De richtlijn betreffende privacy en elektronische communicatie is in beginsel van toepassing wanneer aanbieders van elektronische diensten wettelijk worden verplicht om de gegevens van hun abonnees te bewaren en de overheid er toegang toe te geven, ook al worden die verplichtingen hun opgelegd om redenen van nationale veiligheid. De middelen en methoden die voor terreurbestrijding worden aangewend, moeten voldoen aan de eisen van de rechtsstaat, aldus advocaat-generaal Campos Sánchez-Bordona in een advies aan het HvJ EU.
Het gaat om de conclusie van de advocaat-generaal Campos Sánchez-Bordona van 15 januari 2020 in een viertal zaken, te weten de Britse zaak C-623/17, Privacy International, in de gevoegde Franse zaken C-511/18, La Quadrature du Net e.a. en C-512/18, French Data Network e.a., en in de Belgische zaak C-520/18 Ordre des barreaux francophones et germanophone e.a.
Prejudiciële vragen
Het Hof heeft zich de afgelopen jaren meermaals uitgesproken over de bewaring van en de toegang tot persoonsgegevens. Die rechtspraak, en met name het arrest in de zaken Tele2 Sverige (C-203/15) en Watson e.a. (C-698/15) – waarbij het Hof oordeelde dat de lidstaten aanbieders van elektronischecommunicatiediensten geen algemene en ongedifferentieerde verplichting tot bewaring van gegevens mogen opleggen –, verontrust bepaalde lidstaten, die de indruk hebben een instrument te verliezen dat zij noodzakelijk achten om de nationale veiligheid te waarborgen en criminaliteit en terrorisme te bestrijden. Die bezorgdheid komt tot uitdrukking in vier verzoeken om een prejudiciële beslissing waarin de A-G nu heeft geconcludeerd.
De conclusie
In die zaken rijst in de eerste plaats de vraag of de EU-richtlijn 2002/58/EG betreffende privacy en elektronische communicatie van toepassing is op activiteiten die verband houden met de nationale veiligheid en de bestrijding van terrorisme.
In zijn conclusies laat advocaat-generaal Manuel Campos Sánchez-Bordona er om te beginnen geen twijfel over bestaan dat de richtlijn op dat gebied van toepassing is. Hij verduidelijkt dat de richtlijn van haar werkingssfeer activiteiten uitsluit die de overheid, met het oog op de bescherming van de nationale veiligheid, zelf uitvoert, zonder de medewerking van particulieren te vereisen en, dus ook, zonder hun verplichtingen op te leggen met betrekking tot hun bedrijfsvoering. Wanneer daarentegen een beroep wordt gedaan op particulieren, aan wie bepaalde verplichtingen worden opgelegd, ook al is dat om redenen van nationale veiligheid, vallen die activiteiten binnen een gebied dat door het EU-recht wordt geregeld, namelijk dat van de bescherming van de persoonlijke levenssfeer die door die particuliere actoren moet worden gewaarborgd.
Verder staat de richtlijn de lidstaten toe wettelijke maatregelen te treffen die, met het oog op de nationale veiligheid, gevolgen teweegbrengen voor de activiteiten van de personen die aan het gezag van die staten zijn onderworpen, en de rechten van die personen beperken. De advocaat-generaal brengt in herinnering dat de beperkingen van de verplichting om de vertrouwelijkheid te waarborgen van de communicatie en van de daarmee verband houdende verkeersgegevens, strikt en in het licht van de door het Handvest gewaarborgde grondrechten moeten worden uitgelegd.
Campos Sánchez-Bordona stelt voor om de met het arrest Tele2 Sverige en Watson gevestigde rechtspraak van het Hof te bevestigen, en benadrukt dat het onevenredig is om alle verkeers- en locatiegegevens van alle abonnees en geregistreerde gebruikers zonder onderscheid te bewaren. Hij erkent niettemin dat de verplichting om gegevens te bewaren zinvol is om de nationale veiligheid te beschermen en criminaliteit te bestrijden. Daarom pleit hij voor een beperkte en gedifferentieerde bewaring. Hij pleit ook voor een beperkte toegang tot die gegevens die afhankelijk wordt gesteld van de voorwaarde dat een rechterlijke instantie of een onafhankelijke bestuurlijke autoriteit daar vooraf controle op uitoefent, dat de betrokkenen op de hoogte worden gebracht – voor zover dat het lopende onderzoek niet in gevaar brengt – en dat regels worden vastgesteld om misbruik van en onrechtmatige toegang tot de gegevens te voorkomen. Hij voegt daar echter aan toe dat niets belet dat voor het geval dat er zich uitzonderlijke omstandigheden voordoen, waarbij sprake is van een onmiddellijke dreiging die of een buitengewoon risico dat rechtvaardigt dat de noodtoestand officieel wordt uitgeroepen, in de nationale wetgeving wordt voorzien in de mogelijkheid om – tijdelijk en mits passende rechterlijke waarborgen worden geboden – een verplichting tot gegevensbewaring op te leggen die zo ruim en algemeen is als noodzakelijk wordt geacht.