Mål C‑140/20

G.D.

mot

Commissioner of An Garda Síochána m.fl.

(begäran om förhandsavgörande från Supreme Court (Högsta domstolen, Irland))

Domstolens dom (stora avdelningen) av den 5 april 2022

”Begäran om förhandsavgörande – Behandling av personuppgifter inom sektorn för elektronisk kommunikation – Konfidentialitet vid kommunikation – Leverantörer av elektroniska kommunikationstjänster – Generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter – Tillgång till lagrade uppgifter – Domstolsprövning i efterhand – Direktiv 2002/58/EG – Artikel 15.1 – Europeiska unionens stadga om de grundläggande rättigheterna – Artiklarna 7, 8, 11 och 52.1 – Möjlighet för en nationell domstol att begränsa den tidsmässiga verkan av en ogiltigförklaring som avser en nationell lagstiftning som är oförenlig med unionsrätten – Saknas”

  1. Tillnärmning av lagstiftning – Sektorn för elektronisk kommunikation – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Rätt för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra trafik- och lokaliseringsuppgifter – Syftet att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten – Otillåtet – Nationell lagstiftning som föreskriver riktad lagring av uppgifter på grundval av objektiva och icke-diskriminerande faktorer under en period som är tidsmässigt begränsad till vad som är strängt nödvändigt – Nationell lagstiftning som föreskriver generell och odifferentierad lagring av IP-adresser som har tilldelats källan till en internetanslutning under en period som är tidsmässigt begränsad till vad som är strängt nödvändigt – Nationell lagstiftning som föreskriver en generell och odifferentierad lagring av identitetsuppgifter om användare av elektroniska kommunikationsmedel – Nationell lagstiftning som föreskriver att leverantörer av elektroniska kommunikationstjänster kan åläggas att, under en begränsad tid, skyndsamt säkra trafik- och lokaliseringsuppgifter – Syftet att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten – Tillåtet – Villkor

    (Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)

    (se punkterna 51–57, 62–65, 71–74, 83–87, 91–93 och 97–101 samt punkt 1 i domslutet)

  2. Tillnärmning av lagstiftning – Sektorn för elektronisk kommunikation – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Rätt för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra trafik- och lokaliseringsuppgifter – Nationella myndigheters tillgång till de lagrade uppgifterna inom ramen för brottsutredningar – Tillgång till uppgifter beviljad av en polistjänsteman, biträdd av en enhet inom polismyndigheten och som åtnjuter en viss självständighet vid utövandet av sitt uppdrag – Domstolsprövning i efterhand av beslutet att bevilja tillgång – Otillåtet

    (Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)

    (se punkterna 106–112 samt punkt 2 i domslutet)

  3. Tillnärmning av lagstiftning – Sektorn för elektronisk kommunikation – Behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation – Direktiv 2002/58 – Rätt för medlemsstaterna att begränsa omfattningen av vissa rättigheter och skyldigheter – Nationell lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra trafik- och lokaliseringsuppgifter – Syftet att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten – Otillåtet – Förklaring om ogiltighet med avseende på den nationella lagstiftning som föreskriver dessa åtgärder, på grund av att den är oförenlig med unionsrätten – Möjlighet för den nationella domstolen att begränsa de tidsmässiga verkningarna av denna förklaring – Föreligger inte

    (Europeiska unionens stadga om de grundläggande rättigheterna, artiklarna 7, 8, 11 och 52.1; Europaparlamentets och rådets direktiv 2002/58, i dess lydelse enligt förordning nr 2009/136, artikel 15.1)

    (se punkterna 118, 119 och 122–128 samt punkt 3 i domslutet)

Resumé

Domstolen har under de senaste åren i flera domar prövat frågan om lagring och åtkomst till personuppgifter på området för elektronisk kommunikation. ( 1 )

Domstolen har, genom två domar som meddelades av stora avdelningen den 6 oktober 2020, ( 2 ) bekräftat domstolens praxis i domen Tele2 Sverige, genom att slå fast att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter är oproportionerlig. Domstolen har även preciserat bland annat omfattningen av medlemsstaternas befogenhet att lagra sådana uppgifter enligt direktivet om integritet och elektronisk kommunikation i syfte att skydda den nationella säkerheten och bekämpa brottslighet.

I förevarande mål har en begäran om förhandsavgörande framställts av Supreme Court (Högsta domstolen, Irland) i ett tvistemål inlett av en person som dömts till livstids fängelse för mord som hade begåtts i Irland. Denna person ifrågasatte att vissa bestämmelser i den nationella lagstiftningen om lagring av uppgifter inom sektorn för elektronisk kommunikation var förenliga med unionsrätten. ( 3 ) Med stöd av denna lag ( 4 ) hade trafik- och lokaliseringsuppgifter från den åtalades telefonsamtal lagrats av leverantörerna av elektroniska kommunikationstjänster och gjorts tillgängliga för polismyndigheten. Den hänskjutande domstolens tvivel avsåg bland annat huruvida ett system för generell och odifferentierad lagring av sådana uppgifter i samband med bekämpandet av grov brottslighet var förenligt med direktivet om integritet och elektronisk kommunikation ( 5 ), jämfört med stadgan. ( 6 )

I sin dom bekräftar domstolen (stora avdelningen) den praxis som följer av domen La Quadrature du Net m.fl., samtidigt som den preciserar dess räckvidd, och erinrar om att en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter avseende elektronisk kommunikation inte är tillåten i syfte att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten. Domstolen bekräftar även den praxis som följer av domen Prokuratuur (Villkor för tillgång till uppgifter om elektronisk kommunikation), ( 7 ) bland annat i fråga om skyldigheten att göra de behöriga nationella myndigheternas tillgång till de lagrade uppgifterna beroende av en förhandskontroll utförd av antingen en domstol eller en, i förhållande till polistjänstemannen, oberoende myndighet.

Domstolens bedömning

Domstolen finner för det första att direktivet om integritet och elektronisk kommunikation, jämfört med stadgan, utgör hinder för en nationell lagstiftning som ger en statlig myndighet rätt att, i förebyggande syfte, ålägga leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra trafik-och lokaliseringsuppgifter i syfte att bekämpa grov brottslighet och förhindra allvarliga hot mot den nationella säkerheten. Med beaktande av dels att en lagring av dessa uppgifter kan ha en avhållande inverkan på utövandet av grundläggande rättigheter, ( 8 ) dels allvaret i det ingrepp som en sådan lagring innebär, måste, i ett demokratiskt samhälle, ett sådant intrång utgöra ett undantag och inte huvudregeln, i enlighet med vad som föreskrivs i det system som inrättats genom detta direktiv, och uppgifterna får inte lagras systematiskt och fortlöpande. En brottslighet, även om den är särskilt allvarlig, kan inte likställas med ett hot mot den nationella säkerheten, eftersom ett sådant likställande skulle kunna införa en mellanliggande kategori mellan nationell säkerhet och allmän säkerhet, i syfte att på den sistnämnda kategorin tillämpa de krav som följer av den förstnämnda.

Direktivet om integritet och elektronisk kommunikation, jämfört med stadgan, utgör däremot inte hinder för lagstiftningsåtgärder som, i syfte att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten, föreskriver en riktad lagring av trafik- och lokaliseringsuppgifter vilken, på grundval av objektiva och icke-diskriminerande faktorer, är avgränsad genom de kategorier av personer som berörs eller genom ett geografiskt kriterium, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt men som kan förlängas. Domstolen tillägger att en sådan lagringsåtgärd som avser platser och infrastruktur som regelbundet besöks av ett mycket stort antal personer eller strategiskt viktiga platser, såsom flygplatser, järnvägsstationer, kusthamnar eller vägtullstationer, kan göra det möjligt för de behöriga myndigheterna att erhålla information om förekomsten av personer som på dessa platser eller geografiska områden använder elektroniska kommunikationsmedel och därav dra slutsatser om deras närvaro och verksamhet på nämnda platser eller geografiska områden i syfte att bekämpa allvarlig brottslighet. Den omständigheten att det är svårt att i lagstiftning exakt fastställa i vilka situationer och under vilka omständigheter en riktad lagring kan utföras, rättfärdigar i vilket fall som helst inte att medlemsstaterna föreskriver en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter.

Detta direktiv, jämfört med stadgan, utgör inte heller hinder för lagstiftningsåtgärder som, i samma syfte, föreskriver en generell och odifferentierad lagring av IP-adresser som har tilldelats källan till en internetanslutning, för en period som är tidsmässigt begränsad till vad som är strängt nödvändigt, samt identitetsuppgifter om användare av elektronisk kommunikation. I fråga om den sistnämnda aspekten preciserar domstolen att varken direktivet om integritet och elektronisk kommunikation eller någon annan unionsrättsakt utgör hinder för en nationell lagstiftning vars syfte är att bekämpa grov brottslighet, enligt vilken förvärv av elektroniska kommunikationsmedel, såsom ett förbetalt SIM-kort, förutsätter kontroll av officiella handlingar som visar köparens identitet och att säljaren registrerar den information som följer därav, varvid säljaren i förekommande fall är skyldig att ge behöriga nationella myndigheter tillgång till dessa uppgifter.

Detsamma gäller lagstiftningsåtgärder som, i syfte att bekämpa grov brottslighet och förhindra allvarliga hot mot den allmänna säkerheten, tillåter att leverantörer av elektroniska kommunikationstjänster, genom ett beslut från behörig myndighet, vilket är föremål för en effektiv domstolskontroll, åläggs att under en begränsad tidsperiod skyndsamt säkra (quick freeze) trafik- och lokaliseringsuppgifter som dessa tjänsteleverantörer har tillgång till. Det är nämligen endast bekämpandet av grov brottslighet och, i ännu högre grad, skyddet av den nationella säkerheten som kan motivera en sådan lagring, under förutsättning att åtgärden och tillgången till lagrade uppgifter inte överskrider gränserna för vad som är strängt nödvändigt. Domstolen erinrar om att ett sådant skyndsamt säkrande kan utsträckas till att omfatta trafik- och lokaliseringsuppgifter för andra personer än dem som misstänks ha planerat eller begått ett grovt brott alternativt misstänks ha planerat att vidta eller ha vidtagit handlingar till men för nationell säkerhet, under förutsättning att dessa uppgifter, på grundval av objektiva och icke-diskriminerande faktorer, kan bidra till att klarlägga ett sådant brott eller en sådan handling. Det kan härvidlag röra sig om uppgifter om offret, offrets sociala bekantskapskrets eller yrkeskontakter.

Domstolen preciserar emellertid därefter att ovan nämnda lagstiftningsåtgärder måste, genom klara och precisa regler, säkerställa att lagringen av uppgifterna i fråga iakttar tillämpliga materiella och formella villkor, och att de berörda personerna förfogar över effektiva garantier mot riskerna för missbruk. De olika åtgärderna för lagring av trafik- och lokaliseringsuppgifter kan, beroende på den nationella lagstiftarens val och med iakttagande av gränserna för vad som är strängt nödvändigt, tillämpas samtidigt.

Vidare finner domstolen att beviljandet, i syfte att bekämpa grov brottslighet, av tillgång till sådana uppgifter som lagrats på ett generellt och odifferentierat sätt, för att förhindra ett allvarligt hot mot nationell säkerhet, skulle strida mot den hierarki som råder mellan olika mål av allmänt intresse som kan motivera en åtgärd med stöd av direktivet om integritet och elektronisk kommunikation. ( 9 ) Detta skulle nämligen innebära att tillgång till uppgifter skulle kunna motiveras av ett mål av mindre omfattande betydelse än de mål som motiverade att de lagrades, nämligen målet att skydda nationell säkerhet, och därmed riskera att förbudet mot en generaliserad och odifferentierad lagring i syfte att bekämpa grov brottslighet förlorar sin ändamålsenliga verkan.

För det andra slår domstolen fast att direktivet om integritet och elektronisk kommunikation, jämfört med stadgan, utgör hinder för en nationell lagstiftning som föreskriver att en centraliserad handläggning av begäran om tillgång till uppgifter som lagrats av leverantörer av elektroniska kommunikationstjänster, som polisen inkommit med inom ramen för en utredning av och åtal för allvarliga brott, ska utföras av en polistjänsteman som biträds av en enhet inom polismyndigheten med ett visst mått av självständighet när den utför sina uppgifter och vars beslut senare kan bli föremål för en domstolsprövning. En sådan tjänsteman uppfyller nämligen inte de krav på oberoende och opartiskhet som gäller för en förvaltningsmyndighet som utövar förhandskontroll av begäranden om tillgång till uppgifter från behöriga nationella myndigheter, eftersom vederbörande inte är utomstående i förhållande till dessa myndigheter. För det andra gäller att även om en sådan tjänstemans beslut kan bli föremål för domstolsprövning i efterhand, kan denna prövning inte ersätta det krav på en sådan oberoende och, förutom i vederbörligen motiverade brådskande fall, på förhand utförd prövning.

För det tredje och slutligen bekräftar domstolen sin praxis om att unionsrätten utgör hinder för att en nationell domstol tidsmässigt begränsar verkningarna av en ogiltigförklaring som den domstolen är skyldig att meddela enligt nationell rätt, med avseende på nationell lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster en generell och odifferentierad skyldighet att lagra trafik- och lokaliseringsuppgifter, på grund av denna lagstiftnings oförenlighet med direktivet om integritet och elektronisk kommunikation. Domstolen erinrar emellertid om att det följer av principen om medlemsstaternas processuella autonomi att tillåtligheten av den bevisning som erhållits genom en sådan lagring omfattas av nationell rätt, under förutsättning att bland annat principerna om likvärdighet och effektivitet iakttas.

( 1 ) I dom av den 8 april 2014, Digital Rights Ireland m.fl. (C‑293/12 och C‑594/12, EU:C:2014:238) ogiltigförklarade domstolen Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54), eftersom det ingrepp i rätten till skydd för privatlivet och rätten till skydd för personuppgifter, vilka erkänns i Europeiska unionens stadga (nedan kallad stadgan), som den i detta direktiv föreskrivna skyldigheten att generellt lagra trafik- och lokaliseringsuppgifter medförde inte var begränsad till vad som var strängt nödvändigt. Därefter, i domen av den 21 december 2016, Tele2 Sverige och Watson m.fl. (C-203/15 och C-698/15, EU:C:2016:970) fann domstolen att artikel 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37) (nedan kallat direktivet om integritet och elektronisk kommunikation), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11), utgör hinder för en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter i syfte att bekämpa brottslighet. Slutligen, i dom av den 2 oktober 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:18), tolkade domstolen nämnda artikel 15.1 i ett mål som avsåg myndigheters åtkomst till uppgifter om den fysiska identiteten hos användare av elektroniska kommunikationsmedel.

( 2 ) Dom av den 6 oktober 2020, Privacy International (C‑623/17, EU:C:2020:790) och dom av den 6 oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 och C-520/18, EU:C:2020:791).

( 3 ) Communication (Retention of Data) Act 2011 (2011 års lag om kommunikationer (lagring av uppgifter)). Denna lag antogs i syfte att med den irländska rättsordningen införliva Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54).

( 4 ) Lagen medger en generell och odifferentierad lagring av trafik- och lokaliseringsuppgifter i förebyggande syfte avseende alla abonnenter under en tid av två år, av skäl som inte bara rör skyddet av nationell säkerhet.

( 5 ) Närmare bestämt artikel 15.1 i direktiv 2002/58.

( 6 ) Bland annat artiklarna 7, 8, 11 och 52.1 i stadgan.

( 7 ) Dom av den 2 mars 2021, Prokuratuur (Villkor för tillgång till uppgifter om elektronisk kommunikation) (C‑746/18, EU:C:2021:152).

( 8 ) Som stadgas i artiklarna 7–11 i stadgan.

( 9 ) Denna hierarki framgår av domstolens praxis, och bland annat av domen av den 6 oktober 2020, La Quadrature du Net m.fl. (C-511/18, C-512/18 och C-520/18, EU:C:2020:791), punkterna 135 och 136. Enligt denna hierarki anses betydelsen av målet att bekämpa allvarlig brottslighet vara mindre omfattande än betydelsen av målet att skydda den nationella säkerheten.