A Bíróság 2014-ben a
Digital Rights Ireland ügyben hozott ítéletében megsemmisítette
az adatmegőrzési irányelvet azzal az indokkal, hogy az abban
foglalt, a forgalmi és a helymeghatározó adatok általános
megőrzésére vonatkozó kötelezettség által a magánélet
tiszteletben tartásához és a személyes adatok védelméhez való
alapvető jogba történő beavatkozás nem korlátozódott a
feltétlenül szükséges mértékűre.
Ezen ítéletet követően két olyan üggyel fordultak a Bírósághoz, amelyek a Svédországban és az Egyesült Királyságban az elektronikus hírközlési szolgáltatók számára előírt, azon kommunikációk megőrzésére vonatkozó általános kötelezettséggel kapcsolatosak, amelyek megőrzését a megsemmisített irányelv írta elő.
A Digital Rights Ireland ítélet kihirdetésének másnapján a Tele Sverige távközlési vállalkozás tájékoztatta a svéd posta- és telekommunikációs felügyeleti hatóságot azon döntéséről, hogy beszünteti az adatok megőrzését, valamint azon szándékáról, hogy törli a már rögzített adatokat (C-203/15. sz. ügy). A svéd jog ugyanis az elektronikus hírközlési szolgáltatókat minden elektronikus hírközlési eszköz tekintetében, kivétel nélkül kötelezi valamennyi előfizetőjük és nyilvántartott felhasználóik összes forgalmi és a helymeghatározó adatának szisztematikus és folyamatos megőrzésére.
A C-698/15. sz. ügyben Tom Watson, Peter Brice és Geoffrey Lewis külön indított keresetet azon brit adatmegőrzési szabályozással szemben, amely lehetővé teszi a belügyminiszter számára, hogy a nyilvános távközlési szolgáltatókat valamennyi hírközlési adat legfeljebb tizenkét hónapig történő megőrzésére kötelezze, azzal hogy e közlések tartalmának megőrzése kizárt.
A Kammarrätten i Stockholm (stockholmi fellebbviteli közigazgatási bíróság, Svédország) és a Court of Appeal (England and Wales) (Civil Division) (Anglia és Wales fellebbviteli bíróságának polgári tanácsa, Egyesült Királyság) kérelmére a Bíróságnak arról kell határoznia, hogy összeegyeztethetők-e az uniós joggal (különösen az EU Alapjogi Chartájának bizonyos rendelkezéseivel összefüggésben értelmezett „elektronikus hírközlési adatvédelmi irányelvvel”) e nemzeti szabályozások, amelyek különösen anélkül írnak elő általános adatmegőrzési kötelezettséget a szolgáltatók számára és biztosítják az illetékes nemzeti hatóságok számára a megőrzött adatokhoz való hozzáférést, hogy azt kizárólag a súlyos bűncselekmények elleni küzdelem céljára korlátoznák, és bíróság vagy független közigazgatási szerv előzetes felülvizsgálatához kötnék.
Ítéletében a Bíróság azt a választ adja, hogy az uniós joggal ellentétes az adatok általános és különbségtétel nélküli megőrzését előíró nemzeti szabályozás.
A Bíróság legelőször is megerősíti, hogy a szóban forgó nemzeti intézkedések az irányelv hatálya alá tartoznak . Az elektronikus közlések és az azokkal kapcsolatos forgalomra vonatkozó adatok titkosságának védelme ugyanis a felhasználókon kívüli bármely más személy által hozott intézkedésekre alkalmazandó, függetlenül attól, hogy magánszemélyekről, illetve magánjogi vagy állami szervekről van-e szó.
A Bíróság ezt követően megállapítja, hogy az irányelv ugyan lehetővé teszi a tagállamok számára, hogy a közlések és az azokra vonatkozó forgalmi adatok titkosságának biztosítására vonatkozó alapvető kötelezettség terjedelmét korlátozzák, ez azonban nem igazolhatja, hogy az ezen alapvető kötelezettségtől, és különösen ezen adatoknak az említett irányelvben előírt megőrzésének tilalmától való eltérés váljék szabállyá .
A Bíróság továbbá emlékeztet azon állandó ítélkezési gyakorlatára, mely szerint a magánélet tiszteletben tartásához való alapvető jog védelme megköveteli, hogy a személyes adatok védelme alóli kivételek a feltétlenül szükséges határokon belül maradjanak . A Bíróság ezen ítélkezési gyakorlatát alkalmazza az adatok megőrzésére, valamint a megőrzött adatokhoz való hozzáférésre vonatkozó szabályokra.
A Bíróság a megőrzéssel kapcsolatban megállapítja, hogy a megőrzött adatok együttesen véve igen pontos következtetések levonását tehetik lehetővé azon személyek magánélete vonatkozásában, akiknek az adatait megőrizték .
A forgalmi és a helymeghatározó adatok megőrzését előíró nemzeti szabályozásból eredő beavatkozást ezért különösen súlyosnak kell tekinteni. Az a körülmény, hogy az adatok megőrzésére anélkül kerül sor, hogy az elektronikus hírközlési szolgáltatások felhasználóit erről tájékoztatnák, az érintett személyekben azt az érzést keltheti, hogy magánéletük állandó felügyelet alatt áll. Következésképpen kizárólag a súlyos bűncselekmények elleni küzdelem igazolhatja az ilyen beavatkozást.
A Bíróság rámutat arra, hogy az adatok általános és különbségtétel nélküli megőrzését előíró nemzeti szabályozás nem követeli meg, hogy kapcsolat álljon fenn a megőrizendő adatok és a közbiztonság elleni fenyegetés között, és különösen nem korlátozódik olyan meghatározott időszakkal és/vagy földrajzi területtel és/vagy adott személyi körrel kapcsolatos adatok megőrzésére, amelyek valamely súlyos bűncselekménnyel hozhatók kapcsolatba. Az ilyen nemzeti szabályozás tehát túllép a feltétlenül szükséges mértéken, és nem tekinthető igazoltnak egy demokratikus társadalomban, amint azt a Chartával összefüggésben értelmezett irányelv megköveteli.
A Bíróság viszont kifejti, hogy az irányelvvel nem ellentétes az adatoknak a súlyos bűncselekmények elleni küzdelem céljából történő, célzott megőrzését előíró nemzeti szabályozás, azzal a feltétellel, hogy ezen adatmegőrzés a megőrizendő adatkategóriák, az érintett hírközlési eszközök, az érintett személyek és a megőrzés időtartama tekintetében a feltétlenül szükséges mértékűre korlátozódik . A Bíróság szerint minden, ilyen kötelezettséget előíró nemzeti szabályozásnak egyértelműnek és pontosnak kell lennie, és elegendő biztosítékot kell előírnia az adatoknak a visszaélések veszélyeivel szembeni védelme érdekében. Meg kell jelölnie, hogy az adatok megőrzésére vonatkozó intézkedés milyen körülmények esetén és milyen feltételekkel fogadható el megelőző jelleggel, ezáltal biztosítva, hogy ezen intézkedés a feltétlenül szükséges mértékűre korlátozódjék. E szabályozásnak továbbá olyan objektív tényezőkön kell alapulnia, amelyek lehetővé teszik, hogy az olyan személyekre irányuljon, akiknek az adatai alkalmasak a súlyos bűncselekményekkel fennálló kapcsolat felállítására, a súlyos bűncselekmények elleni küzdelem valamilyen módon történő elősegítésére, vagy a közbiztonságot fenyegető súlyos veszély megelőzésére.
Az illetékes nemzeti hatóságoknak a megőrzött adatokhoz való hozzáférésével kapcsolatban a Bíróság megerősíti, hogy az érintett nemzeti szabályozás nem korlátozódhat annak megkövetelésére, hogy a hozzáférés az irányelvben említett egyik célnak – akár a súlyos bűncselekmények elleni küzdelemnek – feleljen meg, hanem az illetékes nemzeti hatóságok adatokhoz való hozzáférését szabályozó anyagi jogi és eljárásjogi feltételeket is tartalmaznia kell .
E szabályozásnak objektív kritériumokon kell alapulnia azon körülmények és feltételek meghatározása érdekében, amelyek esetén hozzáférést kell adni az adatokhoz az illetékes nemzeti hatóságok számára. A bűnözés elleni küzdelem céljával összefüggésben főszabály szerint csak azon személyek adataihoz lehet hozzáférést adni, akiket azzal gyanúsítanak, hogy súlyos bűncselekmény elkövetését tervezik, ilyen bűncselekményt követnek vagy követtek el, vagy pedig bármilyen más módon részesek ilyen bűncselekmény elkövetésében. Mindazonáltal különleges helyzetekben, mint például amikor a nemzetbiztonság, a nemzetvédelem vagy a közbiztonság létfontosságú érdekét terrorcselekmények veszélyeztetik, a más személyek adataihoz való hozzáférés akkor is megadható, ha léteznek olyan objektív tényezők, amelyek alapján megállapítható, hogy ezen adatok valamely konkrét esetben hatékonyan hozzájárulhatnak az ilyen tevékenységek elleni küzdelemhez.
Ezen túlmenően a Bíróság megítélése szerint alapvető fontosságú, hogy a megőrzött adatokhoz való hozzáférés – a sürgősség esetét kivéve – bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálathoz legyen kötve . Azok az illetékes nemzeti hatóságoknak továbbá, amelyek hozzáférést kaptak a megőrzött adatokhoz, erről tájékoztatniuk kell az érintett személyeket.
A megőrzött adatok mennyiségére, azok érzékeny jellegére, valamint az azokhoz való jogellenes hozzáférés veszélyére tekintettel a nemzeti szabályozásnak rendelkeznie kell arról, hogy az adatokat az Unió területén őrizzék, és azokat az adatmegőrzési időszak végén visszafordíthatatlan módon megsemmisítsék.
