepp i de grundläggande rättigheter som garanteras genom artiklarna 7 och 8 i stadgan genom att hänvisa till ett så centralt mål av allmänintresse som ”bekämpning av grov brottslighet”. ( 95 )

82.

Denna koppling mellan det konstaterade ingreppets grad av allvar och vikten av det intresse som kan motivera ingreppet gjordes i överensstämmelse med proportionalitetsprincipen. ( 96 ) Dessutom förefaller det som om Europadomstolen i sin praxis rörande artikel 8 i Europakonventionen ( 97 ) har slagit fast ett samband motsvarande det som enligt mig framgår av Digital Rights-domen och Tele2-domen.

83.

Som jag har nämnt ovan ( 98 ) – och som särskilt har framhållits av den franska regeringen, Förenade kungarikets regering och kommissionen – skiljer sig arten av det ingrepp som är i fråga i det här aktuella nationella målet i flera avseenden från de ingrepp som domstolen hade att ta ställning till i dessa båda tidigare domar. Detta betyder att bedömningen av huruvida en sådan åtgärd som den här aktuella är förenlig med unionsrätten ska göras på ett annat sätt.

84.

I det aktuella fallet rör det sig inte om en åtgärd som avser en skyldighet att ombesörja en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter avseende samtliga abonnenter och registrerade användare och samtliga elektroniska kommunikationsmedel. I stället rör det sig om en riktad åtgärd i fråga om en möjlighet för behöriga myndigheter att, i syfte att tillgodose behov inom ramen för en brottsutredning, få tillgång till uppgifter som tjänsteleverantörer innehar för kommersiella ändamål, varvid de efterfrågade uppgifterna dels uteslutande avser identiteten (för- och efternamn och eventuellt adress) för en avgränsad kategori av abonnenter eller användare av ett specifikt kommunikationsmedel (nämligen de personer vilkas telefonnummer har aktiverats från den mobiltelefon som blev föremål för det tillgrepp som ligger till grund för brottsutredningen), dels rör en begränsad period (nämligen omkring tolv dagar). ( 99 )

85.

Till detta ska läggas att de potentiella skadeverkningarna för de personer som berörs av den aktuella ansökan om tillgång till uppgifter dels är måttliga, dels omgärdas av regler. Eftersom de efterfrågade uppgifterna endast ska användas inom ramen för en utredningsåtgärd, är de nämligen inte avsedda att spridas till allmänheten. ( 100 ) Dessutom innebär den spanska lagstiftningen att polismyndigheternas möjligheter att få tillgång till uppgifter är underkastade processuella garantier i form av domstolskontroll – som ju för övrigt faktiskt föranledde ett avslag på polisens ansökan i det nationella målet.

86.

Det ingrepp i de ovannämnda grundläggande rättigheterna som ett utlämnande av de aktuella uppgifterna av folkbokföringskaraktär skulle medföra är enligt min uppfattning inte av särskilt allvarlig natur, ( 101 ) eftersom uppgifterna är av sådan art och har så begränsad omfattning att det inte är möjligt att enbart utifrån dem få fram utförliga och/eller exakta upplysningar om de berörda personerna, ( 102 ) vilket betyder att ett utlämnande under just de aktuella omständigheterna inte skulle medföra någon direkt och mer betydande inverkan på dessa personers privatliv. ( 103 )

87.

Följaktligen anser jag i likhet med kommissionen att det är nödvändigt att omformulera den första tolkningsfrågan för att den hänskjutande domstolen ska kunna erhålla relevanta upplysningar som gör det möjligt för den att avgöra det mål som den ska pröva. Närmare bestämt bör EU-domstolens svar avse tolkningen av artikel 15.1 i direktiv 2002/58 mot bakgrund av sådana omständigheter som är för handen i det nationella målet, nämligen ett fall där det görs ett ingrepp utan särskilt allvarlig karaktär i de ovannämnda grundläggande rättigheterna och hänvisas till bekämpning av en typ av brott vars allvarliga karaktär ifrågasätts.

88.

I detta sammanhang ska det erinras om att artikel 15.1 i direktiv 2002/58 innehåller en uttömmande uppräkning av de syften som kan motivera en nationell lagstiftning som innebär undantag från principen om konfidentialitet vid elektronisk kommunikation och att tillgång till lagrade uppgifter därför endast får ges om det som eftersträvas faktiskt och strikt motsvarar något av dessa syften. ( 104 ) Ett av de syften som räknas upp är det mål av allmänintresse som avser ”förebyggande, undersökning, avslöjande av och åtal för brott” ( 105 ) – utan närmare specificering av brottens art.

89.

Av denna formulering framgår att nämnda artikel 15.1 inte uppställer något krav på att de brott som motiverar en viss begränsande åtgärd måste betraktas som ”allvarliga” i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen. Enligt min uppfattning är det endast när det aktuella ingreppet är särskilt allvarligt, såsom i de mål som föranledde dessa båda domar, som de brott som ska motivera ingreppet också måste vara särskilt allvarliga. När ingreppet däremot inte är allvarligt, gäller i stället den grundprincip som går att utläsa ur lydelsen av nämnda bestämmelse, nämligen att samtliga typer av ”brott” kan motivera ett sådant ingrepp.

90.

Jag anser att det är viktigt att undvika att övertolka de krav som domstolen har uppställt i Digital Rights-domen och Tele2-domen, så att medlemsstaterna inte hindras – åtminstone inte oskäligen – från att utnyttja sin möjlighet enligt artikel 15.1 i direktiv 2002/58 att göra undantag från ordningen enligt det direktivet i fall där ingrepp i privatlivet har både ett legitimt syfte och en begränsad räckvidd – exempelvis sådana ingrepp som i det aktuella fallet kan komma att ske till följd av kriminalpolisens ansökan. Mer konkret anser jag att unionsrätten inte utgör hinder för att behöriga myndigheter får tillgång till identifikationsuppgifter som finns hos leverantörer av elektroniska kommunikationstjänster och som gör det möjligt att hitta de personer som misstänks ha begått ett brott som inte är att anse som allvarligt.

91.

Följaktligen förordar jag att domstolen ska besvara den första tolkningsfrågan i dess omformulerade lydelse med att artikel 15.1 i direktiv 2002/58 jämförd med artiklarna 7, 8 och 52.1 i stadgan ska tolkas så, att en åtgärd som under sådana omständigheter som är för handen i det nationella målet medger att de behöriga nationella myndigheterna i brottsbekämpande syfte får tillgång till identifikationsuppgifter för användare av telefonnummer som under en begränsad period har aktiverats från en viss mobiltelefon visserligen utgör ett ingrepp i de grundläggande rättigheter som garanteras av nämnda direktiv och av stadgan men att detta ingrepp inte är så allvarligt att möjlighet till sådan tillgång ska förbehållas fall där det berörda brottet är av allvarlig karaktär.

92.

Med tanke på detta föreslagna svar är samtliga överväganden i det följande att betrakta som redovisade i andra (och tredje) hand, för fullständighetens skull.

93.

För den händelse att domstolen skulle finna – i motsats till vad jag förordar – att det i det aktuella målet, oaktat de ytterst särpräglade omständigheterna i det nationella målet, ska slås fast vad som avses med ett ”allvarligt brott” i den mening som avses i den rättspraxis som grundar sig på Digital Rights-domen och Tele2-domen, ( 106 ) behöver det för det första avgöras huruvida denna term avser ett självständigt begrepp inom unionsrätten som det således ankommer på domstolen att definiera. Jag anser, i likhet med vad den franska regeringen har föreslagit i sitt förstahandssvar, att så inte är fallet. Skälen till detta redovisas i det följande.

94.

Till att börja med ska det noteras att direktiv 2006/24, varifrån användningen av begreppet ”allvarligt brott” ursprungligen kommer, ( 107 ) inte innehöll någon definition av detta begrepp utan i stället en hänvisning till medlemsstaternas rättsordningar. ( 108 ) Vidare ska de relevanta övervägandena i Digital Rights-domen och Tele2-domen enligt min uppfattning inte förstås så, att de är avsedda att harmonisera gällande rättsregler i medlemsstaterna som rör innehållet i nämnda begrepp.

95.

Därvidlag ska det erinras om att straffrätten och straffprocessrätten faller under medlemsstaternas behörighet, även om deras rättsordningar kan påverkas av unionsrättsliga bestämmelser på området. ( 109 ) Enligt artikel 83.2 FEUF är det endast om en harmonisering av medlemsstaternas straffrätt visar sig nödvändig för att säkerställa att unionens politik på ett område som omfattas av harmoniseringsåtgärder ska kunna genomföras effektivt som unionen får anta direktiv där det föreskrivs minimiregler för fastställande av brottsrekvisit och påföljder på det berörda området. På unionsrättens nuvarande utvecklingsstadium finns det inte någon bestämmelse med allmän räckvidd som slår fast en harmoniserad definition av begreppet ”allvarligt brott”. ( 110 )

96.

Det förefaller därför som om befogenheten att fastställa vad som utgör ett ”allvarligt brott” i princip tillkommer de behöriga myndigheterna i medlemsstaterna. Det ankommer emellertid på EU-domstolen att kontrollera – vilket sker på grundval av de nationella domstolarnas möjlighet att begära förhandsavgörande av domstolen – att samtliga krav som följer av unionsrätten är uppfyllda, inbegripet att det skydd som stadgans bestämmelser ger tillämpas på ett sammanhängande sätt.

97.

Här ska det påtalas att vad som avses med ett allvarligt brott dels kan skilja sig från en medlemsstat till en annan, beroende olika traditioner och de prioriteringar som fastställs i var och en av dem, dels även kan variera i tiden, beroende på den inriktning (med tonvikt på strängare eller mildare påföljder) som fastställs för politiken på området brott och straff i syfte att beakta brottslighetens utveckling ( 111 ) och mer allmänt beroende på förändringar i samhället och behovet av bland annat brottsbekämpning på nationell nivå.

98.

Vidare ska det understrykas att det finns stora skillnader mellan de straffskalor som traditionellt tillämpas i de olika medlemsstaterna ( 112 ) och att ett brotts grad av allvar därför inte endast beror på den därtill knutna påföljdens stränghet. Huruvida ett visst brott är allvarligt är i hög grad en relativ fråga i så måtto att svaret beror på de straffskalor som generellt tillämpas i den berörda medlemsstaten. Att man i en medlemsstat föreskriver ett kort fängelsestraff eller en påföljd av annat slag påverkar inte i och för sig den berörda brottstypens inneboende grad av allvar. ( 113 )

99.

Jag anser att det är nödvändigt att respektera särarten hos varje enskild medlemsstats straffrättsliga system, i den mån som unionsrätten inte fastställer några strikt bindande skyldigheter för medlemsstaterna. Detta ligger i linje med vad domstolen har slagit fast såvitt avser upprätthållandet av allmän säkerhet ( 114 ) – ett begrepp som enligt min uppfattning ligger nära begreppet bekämpning av grov brottslighet, bland annat med tanke på lydelsen av artikel 15.1 första meningen i direktiv 2002/58.

100.

Därför är min åsikt i andra hand att begreppet ”allvarligt brott” i den mening som avses i domstolens praxis som grundar sig på Digital Rights-domen och Tele2-domen inte utgör ett självständigt unionsrättsligt begrepp vars innehåll ska fastställas av domstolen, även om domstolen förvisso ska kontrollera att medlemsstaterna tillämpar undantaget enligt artikel 15.1 i direktiv 2002/58 i överensstämmelse med de skyldigheter som följer av unionsrätten, bland annat de grundläggande rättigheter som garanteras i stadgan.

101.

Såvitt avser detta krav på iakttagande av unionsrätten ska det påpekas att det av domstolens praxis framgår i synnerhet att artikel 15.1 i direktiv 2002/58, eftersom den medger att medlemsstaterna begränsar tillämpningsområdet för vissa rättigheter och skyldigheter som föreskrivs i det direktivet, ska tolkas strikt och följaktligen inte får medföra att undantag från dessa principiella rättigheter och skyldigheter blir regel. ( 115 ) Således får medlemsstaterna inte ge begreppet ”allvarligt brott” en alltför vid tolkning.

102.

För det andra, och i tredje hand, skulle det kunna tänkas att EU-domstolen finner att ”allvarligt brott” faktiskt är ett självständigt begrepp. Då ska EU-domstolen besvara tolkningsfrågan såsom den hänskjutande domstolen har formulerat den och således uttala sig om de kriterier som på unionsrättslig nivå ska användas för att bedöma huruvida ett brott är tillräckligt allvarligt för att kunna motivera ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan.

103.

Närmare bestämt ska EU-domstolen avgöra huruvida det vid bedömningen av huruvida det föreligger ett ”allvarligt brott” i den mening som avses i ovan nämnd praxis är tillräckligt att utgå från den påföljd som föreskrivs för det påstådda brottet eller huruvida det även krävs att gärningen har varit särskilt skadlig för de enskilda eller kollektiva rättsliga intressen som är i fråga. Enligt min åsikt – som delas av den danska, den spanska, den franska, den ungerska, den österrikiska och den polska regeringen samt Förenade kungarikets regering – bör i allt väsentligt det sistnämnda alternativet väljas och en definition baserad på ett flertal bedömningskriterier ges företräde. ( 116 )

104.

Såvitt avser den grad av allvar hos ett brott som kan motivera utlämnande av uppgifter, innebär proportionalitetsprincipen enligt min uppfattning att det är omöjligt att avgöra en brottslig gärnings grad av allvar enbart med ledning av den påföljd som kan utdömas. Med tanke på de betydande skillnader som fortfarande finns mellan medlemsstaternas påföljdssystem anser jag nämligen att påföljden – i kvalitativ bemärkelse, med avseende på dess typ, och/eller i kvantitativ bemärkelse, med avseende på dess nivå – inte ensam kan avspegla graden av allvar för ett visst brott.

105.

Påföljden är förvisso synnerligen betydelsefull i det hänseendet, men trots detta bör även andra objektiva faktorer beaktas, med ledning av omständigheterna i det enskilda fallet. Närmare bestämt avser dessa faktorer dels sammanhanget för det påstådda brottet, det vill säga huruvida den brottsliga gärningen är uppsåtlig, huruvida det föreligger försvårande omständigheter och/eller är fråga om återfallsbrott, dels vikten av de samhällsintressen som gärningsmannen kan ha åsidosatt och arten och/eller omfattningen av den skada som brottsoffret kan ha lidit, ( 117 ) och slutligen den allmänt tillämpliga straffskalan i den berörda medlemsstaten. ( 118 ) Enligt min uppfattning är det med tillämpning av denna uppsättning alternativa bedömningskriterier – uppräkningen ovan är inte uttömmande – som ett brott i förekommande fall ska klassificeras som ”allvarligt” i den mening som avses i domstolens ifrågavarande praxis.

106.

Tilläggas ska att denna föreslagna tolkning är förenlig med det synsätt som Europadomstolen enligt min uppfattning har använt i sin praxis rörande ”förebyggande av … brott”, vilket är ett av de syften som – förutsatt att även andra villkor är uppfyllda ( 119 ) – kan motivera ett ingrepp i den rätt till privatliv som stadfästs i artikel 8 i Europakonventionen. Enligt min uppfattning framgår det av nämnda praxis att de stater som har ingått Europakonventionen med framgång kan anföra bekämpandet av vissa kategorier av brott i detta sammanhang, ( 120 ) varvid inte endast påföljden är relevant utan snarare en uppsättning olika bedömningskriterier, bland vilka särskilt märks de berörda brottens art och de allmänna och enskilda intressen som brotten har påverkat. ( 121 )

107.

Jag anser således att om domstolen finner att begreppet ”allvarligt brott” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen är ett självständigt unionsrättsligt begrepp, ska detta begrepp tolkas så, att vid bedömningen av huruvida ett brott är tillräckligt allvarligt för att kunna motivera att behöriga nationella myndigheter med stöd av artikel 15.1 i direktiv 2002/58 får tillgång till personuppgifter ska hänsyn inte uteslutande tas till den påföljd som kan utdömas utan även till en uppsättning andra sådana objektiva bedömningskriterier som har nämnts ovan.

108.

Den hänskjutande domstolen har genom sin andra tolkningsfråga uppmanat EU-domstolen att dels slå fast den miniminivå som påföljden för ett brott måste uppnå för att detta brott ska kunna anses som ”allvarligt” i den mening som avses i den praxis som grundar sig på Digital Rights-domen och Tele2-domen, dels slå fast huruvida en sådan tröskelnivå på tre års fängelse som sedan 2015 års reform ( 122 ) föreskrivs i den spanska straffprocesslagen är förenlig med unionsrättens krav.

109.

Dessa båda delfrågor har ställts enbart i andra hand, för den händelse att EU-domstolen i sitt svar på den första tolkningsfrågan skulle finna att bedömningen av huruvida ett brott är att anse som allvarligt, och således med stöd av ovan nämnd praxis kan motivera ett ingrepp i grundläggande rättigheter, ska grunda sig uteslutande på varaktigheten av det frihetsberövande som brottet kan föranleda.

110.

Med tanke på mitt föreslagna svar på den första tolkningsfrågan anser jag att EU-domstolen saknar anledning att yttra sig över den andra tolkningsfrågan. För fullständighetens skull kommer jag emellertid ändå att redovisa vissa överväganden i det berörda ämnet.

111.

Såvitt avser den andra tolkningsfrågans inledande del anser jag – i likhet med bland annat den tjeckiska och den estniska regeringen – att den påföljdsnivå som i och för sig är tillräcklig för att ett brott ska anses som ”allvarligt” inte kan fastställas på ett enhetligt sätt för hela unionen. Skälet till detta har samband med de överväganden som jag har redovisat ovan med anledning av den hänskjutande domstolens första tolkningsfråga. ( 123 )

112.

För övrigt skiljer sig mellan unionsrättsakter definitionen av vad som är att anse som ett ”allvarligt brott” – närmare bestämt såvitt avser den lägsta påföljdsnivå som medger en sådan klassificering. I olika unionsrättsakter som har antagits med stöd av artikel 83.1 FEUF föreskrivs nämligen olika långa fängelsestraff för brott som likafullt samtliga anses utgöra ”särskilt allvarlig brottslighet”. ( 124 ) Som illustration kan nämnas artikel 3 i direktiv 2011/92/EU ( 125 ) och artikel 15 i direktiv (EU) 2017/541, ( 126 ) två direktiv som avser bekämpande av sexuella övergrepp mot barn respektive bekämpande av terrorism. Unionslagstiftaren har således själv inte valt en enhetlig definition av begreppet ”allvarligt brott” i form av en specificerad längd på den därtill knutna påföljden.

113.

Här ska det erinras om att medlemsstaternas frihet att fastställa den lägsta påföljdsnivå från och med vilken ett brott ska anses som ”allvarligt” begränsas av inte endast de regler som slås fast i de unionsrättsliga bestämmelserna på området utan också av principen att ett undantag inte får ges så stor räckvidd att det i själva verket blir till allmän regel. ( 127 )

114.

I det aktuella fallet får visserligen varje enskild medlemsstat avgöra vad som är en lämplig lägsta påföljdsnivå för att karakterisera ett brott som allvarligt, men medlemsstaterna är därvid skyldiga att inte sätta gränsen så lågt – i förhållande till den sedvanliga nivån på straffskalorna i respektive stat ( 128 ) – att undantagen enligt artikel 15.1 i direktiv 2002/58 från förbudet att lagra och utnyttja personuppgifter blir principer. Detta är för övrigt något som den irländska regeringen med rätta har framhållit.

115.

Sådana ingrepp i rättigheterna enligt artiklarna 7 och 8 i stadgan som medlemsstaterna kan tillåta med stöd av artikel 15.1 i direktiv 2002/58 får dessutom ske endast under iakttagande av de allmänna krav som följer av proportionalitetsprincipen såsom denna kommer till uttryck i artikel 52.1 i stadgan. ( 129 )

116.

Såvitt avser den andra tolkningsfrågans avslutande del anser den estniska regeringen och kommissionen dels att en nedre gräns som grundar sig uteslutande på en påföljd på minst tre års fängelse rent allmänt torde vara tillräcklig för klassificering av ett brott som ”allvarligt” i den mening som avses i domstolens på Digital Rights-domen grundade praxis rörande tillgång till personuppgifter, dels att en sådan nedre gräns inte är uppenbart oförenlig med unionsrätten i allmänhet ( 130 ) och med artikel 15.1 i direktiv 2002/58 i synnerhet.

117.

Jag anser emellertid att det vore att föredra att domstolen avstod från att inta en ståndpunkt som innebär att den förordar en viss specificerad påföljdsnivå, eftersom vad som är lämpligt för vissa medlemsstater inte nödvändigtvis är det för andra och eftersom vad som för närvarande gäller för en viss brottstyp inte nödvändigtvis och oåterkalleligen kommer att gälla i framtiden, något som jag redan har nämnt. ( 131 ) Med tanke på att fastställandet av den berörda nedre gränsen skulle kräva en komplicerad bedömning som dessutom kan tänkas behöva ändras med tiden, är det som jag ser saken lämpligt att iaktta försiktighet på denna punkt och överlåta den aktuella bedömningen antingen på unionslagstiftaren, inom de befogenhetsområden som denne har tilldelats, eller på lagstiftaren i varje enskild medlemsstat, med förbehåll för de krav som följer av unionsrätten.

118.

Såvitt avser det sistnämnda ska det framhållas att den hänskjutande domstolen i det aktuella fallet har påtalat att det finns en risk för att den allmänna regeln enligt direktiv 2002/58 ska bli till undantag och omvänt, vilket är en risk som också har tagits upp ovan, ( 132 ) genom att notera att ”en stor del av alla brottstyper” berörs av den nedre gräns på tre års fängelse som den spanska lagstiftaren införde 2015. ( 133 ) Den hänskjutande domstolen anser med andra ord att efter reformen av straffprocesslagen är förteckningen över brott som i Spanien kan motivera inskränkningar i de rättigheter som skyddas genom artiklarna 7 och 8 i stadgan så omfattande att den i praktiken inbegriper de flesta av brottsrubriceringarna i strafflagen.

119.

Under förutsättning dels att EU-domstolen finner att det ingrepp som är i fråga i det nationella målet är att anse som allvarligt, dels att nämnda reform verkligen har medfört det resultat som den hänskjutande domstolen har angett, anser jag att detta resultat inte är förenligt med det proportionalitetskrav som gäller för sådana inskränkningar. ( 134 ) Så är enligt min uppfattning fallet trots att det – vilket den spanska regeringen har framhållit – finns en domstolskontroll, eftersom domstolarna genom att utöva sina kontrollbefogenheter förvisso kan förhindra genomförandet av sådana åtgärder som med ledning av den bedömning som görs i varje enskilt fall befinns vara godtyckliga eller alltför ingripande men däremot inte på ett mer allmänt plan kan minska benägenheten att tillgripa sådana åtgärder eller hejda deras utveckling.

120.

Avslutningsvis ska det understrykas att det synsätt som jag har förespråkat i hela detta avsnitt enligt min uppfattning står i överensstämmelse med det synsätt som Europadomstolen har valt i sin praxis rörande skydd av personuppgifter. Visserligen har Europadomstolen – vilket den irländska regeringen och kommissionen har framhållit – prövat nationell lagstiftning där ”allvarliga” brott ägnade att motivera ingrepp i privatlivet definierades med hänvisning till en påföljd på minst tre års fängelse och då funnit att denna lagstiftning var tillräckligt tydlig, ( 135 ) men jag anser inte att Europadomstolen därvid slog fast den påföljdsnivån som ett absolut och oföränderligt kriterium såvitt avser den definitionen. Enligt min bedömning förefaller nämligen nämnda praxis i första hand röra kravet på tillräcklig förutsebarhet och tydlighet för medborgarnas del, och då med avseende mindre på den påföljd som kan utdömas än arten av de brott som medger sådana ingrepp. ( 136 ) Till yttermera visso tillerkänner Europadomstolen visserligen staterna ett visst utrymme för skön i bedömningen av huruvida och i vilken grad ett sådant ingrepp är nödvändigt, men detta utrymme för skönsmässig bedömning är föremål för kontroll på europeisk nivå. ( 137 ) I synnerhet strävar Europadomstolen efter att förebygga de risker för missbruk som kan uppstå när det i en lagstiftning hänvisas till ett så brett spektrum av brott att merparten av alla existerande brottsrubriceringar kan motivera ingripande åtgärder. ( 138 )

121.

Sammanfattningsvis anser jag att den andra tolkningsfrågan – för den händelse att domstolen (i motsats till vad jag förordar) skulle finna att den påföljd som kan utdömas är det enda som ska beaktas vid bedömningen av huruvida ett brott är att anse som ”allvarligt” i den mening som avses i domstolens praxis som grundar sig på Digital Rights-domen – ska besvaras med att det står medlemsstaterna fritt att fastställa den för det berörda ändamålet relevanta lägsta påföljdsnivån, under förutsättning att de iakttar de krav som följer av unionsrätten, i synnerhet kravet på att ingrepp i de grundläggande rättigheter som garanteras i artiklarna 7 och 8 i stadgan ska göras endast i undantagsfall och vara förenliga med proportionalitetsprincipen.

122.

Mot bakgrund av det ovan anförda föreslår jag att EU-domstolen ska besvara tolkningsfrågorna från Audiencia Provincial de Tarragona (Provinsdomstolen i Tarragona, Spanien) enligt följande:

Artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009, jämförd med artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas så, att en åtgärd som under sådana omständigheter som är för handen i det nationella målet medger att de behöriga nationella myndigheterna i brottsbekämpande syfte får tillgång till identifikationsuppgifter om användare av telefonnummer som under en begränsad period har aktiverats från en viss mobiltelefon visserligen utgör ett ingrepp i de grundläggande rättigheter som garanteras av nämnda direktiv och av stadgan men att detta ingrepp inte är så allvarligt att möjlighet till sådan tillgång ska förbehållas fall där det berörda brottet är av allvarlig karaktär.