Förslag till avgörande av generaladvokat Campos Sánchez-Bordona föredraget den 15 januari 2020
1 Originalspråk: spanska.
2 Målen C‑293/12 och C‑594/12, nedan kallad domen Digital Rights, EU:C:2014:238.
3 Europaparlamentets och rådets direktiv 2006/24/EG av den 15 mars 2006 om lagring av uppgifter som genererats eller behandlats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät och om ändring av direktiv 2002/58/EG (EUT L 105, 2006, s. 54).
4 Målen C‑203/15 och C‑698/15, nedan kallad domen Tele2 Sverige och Watson, EU:C:2016:970.
5 Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 2002, s. 37).
6 Mål C‑207/16, nedan kallad domen Ministerio Fiscal, EU:C:2018:788.
7 Förutom dessa två (mål C‑511/18 och C‑512/18) rör det sig om mål C‑623/17, Privacy International, och mål C‑520/18, Ordre des barreaux francophones et germanophone m.fl.
8 Målet Privacy International, C‑623/17.
9 Målet Ordre des barreaux francophones et germanophone m.fl., C‑520/18.
10 Förenade målen La Quadrature du Net m.fl., C‑511/18 och C‑512/18
11 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).
12 Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (Direktiv om elektronisk handel) (EGT L 178, 2000, s. 1).
13 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1).
14 Enligt den hänskjutande domstolen medför denna teknik inte något krav på leverantörerna på mer lagring än vad som är nödvändigt för att fakturera, marknadsföra och tillhandahålla tjänster med ett mervärde.
15 Enligt den hänskjutande domstolen innebär inte denna teknik någon generell och odifferentierad lagring. Syftet med den är bara att under en begränsad tid samla in sådana uppgifter som har samband med ett allvarligt brott av det slaget bland alla de uppkopplingsuppgifter som dessa personer behandlar.
16 Denna definition gjordes genom décret n.o 2011–219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (dekret nr 2011–219 av den 25 februari 2011 om lagring av uppgifter som gör det möjligt att identifiera varje person som har bidragit till skapandet av innehåll som har erbjudits online). I detta dekret kan följande framhållas: a) Artikel 1.1, i vilken det föreskrivs att den som erbjuder tillgång till kommunikationstjänster online ska lagra följande uppgifter: uppkopplings-ID, tilldelat abonnent-ID, ID för den terminal som använts för uppkopplingen, datum och klockslag för uppkopplingens början och slut, egenskaperna hos abonnentens linje. b) Enligt artikel 1.2 ska den som, även kostnadsfritt, för tillhandahållandet av kommunikationstjänster online till allmänheten svarar för lagring av alla former av signaler, skrift, bilder, ljud eller meddelanden som tillhandahållits av mottagarna till dessa tjänster, ska lagra uppgifter för varje operation: uppkopplings-ID vid kommunikationens uppkomst, ID som tilldelats det innehåll som operationen avser, de typer av protokoll som använts för uppkopplingen till tjänsten och för överföringen av innehåll, operationens karaktär, datum och klockslag för operationen, ID som använts av operationens upphovsman. c) Avslutningsvis föreskrivs det i artikel 1.3 att de personer som avses i de två föregående punkterna ska lagra följande information som tillhandahålls av en användare när ett avtal ingås eller ett konto skapas: uppkopplings-ID när kontot skapades; förnamn, efternamn eller firma; anknytande postadresser, pseudonymer som använts, anknytande e-postadresser eller kontoadresser, telefonnummer, aktuellt lösenord och andra uppgifter som gör det möjligt att verifiera eller ändra den.
17 Talan avsåg följande dekret: a) décret n.o 2015–1885 du 28 septembre 2015 portant désignation des services spécialisés de renseignement (dekret nr 2015–1185 av den 28 september 2015 om inrättande av särskilda underrättelsetjänster); b) décret n.o 2015–1211 du 1er octobre 2015 relatif au contentieux de la mise en oeuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’État (dekret nr 2015–1211 av den 1 oktober 2015 om tvister avseende användning av tillståndspliktig underrättelseteknik och registeruppgifter som rör statens säkerhet); c) décret n.o 2015–1639 du 11 décembre 2015 relatif à la désignation des services autres que les services spécialisés de renseignement, autorisés à recourir aux techniques mentionnées au titre V du libre VIII du code de la sécurité intérieure (dekret nr 2015–1639 av den 11 december 2015 om inrättande av andra tjänster än de särskilda underrättelsetjänsterna, med behörighet att använda den teknik som anges i avdelning V, kapitel VIII i lagen om inre säkerhet); och d) décret n.o 2016–67 du 29 janvier 2016 relatif aux techniques de recueil de renseignement (dekret nr 2016–67 av den 29 januari 2016 om teknik för insamling av underrättelseuppgifter).
18 Ett sammanhang som präglas av ihållande, allvarliga hot mot den nationella säkerheten, i synnerhet risken för terrorism, enligt vad som anges i den första tolkningsfrågan i mål C‑511/18.
19 Målen C‑317/04 och C‑318/04, nedan kallad domen parlamentet/rådet och kommissionen, EU:C:2006:346.
20 Rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (EUT L 183, 2004, s. 83, och rättelse i EUT L 255, 2005, s. 168) (mål C‑317/04).
21 Kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet (EUT L 235, 2004, s. 11) (mål C‑318/04).
22 Domen parlamentet/rådet och kommissionen, punkt 57. I punkt 58 underströk domstolen att den omständigheten att … uppgifterna har samlats in av privata operatörer för kommersiella syften och att det är dessa operatörer som sköter överföringen av uppgifterna till en tredje stat, inte innebär att denna överföring inte utgör ett av de fall där direktiv 95/46 inte ska tillämpas som anges i artikel 3.2 första strecksatsen i det direktivet, eftersom [d]enna överföring sker … inom en ram som inrättats av statsmakterna och som avser allmän säkerhet.
23 Detta framhölls senare av den framlidne generaladvokaten Bot i hans förslag till avgörande i målet Irland/parlamentet och rådet ( C‑301/06, EU:C:2008:558). Han menade att domen parlamentet/rådet och kommissionen inte [innebär] att det endast är relevant att undersöka syftena med behandling av personuppgifter för att fastställa huruvida behandlingen ska falla inom ramen för tillämpningsområdet för det skyddssystem för uppgifter som har inrättats genom direktiv 95/46. Det måste också undersökas inom vilket slags verksamhet behandlingen av uppgifterna sker. Det är enbart då nämnda behandling förekommer i sådan verksamhet som är statens eller statliga myndigheters specifika verksamhet och den inte omfattas av enskildas verksamhetsområden som den inte omfattas av gemenskapens skyddssystem för personuppgifter, som har inrättats genom direktiv 95/46. Stöd för detta finns i artikel 3.2 första strecksatsen i nämnda direktiv (punkt 122).
24 Domen parlamentet/rådet och kommissionen, punkt 58. Huvudsyftet med avtalet var att kräva att de lufttrafikföretag som transporterade passagerare mellan unionen och Förenta staterna skulle ge myndigheterna där elektronisk tillgång till uppgifterna i det Passenger Name Record som fanns i deras automatiska boknings- och avgångskontrollsystem. Genom avtalet infördes således en form av internationellt samarbete mellan unionen och Förenta staterna för att bekämpa terrorism och annan grov brottslighet, samtidigt som man försökte förena detta syfte med syftet att skydda passagerarnas personuppgifter. I det sammanhanget skiljde sig den skyldighet som ålades bolagen inte så mycket från ett direkt utbyte av uppgifter mellan myndigheter.
25 Förslag till avgörande av generaladvokaten Bot i målet Irland/parlamentet och rådet ( C‑301/06, EU:C:2008:558, punkt 127).
26 Domen Tele2 Sverige och Watson, punkt 67.
27 Ibidem, punkt 72.
28 Ibidem, punkt 73.
29 Ibidem, punkt 74.
30 Ibidem, punkt 75.
31 Ibidem, punkt 76.
32 Punkterna 15 och 16 i den irländska regeringens skriftliga yttrande.
33 Punkterna 34–50 i den franska regeringens skriftliga yttrande.
34 Domen Tele2 Sverige och Watson, punkterna 103 och 119.
35 Min kursivering.
36 Min kursivering.
37 Domen parlamentet/rådet och kommissionen, punkt 58.
38 Domen Ministerio Fiscal, punkt 32. Se, för ett liknande resonemang, domen Tele2 Sverige och Watson, punkt 72.
39 Det kan således knappast hävdas att artikel 15.1 i direktiv 2002/58 medger en inskränkning av rättigheter och skyldigheter som föreskrivs inom ett område som, liksom den nationella säkerheten, i princip faller utanför direktivets tillämpningsområde, enligt artikel 1.3 i själva direktivet. Såsom domstolen slog fast i punkt 73 i domen Tele2 Sverige och Watson, förutsätter artikel 15.1 i direktiv 2002/58 med nödvändighet att de där avsedda nationella åtgärderna … omfattas av direktivets tillämpningsområde, eftersom direktivet uttryckligen tillåter medlemsstaterna att vidta sådana åtgärder endast under förutsättning att de däri angivna villkoren är uppfyllda.
40 Domen Tele2 Sverige och Watson, punkt 67.
41 Såsom generaladvokat Saugmandsgaard Øe påpekade i punkt 47 i sitt förslag till avgörande i målet Ministerio Fiscal ( C‑207/16, EU:C:2018:300), är [det] viktigt att inte blanda samman å ena sidan personuppgifter som direkt behandlas inom ramen för statens verksamhet – av regal karaktär – på ett straffrättsligt område och å andra sidan personuppgifter som behandlas inom ramen för verksamhet – av kommersiell karaktär – som bedrivs av en leverantör av elektroniska kommunikationstjänster och som därefter används av behöriga statliga myndigheter.
42 Punkterna 18 och 21 i beslutet att begära förhandsavgörande i mål C‑511/18.
43 Rådets rambeslut av den 18 december 2016 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386, 2006, s. 89).
44 På samma sätt föreskrevs det i artikel 1.4 i rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 2008, s. 60) att rambeslutet inte [påverkar] viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.
45 Förordning nr 2016/679 utesluter således behandling av uppgifter som utförs av medlemsstaterna inom ramen för en verksamhet som inte omfattas av unionsrätten, och sådan behandling som utförs av myndigheterna för att skydda den allmänna säkerheten.
46 Punkterna 27–68.
47 Se domen Tele2 Sverige och Watson, punkt 92, med hänvisning, analogt, till domen Digital Rights, punkterna 25 och 70.
48 Punkt 37 i kommissionens skriftliga yttrande.
49 Detta är Europadomstolens tolkning. Se bland annat § 84 i dom av den 5 juli 2016, Buzadji mot Republiken Moldavien, ECHR:2016:0705JUD002375507, i vilken Europadomstolen slog fast att det grundläggande syftet med den rätt som erkänns i artikel 5 i Europakonventionen, är att förhindra godtyckliga eller omotiverade frihetsberövanden.
50 Domen Digital Rights, punkt 42.
51 Yttrande 1/15 (PNR-avtalet EU-Kanada) av den 26 juli 2017 (nedan kallat yttrande 1/15, EU:C:2017:592, punkt 149 och där angiven rättspraxis).
52 Dom av den 15 februari 2016, N ( C‑601/15 PPU, EU:C:2016:84, punkt 53).
53 Domen Digital Rights, punkt 42 och där angiven rättspraxis.
54 Ibidem, punkt 51.
55 Yttrande 1/15, punkt 149.
56 Se punkterna 105–107 i mitt förslag till avgörande i mål C‑520/18.
57 Detta följer av artikel L. 851–1 i lagen om inre säkerhet, i vilken det hänvisas till artikel L. 34–1 i lagen om post och elektronisk kommunikation och till artikel 6 i lag nr 2004–575 om förtroendet för den digitala ekonomin.
58 Detta föreskrivs i artikel R. 10–13 i lagen om post och elektronisk kommunikation.
59 Det ankommer på den hänskjutande domstolen att undersöka denna fråga, kring vilken det rådde oenighet vid förhandlingen.
60 Artikel 1 i dekret nr 2011–219.
61 Artikel R. 10–13 i lagen om post och elektronisk kommunikation.
62 Såväl La Quadrature du Net som Fédération des fournisseurs d’accès á Internet associatifs betonar den mängd olika syften som finns med lagringen, myndigheternas utrymme för skönsmässig bedömning, avsaknaden av objektiva kriterier när den definieras och den betydelse som tillmäts vissa former av brottslighet som inte kan betecknas som grov.
63 Commission nationale de contrôle des techniques de renseignement (nationell tillsynsmyndighet för underrättelseteknik). Se, beträffande detta, punkterna 145–148 i den franska regeringens skriftliga yttrande.
64 Punkt 60 i kommissionens skriftliga yttrande.
65 I själva verket är de lite mer omfattande, eftersom det även tycks föreskrivas att IP-adresser eller lösenord ska lagras när det gäller internetanslutningstjänster.
66 Domen Tele2 Sverige och Watson, punkt 100.
67 Ibidem, punkt 107.
68 Ibidem, punkt 105.
69 Se föregående fotnot.
70 Domen Tele2 Sverige och Watson, punkt 106.
71 Ibidem, punkt 107.
72 Ibidem, punkt 112.
73 Ibidem, punkt 103.
74 Mål C‑527/15, EU:C:2016:938, punkt 41.
75 Domstolen har i punkt 124 i yttrande 1/15 erinrat om att utlämnande av personuppgifter till tredje man, såsom en myndighet, utgör ett ingrepp i den grundläggande rättighet som är stadfäst i artikel 7 i stadgan, oavsett vilken användning som de utlämnade uppgifterna senare blir föremål för. Det förhåller sig på samma sätt med lagringen av personuppgifter och åtkomsten till sådana uppgifter i syfte att myndigheter ska använda sig av dem. Det har i detta hänseende föga betydelse huruvida de uppgifter som avser privatlivet är av känslig art eller huruvida de berörda har fått utstå eventuella olägenheter på grund av ingreppet eller inte.
76 Såsom generaladvokat Cruz Villalón påpekade i punkt 72 i sitt förslag till avgörande i målet Digital Rights, C‑293/12 och C‑594/12 ( EU:C:2013:845) [utgör] insamlingen och framför allt lagringen i enorma databaser av en stor mängd olika uppgifter som genererats eller behandlats och som avser huvuddelen av unionsmedborgarnas dagliga elektroniska kommunikationer … ett väsentligt intrång i deras privatliv, också om det endast skapar möjlighet till kontroll i efterhand av deras privata och yrkesmässiga förehavanden.. Insamlingen av dessa uppgifter skapar förutsättningar för en övervakning som, även om den endast utövas retroaktivt i samband med att uppgifterna används, ändå på ett permanent sätt under hela den tid uppgifterna finns lagrade hotar unionsmedborgarnas rätt till skydd för privatlivets helgd. Den vaga känsla av att vara övervakad som detta skapar gör frågan om lagringstiden för uppgifterna särskilt angelägen.
77 Domen Tele2 Sverige och Watson, punkt 103: kan … inte … motivera att en nationell lagstiftning som föreskriver en generell och odifferentierad lagring av samtliga trafikuppgifter och lokaliseringsuppgifter ska anses vara nödvändig för detta ändamål.
78 Detta är till exempel den franska regeringens uppfattning och den pekar på konkreta exempel med nyttan av en generell lagring av uppgifter, som gjort det möjligt för staten att reagera på de allvarliga terrordåd som landet utsatts för på senare år (punkterna 107 och 122–126 i den franska regeringens skriftliga yttrande).
79 Dom av den 15 februari 2016, N ( C‑601/15 PPU, EU:C:2016:84, punkt 50). Det handlar således om den svåra balansen mellan den allmänna ordningen och friheten som jag tidigare har beskrivit och som i princip all unionslagstiftning eftersträvar att uppnå. Ett exempel på det är Europaparlamentets och rådets direktiv (EU) 2017/541 av den 15 mars 2017 om bekämpande av terrorism, om ersättande av rådets rambeslut 2002/475/RIF och om ändring av rådets beslut 2005/671/RIF (EUT L 88, 2017, s. 6). Samtidigt som det i artikel 20.1 föreskrivs att medlemsstaterna ska säkerställa att effektiva utredningsverktyg … är tillgängliga för de som har ansvaret för att utreda eller lagföra terroristbrott, anges det i skäl 21 att användningen av dessa effektiva verktyg bör vara riktad och ske med beaktande av proportionalitetsprincipen och arten och allvaret hos de brott som utreds och med iakttagande av rätten till skydd av personuppgifter.
80 Punkterna 87–95.
81 Punkterna 100–107.
82 Under förutsättning att de villkor som nämns i punkt 122 i domen Tele2 Sverige och Watson är uppfyllda: Domstolen har erinrat om att artikel 15.1 i direktiv 2002/58 inte medger att medlemsstaterna avviker från artikel 4.1 och 4.1a i direktivet, enligt vilken leverantörerna ska vidta åtgärder för att säkerställa ett effektivt skydd av de lagrade uppgifterna mot riskerna för missbruk och otillåten tillgång till uppgifterna. Domstolen slog fast att [m]ed hänsyn till att det är fråga om en stor mängd uppgifter och att dessa är av känslig natur samt att det finns en risk för otillåten tillgång till uppgifterna, måste leverantörerna av elektroniska kommunikationstjänster, för att säkerställa fullständig integritet och konfidentialitet för uppgifterna, garantera en särskilt hög skydds- och säkerhetsnivå genom lämpliga tekniska och organisatoriska åtgärder. Den nationella lagstiftningen måste i synnerhet föreskriva att lagringen sker inom unionen och att uppgifterna oåterkalleligen förstörs när deras lagringstid gått ut.
83 Punkterna 52–60.
84 Domen Tele2 Sverige och Watson, punkt 118.
85 Ibidem, punkt 119.
86 Ibidem, punkt 120.
87 Sådana som lagrar … för tillhandahållandet av kommunikationstjänster online till allmänheten … alla former av signaler, skrift, bilder, ljud eller meddelanden som tillhandahållits av mottagarna till dessa tjänster.
88 Detta direktiv nämner den hänskjutande domstolen i den andra frågan i mål C‑512/18, i generella ordalag och utan att precisera någon bestämmelse i det.
89 Punkterna 112 och 113 i kommissionens skriftliga yttrande.
90 Domen Digital Rights, punkt 59.
91 Domen Tele2 Sverige och Watson, punkt 121.
92 Punkterna 8–11 i beslutet att begära förhandsavgörande.