Діджитал Райтс Іреланд ЛТД проти Міністр зв’язку, морських та природних ресурсів, Міністр юстиції з питань рівності прав та правової реформи Комісар Гарга Шіхана, Ірландія

НЕОФІЦІЙНИЙ ПЕРЕКЛАД

РІШЕННЯ СУДУ (Велика Палата)

8 квітня 2014 року (*1)

‘Електронний зв'язок -Директива 2006/24/ЄС – Загальнодоступні послуги електронного зв'язку або послуги громадських комунікаційних мереж – Збереження даних, створених або оброблених у зв'язку з наданням таких послуг –Чинність- Статті 7, 8 та 11 Хартії основних прав Європейського союзу'

У справах С293/12 та С594/12,

Робить запит щодо попереднього рішення згідно із Статтею 267 Договору про функціонування Європейського Союзу з боку Верховного суду (Ірландія) та Конституційного суду Австрії, винесеного відповідно до рішень від 27 січня та 28 листопада 2012 року, отриманими в Суді 11 червня та 19 грудня 2012 року при судовому розгляді

Діджитал Райтс Іреланд ЛТД проти

Міністр зв'язку, морських та природних ресурсів,

Міністр юстиції з питань рівності прав та правової реформи

Комісар Гарга Шіхана,

Ірландія,

Генеральний прокурор,

Інтервент:

Комісія Ірландії з прав людини

та

Влада федеративної землі Каринтії (С 594/12)

Майкл Сейтлінгер

Крістоф Шоул та інші

СУД (Велика Палата),

До складу якого увійшли:

В. Скоуріс (V. Skouris), Президент, К. Ленаерц (K. Lenaerts), Віце-Президент, А. Тіззано (A. Tizzano), Р. Сілва де Лапуерта (R. Silva de Lapuerta), Т. вон Данвітз (T. von Danwitz) (Доповідач), Е. Юхас (E. Juhász), А. Борг Бартет (A. Borg Barthet), К.Г. Фернлунд (C.G. Fernlund) та Х.Л. да Круз Віласа (J.L. da Cruz Vilaça), Президенти Палати, А. Росас (A. Rosas), Г. Арестіс (G. Arestis), Ж. К. Бонічот (J.-C. Bonichot), А. Арабаджиєв (A. Arabadjiev), К. Тоадер (C. Toader) та К. Вайда (C. Vajda), Судді,

Генеральний прокурор: П. Круз Віллалон (P. Cruz Villalón),

Реєстратор: К. Малачек (K. Malacek), Адміністратор,

враховуючи письмову процедуру та подальше слухання 9 липня 2013 року, розглянувши зауваження, подані від імені:

  • Діджитал Райтс Іреланд ЛТД, в особі Старшого юрисконсульта Ф. Калланан, адвоката Ф. Креан за дорученням юрисконсульта С. МакГарр,
  • Містера Сеітлінгер, Г. Отто, Адвоката,
  • Містера Шоул та Інших, Е. Шохер, Адвоката,
  • Комісія Ірландії з прав людини, П. Діллон Малон, Адвоката, за дорученням юрисконсульта С. Люсе,
  • Ірландії, в особі Е. Крідон та Д. МакГіннесс, які діють в ролі агентів, за сприяння Старшого Юрисконсульта Е. Реган та адвоката Д. Феннеллі,
  • Уряду Австрії, в особі Г. Хессе, Г. Куннерт, які діють в ролі агентів,
  • Уряду Іспанії, в особі Н. Діаз Абад, який діє в ролі агента,
  • Уряду Франції, в особі Г. де Баргез, Д. Колас та Бопер-Маноха, які діють в ролі агентів,
  • Уряду Італії, в особі Г. Палміері, який діє в ролі агента, за сприяння А. де Стефано, державного адвоката,
  • Уряду Польщі, в особі Б. Майджина та М. Шпунар, які діють в ролі агентів,
  • Уряду Португалії, в особі Л. Інез Фернандес та К. В'єра Герра, які діють в ролі агентів
  • Уряду Об'єднаного Королівства, в особі Л. Крісті, який діє в ролі агента, за підтримки С. Лі, Адвоката,
  • Європейського парламенту, в особі У. Ресслейн, А. Каіола та К. Зейдова, які діють в ролі агентів,
  • Рада Європейського Союзу, в особі Дж. Монтеіро, Е. Сітбон та І. Шульце, які діють в ролі агентів,
  • Європейська комісія, в особі Д. Маідані, Б. Мартенчук та М. Вілдерспін, які виступають в ролі агентів,

заслухавши висновок Генерального Прокурора на засіданні 12 грудня 2013 року, винесено наступне рішення

Рішення Суду

1. Ці запити щодо попереднього рішення стосуються чинності Директиви 2006/24/ЄС Європейського Парламенту та Ради від 15 березня 2006 року про збереження даних, створених або оброблених у зв'язку з наданням загальнодоступних послуг електронного зв'язку або послуг громадських комунікаційних мереж та внесення змін до Директиви 2002/58/ЄС (Офіційне видання 2006 L 105, стр. 54).

2. Запит, поданий Верховним Судом (справа С 293/12), стосується провадження у справі між (і) Діджитал Райтс Іреланд ЛТД (‘Цифрові права') та (іі) Міністром зв'язку, морських та природних ресурсів, Міністром юстиції з питань рівності прав та правової реформи, Комісаром Гарга Шахана, Ірландією та Генеральним прокурором щодо законності національних законодавчих та адміністративних заходів стосовно збереження даних, що стосуються електронних засобів зв'язку.

3. Запит, поданий Конституційним Судом (Справа С594/12), стосується конституційних позовів, поданих до цього суду Урядом федеративної землі Каринтії), а також Містером Сеітлінгером, Містером Шоулом та іншими 11 128 заявниками щодо сумісності з Федеральним Конституційним Законом (Bundes-Verfassungsgesetz) закону, що вносить Директиву 2006/24 у національне законодавство Австрії.

Правовий контекст

Директива 95/46/ЄС

4. Об'єкт Директиви 95/46/ЄС Європейського Парламенту та Ради від 24 жовтня 1995 року про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних (Офіційне видання, L 281, стр. 31), відповідно до пункту 1 статті 1, полягає у захисті основних прав та свобод фізичних осіб та, зокрема їх право на недоторканість приватного життя стосовно обробки персональних даних.

5. Щодо безпеки обробки таких даних, то пункт 1 статті 17 цієї Директиви передбачає:

«Держави-члени передбачають, що контролер повинен здійснити належні технічні та організаційні заходи для захисту персональних даних від випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розголошення або доступу, зокрема, якщо обробка передбачає передачу даних через мережу, а також проти всіх інших незаконних форм обробки.

З огляду на спосіб та вартість їх реалізації, такі заходи повинні забезпечувати рівень безпеки, відповідний ризикам, які представляють обробку, та характер даних, що підлягають захисту.»

Директива 2002/58/ЄС

6. Мета Директиви 2002/58/ЄС Європейського Парламенту та Ради від 12 липня 2002 року щодо обробки персональних даних та захисту приватного життя в сфері електронного зв'язку (Директива про приватне життя та електронний зв'язок) з поправками внесеними Директивою 2009/136/ЄС Європейського Парламенту та Ради від 25 листопада 2009 року (Офіційне видання, L 337, стр. 11, Директива 2002/58), відповідно до Статті 1 (1), що полягає в узгодженні положень держав-членів, необхідних для забезпечення повноцінного захисту основних прав та свобод, зокрема права на недоторканість приватного життя та конфіденційність стосовно обробки особистих даних в сфері електронного зв'язку та забезпечення вільного переміщення даних, обладнання та послуг електронного зв'язку в Європейському Союзі. Згідно Статті 1 (2), положення цієї Директиви визначають та доповнюють Директиву 95/46 для цілей, зазначених у пункті 1 Статті 1.

7. Стосовно безпеки обробки даних, Стаття 4 Директиви 2002/58 передбачає:

«1. Постачальник загальнодоступних послуг електронного зв'язку повинен забезпечити належні технічні та організаційні заходи для забезпечення безпеки для своїх послуг, за необхідності, спільно з постачальникоммережі загального користування з метою забезпечення безпеки мережі. Беручи до уваги положення справ та вартість їх запровадження, ці заходи повинні забезпечувати рівень безпеки, відповідний представленому ризику.

1а. Без школи для Директиви 95/46/ЄС, заходи, згадані в пункті 1, повинні принаймні:

  • Забезпечити доступ до персональних даних лише уповноваженим особам для цілей дозволених з юридичної точки зору,
  • Захищати персональні дані, що зберігаються або передаються від випадкового чи незаконного знищення, втрати або зміни, а також від несанкціонованого, незаконного зберігання, обробки або розголошення, та
  • Забезпечити реалізацію політики захисту щодо обробки персональних даних,

Відповідні національні органи влади повинні мати можливість перевіряти заходи, вжиті постачальниками послуг, які надаються загальнодоступними послугами електронного зв'язку, та видати рекомендації щодо найбільш доцільної практики щодо рівня безпеки, яку ці заходи повинні досягти.

2. У випадку особливого ризику порушення безпеки мережі, постачальник загальнодоступних послуг електронного зв'язку повинен інформувати абонентів стосовно такого ризику та, якщо ризик виходить за рамки заходів, які має вжити постачальник послуг, будь-яких можливих засобів правового захисту, включаючи вказівки можливих витрат».

8. Стосовно конфіденційності повідомлень та даних про трафік, пункти 1 та 3 Статті цієї Директиви передбачають:

1. Держави-члени забезпечують конфіденційність зв'язку та відповідних даних про трафік за допомогою загальнодоступної комунікаційної мережі та загальнодоступних послуг електронного зв'язку через національне законодавство. Зокрема, вони забороняють прослуховування, зберігання або інші види перехоплення або спостереження за повідомленнями та відповідними даними про трафік особами, крім користувачів, без згоди відповідних користувачів, за винятком випадків, коли законно уповноважена особа робить це відповідно до Статті 15(1). Цей параграф не перешкоджає технічному зберіганню, необхідному для передачі повідомлення, не порушуючи принципу конфіденційності.

3. Держави-члени повинні забезпечити, щоб зберігання інформації або отримання доступу до вже збережених даних на кінцевому обладнанні даних абонента або користувача дозволялося лише за умови, що відповідний абонент або користувач дав свою згоду на надання чіткої та вичерпної інформації, відповідно до Директиви 95/46/ЄС, зокрема про мету обробки. Це не повинно перешкоджати будь-якому технічному зберіганню або доступу з єдиною метою здійснення передачі повідомлення через електронну мережу комунікацій або як суто необхідне для того, щоб постачальник послуг інформаційного суспільства, однозначно затребуваний абонентом або користувачем для надання послуг.

9. Стаття 6 (1) Директиви 2002/58 зазначає: «Дані про трафік, пов'язані з абонентами та користувачами, які обробляються та зберігаються постачальником послуг загальнодоступної комунікаційної мережі або загальнодоступної служби електронних засобів зв'язку, повинні бути стертими або анонімними, якщо вони не потрібні для передачі повідомлень без шкоди для пунктів 2,3 та 5 цієї Статті та Статті 15(1).».

10. Стаття 15 Директиви 2002/58 у пункті 1 зазначає:

«Держави-члени можуть вживати законодавчих заходів для обмеження сфери застосування прав та обов'язків, передбачених статтею 5, 6, 8(1), (2), (3), (4) та статтею 9 цієї Директиви, якщо такі обмеження стають необхідною, відповідною та пропорційною мірою в рамках демократичного суспільства для забезпечення національної безпеки (тобто державної безпеки), оборони, громадської безпеки та її запобігання, розслідування, виявлення та переслідування кримінальних злочинів або несанкціонованого використання системи електронного зв'язку, як зазначено у частині 1 Статті 13 Директиви 95/46/ЄС. З цією метою держави-члени можуть, зокрема, вжити законодавчих заходів, що передбачають збереження даних на обмежений період, виправданих на підставах, викладених у цьому пункті. Заходи, згадані в цьому пункті, повинні відповідати загальним принципам закону Співтовариства, включаючи ті, що згадані у частині 1 та 2 Статті 6 Договору про Європейський Союз.»

Директива 2006/24

11. Після проведення консультації з представниками правоохоронних органів, експертів з питань електронних засобів зв'язку за захисту даних, 21 вересня 2005 року Комісія представила оцінку впливу варіантів політики щодо правил збереження даних про трафік («оцінка впливу»). Ця оцінка стала підставою для складення пропозиції щодо Директиви Європейського Парламенту та Ради щодо збереження даних, оброблених у зв'язку з наданням послуг електронного сервісу зв'язку та внесенням змін до Директиви 2002/58/ЄС (СОМ (2005) 438 заключення, «пропозиція щодо директиви»), яка також була представлена 21 вересня 2005 року, що призвело до прийняття Директиви 2006/24 на основі Статті 95 ЄС.

12. У підпункті 4 преамбули до Директиви 2006/24 зазначено:

«Стаття 15 (1) Директиви 2002/58/ЄС визначає умови, за яких держави-члени можуть обмежувати обсяг прав та обов'язків, передбачених Статтями 5,6,8 (1), (2), (3) та (4), а також Статтею 9 цієї Директиви. Будь-які такі обмеження необхідні, доцільні та пропорційні в рамках демократичного суспільства для конкретних цілей громадського порядку, тобто для забезпечення національної безпеки (тобто державної безпеки), оборони, громадської безпеки та її запобігання, розслідування, виявлення та переслідування кримінальних злочинів або несанкціонованого використання електронних систем зв'язку.»

13. Відповідно до першого речення п'ятого пункту преамбули Директиви 2006/24 «кілька держав-членів прийняли законодавство, яке передбачає збереження даних постачальниками послуг для запобігання, розслідування, виявлення та переслідування кримінальних злочинів».

14. У підпунктах 7-11 преамбули Директиви 2006/24 говориться:

(7) Висновки Ради Європи з питань юстиції і внутрішніх справ від 19 грудня 2002 року підкреслюють, що, з огляду на значне зростання можливостей, що надаються за допомогою електронних повідомлень, дані, пов'язанні з використанням електронних засобів зв'язку, мають особливо важливе значення, і тому є цінним інструментом для запобігання, розслідування, розкриття і судового переслідування злочинів, зокрема з організованою злочинністю.

(8) У Декларації про боротьбу з тероризмом, яка була прийнята Європейкою Радою від 25 березня 2004 року, Рада доручила вивчити заходи для встановлення правил, що стосуються збереження повідомлень, постачальником даних послуг.

(9) Згідно з Статтею 8 Європейської конвекції про захист прав людини та основних свобод (ЄКПЛ), кожен має право на повагу його приватного життя і кореспонденції. Державні органи можуть втручатися у здійснення цього права лише згідно з законом і за необхідності в демократичному суспільстві, зокрема, в інтересах державної безпеки або громадської безпеки, для запобігання безладів або злочинів або для захисту прав та свобод інших осіб. Оскільки утримання даних виявилося необхідним і ефективним інструментом для проведення розслідувань правоохоронних органів у ряді держав-членів, зокрема щодо серйозних питань, таких як організована злочинність і тероризм, це необхідно для забезпечення того, щоб зберегти дані в розпорядженні правоохоронних органів протягом певного періоду, передбаченого в цій Директиві. …

(10) У своїй заяві від 13 липня 2005 року, що засуджує терористичні акти в Лондоні, Рада наголошує на необхідності якнайшвидшого прийняття спільних заходів по збереженню телекомунікаційних даних.

(11) З огляду на важливість даних, трафіку та даних про місцезнаходження для розслідування, розкриття та судового переслідування кримінальних злочинів, про що свідчать наукові дослідження і практичний досвід ряду держав-членів, необхідно забезпечити на європейському рівні , щоб дані, які створюються та обробляються постачальниками послуг загальнодоступних електронних повідомлень або громадських мереж зв'язку на надання послуг зв'язку, зберігаються протягом певного періоду, як це передбачено в цій Директиві.

15. У підпунктах 16, 21 та 22 в преамбулі Директиви 2006/24 зазначається:

(16) До обов'язків постачальників послуг, що стосуються заходів по забезпеченню якості даних, що випливають з положень Статті 16 і 17 цієї Директиви, в повній мірі застосовуються до даних, збережених за цією Директивою.

(21) З цілями цієї Директиви, а саме з метою узгодження зобов'язань провайдерів зберігати певні дані, і забезпечити використання цих даних для цілей розслідування, виявлення і переслідування за тяжкі злочини, як визначено в національному законодавстві кожної держави-члена, не можуть бути достатньо досягнутими державами-членами, і тому внаслідок масштабів та наслідків цієї Директиви вони можуть досягатись на рівні Співтовариства, Співтовариство може вжити заходів відповідно до принципу субсидіарності, викладеного у Статті 5 Договору. У відповідності з принципом пропорційності, викладеного в цій статті, ця Директива не поширюється більше, ніж потрібно для досягнення цих цілей.

(22) Ця Директива поважає основні права та дотримується принципів, які визнані зокрема, в Хартії основних прав Європейського Союзу. Зокрема, ця Директива разом з Директивою 2002/58/ЄС спрямована на забезпечення повного дотримання основних прав громадян на повагу приватного життя та захисту своїх особистих даних, як це закріплено в Статтях 7 та 8 Хартії.

16. Директива 2006/24 встановлює обов'язок перед постачальниками послуг загальнодоступних служб зв'язку або служб комунікаційних мереж, для збереження певних даних, які вони створюють або обробляють. У цьому контексті Статті 1-9, 11 та 13 Директиви зазначають:

Стаття 1

Цілі та завдання

  1. Мета цієї Директиви полягає в тому, щоб наблизити закони держав-членів, що стосуються зобов'язань постачальників загальнодоступних служб зв'язку або громадських мереж зв'язку щодо збереження певних даних, які створюються та обробляються ними, з метою забезпечення доступності цих даних для розслідування, виявлення і судового переслідування за тяжкі злочини, к це визначено національним законодавством кожної держави-члена.
  2. Ця Директива поширюється на трафік і дані про місцезнаходження як юридичних, так і фізичних осіб, а також відповідні дані, необхідні для ідентифікації абонента або зареєстрованого користувача. Вона не повинна поширюватись на зміст електронних повідомлень, в тому числі інформацію, що поширюється з використанням мереж електронного зв'язку.

Стаття 2

Визначення

  1. Для цілей цієї Директиви, визначення Директиви 95/46/ЄС, Директиви 2002/21/ЄС Європейського Парламенту та Ради Європи від 7 березня 2002 року з загальної нормативної бази для мереж та послуг електронного зв'язку (Рамкова Директива)…, і Директиви 2002/58/ЄС слід застосовувати:
  2. Для цілей цієї Директиви:

а) «дані» означають трафік даних і місце розташування, а також дані, необхідні для ідентифікації абонента або користувача;

б) «користувач» означає будь-яку юридичну або фізичну особу, яка використовує загальнодоступні послуги електронного зв'язку для особистих чи комерційних цілей, без обов'язкової підписки на дану послугу;

в) «телефонний сервіс» означає дзвінки (в тому числі голосові, голосову пошту та конференц-дзвінки та дані), додаткові послуги (включаючи пересилання та перенаправлення дзвінків) та послуги з передачі повідомлень і мультимедійних послуг (включаючи службу коротких повідомлень, розширені засоби масової інформації та медіа-послуги);

(г) “user ID” «ідентифікатор» означає унікальний ідентифікатор, призначений для осіб, коли вони підписуються або реєструються для отримання доступу до Інтернет або послуг Інтернет-зв'язку.

(д) «датчик ID» означає комірку, з якої було зроблено виклик з мобільного телефону та на яку комірку мобільного телефону виклик був завершений.

(е) «невдала спроба виклику» означає повідомлення при успішному підключені телефону, відсутність відповіді та втручання в результаті керування мережею.

Стаття 3

Зобов'язання зберігати дані

  1. Незалежно від положень Статей 5, 6 та 9 Директиви 2002/58/ЄС, держави-члени повинні вжити заходів для забезпечення того, щоб всі дані, вказані в Статті 5 цієї Директиви були збережені у відповідності до положень тієї мірою, якої вони створюються й обробляються постачальниками загальнодоступних послуг електронних комунікацій або громадських мереж зв'язку в процесі постачання послуг зв'язку.
  2. Зобов'язання зберігати дані, згадані в пункті 1, також включає збереження даних, зазначених у Статті 5, пов'язані з невдалою спробою виклику, де ці дані генеруються, обробляються і зберігаються (у випадку даних та телефонії), або зберігається на момент входу (у випадку з інтернет-даними) з боку постачальників загальнодоступних послуг електронних комунікацій або громадських мереж зв'язку в ході надання послуг зв'язку. Ця Директива не вимагає збереження даних, що стосуються невдалих спроб дзвінків.

Стаття 4

Доступ до даних

Держави-члени повинні вжити заходів для забезпечення збереження даних у відповідності з цією Директивою, і тільки у відповідності з національним законодавством, для передачі лише у певних випадках у компетентні національні органи. Процедури, яких слід дотримуватися, та умови, які повинні бути виконуватись для отримання доступу до збереження даних у відповідності з вимогами необхідності та пропорційності визначається кожною державою-членом в рамках її національного законодавства у відповідності до Положення Європейського Союзу або публічного міжнародного права, і, зокрема Європейської конвенції з прав людини, яка трактується Європейським судом прав людини.

Стаття 5

Категорії даних, які зберігаються

  1. Держави-члени повинні забезпечити збереження наступних категорій даних у відповідності з цією Директивою:

(а) дані, необхідні для відстеження та ідентифікації джерела зв'язку:

1) по мережі фіксованого телефонного зв'язку та мобільного телефонного зв'язку:

(і) номер телефону, з якого робиться виклик;

(іі) ім'я та адреса абонента або зареєстрованого користувача;

2) доступ в Інтернет, електронну пошту та Інтернет-телефонії:

(і) ID-ідентифікатор, присвоєний користувачу;

(іі) ідентифікатор користувача та телефонні номери, присвячені для будь-якого повідомлення телефонної мережі загального користування;

(ііі) ім'я та адреса абонента або зареєстрованого користувача, якому він належав в момент з'єднання ІР-адреси, ID-користувача або номер телефону;

(б) дані, необхідні для визначення призначення зв'язку:

(1) стосовно мережі фіксованого телефонного зв'язку та мобільного телефонного зв'язку:

(і) номер (номери), який був набраний, і телефон (телефони), на який направляється виклик, а у випадках, пов'язаних з додатковими послугами, такими як переадресація викликів і перенаправлення викликів, номер (номери), на який направляється виклик;

(іі) ім'я та адреса абонента або зареєстрованого користувача;

2) стосовно електронної пошти та інтернет-телефонії:

(і) ідентифікатор користувача або номер телефону одержувача, на який він приймає виклик через засоби Інтернет-телефонії;

(іі) ім'я та адреса абонента або зареєстрованого користувача та ідентифікатор користувача передбачуваного одержувача повідомлення;

(в) дані, необхідні для визначення дати, часу та тривалості повідомлення:

(1) стосовно мережі фіксованого телефонного зв'язку та мобільного телефонного зв'язку – дата та час початку та кінця зв'язку;

(2) доступ в Інтернет, до електронної пошти та Інтернет-телефонії:

(і) дата та час підключення та відключення послуги доступу до мережі Інтернет, залежно від часового поясу, разом з ІР-адресою, буть то статично чи динамічною, що присвоюється постачальником послуг доступу до Інтернету, а також ідентифікатор користувача абонента або зареєстрованого користувача;

(іі) дата та час підключення та відключення послуги електронної пошти або інтернет-телефонії залежно від часового поясу;

(г) дані, необхідні для визначення типу повідомлень:

1) стосовно мережі фіксованого телефонного зв'язку та мобільного телефонного зв'язку: використовується телефонний зв'язок;

2) стосовно електронної пошта та Інтернет-телефонії: використовуються Інтернет послуги;

(д) дані, необхідні для ідентифікації користувачів, їх комунікаційного устаткування та обладнання:

(1) стосовно мережі фіксованого телефонного зв'язку – кількість вхідних та вихідних дзвінків;

(2) стосовно мобільного зв'язку;

(i) кількість вхідних та вихідних дзвінків;

(ii) ідентифікатор міжнародного мобільного абонента (IMSI) від абонента, що телефонує;

(iii) міжнародний ідентифікатор мобільного обладнання (IMEI) від абонента;

(iv) IMSI групи викликів;

(v) IMEI групи викликів;

(vi) у разі анонімної послуги передплаченого сервісу – дата та час першої активації сервісу і розташування ID комірки, з якої була активована послуга;

3) стосовно доступу в Інтернет, до електронної пошти та Інтернет-телефонії:

(і) номер телефону виклику віддаленого доступу (Dial-up);

(іі) ідентифікатор цифрової абонентської лінії (DSL) або інших кінцевих пристроїв автора повідомлення;

(д) дані, необхідні для ідентифікації обладнання мобільного зв'язку:

1) розміщення ID комірки на початку повідомлення;

2) дані визначення географічного розташування комірок з урахуванням розташування ID комірок протягом періоду, в якому зберігаються повідомлення.

2. Відповідно цій Директиві, дані, які свідчать про змість повідомлень не можуть зберігатися.

Стаття 6

Періоди збереження

Держави-члени повинні забезпечити, щоб категорії даних, зазначених у Статті 5 зберігалися не менше шести місяців і не більше двох років з дати повідомлення.

Стаття 7

Недоторканість приватного життя та даних

Без шкоди для положень, прийнятих у відповідності з Директивою 95/46/ЄС та Директивою 2002/58/ЄС, кожна держава-член повинна забезпечити, щоб постачальники загальнодоступних послуг електронних комунікацій або громадських мереж дотримувалися, як мінімум, таких принципів безпеки даних, збережених у відповідності з цієї Директивою:

(а) збережені дані повинні бути такої ж якості та предметом такого ж захисту як і дані в мережі;

(б) щодо даних мають запроваджуватись відповідні технічні та організаційні заходи для захисту від випадкового або незаконного знищення, випадкової втрати або зміни, або несанкціонованого чи незаконного зберігання, обробки, доступу та розкриття інформації;

(в) щодо даних повинні застосовуватись відповідні технічні та організаційні заходи для забезпечення одержання доступу до них лише спеціально уповноваженим персоналом;

(г) дані, за винятком тих, доступ до яких було збережено повинні видалятись по закінченню терміну їх збереження.

Стаття 8

Вимоги до зберігання збережених даних

Держави-члени повинні забезпечити, щоб дані, згадані в Статті 5, зберігались у відповідності з цією Директивою таким чином, щоб збереглися дані та інша інформація, що відноситься до цих даних та можуть передаватись за запитом компетентних органів без невиправданої затримки.

Стаття 9

Контролюючий орган

  1. Кожна держава член призначає одного або кількох державних органів, відповідальних за контроль застосування на своїй території положень, прийнятих державами-членами у відповідності з Статтею 7 про захист даних. Ці органи можуть бути такими ж, як ті, про які йдеться в Статті 28 Директиви 95/46/ЄС.
  2. Органи, зазначені в пункті 1, повинні діяти з повною незалежністю при проведенні моніторингу, згаданому у цьому пункті.

Стаття 11

Поправка до Директиви 2002/58/ЄС

Наступний пункт повинен розміщуватись в Статті 15 Директиви 2002/58/ЄС:

«1а. Пункт 1 не застосовується до даних, передбачених [Директивою 2006/24/ЄС], які повинні зберігатись для цілей, зазначених у частині 1 Статті 1 цієї Директиви.».

Стаття 13

Засоби правового захисту, відповідальність та санкції

  1. Кожна держава-член повинна вжити необхідних заходів для забезпечення того, щоб національні заходи по здійсненню положень глави ІІІ Директиви 95/46/ЄС для застосування засобів судового захисту, відповідальності та санкцій на обробку даних відбулись у повному обсязі у відповідності з цією Директивою.
  2. Зокрема, кожна держава-член повинна вжити необхідних заходів для забезпечення того, щоб будь-який випадок навмисного доступу або передачі даних, що зберігаються у відповідності з цією Директивою, який не допускається згідно з національним законом, прийнятим у відповідності з цією Директивою, підлягає покаранню, у тому числі у вигляді адміністративних та кримінальних покарань, ефективних, пропорційних та таких, що роблять стримуючий вплив.»

Дії основної справи та питання подаються в попередньому позові

Справа С-293/12

17. 11 серпня 2006 року Діджитал Райтс подала позов до Верховного суду, в якому стверджувалось, що вона володіє мобільним телефоном, який був зареєстрований 3 червня 2006 року, та який використовується з цієї дати. Вона оскаржила законність національних законодавчих та адміністративних заходів стосовно збереження даних, пов'язаних з електронним зв'язком, і зокрема, звернулась до національного суду з проханням визнати недійсність Директиви 2006/24 та Частини 7 Закону про кримінальне правосуддя (Терористичні злочини) 2005 року, який вимагає від постачальників послуг телефонного зв'язку зберігати дані про трафік та місцезнаходження, пов'язані з цими постачальниками протягом визначеного законом терміну для запобігання, виявлення, розслідування та переслідування злочинів та забезпечення безпеки держави.

18. Вищий суд, вважаючи, що він не в змозі вирішити питання, пов'язані з національним законодавством, якщо не було розглянуто чинність Директиви 2006/24, вирішив зупинити розгляд справи та подати на розгляд Суду такі питання:

«1. Чи існує обмеження прав позивача щодо використання мобільної телефонії, що випливає із вимог Статей 3,4 та 6 Директиви 2006/24/ЄС, несумісних з Статтею 5(4) Договору про Європейський Союз, оскільки це є непропорційним та непотрібним або недоцільним для досягнення законних цілей:

(а) Забезпечуючи доступність певних даних для розслідування та переслідування тяжких злочинів?

та/або

(б) Забезпечуючи належне функціонування внутрішнього ринку Європейського Союзу?

2. Зокрема,

(і) Чи сумісна Директива 2006/24 з правом громадян вільно пересуватися та проживати на території держав-членів, передбачених Статтею 21 Договору про функціонування Європейського Союзу?

(іі) Чи сумісна Директива 2006/24 з правом на недоторканість приватного життя, встановленим у Статті 7 Хартії основних прав Європейського Союзу («Хартія») та Статті 8 ЄСПЛ?

(ііі) Чи сумісна Директива 2006/24 з правом на захист персональних даних, викладених в Статті 8 Хартії?

(iv) Чи сумісна Директива 2006/24 з правом на свободу вираження поглядів, викладеним у Статті 11 Хартії та Статті 10 ЄСПЛ?

(v) Чи сумісна Директива з правом на адміністративне управління, встановлене Статтею 41 Хартії?

3. Якою мірою Договори – і зокрема принцип лояльного співробітництва, викладені в Статті 4(3) Договору про Європейський Союз вимагають від національного суду з'ясувати та оцінити, чи сумісні національні виконавчі заходи для Директиви 2006/24 з захистом, передбаченим Хартією, включаючи Статтю 7 (як зазначено в Статті 8 ЄСПЛ)?

Справа С-594/12

19. Походження запиту про надання попереднього рішення у Справі 594/12 полягає у кількох позовних заявах, поданих Конституційним судом Австрії владою федеративної землі Каринтії, Містером Сейтлінгером, Містером Шоулом та 11 128 іншими заявниками, відповідно вимагаючи скасування пункту 102а Закону 2003 року про телекомунікації (Telekommunikationsgesetz 2003), який був включений до цього Закону 2003 року відповідно до федерального закону про внесення змін до нього з метою внесення Директиви 2006/24 в національне законодавство Австрії. Зокрема, вони вважають, що Стаття 102а Закону 2003 року про телекомунікації порушує основне право приватних осіб на захист своїх даних.

20. Конституційний суд Австрії, зокрема, цікавить, чи сумісна Директива 2006/24 з Хартією, оскільки це дозволяє зберігати багато видів даних протягом тривалого часу по відношенню до необмеженої кількості людей.

Конституційний суд Австрії вважає, що збереження даних впливає виключно на осіб, чия поведінка жодним чином не виправдовує збереження даних, що стосується них. Ці особи піддаються більшому ризику щодо того, що органи влади будуть досліджувати дані стосовно них, будуть ознайомлюватись зі змістом даних, дізнаватись про їх приватне життя та використовувати ці дані для різних цілей, зважаючи, зокрема, на некваліфіковану кількість осіб, які мають доступ до даних, на мінімальний період часу шести місяців. На думку запитуваного суду, виникають сумніви щодо того, чи здатна ця Директива досягти поставлених цілей, які вона переслідує, і щодо пропорційності втручання у відповідні основні права.

21. За таких умов Конституційний суд Австрії вирішив зупинити розгляд справи та направити на розгляд суду такі питання:

1. Стосовно чинності законів інститутів Європейського Союзу:

Чи Статті 3-9 Директиви 2006/24 сумісні зі Статтями 7,8 та 11 Хартії?

2. Стосовно тлумачення Договорів:

(а) З урахуванням пояснень, що стосуються Статті 8 Хартії, яка згідно з Статтею 52(7) Хартії була розроблена як спосіб тлумачення Хартії та на яку слід звернути увагу Конституційному суду Австрії [Директива 95/46] та Регламент (ЄС) №45/2001 Європейського Парламенту та Ради від 18 грудня 2000 року про захист фізичних осіб стосовно обробки персональних даних інститутами Співтовариства та органами та про вільне переміщення таких даних (Офіційне Видання 2001 L8, стт.1), з метою оцінки допустимості втручання, взяти до уваги рівноправність умов, передбачених Статтею 8(2) та Статтею 52(1) Хартії?

(б) Який існує зв'язок між «законодавством Союзу», як зазначено в останньому реченні Статті 52(3) Хартії, та Директивою у сфері закону про захист даних?

(в) З огляду на той факт, що Директива 95/26 та Постанова №45/2001 містять умови та обмеження з метою забезпечення основного права на захист даних відповідно до Хартії, чи повинні враховуватись поправки, що випливають з наступного вторинного права з метою тлумачення Статті 8 Хартії?

(г) Беручи до уваги Статтю 52(4) Хартії, чи випливає з принципу збереження вищого рівня захисту в Статті 53 Хартії, що обмеження, які застосовуються відповідно до Хартії щодо допустимих обмежень, повинні бути більш обмеженими вторинним правом?

(д) Беручи до уваги Статтю 52 (3) Хартії, п'ятий абзац преамбули та пояснення стосовно Статті 7 Хартії згідно з яким права, гарантовані в цій статті відповідають тим, що гарантуються Статтею 8 ЄСПЛ, чи може допомога випливати з прецедентної практики Європейського Союзу з прав людини з метою тлумачення Статті 8 Хартії, зокрема, впливати на тлумачення цієї останньої Статті?

22. Згідно рішення Голови Суду від 11 червня 2013 року Справи С 293/12 та С 594/12 були об'єднані з ціллю усної судової процедури.

Розгляд поданих питань.

Друге питання, частини (б)-(г) у Справі С 293/12 та перше питання у справі С 594/12.

23. За другим питанням, частини (б)-(г) у Справі 293/12 та за першим питанням у Справ С 594/12, які слід розглядати разом запитувані суди просять Суд перевірити чинність Директиви 2006/24 з урахуванням Статей 7, 8 та 11 Хартії.

Дійсність Статей 7, 8 та 11 Хартії стосовно питання про дійсність Директиви 2006/24.

24. З Статті 1 та декларативних частин 4, 5, 7-11, 21 та 22 Директиви 2006/24 випливає, що головною метою цієї Директиви є узгодження положень держав-членів стосовно утримання постачальниками загальнодоступних послуг електронних комунікацій або загальнодоступних комунікаційних мереж певних даних, які вони створюють або обробляють аби забезпечити наявність даних для запобігання, розслідування, виявлення та переслідування тяжких злочинів, таких як організована злочинність та тероризм, відповідно до прав, встановлених в Статтях 7 та 8 Хартії.

25. Зобов'язання згідно з Статтею 3 Директиви 2006/24 стосовно постачальників загальнодоступних послуг електронних комунікацій або загальнодоступних комунікаційних мереж, які зберігають дані, викладені в Статті 5 цієї Директиви, з метою забезпечення їх доступності, при необхідності компетентним національним органам влади, які порушують питання щодо поваги приватного життя та зв'язку відповідно до Статті 7 Хартії, захисту персональних даних відповідно до Статті 8 Хартії та поваги свободи вираження поглядів відповідно до Статті 11 Хартії.

26. У цьому відношенні слід зазначити, що дані, які постачальники загальнодоступних послуг систем електронного зв'язку або мереж загального користування повинні зберігатись відповідно до Статей 3 та 5 Директиви 2006/24, включаючи дані, необхідні для відстеження та визначення джерела зв'язку для визначення дати, часу, тривалості та типу зв'язку, для ідентифікації обладнання користувачів та для визначення місцезнаходження обладнання мобільного зв'язку, даних, що включають, зокрема, ім'я та адресу абонента або зареєстрованого користувача, номер телефону, номер телефону, що викликається та ІР-адресу для Інтернет-послуг. Зокрема, ці дані дозволяють ідентифікувати особу, з якою контактує абонент або зареєстрований користувач та у який спосіб, а також дізнатись час та місце їх з'єднання. Вони також дають змогу дізнатись частоту дзвінків абонента або зареєстрованого користувача з певними особами протягом певного періоду.

27. Ці дані, взяті в цілому, можуть давати достатньо точні висновки щодо особистого життя осіб, дані яких були збережені, такі як звички повсякденного життя, постійні та тимчасові місця проживання, щоденні та інші переміщення, повсякденна діяльність, соціальні відносини цим осіб та їх постійне соціальне оточення.

28. За таких обставин, як видно з Статті 1(2) та

Статті 5(2) Директиви 2006/24, Директива не дозволяє зберігати зміст повідомлень або інформацію, що використовувалась в мережі електронного зв'язку, незрозумілим є те, що збереження цих даних може мати вплив на використання абонентами або зареєстрованими користувачами засобів комунікації, охоплених цієї Директивою, а отже, на здійснення ними свободи вираження поглядів, що гарантується Статтею 11 Хартії.

29. Збереження даних з метою можливого доступу до них компетентними національними органами, як це передбачено Директивою 2006/24, безпосередньо та конкретно впливає на приватне життя і, як наслідок, на права, гарантовані статтею 7 Хартії. Крім того, таке збереження даних також підпадає під Статтю 8 Хартії, оскільки воно являє собою обробку персональних даних у значенні цієї Статті і тому має обов'язково відповідати вимогам захисту даних, що випливають з цієї Статті (Справи С 92/09 та С 93/09 Волкер та Маркус Чекке та Еіферт ЄС:С:2010:662, розділ 47).

30. Враховуючи, що посилання на попереднє рішення у цих справах порушує, зокрема, принципове питання про те, чи можуть згідно Статті 7 Хартії, дані абонентів та зареєстрованих користувачів зберігатися, а також вони стосуються принципового питання стосовно того, чи відповідає Директива 2006/24 вимогам щодо захисту персональних даних, що випливає з Статті 8 Хартії.

31. З огляду на викладене вище, з ціллю надання відповіді на друге питання, частини (б)-(г), у Справі С 293/12 та перше питання у Справі С 594/12, доцільно розглянути чинність цієї Директиви в контексті Статей 7 та 8 Хартії.

Втручання в права, передбачені Статтями т та 8 Хартії.

32. Вимагаючи збереження даних, зазначених у Статті 5(1) Директиви 2006/24, і дозволивши компетентним національним органам мати доступ до цих даних, Директива 2006/24, як зазначив Генеральний прокурор, зокрема у параграфах 39 і 40 у його висновках, відступає від системи захисту приватного життя, встановленого Директивами 95/46 та 2002/58 стосовно обробки персональних даних у сфері електронного зв'язку, Директиви, які передбачають конфіденційність зв'язку та даних про трафік, а також зобов'язання видаляти або робити ці дані анонімними, якщо вони стають непотрібними для передачі повідомлень або для виставлення рахунків і лише настільки, наскільки це необхідно.

33. Щоб встановити наявність втручання в основне право на приватність, незалежно від того, чи інформація про приватне життя є таємною, або чи були завдані незручності зацікавленим особам (див., наприклад, Справи С 465/00, С 138/01 та С 139/01 Австрійське радіомовлення та інші ЄС:С:2002:294, розділ 75).

34. Як наслідок, зобов'язання, встановлене Статтями 3 та 6 Директиви 2006/24 стосовно постачальників послуг, які надають загальнодоступні послуги електронного зв'язку або мережі загального користування про зберігання протягом певного періоду даних, які стосуються особистого життя особи та її повідомлень, як зазначено у Статті 5 Директиви, саме по собі являється втручанням у права, гарантовані Статтею 7 Хартії.

35. Крім того, доступ компетентних національних органів до даних являє собою подальше втручання в основне право (див., стосовно Статті 8 ЄСПЛ, Європейський суд, Г.Р. Леандер проти Швеції, 26 березня 1987 року, § 48, Серія А, №116; Ротару проти Румунії [GC], №28341/95, § 46, ЄСПЛ 2000- V; та Вебер та Саравія проти Німеччини №54934/00, §79, ЄСПЛ 2006-ХІ). Відповідно до Статті 4 та 8 Директиви 2006/24, що встановлюють правила, які стосуються доступу компетентних національних органів до даних, також є втручанням у права, гарантовані Статтею 7 Хартії.

36. Крім того, Директива 2006/24 являє собою втручання в основне право на захист персональних даних, гарантоване Статтею 8 Статуту, оскільки передбачає обробку персональних даних.

37. Слід зазначити, що втручання, спричинені Директивою 2006/24, з основними правами, викладеними в Статтях 7 та 8 Хартії, як зазначалось Генеральним прокурором, зокрема в пунктах 77 та 80 його Висновку, широкомасштабні, і це слід вважати особливо серйозним. Крім того, як зазначив Генеральний прокурор у параграфах 52 та 72 його Висновку, той факт, що дані зберігаються та згодом використовуються без відома абонента або зареєстрованого користувача, ймовірно наштовхує на думку, що приватне життя осіб є предметом постійного нагляду.

Обґрунтування втручання в права гарантовані Статтями 7 і 8 Хартії.

38. Стаття 52 (1) Хартії передбачає, що будь-які обмеження щодо прав та свобод, встановлених Хартією, повинні бути передбачені законом, та з дотриманням принципу пропорційності можуть бути обмежені права та свободи лише тоді, коли вони є необхідними та дійсно відповідають цілям загального інтересу, визнаними Союзом, або за необхідності захисту прав та свобод інших осіб.

39. Що стосується важливості основного права на приватність та інших прав, передбачених Статтею 7 Хартії, то слід визнати, що хоча збереження даних, що вимагаються Директивою 2006/24, є особливо серйозним втручанням у права та можуть негативно вплинути на сутність цих прав, враховуючи те, що стосовно Статті 1(2) Директиви, Директива не дозволяє набуття інформації про зміст електронного зв'язку як такого.

40. Також не зберігається інформація, яка негативно впливає на сутність основного права на захист персональних даних, яке закріплене в Статті 8 Хартії, оскільки Стаття 7 Директиви 2006/24, що стосується захисту даних та забезпечення безпеки даних, передбачає, що без шкоди для положень, прийнятих відповідно до Директив 95/46 та 2002/58, певні принципи захисту даних, яка надаються в загальнодоступних службах електронного зв'язку або загальнодоступних комунікаційних мережах повинні поважатись постачальниками послуг. Згідно з цими принципами, держави-члени повинні забезпечити належні технічні та організаційні заходи щодо випадкового або незаконного знищення, втрати або зміни даних.

41. Що стосується питання про те, чи відповідає це втручання загальним інтересам, слід зазначити, що, хоча Директива 2006/24 має на меті узгодження положення держав-членів щодо збереження певних даних, які створюються або обробляються ними, матеріальна мета цієї Директиви, яка випливає з пункту 1 Статті 1, полягає в тому, щоб забезпечити наявність даних для розслідування, виявлення та переслідування тяжких злочинів, визначених кожною державою-членом у своєму національному законодавстві. Отже, матеріальна мета цієї Директиви сприятиме боротьбі зі тяжкою злочинністю і, як наслідок, громадської безпеки.

42. З прецедентної практики Суду видно, що боротьба з міжнародним тероризмом з метою підтримки міжнародного миру та безпеки є об'єктом загального інтересу (див., у цьому контексті матеріали Справи С 402/05 Р та С 415/05 Каді та Аль Баракаат Інтернешинал Фаундейшн проти Ради та Комісії ЄС: С: 2008: 461, пункт 363, та Справи С 539/10 Р та С 550/10 Р Аль-Агса проти Ради ЄС: С: 2012: 711, пункт 130). Те саме стосується боротьби з тяжкою злочинністю з метою забезпечення громадської безпеки (див., Справу С 145/09 Цакоурідіс ЄС: С: 201: 708, пункти 46 та 47). Крім того, слід зазначити що в цьому відношенні Стаття 6 Хартії встановлює право будь-якої особи не лише на свободу, а й на безпеку.

43. У цьому відношенні, з декларативної частини 7 преамбули до Директиви 2006/24 видно, що з огляду на значне збільшення можливостей, наданих електронним зв'язком, Рада юстиції та внутрішніх справ від 19 грудня 2002 року зробила висновок, що дані, які стосуються використання електронних засобів зв'язку є особливо важливим і, отже, цінним інструментом у запобіганні злочинам та у боротьбі зі злочинністю, зокрема організованої злочинністю.

44. Отже, слід вважати, що збереження даних з метою надання можливості компетентним національним органам мати доступ до цих даних, як того вимагає Директива 2006/24, дійсно задовольняє мету загального інтересу.

45. За таких обставин необхідно перевірити пропорційність виявлених перешкод.

46. У зв'язку з цим, згідно з встановленою прецедентною практикою Суду, принцип пропорційності вимагає, щоб дії інститутів ЄС були відповідними для досягнення законних цілей, поставлених відповідним законодавством, і не перевищували меж того, що є доцільним та необхідним для досягнення цих цілей (див. у цьому контексті справу С 343/09 Афтон Кемікал ЄС: С: 2010: 419, пункт 45; Волкер та Маркус Чекке та Еіферт ЄС:С:2010:662, пункт 74; Справи С 581/10 та С 629/10 Нельсон та інші ЄС:С: 2012:657, пункт 71, Справа С 283/11 Скай Остерайх ЄС:С:2012:28, розділ 50; Справа С 101/12 Чейбл ЄС:С :2013: 661, розділ 29.

47. Що стосується судового контролю щодо дотримання цим умов, якщо розглядається суперечка з основними правами, міра законодавчого повноваження ЄС може виявитись обмеженою в залежності від ряду факторів, зокрема, включаючи територію, характер гарантованого Хартією права, характер та серйозність втручання та об'єкт, що переслідується втручанням (див., аналогічно, стосовно Статті 8 ЄСПЛ, Європейський суд Г.Р., С. та Марпер проти Об'єднаного Королівства [GC], №30562/04 та 30566/04, § 102, ЄСПЛ 2008- V).

48. У даній справі, з огляду на важливу роль, яку відіграє захист персональних даних на тлі основного права на повагу приватного життя та ступеня серйозності втручання в це право, спричинені Директивою 2006/24, повноваження законодавства ЄС зменшується, внаслідок чого перегляд повноважень має бути суворим.

49. Що стосується питання про те, чи збереження даних є доцільним для досягнення мети за Директивою 2006/24, то слід визнати, що, беручи до уваги зростаючу важливість засобів електронного зв'язку, дані, які повинні зберігатись відповідно до цієї Директиви, дозволяючи національним органам влади, які є компетенцією кримінального переслідування, мати додаткові можливості для прояснення тяжких злочинів. Отже, збереження таких даних може вважатись доцільним для досягнення мети відповідно цій Директиві.

50. Цю оцінку не можна поставити під сумнів фактом, який, зокрема висловлений Містером Шоулом, Містером Сеітлінгером та урядом Португалії у своїх письмових зауваженнях, поданих до Суду, полягають в існуванні кількох методів електронного зв'язку, які не підпадають під дію Директиви 2006/24 або які дозволяють анонімний зв'язок. Хоча, як відомо, такий факт обмежує здатність запобігати збереженню даних для досягнення поставленої мети, це не означає, що така міра є невідповідною, як зазначив Генеральний прокурор у пункті 137 його Висновку.

51. Що стосується необхідності збереження даних, що вимагається Директивою 2006/24, то слід визнати, що боротьба із тяжкими злочинами, зокрема із організованою злочинністю та тероризмом, дійсно надзвичайно важлива для забезпечення громадської безпеки, та її ефективність може значною мірою залежати від використання сучасних методів дослідження. Однак, така мета загальних інтересів, сама по собі не виправдовує заходи, що зберігаються, як ті, що встановлені Директивою 2006/24, вважались необхідними для цілей боротьби.

52. Що стосується права на повагу приватного життя, то захист цього основного права вимагається, згідно з уставленою практикою Суду, у будь-якому разі обмеження стосовно захисту персональних даних мають застосовуватися лише у тому випадку, якщо це суттєво необхідно (Справа С 473/12 ІРІ ЄС:С:2013:715, пункт 39 та прецедентне право, про яке йдеться).

53. У зв'язку з цим, слід зазначити, що захист персональних даних, що випливає із зобов'язання, встановленого частиною 1 Статті 8 Хартії, особливо важливий для права на повагу приватного життя, що закріплене в Статті 7 Хартії.

54. Отже відповідне законодавство ЄС повинно встановити чіткі правила для врегулювання обсягу та застосування відповідного заходу та встановлення мінімальних гарантій, для того, щоб особи, дані яких були збережені, мали достатні гарантії для ефективного захисту особистих даних від ризику зловживання та проти будь-якого незаконного доступу та використання цих даних (див., аналогічно, стосовно Статті 8 ЄСПЛ, Європейський Суд Ліберті та інші проти Об'єднаного королівства, 1 липня 2008 року №58243/00, § 62 та 63; Ротару проти Румунії § 57-59 та С. та Марпер проти Сполученого Королівства, §99).

55. Потреба в таких гарантіях передбачена Директивою 2006/24, персональні дані піддаються автоматичній обробці, та при існуючому значному ризику незаконного доступу до цих даних (див., аналогічно, Стаття 8 ЄСПЛ, С. та Марпер проти Сполученого Королівства, §103, та М.К. проти Франції, 18 квітня 2013 №19522/09, §35).

56. Що стосується питання про те, чи втручання, спричинене Директивою 2006/24, обмежується тим, що є необхідним, слід зазначити, що відповідно до Статті 3, що застосовується разом з Статтею %(1) цієї Директиви, Директива вимагає збереження всіх даних про трафік, що стосується фіксованого телефонного зв'язку, мобільної телефонії, доступу до Інтернету, електронної пошти та Інтернет-телефонії. Отже, це стосується всіх засобів електронного зв'язку, використання яких дуже поширене і набуває все більшого значення в повсякденному житті людей. Крім того, відповідно до статті 3 Директиви 2006/24, Директива охоплює всіх абонентів та зареєстрованих користувачів. Отже, це тягне за собою втручання в основні права практично всього європейського населення.

57. У цьому відношенні слід зазначити, що по-перше Директива 2006/24 охоплює в узагальненому порядку всі засоби електронного зв'язку, а також всі дані про трафік без будь-якого розмежування, обмеження чи виключення з урахуванням мети боротьби з тяжкими злочинами.

58. Директива 2006/24 поширюється на всіх осіб, які користуються послугами електронного зв'язку, крім осіб, дані яких зберігаються, навіть опосередковано, у ситуації, яка може призвести до кримінального переслідування. Тому вона застосовується навіть до осіб, для яких немає доказів, які містять припущення, що їх поведінка може мати непрямий або віддалений зв'язок з тяжким злочином. Крім того, вона не передбачає жодних виключень, внаслідок чого вона застосовується навіть до осіб, чиї комунікації підпорядковуються, відповідно з правилами національного законодавства щодо обов'язку професійної таємниці.

59. Крім того, прагнучи сприяти боротьбі із тяжкими злочинами, Директива 2006/24 не вимагає будь-яких зв'язків між даними що зберігаються та є загрозою громадській безпеці, і зокрема не обмежується збереженням у відношенні (і) даних, що відносяться до певного періоду часу та/або до певної географічної зони та/або кола конкретних осіб, які так чи інакше можуть бути задіяні в тяжкому злочині або (іі) осіб, які з інших причин можуть, завдяки збереженню їхніх даних, сприяти запобіганню, виявленню або переслідуванню тяжких злочинів.

60. По-друге, у Директиві 2006/24 існує відсутність загальних обмежень, однак Директива 2006/24 також не дозволяє встановити будь-який об'єктивний критерій визначення меж доступу компетентних національних органів до даних та подальшого їх використання з ціллю запобігання, виявлення або кримінального переслідування правопорушень, які, враховуюючи ступінь та серйозність втручання в основні права, закріплені в Статтях 7 та 8 Хартії, можуть вважатися досить серйозними, щоб виправдати таке втручання.

61. Крім того, Директива 2006/24 не містить матеріальних та процесуальних умов, що стосуються доступу компетентних національних органів до даних та подальшого їх використання. Стаття 4 Директиви, яка регулює доступ цих органів до збереження даних, прямо не передбачає, що доступ та подальше використання даних має суворо обмежуватися з метою запобігання та виявлення визначних тяжких злочинів та проведення кримінального переслідувань, пов'язаного з ним; вона лише передбачає, що кожна держава-член повинна визначити процедури, які слід дотримуватися, і умови, які мають бути виконані для отримання доступу до збереження даних відповідно до вимог необхідності та пропорційності.

62. Зокрема, Директива 2006/24 не передбачає жодного об'єктивного критерію, згідно з яким кількість осіб, уповноважених щодо доступу та подальшого використання збережених даних, обмежується тєм, що є суто необхідним на тлі поставленої мети. Перш за все, доступ компетентних національних органів до збережених даних не залежить від попереднього перегляду, який проводиться судом або незалежним адміністративним органом, рішення якого спрямоване на обмеження доступу до даних та їх суттєво необхідного використання для досягнення поставленої мети і яке є відповіддю на мотивований запит цих органів, представлений в рамках процедур запобігання, виявлення або кримінального переслідування. Також не передбачено конкретного зобов'язання для держав-членів, яке призначене для встановлення таких обмежень.

63. По-третє, щодо періоду зберігання даних, Стаття 6 Директиви 2006/24 вимагає, щоб такі дані зберігались протягом щонайменше шести місяців, без будь-якої різниці між категоріями даних, викладеними в Статті 5 цієї Директиви на основі їх можливої користі для цілей досягнутої мети або для відповідних осіб.

64. Крім того, цей період встановлюється мінімум на 6 місяців та максимум на 24 місяці, але не зазначається, що визначення періоду утримування (зберігання) має базуватися на об'єктивних критеріях, щоб забезпечити обмеження до того, що є строго необхідним.

65. З вищесказаного випливає, що Директива 2006/24 не передбачає чітких і точних правил, що регулюють ступінь втручання в основні права, закріплені в Статтях 7 та 8 Хартії. Отже, слід визнати, що Директива 2006/24 передбачає широке і особливо серйозне втручання в ці основні права правової системи ЄС, без такого втручання точно обмежується положеннями, які гарантують, що воно обмежується тим, що є строго необхідним.

66. Крім того, стосовно правил, які стосуються захисту даних, що зберігаються постачальниками загальнодоступного електронного комунікаційного зв'язку або загальнодоступних комунікаційних мереж, слід вважати, що Директива 2006/24 не передбачає достатніх гарантій, як того вимагає Стаття 8 Хартії, щоб забезпечити ефективний захист збережених даних від ризику зловживання ними та проти незаконного доступу та використання цих даних. По-перше, стаття 7 Директиви 2006/24 не передбачає окремих правил, які придатні для (i) великої кількості даних, збереження яких вимагається цією Директивою, (ii) особливого характеру цих даних та ( ііі) ризику незаконного доступу до цих даних, правила, які б слугували, зокрема, для чіткого та строгого захисту таких даних, щоб забезпечити їх повну цілісність та конфіденційність. Крім того, конкретне зобов'язання держав-членів щодо встановлення таких правил також не було встановлено.

67. Стаття 7 Директиви 2006/24, яка розглядається разом з Статтею 4(1) Директиви 20092/58 та підпунктом 2 Статті 17(1) 95/46, не забезпечує особливо високого рівня захисту та безпеки, що застосовується постачальниками за допомогою технічних та організаційних заходів, але дозволяє таким постачальникам, зокрема, врахувати економічні міркування при визначені рівня безпеки, який вони застосовують, стосовно витрат на здійснення заходів безпеки. Зокрема, Директива 2006/24 не гарантує незворотного знищення даних при закінчені періоду зберігання даних.

68. По-друге, слід додати, що ця Директива не вимагає збереження даних у Європейському Союзі, і тому не можна вважати, що контроль, чітко передбачений Статтею 8 (3) Хартії, незалежним органом влади щодо забезпечення вимог безпеки, як зазначено в попередніх двох параграфах, повністю забезпечений. Контроль, який здійснюється на основі законодавства ЄС, є важливою складовою захисту осіб у сфері обробки персональних даних (див., у цьому контексті Справу С 614/10 Комісія проти Австрії ЄС: С: 2012: 631, пункт 37).

69. Беручи до уваги всі викладені вище міркування, слід визнати, що прийнявши Директиву 2006/24, законодавчий орган ЄС перевищив межі, встановлені відповідно принципу пропорційності на тлі Статей 7, 8 та пункту 1 Статті 52 Хартії.

70. За цих обставин немає необхідності вивчати чинність Директиви 2006/24 на тлі Статті 11 Хартії.

71. Таким чином, відповідь на друге питання, частини б)-г) у Справі С 293/12 та перше питання у Справі С 594/12 полягає в тому, що Директива 2006/24 є недійсною.

Перше та друге питання, частини а) та д), а також третє питання у Справі С 293/12 та друге питання у Справі С 594/12.

72. З попереднього пункту слідує, що потреби відповідати на перше питання, на друге питання, на частини (а) та (б), і на третє питання у справі C 293/12 або на друге питання у справі C 594/12 немає.

Витрати

73. Оскільки ці провадження є сторонами основного провадження у справі, яка розглядається в національних судах, рішення стосовно судових витрат – це справа цим судів. Витрати, понесені при поданні зауважень до Суду, окрім витрат цих сторін, не підлягають відшкодуванню.

На цих підставах Суд (Велика Палата) постановив:

Директива 2006/24/ЄС Європейського Парламенту та Ради від 15 березня 2006 року про збереження даних, створених або оброблених у зв'язку з наданням загальнодоступних послуг електронного зв'язку або загальнодоступних комунікаційних мереж та внесення змін до Директиви 2002/58 недійсна.

[Підписи]

comments powered by HyperComments
close icon
Інформація про документ

Дата ухвалення
08.04.2014