lagen.
EU-domstolen

Domstolens dom (stora avdelningen) den 6 oktober 2020

CELEX
62017CJ0623
Typ
EU-domstolen
Datum
20171018
ECLI
ECLI:EU:C:2020:790

Källa

Hänvisat till av

+16 fler
Begäran om förhandsavgörandeBehandling av personuppgifter inom sektorn för elektronisk kommunikationLeverantörer av elektroniska kommunikationstjänsterGenerell och odifferentierad överföring av trafikuppgifter och lokaliseringsuppgifterSkydd av nationell säkerhetDirektiv 2002/58/EGTillämpningsområdeArtiklarna 1.3 och 3Konfidentialitet vid elektronisk kommunikationSkyddArtiklarna 5 och 15.1Stadgan om de grundläggande rättigheternaArtiklarna 7, 8, 11 och 52.1Artikel 4.2 FEU

I mål C‑623/17, angående en begäran om förhandsavgörande enligt artikel 267 FEUF, framställd av Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) genom beslut av den 18 oktober 2017, som inkom till domstolen den 31 oktober 2017, i målet

DOMSTOLEN (stora avdelningen) sammansatt av ordföranden K. Lenaerts, vice ordföranden R. Silva de Lapuerta, avdelningsordförandena J.-C. Bonichot, A. Arabadjiev, A. Prechal, M. Safjan, P.G. Xuereb och L.S. Rossi samt domarna J. Malenovský, L. Bay Larsen, T. von Danwitz (referent), C. Toader, K. Jürimäe, C. Lycourgos och N. Piçarra, generaladvokat: M. Campos Sánchez-Bordona, justitiesekreterare: handläggaren C. Strömholm,

efter det skriftliga förfarandet och förhandlingen den 9 och den 10 september 2019,

med beaktande av de yttranden som avgetts av: Privacy International, genom B. Jaffey och T. de la Mare, QC, genom D. Cashman, solicitor, samt genom H. Roy, avocat, Förenade kungarikets regering, genom Z. Lavery, D. Guðmundsdóttir och S. Brandon, samtliga i egenskap av ombud, biträdda av G. Facenna och D. Beard, QC, samt av C. Knight och R. Palmer, barristers, Belgiens regering, genom P. Cottin och J.-C. Halleux, båda i egenskap av ombud, biträdda av J. Vanpraet, advocaat, och E. de Lophem, avocat, Tjeckiens regering, genom M. Smolek, J. Vláčil och O. Serdula, samtliga i egenskap av ombud, Tysklands regering, inledningsvis genom M. Hellmann, R. Kanitz, D. Klebs och T. Henze, därefter genom J. Möller, M. Hellmann, R. Kanitz och D. Klebs, samtliga i egenskap av ombud, Estlands regering, genom A. Kalbus, i egenskap av ombud, Irland, genom M. Browne, G. Hodge och A. Joyce, samtliga i egenskap av ombud, biträdda av D. Fennelly, barrister, Spaniens regering, inledningsvis genom L. Aguilera Ruiz och M.J. García-Valdecasas Dorrego, därefter genom L. Aguilera Ruiz, samtliga i egenskap av ombud, Frankrikes regering, inledningsvis genom E. de Moustier, E. Armoët, A.‑L. Desjonquères, F. Alabrune, D. Colas och D. Dubois, därefter genom E. de Moustier, E. Armoët, A.-L. Desjonquères, F. Alabrune och D. Dubois, samtliga i egenskap av ombud, Cyperns regering, genom E. Symeonidou och E. Neofytou, båda i egenskap av ombud, Lettlands regering, inledningsvis genom V. Soņeca och I. Kucina, därefter genom V. Soņeca, samtliga i egenskap av ombud, Ungerns regering, genom G. Koós, M.Z. Fehér, G. Tornyai och Z. Wagner, därefter genom G. Koós och M.Z. Fehér, samtliga i egenskap av ombud, Nederländernas regering, genom C.S. Schillemans och M.K. Bulterman, båda i egenskap av ombud, Polens regering, genom B. Majczyna, J. Sawicka och M. Pawlicka, samtliga i egenskap av ombud, Portugals regering, genom L. Inez Fernandes, M. Figueiredo och F. Aragão Homem, samtliga i egenskap av ombud, Sveriges regering, inledningsvis genom A. Falk, H. Shev, C. Meyer-Seitz, L. Zettergren och A. Alriksson, därefter genom H. Shev, C. Meyer-Seitz, L. Zettergren och A. Alriksson, samtliga i egenskap av ombud, Norges regering, genom T.B. Leming, M. Emberland och J. Vangsnes, samtliga i egenskap av ombud, Europeiska kommissionen, inledningsvis genom H. Kranenborg, M. Wasmeier, D. Nardi och P. Costa de Oliveira, därefter genom H. Kranenborg, M. Wasmeier och D. Nardi, samtliga i egenskap av ombud, Europeiska datatillsynsmannen, genom T. Zerdick och A. Buchta, båda i egenskap av ombud,

och efter att den 15 januari 2020 ha hört generaladvokatens förslag till avgörande,

följande

Dom

Tillämpliga bestämmelser

Unionsrätt

Direktiv 95/46

Direktiv 2002/58

Förordning 2016/679

Lagstiftningen i Förenade kungariket

Målet vid den nationella domstolen och tolkningsfrågorna

Prövning av tolkningsfrågorna

Den första frågan

Den andra frågan

Rättegångskostnader

1 Begäran om förhandsavgörande avser tolkningen av artiklarna 1.3 och 15.1 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37), i dess lydelse enligt Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 (EUT L 337, 2009, s. 11) (nedan kallat direktiv 2002/58), jämförda med artikel 4.2 FEU samt artiklarna 7, 8 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan).

2 Begäran har framställts i ett mål mellan å ena sidan Privacy International och å andra sidan Secretary of State for Foreign and Commonwealth Affairs (utrikes- och samväldesministern, Förenade kungariket), Secretary of State for the Home Departement (inrikesministern, Förenade kungariket), Government Communications Headquarters (myndigheten för informationsinsamling genom signalspaning, Förenade kungariket) (nedan kallad GCHQ), Security Service (säkerhetstjänsten, Förenade kungariket) (nedan kallad MI5) och Secret Intelligence Service (hemliga underrättelsetjänsten, Förenade kungariket) (nedan kallad MI6). Målet rör lagenligheten av en lagstiftning som tillåter att säkerhets- och underrättelsetjänsterna inhämtar och använder så kallade bulk communications data (nedan kallade mängddata om kommunikation).

3 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31) upphävdes med verkan från och med den 25 maj 2018 genom Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 2016, s. 1). I artikel 3 i direktiv 95/46, med rubriken Tillämpningsområde, föreskrevs följande:

4 I skälen 2, 6, 7, 11, 22, 26 och 30 i direktiv 2002/58 anges följande:

5 I artikel 1 i direktiv 2002/58, med rubriken Tillämpningsområde och syfte, föreskrivs följande:

6 I artikel 2 i direktiv 2002/58, med rubriken Definitioner, föreskrivs följande:

7 I artikel 3 i direktiv 2002/58, med rubriken Berörda tjänster, föreskrivs följande:

8 I artikel 5 i direktiv 2002/58, med rubriken Konfidentialitet vid kommunikation, föreskrivs följande:

9 I artikel 6 i direktiv 2002/58, med rubriken Trafikuppgifter, föreskrivs följande:

10 Artikel 9 i direktiv 2002/58 har rubriken Andra lokaliseringsuppgifter än trafikuppgifter, och där föreskrivs följande i punkt 1:

11 Artikel 15 i direktiv 2002/58 har rubriken Tillämpningen av vissa bestämmelser i direktiv [95/46], och där föreskrivs följande i punkt 1:

12 I artikel 2 i förordning 2016/679 föreskrivs följande:

13 I artikel 4 i förordning 2016/679 föreskrivs följande:

14 I artikel 23.1 i förordning 2016/679 föreskrivs följande:

15 I artikel 94.2 i förordning nr 2016/679 föreskrivs följande:

16 Section 94 i Telecommunications Act 1984 (1984 års lag om telekommunikation), i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad 1984 års lag), har rubriken Anvisningar med hänsyn till den nationella säkerheten m.m., och där föreskrivs följande:

17 I section 21 punkterna 4 och 6 i Regulation of Investigatory Powers Act 2000 (2000 års lag om utredningsbefogenheter) (nedan kallad Ripa) föreskrivs följande:

18 I sections 65–69 i Ripa finns bestämmelser om Investigatory Powers Tribunals (Domstolen för utredningsbefogenheter, Förenade kungariket) funktionssätt och behörighet. Enligt section 65 i Ripa får klagomål ges in till denna domstol om det finns skäl att anta att uppgifter har erhållits på ett olämpligt sätt.

19 I början av år 2015 blev det känt, bland annat genom en rapport från Intelligence and Security Committee of Parliament (parlamentets kommitté för underrättelse- och säkerhetsfrågor, Förenade kungariket) att Förenade kungarikets olika säkerhets- och underrättelsetjänster, det vill säga GCHQ, MI5 och MI6, hade som praxis att samla in och använda mängddata om kommunikation. Den 5 juni 2015 väckte Privacy International, som är en icke-statlig organisation, talan vid den hänskjutande domstolen, Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter, Förenade kungariket) mot utrikes- och samväldesministern, inrikesministern samt säkerhets- och underrättelsetjänsterna och bestred lagenligheten av nyss nämnda praxis.

20 Den hänskjutande domstolen gjorde en prövning av lagenligheten av säkerhets- och underrättelsetjänsternas praxis, först mot bakgrund av den nationella rätten och bestämmelserna i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, som undertecknades i Rom den 4 november 1950 (nedan kallad Europakonventionen) och därefter mot bakgrund av unionsrätten. I dom av den 17 oktober 2016 fann nämnda domstol att svarandena i det nationella målet hade medgett att säkerhets- och underrättelsetjänsterna inom ramen för sin verksamhet samlade in och använde samlingar av så kallade bulk personal data (nedan kallade mängddata om personuppgifter) inom olika kategorier, såsom biografiska uppgifter eller reseuppgifter, finansiell information eller affärsinformation, uppgifter som har samband med kommunikation och som kan innehålla känsliga uppgifter, som omfattas av tystnadsplikt, eller journalistiskt material. Den konstaterade att dessa uppgifter, som erhållits på olika sätt, i förekommande fall på hemlig väg, analyserades genom korskontroller och genom automatiserad behandling. De kunde vidare lämnas ut till andra personer och myndigheter och delas med utländska partner. I detta sammanhang använde säkerhets- och underrättelsetjänsterna även mängddata om kommunikation, vilka inhämtades från operatörer av allmänna elektroniska kommunikationsnät enligt bland annat ministeranvisningar som antagits med stöd av section 94 i 1984 års lag. GCHQ och MI5 hade gått till väga på detta sätt sedan år 2001 respektive år 2005.

21 Den hänskjutande domstolen fann att dessa åtgärder för insamling och användning av uppgifter var förenliga med nationell rätt och, sedan år 2015, med artikel 8 i Europakonventionen, dock med förbehåll för frågor som ännu inte prövats och som avsåg proportionaliteten av nämnda åtgärder och överföring av uppgifter till tredje parter. I det sistnämnda avseendet preciserade den hänskjutande domstolen att det i målet hade getts in bevisning om tillämpliga garantier, bland annat i fråga om förfaranden som reglerar åtkomst till uppgifter och hur uppgifter får spridas utanför säkerhets- och underrättelsetjänsterna, åtgärder för lagring av uppgifter och förekomsten av oberoende tillsyn.

22 Beträffande lagenligheten av de åtgärder som är aktuella i det nationella målet mot bakgrund av unionsrätten, prövade den hänskjutande domstolen i dom av den 8 september 2017 huruvida dessa åtgärder omfattades av unionsrättens tillämpningsområde och, om så var fallet, huruvida de var förenliga med unionsrätten. Den hänskjutande domstolen konstaterade, i fråga om mängddata om kommunikation, att operatörer av elektroniska kommunikationsnät var skyldiga enligt section 94 i 1984 års lag att vid anvisningar härom från en minister lämna ut uppgifter som samlats in inom ramen för deras ekonomiska verksamhet som omfattas av unionsrätten till säkerhets- och underrättelsetjänsterna. Så var däremot inte fallet i fråga om insamling av andra uppgifter som hade erhållits av säkerhets- och underrättelsetjänsterna utan att använda sig av sådana tvingande befogenheter. På grundval av det nyss anförda fann den hänskjutande domstolen att det var nödvändigt att begära ett förhandsavgörande från EU-domstolen för att få klarhet i huruvida ett system som det som följer av section 94 i 1984 års lag omfattas av unionsrätten och, om så är fallet, huruvida och på vilket sätt de krav som uppställs i den rättspraxis som följer av domen av den 21 december 2016, Tele2 Sverige och Watson m.fl. ( C‑203/15 och C‑698/15, EU:C:2016:970) (nedan kallad domen Tele2) är tillämpliga på detta system.

23 I sin begäran om förhandsavgörande har den hänskjutande domstolen angett att ministern, enligt nämnda section 94, får ge leverantörer av elektroniska kommunikationstjänster de generella eller särskilda anvisningar som ministern anser vara nödvändiga med hänsyn till den nationella säkerheten eller till förbindelserna med en utländsk regering. Med hänvisning till definitionerna i section 21.4 och 21.6 i Ripa har den hänskjutande domstolen angett att de berörda uppgifterna innefattar trafikuppgifter och uppgifter om tjänsteanvändning, i den mening som avses i den sistnämnda bestämmelsen, och att det endast är innehållet i kommunikationen som inte omfattas. Dessa uppgifter gör det bland annat möjligt att få kännedom om vem, var, när, hur? när det gäller en kommunikation. Uppgifterna överförs till säkerhets- och underrättelsetjänsterna och lagras av dessa för deras verksamhet.

24 Enligt den hänskjutande domstolen skiljer sig det system som är aktuellt i det nationella målet från det som följer av Data Retention and Investigatory Powers Act 2014 (2014 års lag om datalagring och utredningsbefogenheter) (nedan kallad Dripa), som var i fråga i det mål som avgjordes genom domen av den 21 december 2016, Tele2 ( C‑203/15 och C‑698/15, EU:C:2016:970). Enligt Dripa-systemet skulle nämligen uppgifter lagras av leverantörer av elektroniska kommunikationstjänster och göras tillgängliga inte bara för säkerhets- och underrättelsetjänsterna, med hänsyn till den nationella säkerheten, utan även för andra myndigheter efter deras behov. Tele2-domen avsåg dessutom en brottsutredning och inte nationell säkerhet.

25 Den hänskjutande domstolen har vidare anfört att de databaser som sammanställs av säkerhets- och underrättelsetjänsterna är föremål för en icke-konkret och automatiserad massdatabehandling, i syfte att påvisa förekomsten av eventuella okända hot. Den hänskjutande domstolen har i detta avseende anfört att de samlingar av metadata som sammanställts på detta sätt måste vara så fullständiga som möjligt för att säkerhets- och underrättelsetjänsterna ska kunna ha tillgång till en höstack för att hitta nålen som döljer sig där. När det gäller nyttan av säkerhets- och underrättelsetjänsternas massinsamling av uppgifter och teknikerna för att ta del av dessa uppgifter, har den hänskjutande domstolen särskilt hänvisat till slutsatserna i den rapport som David Anderson, QC, som då var United Kingdom Independent Reviewer of Terrorism Legislation (Förenade kungarikets oberoende utredare av terroristlagstiftningen), lämnade den 19 augusti 2016. Vid upprättandet av nämnda rapport grundade sig utredaren på en undersökning som utförts av en grupp underrättelsespecialister och på vittnesmål från anställda inom säkerhets- och underrättelsetjänsterna.

26 Den hänskjutande domstolen har även angett att Privacy International anser att det system som är aktuellt i det nationella målet är rättsstridigt enligt unionsrätten, medan svarandena i det nationella målet anser att skyldigheten enligt systemet att överföra uppgifter samt åtkomst till och användning av uppgifterna ligger utanför unionens befogenheter, i enlighet med bland annat artikel 4.2 FEU, enligt vilken nationell säkerhet också i fortsättningen ska vara varje medlemsstats eget ansvar.

27 I det avseendet har den hänskjutande domstolen hänvisat till domen av den 30 maj 2006, parlamentet/rådet och kommissionen ( C‑317/04 och C‑318/04, EU:C:2006:346, punkterna 56–59), som rörde överföring av PNR-uppgifter (Passenger Name Record) i syfte att skydda allmän säkerhet, och anfört att affärsdrivande bolags verksamhet i samband med behandling och överföring av uppgifter i syfte att skydda nationell säkerhet inte förefaller omfattas av unionsrättens tillämpningsområde. Det som ska prövas är inte huruvida den aktuella verksamheten utgör behandling av uppgifter, utan enbart huruvida syftet med en sådan verksamhet, till sitt innehåll och sina verkningar, är att främja en väsentlig statlig funktion, i den mening som avses i artikel 4.2 FEU, med hjälp av en ram som inrättats av statsmakterna och som avser allmän säkerhet.

28 För det fall de åtgärder som är aktuella i det nationella målet ändå skulle anses omfattas av unionsrätten, anser den hänskjutande domstolen att de krav som anges i punkterna 119–125 i domen av den 21 december 2016, Tele2 ( C‑203/15 och C‑698/15, EU:C:2016:970), framstår som olämpliga med avseende på nationell säkerhet och skulle kunna undergräva säkerhets- och underrättelsetjänsternas förmåga att möta vissa hot mot den nationella säkerheten.

29 Mot denna bakgrund beslutade Investigatory Powers Tribunal (Domstolen för utredningsbefogenheter) att vilandeförklara målet och att ställa följande frågor till EU-domstolen:

30 Den hänskjutande domstolen har ställt den första frågan för att få klarhet i huruvida artikel 1.3 i direktiv 2002/58, jämförd med artikel 4.2 FEU, ska tolkas på så sätt att direktivets tillämpningsområde omfattar en nationell lagstiftning som ger en statlig myndighet rätt att ålägga leverantörer av elektroniska kommunikationstjänster att överföra trafikuppgifter och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna i syfte att skydda nationell säkerhet.

31 Privacy International har i det avseendet i allt väsentligt gjort gällande att det följer av domstolens praxis avseende tillämpningsområdet för direktiv 2002/58 att både säkerhets- och underrättelsetjänsternas inhämtning av uppgifter från nämnda leverantörer enligt section 94 i 1984 års lag och säkerhets- och underrättelsetjänsternas användning av uppgifterna omfattas av direktivets tillämpningsområde, oberoende av om uppgifterna inhämtas genom en överföring i efterhand eller om detta sker i realtid. Privacy International anser i synnerhet att den omständigheten att målet att skydda den nationella säkerheten uttryckligen anges i artikel 15.1 i direktivet inte innebär att sådana situationer ligger utanför direktivets tillämpningsområde, och artikel 4.2 FEU föranleder inte någon annan bedömning.

32 Förenade kungarikets regering, den tjeckiska och den estniska regeringen, Irland samt den franska, den cypriotiska, den ungerska, den polska och den svenska regeringen har däremot gjort gällande att direktiv 2002/58 inte är tillämpligt på den nationella lagstiftning som är aktuell i det nationella målet, eftersom den syftar till att skydda den nationella säkerheten. Nämnda regeringar anser att säkerhets- och underrättelsetjänsternas verksamhet omfattas av medlemsstaternas väsentliga statliga funktioner, vilka består i att upprätthålla allmän ordning samt att skydda den inre säkerheten och den territoriella integriteten, och följaktligen av medlemsstaternas exklusiva befogenhet, vilket bland annat framgår av artikel 4.2 tredje meningen FEU.

33 Enligt dessa regeringar kan direktiv 2002/58 således inte tolkas på så sätt att nationella åtgärder som syftar till att skydda den nationella säkerheten omfattas av direktivets tillämpningsområde. Artikel 1.3 i direktiv 2002/58 avgränsar direktivets tillämpningsområde och innebär att verksamhet som avser allmän säkerhet, försvar och statens säkerhet inte omfattas av direktivets tillämpningsområde, i likhet med vad som redan föreskrevs i artikel 3.2 första strecksatsen i direktiv 95/46. Nyss nämnda bestämmelser avspeglar den befogenhetsfördelning som anges i artikel 4.2 FEU och de skulle förlora sin ändamålsenliga verkan om det krävdes att åtgärder inom det nationella säkerhetsområdet uppfyller kraven i direktiv 2002/58. Vidare anser regeringarna att den rättspraxis som bygger på domstolens dom av den 30 maj 2006, parlamentet/rådet och kommissionen ( C‑317/04 och C‑318/04, EU:C:2006:346), som rör artikel 3.2 första strecksatsen i direktiv 95/46, kan överföras på artikel 1.3 i direktiv 2002/58.

34 Domstolen gör i denna del följande bedömning. Enligt lydelsen i artikel 1.1 i direktiv 2002/58 möjliggörs genom direktivet en harmonisering av nationella bestämmelser för att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, särskilt rätten till integritet och konfidentialitet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation.

35 I artikel 1.3 i nämnda direktiv utesluts statens verksamheter på vissa angivna områden från direktivets tillämpningsområde, bland annat statens verksamheter på straffrättens område liksom verksamheter som avser allmän säkerhet, försvar, statens säkerhet, inbegripet statens ekonomiska välstånd när verksamheten rör statens säkerhet. De verksamheter som nämns som exempel är i samtliga fall verksamheter som endast kan bedrivas av staten eller statliga myndigheter och som inte kan bedrivas av enskilda (dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 32 och där angiven rättspraxis).

36 I artikel 3 i direktiv 2002/58 anges dessutom att direktivet ska tillämpas på behandling av personuppgifter i samband med att allmänt tillgängliga elektroniska kommunikationstjänster tillhandahålls i allmänna kommunikationsnät inom unionen, inbegripet allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning (nedan kallade elektroniska kommunikationstjänster). Direktivet ska därför anses reglera verksamheten för leverantörer av sådana tjänster (dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 33 och där angiven rättspraxis).

37 I detta sammanhang låter artikel 15.1 i direktiv 2002/58 medlemsstaterna, på de villkor som föreskrivs i den artikeln, genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i detta direktiv (dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 71).

38 Artikel 15.1 i direktiv 2002/58 förutsätter emellertid med nödvändighet att den nationella lagstiftning som avses i den bestämmelsen omfattas av direktivets tillämpningsområde, eftersom direktivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder endast om de däri angivna villkoren är uppfyllda. Sådan lagstiftning reglerar dessutom, för de ändamål som anges i bestämmelsen, verksamheten för leverantörer av elektroniska kommunikationstjänster (dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkt 34 och där angiven rättspraxis).

39 Det är bland annat mot bakgrund av dessa överväganden som domstolen har slagit fast att artikel 15.1 i direktiv 2002/58, jämförd med artikel 3 i samma direktiv, ska tolkas så, att tillämpningsområdet för direktivet inte bara omfattar lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster att lagra trafik- och lokaliseringsuppgifter, utan även lagstiftning som ålägger dessa leverantörer att ge de behöriga nationella myndigheterna åtkomst till dessa uppgifter. Sådan lagstiftning medför nämligen med nödvändighet behandling av nämnda uppgifter från leverantörernas sida och kan, i den mån de reglerar dessa leverantörers verksamhet, inte likställas med sådana staten förbehållna verksamheter som avses i artikel 1.3 i nämnda direktiv (se, för ett liknande resonemang, dom av den 2 oktober 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, punkterna 35 och 37 och där angiven rättspraxis).

40 När det gäller en sådan lagstiftningsåtgärd som section 94 i 1984 års lag, med stöd av vilken den behöriga myndigheten får ge leverantörer av elektroniska kommunikationstjänster anvisningar om att lämna ut mängddata till säkerhets- och underrättelsetjänsterna genom överföring ska följande påpekas. Enligt definitionen i artikel 4.2 i förordning 2016/679, som enligt artikel 2 i direktiv 2002/58 jämförd med artikel 94.2 i förordning 2016/679 är tillämplig, avses med behandling av personuppgifter en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling …, lagring …, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt ….

41 Av detta följer att utlämnande av personuppgifter genom överföring, liksom lagring eller tillhandahållande på annat sätt av sådana uppgifter, utgör behandling i den mening som avses i artikel 3 i direktiv 2002/58 och omfattas följaktligen av tillämpningsområdet för det direktivet (se, för ett liknande resonemang, dom av den 29 januari 2008, Promusicae, C-275/06, EU:C:2008:54, punkt 45).

42 Mot bakgrund av övervägandena i punkt 38 ovan och systematiken i direktiv 2002/58 skulle en tolkning av detta direktiv, enligt vilken sådan lagstiftning som avses i artikel 15.1 i direktivet skulle vara undantagen från direktivets tillämpningsområde på grund av att de syften som denna lagstiftning måste eftersträva i materiellt hänseende väsentligen överlappar med syftena med de verksamheter som avses i artikel 1.3 i direktivet, innebära att nämnda artikel 15.1 helt fråntogs sin ändamålsenliga verkan (se, för ett liknande resonemang, dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkterna 72 och 73).

43 Begreppet verksamheter i artikel 1.3 i direktiv 2002/58 kan således inte, såsom generaladvokaten i huvudsak fann i punkt 75 i sitt förslag till avgörande i de förenade målen La Quadrature du Net m.fl. ( C‑511/18 och C‑512/18, EU:C:2020:6), tolkas på så sätt att det omfattar sådan lagstiftning som den som avses i artikel 15.1 i detta direktiv.

44 Denna slutsats påverkas inte av artikel 4.2 FEU som de regeringar som nämns i punkt 32 ovan har hänvisat till. Enligt domstolens fasta praxis kan den omständigheten att en åtgärd har vidtagits för att skydda nationell säkerhet nämligen inte, trots att det ankommer på medlemsstaterna att definiera sina väsentliga säkerhetsintressen och att vidta de åtgärder som är nödvändiga för att säkerställa inre och yttre säkerhet, leda till att unionsrätten inte är tillämplig och befria medlemsstaterna från skyldigheten att iaktta unionsrätten (se, för ett liknande resonemang, dom av den 4 juni 2013, ZZ, C‑300/11, EU:C:2013:363, punkt 38, dom av den 20 mars 2018, kommissionen/Österrike (Statstryckeri), C‑187/16, EU:C:2018:194, punkterna 75 och 76, och dom av den 2 april 2020, kommissionen/Polen, Ungern och Tjeckien (Tillfällig mekanism för omplacering av personer som ansöker om internationellt skydd), C‑715/17, C‑718/17 och C‑719/17, EU:C:2020:257, punkterna 143 och 170).

45 Det är riktigt att domstolen i domen av den 30 maj 2006, parlamentet/rådet och kommissionen ( C‑317/04 och C‑318/04, EU:C:2006:346, punkterna 56–59), slog fast att lufttrafikföretags överföring av personuppgifter till myndigheter i tredjeland i syfte att förebygga och bekämpa terrorism och andra grova brott i kraft av artikel 3.2 första strecksatsen i direktiv 95/46 inte omfattades av tillämpningsområdet för detta direktiv, eftersom denna överföring sker inom en ram som inrättats av statsmakterna och som avser allmän säkerhet.

46 Med beaktande av övervägandena i punkterna 36, 38 och 39 ovan kan denna rättspraxis emellertid inte överföras på tolkningen av artikel 1.3 i direktiv 2002/58. Såsom generaladvokaten i huvudsak anförde i punkterna 70–72 i sitt förslag till avgörande i de förenade målen La Quadrature du Net m.fl. ( C‑511/18 och C‑512/18, EU:C:2020:6), utesluter artikel 3.2 första strecksatsen i direktiv 95/46, vilken är den bestämmelse som avses i nämnda rättspraxis, nämligen från sitt tillämpningsområde generellt behandlingar som rör allmän säkerhet, försvar, statens säkerhet utan att någon åtskillnad görs med avseende på vem som behandlar uppgifterna i fråga. En sådan åtskillnad måste däremot göras vid tolkningen av artikel 1.3 i direktiv 2002/58. Såsom framgår av punkterna 37–39 och 42 ovan omfattas nämligen all behandling av personuppgifter som utförs av leverantörer av elektroniska kommunikationstjänster av detta direktivs tillämpningsområde, inbegripet den behandling som följer av skyldigheter som ålagts dem av statsmakten. Den sistnämnda behandlingen kunde emellertid, i förekommande fall, omfattas av undantaget i artikel 3.2 första strecksatsen i direktiv 95/46, med hänsyn till den mer vidsträckta utformningen av den bestämmelsen, vilken avsåg all behandling, oavsett vem som är uppgiftsbehandlare och oavsett om den avser allmän säkerhet, försvar eller statens säkerhet.

47 Det ska dessutom påpekas att direktiv 95/46 som var i fråga i det mål som avgjordes genom domen av den 30 maj 2006, parlamentet/rådet och kommissionen ( C‑317/04 och C‑318/04, EU:C:2006:346), enligt artikel 94.1 i förordning 2016/679 upphävdes och ersattes av denna förordning, med verkan från och med den 25 maj 2018. Även om det i artikel 2.2 d i nämnda förordning anges att den inte ska tillämpas på behandling som utförs av behöriga myndigheter i syfte att bland annat förebygga och avslöja brott, i vilket även ingår att förhindra hot mot allmän säkerhet och förebygga sådana hot, framgår det av artikel 23.1 d och h i samma förordning att förordningen är tillämplig på behandling av personuppgifter som utförs av enskilda för samma ändamål. Härav följer att ovannämnda tolkning av artikel 1.3, artikel 3 och artikel 15.1 i direktiv 2002/58 är förenlig med den avgränsning av tillämpningsområdet för förordning 2016/679 som direktivet kompletterar och preciserar.

48 När medlemsstaterna däremot direkt genomför åtgärder som innebär undantag från konfidentialiteten vid elektronisk kommunikation, utan att ålägga tjänsteleverantörer av sådan kommunikation någon skyldighet att behandla uppgifter, omfattas skyddet av de berörda personernas uppgifter inte av direktiv 2002/58, utan enbart av nationell rätt, med förbehåll för tillämpningen av Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 2016, s. 89), vilket innebär att åtgärderna i fråga bland annat måste vara förenliga med nationell rätt på grundlagsnivå och kraven i Europakonventionen.

49 Mot bakgrund av det ovan anförda ska den första frågan besvaras enligt följande. Artiklarna 1.3, 3 och 15.1 i direktiv 2002/58, jämförda med artikel 4.2 FEU, ska tolkas på så sätt att direktivets tillämpningsområde omfattar en nationell lagstiftning som ger en statlig myndighet rätt att ålägga leverantörer av elektroniska kommunikationstjänster att överföra trafikuppgifter och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna i syfte att skydda nationell säkerhet.

50 Den hänskjutande domstolen har ställt den andra frågan för att få klarhet i huruvida artikel 15.1 i direktiv 2002/58, jämförd med artikel 4.2 FEU samt artiklarna 7, 8, 11 och 52.1 i stadgan, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som ger en statlig myndighet rätt att ålägga leverantörer av elektroniska kommunikationstjänster att på ett generellt och odifferentierat sätt överföra trafikuppgifter och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna i syfte att skydda nationell säkerhet.

51 Domstolen erinrar inledningsvis om att det framgår av uppgifterna i begäran om förhandsavgörande att section 94 i 1984 års lag innebär att ministern, när denne anser det vara nödvändigt med hänsyn till den nationella säkerheten eller till förbindelserna med en utländsk regering, genom anvisningar får ålägga leverantörer av elektroniska kommunikationstjänster att till säkerhets- och underrättelsetjänsterna överföra mängddata om kommunikation. Sådana data omfattar trafik- och lokaliseringsuppgifter samt uppgifter om tjänsteanvändning, i den mening som avses i section 21.4 och 21.6 i Ripa. Den nyss nämnda bestämmelsen omfattar bland annat uppgifter som behövs för att identifiera kommunikationskällan och slutmålet för kommunikationen, fastställa datum, tidpunkt och varaktighet för kommunikationen samt typen av kommunikation och för att lokalisera terminalutrustning och kommunikationer. Bland dessa uppgifter återfinns bland annat användarens namn och adress, telefonnummer och uppringt nummer, ip-adresser för kommunikationskällan och mottagaren av kommunikationen samt adressen till de besökta webbplatserna.

52 Sådant utlämnande av uppgifter genom överföring avser samtliga användare av elektroniska kommunikationsmedel, utan att det preciseras huruvida överföringen ska ske i realtid eller i efterhand. När uppgifterna väl har överförts lagras de – enligt uppgifterna i begäran om förhandsavgörande – av säkerhets- och underrättelsetjänsterna och förblir tillgängliga för dem i deras verksamhet, i likhet med andra databaser som de har. I synnerhet kan uppgifter som samlas in på detta sätt och som är föremål för icke-konkret och automatiserad behandling och analys korskontrolleras mot andra databaser som innehåller olika kategorier av mängddata om personuppgifter eller lämnas ut utanför säkerhets- och underrättelsetjänsterna och till tredjeländer. Till sist kan det konstateras att nyss nämnda åtgärder inte kräver förhandstillstånd från en domstol eller en oberoende förvaltningsmyndighet och de föranleder inte heller någon information till berörda personer.

53 Syftet med direktiv 2002/58 är, såsom framgår av bland annat skälen 6 och 7 i direktivet, att skydda användarna av elektroniska kommunikationstjänster mot de faror för deras personuppgifter och deras privatliv som följer av ny teknik och särskilt den ökade kapaciteten för automatiserad lagring och behandling av uppgifter. Direktivet syftar särskilt, såsom anges i dess skäl 2, till att säkerställa full respekt för de rättigheter som anges i artiklarna 7 och 8 i stadgan. Det framgår av motiveringen till förslaget till Europaparlamentets och rådets direktiv om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (COM(2000) 385 final), som ligger till grund för direktiv 2002/58, att unionslagstiftaren avsåg att garantera en fortsatt hög skyddsnivå för personuppgifter och privatliv för alla elektroniska kommunikationstjänster, oavsett vilken teknik som används.

54 I detta syfte anges i artikel 5.1 i direktiv 2002/58 att medlemsstaterna genom nationell lagstiftning [ska] säkerställa konfidentialitet vid kommunikation och därmed förbundna trafikuppgifter via allmänna kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. I samma bestämmelse anges även att [medlemsstaterna] särskilt [ska] förbjuda avlyssning, uppfångande med tekniskt hjälpmedel, lagring eller andra metoder som innebär att kommunikationen och de därmed förbundna trafikuppgifterna kan fångas upp eller övervakas av andra personer än användarna utan de berörda användarnas samtycke, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1 och att [d]enna punkt [inte får] förhindra teknisk lagring som är nödvändig för överföring av kommunikationen utan att det påverkar principen om konfidentialitet.

55 I artikel 5.1 stadfästs således principen om konfidentialitet för såväl elektronisk kommunikation som därmed förbundna trafikuppgifter. Detta innebär bland annat ett principiellt förbud för andra personer än användarna att, utan användarnas samtycke, lagra sådan kommunikation och sådana uppgifter. Mot bakgrund av bestämmelsens generella ordalydelse ska den anses omfatta varje åtgärd som gör det möjligt för tredje man att få kännedom om kommunikationer och därmed förbundna uppgifter för andra ändamål än överföring av en kommunikation.

56 Förbudet i artikel 5.1 i direktiv 2002/58 mot att fånga upp kommunikationer och därmed förbundna uppgifter omfattar således alla former genom vilka leverantörer av elektroniska kommunikationstjänster gör trafik- och lokaliseringsuppgifter tillgängliga för statliga myndigheter, såsom säkerhets- och underrättelsetjänster, samt sådana myndigheters lagring av trafik- och lokaliseringsuppgifter, oberoende av hur dessa uppgifter senare används.

57 Genom att anta detta direktiv har unionslagstiftaren således konkretiserat de rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan, vilket innebär att användarna av elektroniska kommunikationsmedel i princip har rätt att förvänta sig att deras kommunikationer och därmed förbundna uppgifter förblir anonyma och inte kan registreras, såvida de inte har samtyckt till detta (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkt 109).

58 Enligt artikel 15.1 i direktiv 2002/58 får medlemsstaterna emellertid införa undantag från den principiella skyldigheten enligt artikel 5.1 i direktivet att garantera konfidentialiteten för personuppgifter och från motsvarande skyldigheter, vilka nämns bland annat i artiklarna 6 och 9 i direktivet, när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet, försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem. Medlemsstaterna får för detta ändamål bland annat vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period när det är motiverat av ett av dessa skäl.

59 Möjligheten att göra undantag från de rättigheter och skyldigheter som föreskrivs i artiklarna 5, 6 och 9 i direktiv 2002/58 kan emellertid inte motivera att ett undantag från den principiella skyldigheten att säkerställa konfidentialiteten för elektronisk kommunikation och därmed tillhörande uppgifter, och i synnerhet från det förbud mot lagring av sådana uppgifter som uttryckligen föreskrivs i artikel 5 i direktivet, blir huvudregeln (se, för ett liknande resonemang, dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkterna 89 och 104, och dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkt 111).

60 Det framgår dessutom av artikel 15.1 tredje meningen i direktiv 2002/58 att medlemsstaterna endast får vidta lagstiftningsåtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som avses i artiklarna 5, 6 och 9 i direktivet i enlighet med de allmänna principerna i unionsrätten, däribland proportionalitetsprincipen, och de grundläggande rättigheter som garanteras i stadgan. Domstolen har redan slagit fast att när en medlemsstat i nationell lagstiftning ålägger leverantörer av elektroniska kommunikationstjänster en skyldighet att lagra trafikuppgifter i syfte att, i förekommande fall, göra dem tillgängliga för behöriga nationella myndigheter väcker detta frågor om en sådan lagstiftnings förenlighet inte bara med artiklarna 7 och 8 i stadgan, vilka rör skyddet för privatlivet respektive skyddet av personuppgifter, utan även med artikel 11 i stadgan, som rör yttrandefriheten (se, för ett liknande resonemang, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 25 och 70, samt dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkterna 91 och 92 och där angiven rättspraxis).

61 Samma frågor uppkommer även för andra typer av behandling av uppgifter, såsom överföring av uppgifterna till andra personer än användarna eller åtkomst till uppgifterna i avsikt att de ska användas (se, analogt, yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 122 och där angiven rättspraxis)

62 Vid tolkningen av artikel 15.1 i direktiv 2002/58 ska således betydelsen av såväl rätten till respekt för privatlivet, vilken garanteras i artikel 7 i stadgan, som rätten till skydd för personuppgifter, vilken garanteras i artikel 8 i stadgan, såsom denna betydelse framgår av domstolens praxis, samt betydelsen av rätten till yttrandefrihet beaktas. Denna grundläggande rättighet, som garanteras i artikel 11 i stadgan, utgör nämligen en av grundvalarna för ett demokratiskt och pluralistiskt samhälle och ingår i de värden som unionen enligt artikel 2 FEU bygger på (se, för ett liknande resonemang, dom av den 6 mars 2001, Connolly/kommissionen, C‑274/99 P, EU:C:2001:127, punkt 39, och dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 93 och där angiven rättspraxis).

63 De rättigheter som är stadfästa i artiklarna 7, 8 och 11 i stadgan är emellertid inte några absoluta rättigheter, utan måste bedömas utifrån deras funktion i samhället (se, för ett liknande resonemang, dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 172 och där angiven rättspraxis).

64 Såsom framgår av artikel 52.1 i stadgan är det nämligen enligt stadgan tillåtet att begränsa utövandet av dessa rättigheter, under förutsättning att begränsningarna föreskrivs i lag, att de är förenliga med det väsentliga innehållet i dessa rättigheter och att de, med beaktande av proportionalitetsprincipen, är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter

65 Det ska tilläggas att kravet på att samtliga begränsningar i utövandet av grundläggande rättigheter ska vara föreskrivna i lag innebär att räckvidden av begränsningen i utövandet av den aktuella rättigheten ska vara definierad i själva den rättsliga grund som tillåter ingreppet (dom av den 16 juli 2020, Facebook Ireland och Schrems, C‑311/18, EU:C:2020:559, punkt 175 och där angiven rättspraxis).

66 Vad gäller iakttagandet av proportionalitetsprincipen föreskrivs i artikel 15.1 första meningen i direktiv 2002/58 att medlemsstaterna får vidta en åtgärd som avviker från principen om konfidentialitet vid kommunikation och därmed tillhörande trafikuppgifter, när en sådan åtgärd är nödvändig, lämplig och proportionerlig i ett demokratiskt samhälle, med hänsyn till de mål som anges i denna bestämmelse. I skäl 11 i direktivet anges att en åtgärd av detta slag ska vara i strikt proportion till det avsedda ändamålet.

67 Det ska i detta avseende erinras om att skyddet för den grundläggande rätten till respekt för privatlivet enligt domstolens fasta praxis kräver att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt. Uppnåendet ett mål av allmänt samhällsintresse kan dessutom inte ske utan att det beaktas att detta mål måste vara förenligt med de grundläggande rättigheter som berörs av åtgärden, varvid en balanserad avvägning ska göras mellan, å ena sidan, målet av allmänt samhällsintresse, och, å andra sidan, rättigheterna i fråga (se, för ett liknande resonemang, dom av den 16 december 2008, Satakunnan Markkinapörssi och Satamedia, C‑73/07, EU:C:2008:727, punkt 56, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkterna 76, 77 och 86, samt dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkt 52, yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 140).

68 För att kravet på proportionalitet ska vara uppfyllt måste det i lagstiftning föreskrivas klara och precisa bestämmelser som reglerar räckvidden och tillämpningen av den aktuella åtgärden samt anges minimikrav, så att de personer vars personuppgifter berörs har tillräckliga garantier för att uppgifterna på ett effektivt sätt är skyddade mot riskerna för missbruk. Denna lagstiftning ska vara rättsligt bindande enligt nationell rätt och i synnerhet ange under vilka omständigheter och på vilka villkor en åtgärd avseende behandling av sådana uppgifter får vidtas, vilket säkerställer att ingreppet begränsas till vad som är strängt nödvändigt. Behovet av sådana garantier är särskilt stort när personuppgifter är föremål för automatiserad behandling, särskilt när det föreligger en betydande risk för otillåten åtkomst till uppgifterna. Dessa överväganden äger särskild giltighet när det är fråga om skyddet av den särskilda kategori av personuppgifter som utgörs av känsliga uppgifter (se, för ett liknande resonemang, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 54 och 55, och dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 117, yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 141).

69 Domstolen ska nu pröva frågan huruvida en nationell lagstiftning, som den som är aktuell i det nationella målet, uppfyller kraven i artikel 15.1 i direktiv 2002/58, jämförd med artiklarna 7, 8, 11 och artikel 52.1 i stadgan. I det avseendet ska det påpekas att överföring av trafik- och lokaliseringsuppgifter till andra personer än användarna, som till exempel säkerhets- och underrättelsetjänster, avviker från principen om konfidentialitet. När sådan överföring sker – som i det nu aktuella fallet – på ett generellt och odifferentierat sätt får detta till följd att undantaget från den principiella skyldigheten att garantera konfidentialitet för uppgifterna görs till huvudregel, medan det system som inrättats genom direktiv 2002/58 däremot kräver att ett sådant undantag förblir just ett undantag.

70 Enligt domstolens fasta praxis utgör dessutom överföring av trafik- och lokaliseringsuppgifter till tredje man ett ingrepp i de grundläggande rättigheter som stadfästs i artiklarna 7 och 8 i stadgan, oavsett hur dessa uppgifter senare används. Det saknar härvidlag betydelse om de uppgifter som avser privatlivet är av känslig art eller om de berörda har fått utstå eventuella olägenheter på grund av ingreppet (se, för ett liknande resonemang, yttrande 1/15 (PNR-avtalet mellan EU och Kanada), av den 26 juli 2017, EU:C:2017:592, punkterna 124 och 126 och där angiven rättspraxis, och dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkterna 115 och 116).

71 Det ingrepp som överföring av trafik- och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna utgör i den rätt som är stadfäst i artikel 7 i stadgan måste betraktas som synnerligen allvarligt, bland annat med hänsyn till att den information som dessa uppgifter kan innehålla är känslig och i synnerhet till att det utifrån uppgifterna är möjligt att kartlägga de berörda personerna, då sådan information är lika känslig som själva innehållet i kommunikationerna. Det kan dessutom ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning (se, analogt, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 27 och 37, och dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkterna 99 och 100).

72 Det ska vidare påpekas att en överföring av trafik- och lokaliseringsuppgifter till statliga myndigheter för säkerhetsändamål i sig kan utgöra ett åsidosättande av rätten till respekt för kommunikationer, vilken är stadfäst i artikel 7 i stadgan, och ha en avhållande inverkan på användarna av elektroniska kommunikationsmedels utövande av sin yttrandefrihet, vilken garanteras i artikel 11 i stadgan. En sådan avhållande inverkan kan särskilt påverka personer vars kommunikationer enligt nationella regler omfattas av tystnadsplikt och visselblåsare, vilkas verksamhet skyddas av Europaparlamentets och rådets direktiv (EU) 2019/1937 av den 23 oktober 2019 om skydd för personer som avslöjar överträdelser av unionsrätten (EUT L 305, 2019, s. 17). Den omständigheten att antalet lagrade uppgifter är stort och att det rör sig om många olika slags uppgifter förstärker dessutom allvaret av dessa effekter (se, för ett liknande resonemang, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkt 28, dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 101, och dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkt 118).

73 Med hänsyn till den stora mängd trafik- och lokaliseringsuppgifter som kan bli föremål för fortlöpande lagring genom en generell och odifferentierad lagringsåtgärd och till att den information som dessa uppgifter kan innehålla är känslig, medför den omständigheten att leverantörer av elektroniska kommunikationstjänster lagrar dessa uppgifter i sig en risk för missbruk och olovlig åtkomst.

74 När det gäller de mål som kan motivera sådana ingrepp, närmare bestämt målet att skydda den nationella säkerheten, vilket är aktuellt i det nationella målet, ska det inledningsvis påpekas att det i artikel 4.2 FEU anges att nationell säkerhet också i fortsättningen ska vara varje medlemsstats eget ansvar. Detta ansvar motsvarar det grundläggande intresset av att skydda statens väsentliga funktioner och samhällets grundläggande intressen och inbegriper förebyggande och beivrande av verksamhet som allvarligt kan störa de grundläggande konstitutionella, politiska, ekonomiska eller sociala strukturerna i ett land och i synnerhet direkt hota samhället, befolkningen eller staten som sådan, såsom bland annat terrorverksamhet (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkt 135).

75 Betydelsen av målet att skydda nationell säkerhet, tolkad mot bakgrund av artikel 4.2 FEU, är dock mer omfattande än betydelsen av de övriga mål som anges i artikel 15.1 i direktiv 2002/58, bland annat målen att bekämpa brottslighet i allmänhet, även grov brottslighet, och att skydda allmän säkerhet. Sådana hot som avses i föregående punkt skiljer sig nämligen, till sin art och på grund av sitt särskilda allvar, från risken i allmänhet för oroligheter eller störningar, även allvarliga sådana, av den allmänna säkerheten. Under förutsättning att övriga krav i artikel 52.1 i stadgan iakttas, kan målet att skydda nationell säkerhet således motivera åtgärder som innebär mer långtgående ingrepp i de grundläggande rättigheterna än dem som dessa övriga mål skulle kunna motivera (dom av den 6 oktober 2020, La Quadrature du Net m.fl., C‑511/18, C‑512/18 och C‑520/18, punkt 136).

76 För att uppfylla det krav på proportionalitet som det erinrats om i punkt 67 ovan, enligt vilket undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt, måste en nationell lagstiftning som innebär ett ingrepp i de grundläggande rättigheter som är stadfästa i artiklarna 7 och 8 i stadgan uppfylla de krav som följer av den rättspraxis som anges i punkterna 65, 67 och 68 ovan.

77 Vad särskilt beträffar en myndighets åtkomst till personuppgifter finner domstolen att en lagstiftning inte kan vara begränsad till att kräva att myndigheternas åtkomst till uppgifterna svarar mot det ändamål som eftersträvas med lagstiftningen, utan den måste även fastställa de materiella och formella villkor som gäller för sådan användning (se, analogt, yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 192 och där angiven rättspraxis).

78 Eftersom en heltäckande tillgång till samtliga lagrade uppgifter, oberoende av om det finns någon koppling, ens indirekt, till det eftersträvade syftet, inte kan anses vara begränsad till vad som är strängt nödvändigt, måste en nationell lagstiftning som reglerar tillgång till trafik- och lokaliseringsuppgifter således vara grundad på objektiva kriterier som avgör under vilka omständigheter och på vilka villkor behöriga nationella myndigheter ska ges tillgång till de aktuella uppgifterna (se, för ett liknande resonemang, dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 119 och där angiven rättspraxis).

79 Nyss nämnda krav gäller i ännu högre grad för en lagstiftningsåtgärd, som den som är aktuell i det nationella målet, enligt vilken den behöriga nationella myndigheten får ålägga leverantörer av elektroniska kommunikationstjänster att genom generell och odifferentierad överföring lämna ut trafik- och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna. Sådan överföring får nämligen till följd att nämnda uppgifter görs tillgängliga för myndigheterna (se, analogt, yttrande 1/15 (PNR-avtalet mellan EU och Kanada) av den 26 juli 2017, EU:C:2017:592, punkt 212).

80 Eftersom överföringen av trafik- och lokaliseringsuppgifter sker på ett generellt och odifferentierat sätt berör den på ett allomfattande sätt samtliga personer som använder elektroniska kommunikationstjänster. Den är således även tillämplig på personer beträffande vilka det inte finns något indicium som ger anledning att tro att deras beteende skulle kunna ha ett samband, inte ens indirekt eller avlägset, med målet att skydda den nationella säkerheten och, i synnerhet, utan att det har visats att det finns ett samband mellan de uppgifter som ska överföras och ett hot mot den nationella säkerheten (se, för ett liknande resonemang, dom av den 8 april 2014, Digital Rights Ireland m.fl., C‑293/12 och C‑594/12, EU:C:2014:238, punkterna 57 och 58, och dom av den 21 december 2016, Tele2, C‑203/15 och C‑698/15, EU:C:2016:970, punkt 105). Med hänsyn till att överföring av trafik- och lokaliseringsuppgifter till statliga myndigheter motsvarar – i enlighet med vad som anförts i punkt 79 ovan – åtkomst till uppgifterna, finner domstolen att en lagstiftning som tillåter en generell och odifferentierad överföring av uppgifter till statliga myndigheter innebär en allmän åtkomst till uppgifterna.

81 Härav följer att en nationell lagstiftning som ålägger leverantörer av elektroniska kommunikationstjänster att genom generell och odifferentierad överföring lämna ut trafik- och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna går utöver vad som är strängt nödvändigt och inte kan anses vara motiverad i ett demokratiskt samhälle, såsom krävs enligt artikel 15.1 i direktiv 2002/58, jämförd med artikel 4.2 FEU samt artiklarna 7, 8, 11 och 52.1 i stadgan.

82 Mot bakgrund av det ovan anförda ska den andra frågan besvaras enligt följande. Artikel 15.1 i direktiv 2002/58, jämförd med artikel 4.2 FEU samt artiklarna 7, 8, 11 och 52.1 i Europeiska unionens stadga om de grundläggande rättigheterna, ska tolkas på så sätt att den utgör hinder för en nationell lagstiftning som ger en statlig myndighet rätt att ålägga leverantörer av elektroniska kommunikationstjänster att på ett generellt och odifferentierat sätt överföra trafikuppgifter och lokaliseringsuppgifter till säkerhets- och underrättelsetjänsterna i syfte att skydda nationell säkerhet.

83 Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

1 Rättegångsspråk: engelska.