Szerzők: dr. Domokos Márton és dr. Horváth Katalin
2020. október 6-án az Európai Unió Bírósága (“Bíróság”) kulcsfontosságú ítéletet hozott a C-623/17 – Privacy International és az ezzel összevont másik három ügyben.1 A Bíróság az uniós tagállamok azon jogszabályainak jogszerűségét vizsgálta, amelyek kötelezték az elektronikus hírközlő szolgáltatókat a felhasználók forgalmi és helyadatainak a hatóságoknak történő kiadására vagy az ilyen adatok általános, megkülönböztetés mentes módon való gyűjtésére és tárolására. A Bíróság megállapította, hogy az egyesült királyságbeli, belga és francia jogszabályok jelenlegi formájukban nem összeegyeztethetők az uniós jog szerinti jogok magas szintű védelmével, mert az Európai Parlament és Tanács 2002/58/EK elektronikus hírközlési adatvédelmi irányelve (az “ePrivacy Irányelv”) az Alapjogi Chartával (“Charta”) összeolvasva még nemzetbiztonsági aggályok esetén sem teszi lehetővé az uniós tagállamoknak, hogy megelőző intézkedésként és általános, megkülönböztetésmentes bűnüldözési vagy köz- és nemzetbiztonsági intézkedésként kötelezzék a szolgáltatókat a felhasználók forgalmi és helyadatainak gyűjtésére vagy a hatóságoknak történő kiadására.
A Bíróság előtt felmerült kérdések és a döntés
A Privacy International ügyben két kérdést utaltak előzetes döntéshozatalra a Bíróság elé azzal kapcsolatban, hogy a kérdéses egyesült királyságbeli jogszabályok összhangban vannak-e az uniós joggal.
1. Az ePrivacy Irányelv alkalmazhatósága: az Egyesült Királyság és az őt támogató egyéb tagállamok (többek között Franciaország, Írország, Svédország és Lengyelország) érvei szerint az ePrivacy Irányelv nem alkalmazható, mert az egyesült királyságbeli jogszabály célja a nemzetbiztonság biztosítása, és a nemzetbiztonsági és hírszerzési ügynökségek alapvető állami funkciókat látnak el a jog, a rendfenntartás és a nemzetbiztonság biztosításában, amelyek a hatályos uniós jog szerint z EU tagállamok, és nem az Unió kizárólagos feladatkörébe tartoznak. Az Egyesült Királyság továbbá érvelésében előadta, hogy a kérdéses adatok gyűjtése “jogszerű és elengedhetetlen, különösen a nemzetbiztonság védelme érdekében.”
Ezzel kapcsolatban a Bíróság megállapította, hogy a szolgáltatók kötelezése a forgalmi és hely adatok gyűjtésére és kiadására egyértelműen az ePrivacy Irányelv 3. cikk (1) bekezdésébe tartozik, és egyetértett a kérdést elé utaló nemzeti bíróságokkal abban, hogy ezt a nemzetbiztonsági aggályok sem írják felül.
2. Az ePrivacy Irányelvnek való megfelelés: A Bíróság szerint az ePrivacy Irányelv 15. cikk (1) bekezdésének a Chartával és egyéb uniós előírásokkal együttes értelmezése kizárja, hogy az EU tagállamok általános, megkülönböztetésmentes, a nemzetbiztonsági és hírszerzési ügynökségek számára történő forgalom és hely adat továbbításra kötelezzék a szolgáltatókat (még a nemzetbiztonság védelme érdekében sem). A Bíróság kiemelte, hogy az ePrivacy Irányelv 15. cikk (1) bekezdésén alapuló adatvédelmi jog korlátozásoknak arányosnak kell lenniük és csak a “feltétlenül szükséges” mértékben alkalmazhatók. Az Egyesült Királyság jogszabálya azonban túllépte ezt a korlátozást, és nem igazolható egy demokratikus társadalomban. A Bíróság különösen aggályosnak találta azt a tényt, hogy az adattovábbításra általános, megkülönböztetésmentes módon került sor, amelyet a Bíróság aránytalannak tekintett, mivel az minden érintett elektronikus hírközlési szolgáltatást használó felhasználót érintett, azokat is, akik esetében semmilyen bizonyíték nem utalt arra, hogy magatartásuknak akár csak távolról vagy közvetve is kapcsolata lehetne a nemzetbiztonság biztosításának feladatával. A Bíróság kiemelte, hogy az ePrivacy Irányelv rögzíti az elektronikus közlések és az ehhez kapcsolódó forgalmi adatok titkosságának elvét, lényegében megakadályozva, hogy a felhasználó hozzájárulása nélkül mások tárolhassák ezeket az adatokat. Az elektronikus hírközlési szolgáltatások felhasználói tehát a Bíróság szerint joggal várhatják, hogy közléseik és adataik névtelenek maradnak és nem rögzítik őket, hacsak nem adták hozzájárulásukat az ellenkezőjéhez.
A francia és belga kormány ellen indított ügyek hasonló problémákat vizsgáltak, tehát az uniós jog alkalmazhatóságának kérdését, és ahol releváns volt, ott az adatok megőrzésére és azokhoz való hozzáférésre vonatkozóan szükséges biztosítékok jellegét.
A Bíróság szerint továbbra is jogszerű jogszabályi előírások
A Bíróság ítéletében megállapította, hogy az ePrivacy Irányelv nem tiltja:
- a forgalmi és helyadatok általános és megkülönböztetésmentes megőrzésére vonatkozó utasítást, amennyiben a tagállam olyan “a nemzetbiztonságát fenyegető súlyos veszéllyel néz szembe, amely valódinak, továbbá jelen lévőnek vagy előre láthatónak bizonyul,” feltéve, hogy a kérdéses utasítás a “feltétlenül szükséges” mértékre korlátozódik és “hatékony felülvizsgálat” tárgya lehet bíróság vagy más független szerv által;
- a forgalmi és helyadatok célzott megőrzését lehetővé tevő jogszabályi intézkedéseket, feltéve, hogy azok mind (i) objektív és diszkriminációmentes tényezők alapján, személyek kategóriái vagy földrajzi helyszín szerint, mind pedig (ii) a “feltétlenül szükséges” mértékre korlátozódnak;
- az adatok gyorsított megőrzését lehetővé tevő jogszabályi intézkedéseket, ha ez szükséges igazolt vagy megalapozottan gyanítható „súlyos bűncselekmények vagy a nemzetbiztonságot érő támadások” felderítéséhez; és
- a valós idejű forgalmi és helyadat gyűjtést lehetővé tevő jogszabályi intézkedéseket, olyan személyről, akiről bírósági vagy más független szerv által végzett vizsgálat alapján alapos okkal feltételezhető, hogy terrorizmussal kapcsolatos cselekményekben vesz részt.
A valós idejű forgalmi és hely adatgyűjtés például jogszerűnek minősülhet, amennyiben olyan személyeket érint, akikről alapos okkal feltételezhető, hogy terrorizmussal kapcsolatos tevékenységben vesznek részt és az alapul szolgáló jogszabályokat bírósági vagy más független szerv előzetesen felülvizsgálta.
Az ítéletek legfontosabb gyakorlati következményei
A Bíróság tisztázta, hogy büntetőeljárások során a nemzeti bíróságoknak kell dönteniük az olyan bizonyítékok befogadhatósága és értékelése tekintetében, amelyeket az uniós joggal ellentétes adatgyűjtés útján szereztek “súlyos bűncselekményekkel vádolt személyek ellen.” Nem használható fel bizonyítékként azonban olyan adat, amelyhez “az uniós joggal ellentétesen, forgalmi és hely adatok általános és megkülönböztetésmentes megszerzésével” jutottak hozzá.
A tagállami bíróságok számára a következő lépés annak eldöntése, hogy milyen intézkedések szükségesek a Privacy International és a La Quadrature du Net (és mások) által nemzeti szinten indított eljárásokban.
Az Egyesült Királyság lépéseit is élénk figyelem övezi, hiszen a döntés jelentős kihívás elé állítja az országot abban, hogy még a Brexit előtt megszerezze a Bizottság “megfelelőségi” határozatát. Az Európai Bizottság megfelelőségi határozatának megszerzése azt biztosítaná, hogy 2020 végével, amikor az Egyesült Királyság elhagyja az Európai Uniót, a személyes adatok szabad továbbítása nem szakadna meg a két terület között, mert a Bizottság az uniós jog által biztosított adatvédelem szintjéhez képest megfelelőnek ítéli az Egyesült Királyság adatvédelmi jogszabályait. Valószínűsíthető, hogy a Bizottság figyelembe fogja venni a friss döntéseket a megfelelőség vizsgálatakor. A Bíróság döntése mindössze három hónappal Schrems II ügy, azaz az EU-USA Adatvédelmi Pajzzsal kapcsolatos EU Bizottsági határozat érvénytelenítése után született meg, amely döntés kimondta, hogy az Egyesült Államok megfigyelési programjai sértik az EU adatvédelmi jogi alapelveit. A Bíróságnak az egyesült királyságbeli megfigyelésekkel kapcsolatos aggodalmai számos szempontból tükrözik az általuk az Egyesült Államok gyakorlatával kapcsolatban felvetetteket.
—————————————————–
1 C-623/17, Privacy International, és az összevont C-511/18, La Quadrature du Net és társai, C-512/18, French Data Network és társai, és C-520/18, Ordre des barreaux francophones et germanophone és társai ügyek