OPINIA RZECZNIKA GENERALNEGO
HENRIKA SAUGMANDSGAARDA ØE
przedstawiona w dniu 19 lipca 2016 r.(1)
Sprawy połączone C‑203/15 i C‑698/15
Tele2 Sverige AB
przeciwko
Post- och telestyrelsen (C‑203/15)
i
Secretary of State for the Home Department
przeciwko
Tomowi Watsonowi,
Peterowi Brice’owi,
Geoffreyowi Lewisowi (C‑698/15),
przy udziale
Open Rights Group,
Privacy International,
Law Society of England and Wales
{wnioski o wydanie orzeczenia w trybie prejudycjalnym, złożone przez Kammarrätten i Stockholm (administracyjny sąd apelacyjny w Sztokholmie, Szwecja) i Court of Appeal (England & Wales) (Civil Division) [sąd apelacyjny (Anglia i Walia) (wydział cywilny), Zjednoczone Królestwo]}
Odesłanie prejudycjalne – Dyrektywa 2002/58/WE – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Ustawodawstwo krajowe przewidujące ogólny obowiązek zatrzymywania danych dotyczących łączności elektronicznej – Artykuł 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuł 7 – Prawo do poszanowania życia prywatnego – Artykuł 8 – Prawo do ochrony danych osobowych – Poważna ingerencja – Uzasadnienie – Artykuł 52 ust. 1 – Warunki – Zgodny z prawem cel walki z poważnymi przestępstwami – Wymóg podstawy prawnej w prawie krajowym – Wymóg absolutnej konieczności – Wymóg proporcjonalności w demokratycznym społeczeństwie
Spis treści
I –
II –Ramy prawne6
A –Dyrektywa 2002/586
B –Prawo szwedzkie7
1.W przedmiocie zakresu obowiązku zatrzymywania7
2.W przedmiocie dostępu do zatrzymywanych danych8
a)LEK8
b)RB9
c)Ustawa 2012:2789
3.W przedmiocie okresu przechowywania zatrzymanych danych10
4.W przedmiocie ochrony i bezpieczeństwa zatrzymanych danych10
C –Prawo Zjednoczonego Królestwa11
1.W przedmiocie zakresu obowiązku zatrzymywania11
2.W przedmiocie dostępu do zatrzymywanych danych12
3.W przedmiocie okresu przechowywania zatrzymanych danych13
4.W przedmiocie ochrony i bezpieczeństwa zatrzymanych danych13
III –Postępowania główne i pytania prejudycjalne14
A –Sprawa C‑203/1514
B –Sprawa C‑698/1515
IV –Postępowanie przed Trybunałem16
V –Analiza pytań prejudycjalnych17
A –W przedmiocie dopuszczalności pytania drugiego postawionego w sprawie C‑698/1518
B –W przedmiocie zgodności ogólnego obowiązku zatrzymywania danych z systemem ustanowionym w dyrektywie 2002/5820
1.W przedmiocie objęcia ogólnego obowiązku zatrzymywania danych zakresem stosowania dyrektywy 2002/5821
2.W przedmiocie możliwości odstępstwa od systemu ustanowionego przez dyrektywę 2002/58 poprzez ustanowienie ogólnego obowiązku zatrzymywania danych23
C –W przedmiocie możliwości stosowania karty do ogólnego obowiązku zatrzymywania danych26
D –W przedmiocie zgodności ogólnego obowiązku zatrzymywania danych z wymogami ustanowionymi w art. 15 ust. 1 dyrektywy 2002/58, a także w art. 7, 8 i art. 52 ust. 1 karty28
1.W przedmiocie wymogu istnienia podstawy prawnej w prawie krajowym30
2.W przedmiocie poszanowania istoty praw uznanych w art. 7 i 8 karty34
3.W przedmiocie istnienia uznanego przez Unię celu interesu ogólnego, który może uzasadniać ogólny obowiązek zatrzymywania danych35
4.W przedmiocie odpowiedniego charakteru ogólnego obowiązku zatrzymywania danych w świetle walki z poważnymi przestępstwami37
5.W przedmiocie koniecznego charakteru ogólnego obowiązku zatrzymywania danych w świetle walki z poważnymi przestępstwami39
a)W przedmiocie absolutnie koniecznego charakteru ogólnego obowiązku zatrzymywania danych41
b)W przedmiocie wiążącego charakteru gwarancji ustanowionych przez Trybunał w pkt 60–68 wyroku DRI w świetle wymogu absolutnej konieczności46
6.W przedmiocie proporcjonalnego charakteru, w demokratycznym społeczeństwie, ogólnego obowiązku zatrzymywania danych w świetle celu walki z poważnymi przestępstwami52
VI –Wnioski57
I – Wprowadzenie
1. W 1788 r. współtwórca konstytucji Stanów Zjednoczonych James Madison napisał: „If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary. In framing a government which is to be administered by men over men, the great difficulty lies in this: you must first enable the government to control the governed; and in the next place oblige it to control itself”(2).
2. Sedno niniejszych spraw stawia nas w samym centrum „największej trudności” wskazanej przez Madisona. Sprawy te dotyczą zgodności z prawem Unii systemów krajowych ustanawiających po stronie dostawców publicznie dostępnych usług łączności elektronicznej (zwanych dalej „dostawcami”) obowiązek zatrzymywania danych dotyczących łączności elektronicznej (zwanych dalej „danymi dotyczącymi komunikatów”) w odniesieniu do ogółu środków komunikacji i wszystkich użytkowników (zwany dalej „ogólnym obowiązkiem zatrzymywania danych”).
3. Z jednej strony zatrzymywanie danych dotyczących komunikatów daje „rządowi możność kontroli nad rządzonymi”, przyznając właściwym organom środek dochodzeniowy, który może mieć pewną użyteczność w walce z poważnymi przestępstwami, w szczególności w walce z terroryzmem. Zasadniczo zatrzymywanie tych danych daje bowiem władzom ograniczoną zdolność do „odtwarzania przeszłości” dzięki dostępowi do danych dotyczących komunikatów przekazywanych przez osobę, nawet zanim jeszcze stała się podejrzana o związek z poważnym przestępstwem(3).
4. Jednakże z drugiej strony konieczne jest „zobowiązanie rządu do kontroli samego siebie” zarówno w zakresie zatrzymywania, jak i dostępu do zatrzymanych danych, z uwagi na poważne zagrożenia spowodowane istnieniem takich baz danych obejmujących całość komunikatów na terytorium krajowym. W istocie owe znacznych rozmiarów bazy danych oferują każdej osobie, która ma do nich dostęp, możliwość natychmiastowego katalogowania ogółu danej populacji(4). Zagrożenia te powinny zostać skrupulatnie zanalizowane, w szczególności w drodze zbadania absolutnie koniecznego i proporcjonalnego charakteru ogólnego obowiązku zatrzymywania danych, takiego jak obowiązki rozpatrywane w postępowaniach głównych.
5. Tak więc w ramach niniejszych spraw Trybunał i sądy odsyłające zobowiązane są do określenia odpowiedniej równowagi między spoczywającym na państwach członkowskich obowiązkiem zapewnienia bezpieczeństwa osób znajdujących się na ich terytorium a przestrzeganiem praw podstawowych do poszanowania życia prywatnego oraz do ochrony danych osobowych ustanowionych w art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).
6. To właśnie w świetle tej „największej trudności” zbadam pytania postawione Trybunałowi w niniejszych sprawach. Dotyczą one konkretnie zgodności systemów krajowych ustanawiających ogólny obowiązek zatrzymywania danych z dyrektywą 2002/58/WE(5) oraz z art. 7 i 8 karty. W celu udzielenia odpowiedzi na te pytania Trybunał będzie musiał w szczególności wyjaśnić, jaką należy – w kontekście krajowym – przyjąć wykładnię wyroku Digital Rights Ireland i in. (zwanego dalej „wyrokiem DRI”)(6), w którym wielka izba Trybunału stwierdziła nieważność dyrektywy 2006/24/WE(7).
7. Z powodów, które przedstawię poniżej, wydaje mi się, że ogólny obowiązek zatrzymywania danych nałożony przez państwo członkowskie może być zgodny z prawami podstawowymi zagwarantowanymi prawem Unii, pod warunkiem ścisłego obwarowania go szeregiem gwarancji, które wskażę w moim rozumowaniu.
II – Ramy prawne
A – Dyrektywa 2002/58
8. Artykuł 1 dyrektywy 2002/58, zatytułowany „Zakres i cel”, stanowi:
„1. Niniejsza dyrektywa przewiduje harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu [w Unii Europejskiej] tego typu danych oraz urządzeń i usług łączności elektronicznej.
2. Przepisy niniejszej dyrektywy dookreślają i uzupełniają dyrektywę [95/46] zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi.
3. Niniejsza dyrektywa nie ma zastosowania do działalności, która wykracza poza zakres [TFUE], takiej jak działalność określona w tytułach V i VI [TUE], ani, w żadnym wypadku do działalności dotyczącej bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając dobrobyt gospodarczy państwa, gdy działalność odnosi się do spraw bezpieczeństwa państwa) i działalności państwa w dziedzinie prawa karnego”.
9. Artykuł 15 ust. 1 dyrektywy 2002/58, zatytułowany „Stosowanie niektórych przepisów dyrektywy [95/46]”, ma następujące brzmienie:
„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy [95/46]. W tym celu, państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 [TUE]”.
B – Prawo szwedzkie
10. Dyrektywa 2006/24, obecnie nieważna, została transponowana do prawa szwedzkiego w drodze zmian do lagen (2003:389) om elektronisk kommunikation (szwedzkiej ustawy 2003:389 o łączności elektronicznej, zwanej dalej „LEK”) i do förordningen (2003:396) om elektronisk kommunikation (rozporządzenia 2003:396 o łączności elektronicznej, zwanego dalej „FEK”), które weszły w życie w dniu 1 maja 2012 r.
1. W przedmiocie zakresu obowiązku zatrzymywania
11. Z rozdziału 6 §16 LEK wynika, że dostawcy są zobowiązani zatrzymywać dane dotyczące komunikatów niezbędne do identyfikacji ich źródła i odbiorcy, ustalenia daty, godziny i czasu trwania komunikatu, wskazania jego rodzaju, używanego narzędzia komunikacji i lokalizacji urządzenia komunikacji ruchomej używanego po rozpoczęciu i zakończeniu połączenia. Rodzaje danych, które mają być zatrzymywane, są przedmiotem bardziej szczegółowego uregulowania w §§ 38–43 FEK.
12. Ów obowiązek zatrzymywania danych obejmuje dane przetwarzane w ramach świadczenia usługi telefonii, usługi telefonii przy użyciu połączenia telefonii komórkowej, usługi poczty elektronicznej, usługi dostępu do Internetu oraz usługi zapewniania możliwości dostępu do Internetu.
13. Dane podlegające zatrzymywaniu obejmują nie tylko wszystkie dane, które miały być zatrzymywane w ramach dyrektywy 2006/24, ale także dane dotyczące nieudanych prób połączeń, a także dotyczące lokalizacji w momencie zakończenia połączenia komórkowego. Na wzór systemu przewidzianego w tej dyrektywie dane podlegające zatrzymywaniu nie obejmują treści komunikatów.
2. W przedmiocie dostępu do zatrzymywanych danych
14. Dostęp do zatrzymanych danych jest regulowany głównie przez trzy akty, mianowicie LEK, rättegångsbalken (kodeks postępowania sądowego, zwany dalej „RB”) i lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (szwedzką ustawę 2012:278 o przekazywaniu danych dotyczących łączności elektronicznej w ramach działań dochodzeniowo‑śledczych prowadzonych przez organy ścigania).
a) LEK
15. Rozdział 6 § 22 akapit pierwszy pkt 2 LEK stanowi, że dostawca musi na żądanie przekazać dane dotyczące abonamentu prokuraturze, policji, Säkerhetspolisen (szwedzkiemu urzędowi ds. bezpieczeństwa, zwanemu dalej „Säpo”) lub innemu publicznemu organowi odpowiedzialnemu za zwalczanie przestępczości, jeżeli wspomniane dane odnoszą się do domniemanego przestępstwa. Zgodnie z tymi przepisami nie ma wymogu, że musi chodzić o poważne przestępstwo.
16. Poprzez pojęcie danych dotyczących abonamentu rozumie się zasadniczo nazwisko, tytuł, adres, numer telefonu i adres IP abonenta.
17. Zgodnie z LEK przekazanie danych dotyczących abonamentu nie wymaga uprzedniej kontroli, lecz może być przedmiotem następczej kontroli administracyjnej. Ponadto krąg organów, które mogą mieć dostęp do danych, nie został ograniczony.
b) RB
18. RB reguluje niejawne obserwowanie łączności elektronicznej w trakcie postępowania przygotowawczego.
19. Niejawne obserwowanie łączności elektronicznej może co do zasady być przeprowadzone tylko wtedy, gdy istnieje uzasadnione podejrzenie, że określona osoba popełniła przestępstwo zagrożone karą co najmniej sześciu miesięcy pozbawienia wolności lub inne wyraźnie wymienione przestępstwa, jeśli środek ten ma szczególne znaczenie dla postępowania.
20. Poza tym takie niejawne obserwowanie łączności elektronicznej może być prowadzone na potrzeby dochodzenia dotyczącego przestępstwa zagrożonego karą co najmniej dwóch lat pozbawienia wolności w celu ustalenia osoby, co do której mogłoby istnieć uzasadnione podejrzenie popełnienia owego przestępstwa, jeśli środek ten ma szczególne znaczenie dla postępowania.
21. Zgodnie z rozdziałem 27 § 21 RB niejawne obserwowanie łączności elektronicznej wymaga co do zasady otrzymania przez prokuratora zezwolenia właściwego sądu.
22. Niemniej jednak, o ile istnieją podstawy, aby sądzić, że uzyskanie zgody sądu na niejawne obserwowanie łączności elektronicznej – środek absolutnie konieczny dla potrzeb postępowania – jest niezgodne z pilnym charakterem wdrożenia tego środka oraz skutkowałoby powstaniem przeszkód, o tyle pozwolenie na zastosowanie środka jest wydawane przez prokuratora w oczekiwaniu na decyzję właściwego sądu. Pisemne powiadomienie o zastosowaniu środka musi być natychmiast przesłane do sądu przez prokuratora. Właściwy sąd musi następnie szybko zbadać, czy istnieją podstawy do zastosowania środka.
c) Ustawa 2012:278
23. Zgodnie z § 1 ustawy 2012:278 policja krajowa, Säpo i Tullverket (szwedzki organ kontroli celnej) mogą, na warunkach określonych w tej ustawie, gromadzić w trakcie swoich dochodzeń, bez wiedzy dostawcy, dane dotyczące komunikatów.
24. Zgodnie z §§ 2 i 3 ustawy 2012:278 dane mogą być gromadzone, jeżeli okoliczności wskazują, że środek ten ma szczególne znaczenie dla prewencji, zapobiegania lub wykrywania działalności przestępczej, która obejmuje przestępstwo lub przestępstwa zagrożone karą od dwóch lat pozbawienia wolności lub czyny wymienione w § 3 (w tym w szczególności różne formy sabotażu i szpiegostwa).
25. Decyzja o gromadzeniu danych jest podejmowana przez szefa właściwego organu lub pracownika, któremu szef właściwego organu deleguje uprawnienia decyzyjne.
26. Decyzja musi określać działalność przestępczą, odnośny okres czasu, a także numer telefonu, inny adres, urządzenia łączności elektronicznej lub obszar geograficzny objęty środkiem. Okres, na jaki udziela się zezwolenia, nie może być dłuższy niż jest to konieczne i nie może, w odniesieniu do okresu po wydaniu decyzji w sprawie zezwolenia, przekraczać jednego miesiąca.
27. Tego rodzaju środek nie wymaga uprzedniej kontroli. Jednakże, zgodnie z § 6 ustawy 2012:278, Säkerhets- och integritetsskyddsnämnden (komisja ds. bezpieczeństwa i ochrony integralności, Szwecja) musi być informowana o każdej decyzji w sprawie zezwolenia na gromadzenie danych. Zgodnie z § 1 lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (ustawy 2007:980 o nadzorze nad niektórymi działaniami związanymi ze zwalczaniem przestępczości) organ ten powinien sprawować nadzór nad stosowaniem prawa przez organy ścigania.
3. W przedmiocie okresu przechowywania zatrzymanych danych
28. Rozdział 6 § 16d LEK stanowi, że dane, o których mowa w rozdziale 6 §16a, muszą być przechowywane przez okres sześciu miesięcy, liczonych od dnia zakończenia połączenia. Dane te muszą być następnie natychmiast usunięte, chyba że § 16d akapit drugi LEK (w rozdziale 6) stanowi inaczej. Zgodnie z tymi przepisami dane, o które wystąpiono przed upływem okresu zatrzymywania, ale jeszcze nieprzekazane, zostają usunięte natychmiast po przekazaniu.
4. W przedmiocie ochrony i bezpieczeństwa zatrzymanych danych
29. Paragraf 20 akapit pierwszy rozdziału 6 LEK zakazuje rozpowszechniania lub używania w sposób nieautoryzowany danych dotyczących komunikatów.
30. Paragraf §3 a rozdziału 6 LEK stanowi, że dostawcy muszą zastosować odpowiednie środki techniczne i organizacyjne niezbędne w celu zapewnienia ochrony danych w trakcie przetwarzania. Prace przygotowawcze nad tymi przepisami wskazują, że nie dopuszcza się określenia poziomu ochrony poprzez wyważenie względów związanych z technologią i kosztami w stosunku do względów związanych z ryzykiem naruszenia prywatności.
31. Inne przepisy dotyczące ochrony danych znajdują się w §37 FEK oraz w regulacjach i ogólnych wytycznych Post- och telestyrelsen (szwedzkiego organu nadzoru poczty i telekomunikacji, zwanego dalej „PTS”) na temat środków ochrony w ramach zatrzymywania i przetwarzania danych do celów walki z przestępczością (PTSFS nr 2012:4). Ze wspomnianych aktów wynika między innymi, że dostawcy muszą podjąć działania w celu ochrony danych przed przypadkowym lub bezprawnym zniszczeniem, przed bezprawnym przechowywaniem, przetwarzaniem lub dostępem i bezprawnym ich ujawnieniem. Dostawca musi również ciągle i systematycznie czuwać nad bezpieczeństwem danych, z uwzględnieniem szczególnych zagrożeń związanych z obowiązkiem zatrzymywania danych.
32. W prawie szwedzkim nie występują żadne przepisy regulujące kwestię miejsca, w którym zatrzymywane dane mają być przechowywane.
33. Zgodnie z rozdziałem 7 LEK w przypadku uchybienia przez dostawcę jego obowiązkom organ nadzoru ma uprawnienia do wydawania nakazów i zakazów oraz ewentualnego nakładania kar pieniężnych, a także do nakazania zaprzestania działalności w całości lub w części.
C – Prawo Zjednoczonego Królestwa
34. Przepisy dotyczące zatrzymywania danych znajdują się w Data Retention and Investigatory Powers Act 2014 (ustawie z 2014 r. o zatrzymywaniu danych i uprawnieniach dochodzeniowych, zwanej dalej „DRIPA”), w Data Retention Regulations 2014 (SI 2014/2042) (rozporządzeniu z 2014 r. dotyczącym zatrzymywania danych, zwanym dalej „rozporządzeniem z 2014 r.”) oraz w Retention of Communications Data Code of Practice (kodeksie dobrej praktyki dotyczącym zatrzymywania danych dotyczących komunikatów).
35. Przepisy regulujące dostęp do danych znajdują się w części 1 rozdziału 2 Regulation of Investigatory Powers Act 2000 (ustawy z 2000 r. dotyczącej uregulowania uprawnień dochodzeniowo‑śledczych, zwanej dalej „RIPA”), Regulation of Investigatory Powers (Communication Data) Order 2010 (SI 2010/480) (dekrecie z 2015 r. dotyczącym uregulowania uprawnień dochodzeniowych w dziedzinie danych dotyczących łączności), zmienionym przez Regulation of Investigatory Powers (Communications Data) (Amendement) Order 2015 (SI 2015/228), oraz Acquisition and Disclosure of Communications Data Code of Practice (kodeksie dobrych praktyk w sprawie pozyskiwania i ujawniania danych dotyczących komunikatów, zwanym dalej „kodeksem w sprawie pozyskiwania danych”).
1. W przedmiocie zakresu obowiązku zatrzymywania
36. Na podstawie sekcji 1 DRIPA Secretary of State for the Home Department (minister spraw wewnętrznych, Zjednoczone Królestwo, zwany dalej „ministrem”) może nałożyć na dostawców obowiązek zatrzymywania wszystkich danych dotyczących komunikatów. Obowiązek ten może w istocie dotyczyć wszystkich danych generowanych w związku z komunikatem dostarczanym w ramach usługi pocztowej lub systemu telekomunikacyjnego, z wyjątkiem treści komunikatu. Informacje te obejmują w szczególności miejsce, w którym znajduje się użytkownik usługi, oraz dane pozwalające na ustalenie adresu IP (protokołu internetowego) lub innego identyfikatora należącego do nadawcy lub odbiorcy komunikatu.
37. Cele, jakie mogą uzasadnić przyjęcie takiego środka w zakresie zatrzymywania danych, obejmują interes bezpieczeństwa narodowego, zapobieganie przestępstwom lub wykrywanie ich, lub zapobieganie naruszeniom porządku publicznego, interes gospodarki Zjednoczonego Królestwa w zakresie, w jakim interes ten ma również znaczenie dla bezpieczeństwa państwa, interes bezpieczeństwa publicznego, ochronę zdrowia publicznego, wymiar lub pobór podatku, opłaty lub innej należności na rzecz administracji publicznej, zapobieżenie uszczerbkowi na zdrowiu fizycznym lub psychicznym w nagłych przypadkach, pomoc w czynnościach dochodzeniowo‑śledczych w sprawach dotyczących pomyłek sądowych, ustalenie tożsamości osoby, która zmarła lub która jest niezdolna do podania swojej tożsamości z powodów innych niż przestępstwo (takich jak klęska żywiołowa lub wypadek), wykonywanie zadań związanych z nadzorem usług finansowych i rynków finansowych lub stabilności finansowej, a także każdy inny cel określony w nakazie wydanym przez ministra zgodnie z sekcją 22 ust. 2 DRIPA.
38. Przepisy krajowe nie wymagają, aby przyjęcie aktu nakazującego zatrzymywanie danych było uzależnione od uprzedniego zezwolenia wydanego przez sąd lub inny niezależny organ. Minister musi sprawdzić, czy obowiązek zatrzymywania danych jest „konieczny i proporcjonalny” dla jednego lub większej liczby celów, dla których mogą być zatrzymywane odnośne dane dotyczące komunikacji.
2. W przedmiocie dostępu do zatrzymywanych danych
39. Na mocy sekcji 22 ust. 4 RIPA organy władzy publicznej mogą w drodze określonych aktów zobowiązać dostawców, aby ujawniali tym organom dane dotyczące komunikatów. Formę i treść tych aktów reguluje sekcja 23 ust. 2 RIPA. Taki akt jest ograniczony w czasie na mocy przepisów dotyczących jego odwołania i przedłużenia.
40. Pozyskiwanie danych dotyczących łączności musi być konieczne i proporcjonalne do jednego lub większej liczby celów wymienionych w pkt 22 RIPA, które odpowiadają celom mogącym uzasadniać zatrzymywanie danych, opisanym w pkt 37 niniejszej opinii.
41. Z kodeksu w sprawie pozyskiwania danych wynika, że w przypadku wniosku o dostęp w celu wskazania źródła dziennikarskiego, a także w przypadku wniosku o dostęp złożonego przez władze lokalne wymagane jest postanowienie sądu.
42. W innych przypadkach dostęp organów władzy publicznej jest uzależniony od uzyskania zezwolenia udzielonego przez osoby wyznaczone w tym celu w danym organie władzy publicznej. Osoba wyznaczona to osoba pełniąca określoną funkcję, posiadająca określoną rangę lub zajmująca określone stanowisko w odnośnym organie władzy publicznej, która została wyznaczona jako osoba właściwa do celów pozyskania danych dotyczących komunikatów zgodnie z rozporządzeniem z 2015 r. dotyczącym unormowania uprawnień dochodzeniowo‑śledczych w dziedzinie danych dotyczących komunikatów, ze zmianami.
43. Zgoda sądu ani niezależnego organu nie jest wyraźnie wymagana w odniesieniu do dostępu do danych dotyczących komunikatów chronionych ustawową tajemnicą zawodową ani do danych dotyczących komunikatów odnoszących się do lekarzy medycyny, członków Parlamentu czy też osób duchownych. Kodeks w sprawie pozyskiwania danych uściśla jedynie, że szczególną uwagę należy poświęcić niezbędności i proporcjonalności wniosku o udzielenie dostępu do takich danych.
3. W przedmiocie okresu przechowywania zatrzymanych danych
44. Sekcja 1 ust. 5 DRIPA i przepis 4 ust. 2 rozporządzenia z 2014 r. przewidują, że maksymalny okres przechowywania danych wynosi 12 miesięcy. Zgodnie z kodeksem dobrych praktyk w sprawie zatrzymywania danych długość tego okresu nie powinna przekraczać długości koniecznej i proporcjonalnej. Przepis 6 rozporządzenia z 2014 r. wymaga dokonania przez ministra przeglądu aktu nakazującego zatrzymywanie.
4. W przedmiocie ochrony i bezpieczeństwa zatrzymanych danych
45. Na podstawie sekcji 1 DRIPA dostawcy mają zakaz ujawniania zatrzymywanych danych, chyba że ujawnienie to jest zgodne z rozdziałem 2 części 1 RIPA, orzeczeniem sądowym lub innym zezwoleniem lub nakazem sądowym, lub też rozporządzeniem przyjętym przez ministra na podstawie sekcji 1 DRIPA.
46. Na podstawie przepisów art. 7 i 8 rozporządzenia z 2014 r. dostawcy muszą: zapewnić integralność i bezpieczeństwo zatrzymanych danych; chronić je przed przypadkowym lub bezprawnym zniszczeniem, utratą lub przypadkową zmianą, niedozwolonym lub bezprawnym zatrzymywaniem, przetwarzaniem, dostępem lub ujawnieniem; zniszczyć dane w celu uniemożliwienia dostępu do nich po wygaśnięciu zezwolenia na przechowywanie danych; wdrożyć odpowiednie systemy bezpieczeństwa. Przepis 9 rozporządzenia z 2014 r. powierza Information Commissioner (głównemu inspektorowi ochrony danych) obowiązek weryfikacji przestrzegania tych obowiązków przez dostawców.
47. Organy, którym dostawcy przekazują dane dotyczące komunikatów, powinny przetwarzać i zatrzymywać te dane, jak również ich kopie, wyciągi lub streszczenia, w sposób bezpieczny. Na mocy kodeksu w sprawie pozyskiwania danych wymogi zawarte w Data Protection Act (ustawie o ochronie danych, zwanej dalej „DPA”), która dokonuje transpozycji dyrektywy 95/46, powinny być przestrzegane.
48. RIPA ustanawia Interception of Communications Commissioner (głównego inspektora ds. przechwytywania komunikatów, zwanego dalej „inspektorem ds. przechwytywania”), który odpowiada za nadzorowanie w sposób niezależny wykonywania i realizacji uprawnień i obowiązków zawartych w rozdziale II części I RIPA. Inspektor ds. przechwytywania nie nadzoruje przypadków korzystania z uprawnień na podstawie sekcji 1 DRIPA. Przedstawia on regularnie sprawozdania skierowane do ogółu ludności i do Parlamentu (sekcja 57 ust. 2 i sekcja 58 RIPA) i opisuje, jakie dane są przechowywane i raportowane przez organy władzy publicznej (kodeks w sprawie pozyskiwania danych, pkt 6.1–6.8). Jeśli istnieje powód, aby sądzić, że dane zostały uzyskane w sposób niewłaściwy, skargi można również składać do Investigatory Powers Tribunal (sądu ds. uprawnień dochodzeniowych) (sekcja 65 RIPA).
49. Z kodeksu w sprawie pozyskiwania danych wynika, że inspektor ds. przechwytywania nie ma uprawnienia do odesłania sprawy do owego sądu. Jest on jedynie uprawniony do poinformowania danej osoby o podejrzeniu bezprawnego wykorzystania uprawnień, o ile może „wykazać, że dana osoba została poszkodowana wskutek uchybienia umyślnego lub lekkomyślnego”. Jednakże nie jest on upoważniony do ujawnienia uchybienia, jeśli przez takie ujawnienie zagrożone byłoby bezpieczeństwo narodowe, nawet jeśli uważa, że doszło do uchybienia umyślnego lub lekkomyślnego.
III – Postępowania główne i pytania prejudycjalne
A – Sprawa C‑203/15
50. W dniu 9 kwietnia 2014 r., czyli następnego dnia po ogłoszeniu wyroku DRI, Tele2 Sverige powiadomiło PTS o swej decyzji o zaprzestaniu zatrzymywania danych zgodnie z rozdziałem 6 LEK. Tele2 Sverige miało również usunąć dane, które zostały zatrzymane wcześniej zgodnie z tym rozdziałem. Tele2 Sverige stwierdziło, że szwedzkie przepisy prawne transponujące dyrektywę 2006/24 nie były zgodne z kartą.
51. W dniu 15 kwietnia 2014 r. Rikspolisstyrelsen (komenda główna policji, Szwecja, zwana dalej „RPS”) zwróciła się ze skargą do PTS ze względu na to, że Tele2 Sverige przestało przekazywać dane dotyczące niektórych komunikatów elektronicznych. W swojej skardze RPS wyjaśnił, że odmowa Tele2 Sverige pociąga za sobą poważne konsekwencje dla działań policji związanych ze zwalczaniem przestępczości.
52. Decyzją z dnia 27 czerwca 2014 r. PTS nakazał Tele2 Sverige, aby spółka ta wznowiła zatrzymywanie danych zgodnie z rozdziałem 6 §16a LEK i z §§ 37–43 FEK najpóźniej od dnia 25 lipca 2014 r.
53. Tele2 Sverige zaskarżyło decyzję PTS do Förvaltningsrätten i Stockholm (sądu administracyjnego w Sztokholmie, Szwecja). Wyrokiem z dnia 13 października 2014 r. Förvaltningsrätten i Stockholm oddalił tę skargę.
54. Tele2 Sverige wniosło apelację od wyroku Förvaltningsrätten i Stockholm do sądu odsyłającego w celu uzyskania stwierdzenia nieważności zaskarżonej decyzji.
55. Stwierdzając, że istniały argumenty przemawiające zarówno za stanowiskiem, iż tak szeroki zakres obowiązku zatrzymywania, jaki został przewidziany w rozdziale 6 §16a LEK, jest zgodny z art. 15 ust. 1 dyrektywy 2002/58 i z art. 7, 8 i art. 52 ust. 1 karty, jak i przeciw temu stanowisku, Kammarrätten i Stockholm (administracyjny sąd apelacyjny w Sztokholmie, Szwecja) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy ogólny obowiązek zatrzymywania danych o ruchu obejmujący wszystkie osoby, wszystkie środki łączności elektronicznej i wszystkie dane o ruchu telekomunikacyjnym bez rozróżnienia, ograniczenia czy wyjątków do celów zwalczania przestępczości [taki jak opisany w pkt 13–18 postanowienia odsyłającego] jest zgodny z art. 15 ust. 1 dyrektywy 2002/58 z uwzględnieniem art. 7, 8 i art. 52 ust. 1 karty?
2) W przypadku odpowiedzi przeczącej na pytanie pierwsze, czy zatrzymywanie może być jednak dozwolone, gdy:
a) dostęp organów krajowych do zatrzymanych danych jest określony w sposób opisany w pkt 19–36 [postanowienia odsyłającego] oraz
b) wymogi w zakresie ochrony i bezpieczeństwa danych są regulowane w sposób opisany w pkt 38–43 [postanowienia odsyłającego], a także
c) wszystkie dane o ruchu telekomunikacyjnym mają być przechowywane przez sześć miesięcy, licząc od dnia zakończenia połączenia, a następnie usuwane w sposób opisany w pkt 37 [postanowienia odsyłającego]?”.
B – Sprawa C‑698/15
56. Tom Watson, P. Brice i G. Lewis wnieśli do High Court of Justice (England & Wales), Queen’s Bench Division (Administrative Court) [sądu wyższej instancji (Anglia i Walia), wydział Queen’s Bench Division (izba administracyjna)] środki prawne dotyczące kontroli zgodności z prawem („judicial review”) systemu zatrzymywania danych ustanowionego w sekcji 1 DRIPA, upoważniającego ministra do zobowiązania publicznych operatorów telekomunikacyjnych do zatrzymywania wszystkich danych dotyczących komunikatów na okres nieprzekraczający 12 miesięcy, z wykluczeniem zatrzymywania treści komunikatów.
57. Open Rights Group, Privacy International i Law Society of England and Wales zostały dopuszczone do sprawy w charakterze interwenienta w ramach każdej z tych skarg.
58. Wyrokiem dnia 17 lipca 2015 r. sąd ten stwierdził, że ów system nie był zgodny z prawem Unii w zakresie, w jakim nie spełniał wymogów ustanowionych w wyroku DRI, które sąd ów uznał za mające zastosowanie do przepisów państw członkowskich w dziedzinie zatrzymywania danych dotyczących komunikatów elektronicznych i dostępu do takich danych. Minister wniósł apelację od tego orzeczenia do sądu odsyłającego.
59. W wyroku z dnia 20 listopada 2015 r. Court of Appeal (England & Wales) (Civil Division) [sąd apelacyjny (Anglia i Walia) (wydział cywilny), Zjednoczone Królestwo] stwierdził wstępnie, że wyrok DRI nie ustanowił wiążących wymogów prawa Unii, z którymi muszą być zgodne uregulowania krajowe, lecz jedynie wskazał i opisał środki ochronne niezawarte w zharmonizowanym systemie Unii.
60. Jednakże uznając, że odpowiedzi na te pytania dotyczące prawa Unii nie były jasne, a były konieczne do orzekania w tych postępowaniach, Court of Appeal (England & Wales) (Civil Division) [sąd apelacyjny (Anglia i Walia) (wydział cywilny)] postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy wyrok [DRI] (w tym w szczególności pkt 60 i 62 tego wyroku) ustanawia wiążące wymogi prawa Unii mające zastosowanie do prawa krajowego państwa członkowskiego normującego dostęp do danych zatrzymywanych zgodnie z ustawodawstwem krajowym, w celu zapewnienia zgodności z art. 7 i 8 [karty]?
2) Czy wyrok [DRI] rozszerza zakres stosowania art. 7 lub 8 karty w sposób wykraczający poza zakres art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (»EKPC«) określony w orzecznictwie Europejskiego Trybunału Praw Człowieka (»ETPC«)?”.
IV – Postępowanie przed Trybunałem
61. Wnioski o wydanie orzeczenia w trybie prejudycjalnym zostały zarejestrowane w sekretariacie Trybunału w dniu 4 maja 2015 r. w sprawie C‑203/15 i w dniu 28 grudnia 2015 r. w sprawie C‑698/15.
62. Postanowieniem z dnia 1 lutego 2016 r. Trybunał postanowił o rozpoznaniu sprawy C‑698/15 w trybie przyśpieszonym przewidzianym w art. 105 § 1 regulaminu postępowania przed Trybunałem.
63. W sprawie C‑203/15 swoje uwagi na piśmie przedstawiły Tele2 Sverige, rządy belgijski, czeski, duński, niemiecki, estoński, hiszpański, francuski, węgierski, niderlandzki, szwedzki, Zjednoczonego Królestwa, Irlandia oraz Komisja Europejska.
64. W sprawie C‑698/15 uwagi na piśmie przedstawili T. Watson, P. Brice i G. Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, rządy czeski, duński, niemiecki, estoński, francuski, cypryjski, polski, fiński, Zjednoczonego Królestwa, Irlandia oraz Komisja.
65. Postanowieniem Trybunału z dnia 10 marca 2016 r. te dwie sprawy zostały połączone do celów ustnego etapu postępowania i wydania wyroku.
66. Na rozprawie w dniu 12 kwietnia 2016 r. stawili się i wygłosili uwagi przedstawiciele Tele2 Sverige, T. Watson, P. Brice i G. Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, rządy czeski, duński, niemiecki, estoński, hiszpański, francuski, fiński, szwedzki, Zjednoczonego Królestwa, Irlandia oraz Komisja.
V – Analiza pytań prejudycjalnych
67. W pierwszym pytaniu postawionym w sprawie C‑203/15 sąd odsyłający zwraca się do Trybunału o rozstrzygnięcie, czy w świetle wyroku DRI art. 15 ust. 1 dyrektywy 2002/58, jak również art. 7, 8 i art. 52 ust. 1 karty należy interpretować w ten sposób, że stoją one na przeszkodzie temu, aby państwo członkowskie nałożyło na dostawców ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, i to niezależnie od ewentualnych gwarancji towarzyszących temu obowiązkowi.
68. W razie gdyby na pytanie to należało udzielić odpowiedzi przeczącej, pytanie drugie postawione w sprawie C‑203/15 i pytanie pierwsze postawione w sprawie C‑698/15 zmierzają do ustalenia, czy przepisy te powinny być interpretowane w ten sposób, że stoją one na przeszkodzie temu, aby państwo członkowskie nałożyło na dostawców ogólny obowiązek zatrzymywania danych, jeśli obowiązkowi temu nie towarzyszą wszystkie gwarancje ustanowione przez Trybunał w pkt 60–68 wyroku DRI w odniesieniu do dostępu do danych, okresu przechowywania oraz ochrony i bezpieczeństwa danych.
69. Ponieważ te trzy pytania są ściśle ze sobą związane, zbadam je łącznie w dalszej części mojego wywodu.
70. Natomiast pytanie drugie postawione w sprawie C‑698/15 wymaga odrębnego potraktowania. Poprzez pytanie to sąd odsyłający zwraca się do Trybunału o rozstrzygnięcie, czy wyrok DRI rozszerzył zakres stosowania art. 7 lub 8 karty w sposób wykraczający poza zakres art. 8 EKPC. W dalszej części wyjaśnię powody, dla których uważam, że pytanie to należy odrzucić jako niedopuszczalne.
71. Uważam, że przed zbadaniem tych pytań stosowne będzie przypomnienie rodzaju danych objętych obowiązkami zatrzymywania rozpatrywanymi w postępowaniach głównych. Zgodnie z ustaleniami dokonanymi przez sądy odsyłające zakres tych obowiązków jest zasadniczo równoważny z zakresem obowiązku określonym w art. 5 dyrektywy 2006/24(8). Dane dotyczące komunikatów będące przedmiotem obowiązków zatrzymywania mogą być z pewnym uproszczeniem zakwalifikowane do czterech kategorii(9):
– dane pozwalające ustalić zarówno źródło, jak i odbiorcę komunikatu;
– dane pozwalające ustalić lokalizację zarówno źródła, jak i odbiorcy komunikatu,
– dane dotyczące daty, godziny i czasu trwania komunikatu;
– dane pozwalające na określenie rodzaju połączenia i rodzaju wykorzystywanego narzędzia komunikacji.
72. Treść komunikatów jest wyłączona z ogólnych obowiązków zatrzymywania danych rozpatrywanych w postępowaniach głównych, zgodnie z tym, co zostało przewidziane w art. 5 ust. 2 dyrektywy 2006/24.
A – W przedmiocie dopuszczalności pytania drugiego postawionego w sprawie C‑698/15
73. W drugim pytaniu postawionym w sprawie C‑698/15 zwrócono się do Trybunału o wyjaśnienie, czy wyrok DRI rozszerzył zakres stosowania art. 7 lub 8 karty w sposób wykraczający poza zakres art. 8 EKPC w świetle wykładni tego postanowienia dokonanej przez ETPC.
74. Pytanie to odzwierciedla w szczególności argument podniesiony przez ministra przed sądem odsyłającym, zgodnie z którym orzecznictwo ETPC nie wymaga, po pierwsze, aby dostęp do danych był uzależniony od uprzedniego zezwolenia niezależnego organu ani, po drugie, aby zatrzymywanie i dostęp do tych danych były ograniczone do walki z poważnymi przestępstwami.
75. Jestem zdania, że pytanie to należy odrzucić jako niedopuszczalne z następujących powodów. Oczywiste jest, że decydujące znaczenie dla rozstrzygnięcia sporów w postępowaniach głównych mają uzasadnienie i rozstrzygnięcie przyjęte przez Trybunał w wyroku DRI. Natomiast okoliczność, że ów wyrok ewentualnie rozszerzył zakres stosowania art. 7 lub 8 karty w sposób wykraczający poza art. 8 EKPC, nie jest sama w sobie istotna dla rozstrzygnięcia tychże sporów.
76. W tym względzie należy przypomnieć, że zgodnie z art. 6 ust. 3 TUE prawa podstawowe zagwarantowane w EKPC stanowią część prawa Unii jako zasady ogólne prawa. Jednak do czasu przystąpienia Unii do tej konwencji nie stanowi ona aktu prawnego formalnie włączonego do porządku prawnego Unii(10).
77. Prawdą jest, że w art. 52 ust. 3 zdanie pierwsze karty ustanowiono regułę wykładni, zgodnie z którą w zakresie, w jakim karta zawiera prawa odpowiadające prawom zagwarantowanym w EKPC, „ich znaczenie i zakres są takie same jak praw przyznanych przez tę konwencję”.
78. Jednakże zgodnie z art. 52 ust. 3 zdanie drugie karty „[n]iniejsze postanowienie nie stanowi przeszkody, aby prawo Unii przyznawało szerszą ochronę”. W mojej ocenie ze zdania tego wynika, że Trybunał może, jeśli uzna to za niezbędne w kontekście prawa Unii, rozszerzyć zakres stosowania postanowień karty poza zakres odnośnych postanowień EKPC.
79. Tytułem ewentualnym dodam, że art. 8 karty, zinterpretowany przez Trybunał w wyroku DRI, ustanawia prawo, które nie odpowiada żadnemu prawu zagwarantowanemu przez EKPC, a mianowicie prawo do ochrony danych osobowych, co potwierdzają ponadto wyjaśnienia dotyczące art. 52 karty(11). W konsekwencji zasada wykładni ustanowiona w art. 52 ust. 3 zdanie pierwsze karty nie może w każdym razie znaleźć zastosowania do wykładni art. 8 karty, jak wskazali P. Brice i G. Lewis, Open Rights Group i Privacy International, Law Society of England and Wales, a także rządy czeski, fiński i Irlandia.
80. Z powyższych rozważań wynika, że prawo Unii nie stoi na przeszkodzie temu, by art. 7 i 8 karty przyznawały szerszy zakres ochrony niż przewidziano w EKPC. Zatem okoliczność, że wyrok DRI ewentualnie rozszerzył zakres stosowania tych postanowień karty w sposób wykraczający poza art. 8 EKPC, nie jest sama w sobie istotna dla rozstrzygnięcia sporów w postępowaniach głównych. Sposób rozstrzygnięcia tych sporów zależy głównie od warunków, w jakich ogólny obowiązek zatrzymywania danych może być uznany za zgodny z art. 15 ust. 1 dyrektywy 2002/58, jak również z art. 7, 8 i art. 52 ust. 1 karty, interpretowanych w świetle wyroku DRI, co stanowi właśnie przedmiot trzech pozostałych pytań postawionych w niniejszych sprawach.
81. Zgodnie z utrwalonym orzecznictwem oddalenie wniosku sądu krajowego jest możliwe jedynie wtedy, gdy wykładnia prawa Unii, o którą sąd ten się zwrócił, pozostaje w sposób oczywisty bez związku ze stanem faktycznym czy z przedmiotem sporu w postępowaniu głównym, gdy problem ma charakter hipotetyczny lub gdy Trybunał nie dysponuje informacjami o okolicznościach faktycznych i prawnych niezbędnymi do udzielenia przydatnej odpowiedzi na postawione mu pytania(12).
82. W niniejszym przypadku, z przedstawionych wyżej powodów, pytanie drugie postawione w sprawie C‑698/15 ma, jak mi się wydaje, jedynie charakter teoretyczny, zważywszy, że ewentualna odpowiedź na to pytanie nie pozwoliłaby na wywiedzenie elementów wykładni prawa Unii, które sąd odsyłający mógłby w sposób użyteczny zastosować w świetle tego prawa dla rozstrzygnięcia toczącego się przed nim postępowania(13).
83. W tych okolicznościach uważam, że wspomniane pytanie musi zostać odrzucone jako niedopuszczalne, jak słusznie zauważyli T. Watson, Law Society of England and Wales i rząd czeski.
B – W przedmiocie zgodności ogólnego obowiązku zatrzymywania danych z systemem ustanowionym w dyrektywie 2002/58
84. Niniejsza część dotyczy możliwości skorzystania przez państwa członkowskie z prawa przewidzianego w art. 15 ust. 1 dyrektywy 2002/58 w celu nałożenia ogólnego obowiązku zatrzymywania danych. Nie bada się w niej natomiast szczególnych wymogów, które powinny być przestrzegane przez państwa członkowskie chcące skorzystać z tego prawa; wymogi te zostaną obszernie przeanalizowane w dalszej części(14).
85. Open Rights Group i Privacy International podniosły bowiem, że obowiązek taki byłby niezgodny ze zharmonizowanym systemem ustanowionym w dyrektywie 2002/58, i to niezależnie od poszanowania wymogów wynikających z art. 15 ust. 1 dyrektywy 2002/58, ponieważ zniweczyłby istotę praw i systemu ustanowionych w tej dyrektywie.
86. Przed zbadaniem tego argumentu należy sprawdzić, czy ogólny obowiązek zatrzymywania danych mieści się w zakresie stosowania tej dyrektywy.
1. W przedmiocie objęcia ogólnego obowiązku zatrzymywania danych zakresem stosowania dyrektywy 2002/58
87. Żadna ze stron, które przedłożyły Trybunałowi uwagi, nie zakwestionowała faktu, że ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, wchodzi w zakres pojęcia „przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności [w Unii]” w rozumieniu art. 3 dyrektywy 2002/58.
88. Jednakże rządy czeski, francuski, polski oraz Zjednoczonego Królestwa twierdziły, że ogólny obowiązek zatrzymywania danych jest objęty wyłączeniem przewidzianym w art. 1 ust. 3 dyrektywy 2002/58. Po pierwsze, krajowe przepisy regulujące dostęp do danych i ich wykorzystywanie przez organy policji lub sądy państw członkowskich dotyczą bezpieczeństwa publicznego, obronności lub bezpieczeństwa narodowego, a przynajmniej należą do dziedziny prawa karnego. Po drugie, wyłącznym celem zatrzymywania danych jest umożliwienie owym organom policji lub sądom dostępu do nich i ich wykorzystania. Co za tym idzie, na podstawie przywołanego przepisu obowiązek zatrzymywania danych jest wyłączony z zakresu stosowania tej dyrektywy.
89. Rozumowanie to mnie nie przekonuje, a to z następujących powodów.
90. W pierwszej kolejności brzmienie art. 15 ust. 1 dyrektywy 2002/58 potwierdza, że nałożone przez państwa członkowskie obowiązki zatrzymywania są objęte zakresem stosowania tej dyrektywy. Zgodnie z tym przepisem bowiem „[p]aństwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie”. Wydaje mi się, że co najmniej trudno jest twierdzić, iż obowiązek zatrzymywania jest wyłączony z zakresu stosowania tej dyrektywy, gdyż art. 15 ust. 1 wspomnianej dyrektywy bezpośrednio reguluje prawo do przyjęcia takich obowiązków.
91. W rzeczywistości, jak wskazali T. Watson, P. Brice i G. Lewis, rządy belgijski, duński, niemiecki, fiński oraz Komisja, ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, stanowi wprowadzenie w życie art. 15 ust. 1 dyrektywy 2002/58.
92. W drugiej kolejności fakt, że przepisy regulujące dostęp mogłyby być objęte wyłączeniem przewidzianym w art. 1 ust. 3 dyrektywy 2002/58(15), nie oznacza, że jest nim również objęty obowiązek zatrzymywania danych i, co za tym idzie, że znajduje się on poza zakresem stosowania tej dyrektywy.
93. W tym względzie Trybunał miał już okazję wyjaśnić, że działalność wymieniona w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE(16), którego treść ma zakres równoważny art. 1 ust. 3 dyrektywy 2002/58, jest działalnością właściwą państwom lub władzom państwowym, odmienną od dziedzin działalności jednostek(17).
94. Tymczasem, jak wskazała Komisja, obowiązki zatrzymywania rozpatrywane w postępowaniach głównych są nałożone na podmioty prywatne w ramach prywatnej działalności świadczenia usług łączności elektronicznej. Ponadto obowiązki te są wiążące niezależnie od jakichkolwiek wniosków o dostęp ze strony organów policji lub sądów oraz – bardziej ogólnie – jakichkolwiek działań władz państwowych wchodzących w zakres bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego lub prawa karnego.
95. W trzeciej kolejności rozwiązanie przyjęte przez Trybunał w wyroku Irlandia/Parlament i Rada potwierdza, że ogólny obowiązek zatrzymywania danych nie należy do dziedziny prawa karnego(18). Trybunał orzekł bowiem, że dyrektywa 2006/24, która ustanawiała taki obowiązek, należała nie do dziedziny prawa karnego, lecz do funkcjonowania rynku wewnętrznego, wobec czego art. 95 WE (obecnie art. 114 TFUE) stanowił właściwą podstawę prawną dla przyjęcia tejże dyrektywy.
96. Aby dojść do takiego wniosku, Trybunał stwierdził w szczególności, że przepisy tej dyrektywy były zasadniczo ograniczone do działalności dostawców i nie regulowały dostępu do danych ani ich wykorzystywania przez organy policji lub organy sądowe państw członkowskich(19).Wnioskuję z tego, że przepisy prawa krajowego ustanawiające obowiązek zatrzymywania podobny do obowiązku przewidzianego w dyrektywie 2006/24 również nie należą do dziedziny prawa karnego.
97. Mając na uwadze powyższe rozważania, jestem zdania, że ogólny obowiązek zatrzymywania danych nie jest objęty wyłączeniem, o którym mowa w art. 1 ust. 3 dyrektywy 2002/58 i, co za tym idzie, mieści się w zakresie stosowania tej dyrektywy.
2. W przedmiocie możliwości odstępstwa od systemu ustanowionego przez dyrektywę 2002/58 poprzez ustanowienie ogólnego obowiązku zatrzymywania danych
98. Należy obecnie ustalić, czy ogólny obowiązek zatrzymywania danych jest zgodny z systemem ustanowionym przez dyrektywę 2002/58.
99. Pytanie, jakie pojawia się w tym względzie, dotyczy tego, czy możliwe jest, aby państwo członkowskie skorzystało z prawa przewidzianego w art. 15 ust. 1 dyrektywy 2002/58 w celu nałożenia takiego obowiązku.
100. Przeciw takiej możliwości zostały przedstawione, w szczególności przez Open Rights Group i Privacy International, cztery argumenty.
101. Według pierwszego argumentu przyznanie państwom członkowskim uprawnienia do przyjęcia ogólnego obowiązku zatrzymywania danych podważa cel harmonizacji, który stanowi podstawę przyjęcia dyrektywy 2002/58. Dyrektywa ta przewiduje bowiem, zgodnie z jej art. 1 ust. 1, harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu w Unii tego typu danych oraz urządzeń i usług łączności elektronicznej.
102. Tym samym art. 15 ust. 1 dyrektywy 2002/58 nie można interpretować w ten sposób, że daje on państwom członkowskim uprawnienie do przyjęcia odstępstwa od systemu ustanowionego przez ową dyrektywę o takim zakresie, który pozbawiłby wysiłek na rzecz harmonizacji wszelkiej skuteczności (effet utile).
103. Zgodnie z drugim argumentem brzmienie art. 15 ust. 1 dyrektywy 2002/58 również sprzeciwia się tak szerokiej wykładni uprawnienia państw członkowskich do odstąpienia od systemu ustanowionego przez dyrektywę. Zgodnie bowiem z tym przepisem „[p]aństwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy” (wyróżnienie moje).
104. Tymczasem ogólny obowiązek zatrzymywania danych nie sprowadza się do „ograniczenia zakresu” praw i obowiązków, o których mowa w tym przepisie, lecz prowadzi do zredukowania owych praw i obowiązków do zera. Dotyczy to zatem:
– obowiązku zapewnienia poufności danych o ruchu i obowiązku otrzymania zgody użytkownika na przechowywanie informacji, przewidzianych, odpowiednio, w art. 5 ust. 1 i 3 dyrektywy 2002/58;
– obowiązku usunięcia lub anonimizacji danych o ruchu, ustanowionego w art. 6 ust. 1 tej dyrektywy, oraz
– obowiązku anonimizacji danych dotyczących lokalizacji lub uzyskania zgody użytkownika na przetwarzanie tych danych, ustanowionego w art. 9 ust. 1 rzeczonej dyrektywy.
105. Wydaje mi się, że te dwa pierwsze argumenty muszą zostać oddalone z następujących powodów.
106. Z jednej strony brzmienie art. 15 ust. 1 dyrektywy 2002/58 przewiduje możliwość, by państwa członkowskie przyjęły „środki ustawodawcze przewidujące przechowywanie danych przez określony czas”. To wyraźne odniesienie do obowiązków zatrzymywania danych potwierdza, że obowiązki te nie są same w sobie niezgodne z systemem ustanowionym w dyrektywie 2002/58. O ile takie sformułowanie nie przewiduje wyraźnie możliwości przyjęcia ogólnego obowiązku zatrzymywania danych, o tyle należy stwierdzić, że również się temu nie sprzeciwia.
107. Z drugiej strony motyw 11 dyrektywy 2002/58 stanowi, że dyrektywa ta nie zmienia „istniejącej równowagi między prawem do prywatności osoby fizycznej a [przysługującą państwom członkowskim] możliwością podejmowania środków, określonych w art. 15 ust. 1 [tejże] dyrektywy, niezbędnych do ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając gospodarczy dobrobyt państwa, gdy działania dotyczą zagadnień bezpieczeństwa państwa) i wykonywania prawa karnego”. Wskutek tego „[rzeczona] dyrektywa nie wpływa na [przysługujące państwom członkowskim] możliwości zgodnego z prawem przejmowania danych w łączności elektronicznej lub podejmowania innych środków, jeżeli jest to konieczne dla któregokolwiek z tych celów i zgodne z [EKPC]”.
108. Moim zdaniem z przytoczonego motywu 11 wynika, że intencją prawodawcy Unii było nie naruszenie przysługującego państwom członkowskim prawa do przyjmowania środków, o których mowa w art. 15 ust. 1 dyrektywy 2002/58, lecz obwarowanie tego prawa pewnymi wymogami, dotyczącymi w szczególności celów i proporcjonalności tych środków. Innymi słowy, ogólny obowiązek zatrzymywania danych nie jest moim zdaniem niezgodny z systemem ustanowionym przez tę dyrektywę, pod warunkiem że spełnia określone warunki.
109. Zgodnie z trzecim argumentem art. 15 ust. 1 dyrektywy 2002/58 powinien, jako odstępstwo od systemu ustanowionego przez dyrektywę, stanowić przedmiot ścisłej wykładni dokonanej na podstawie reguły wykładni wynikającej z utrwalonego orzecznictwa Trybunału. Owa reguła ścisłej wykładni sprzeciwia się interpretowaniu tego przepisu w ten sposób, że uprawnia on do nałożenia ogólnego obowiązku zatrzymywania danych.
110. Sądzę w tym względzie, że prawo przewidziane w art. 15 ust. 1 dyrektywy 2002/58 nie może być zakwalifikowane jako odstępstwo i w konsekwencji, jak słusznie podnosi Komisja, nie może podlegać ścisłej interpretacji. Wydaje mi się bowiem, że trudno jest zakwalifikować owo prawo jako odstępstwo w świetle przywołanego wyżej motywu 11, zgodnie z którym dyrektywa ta nie wpływa na prawo przyjmowania przez państwa członkowskie środków, o których mowa w tym przepisie. Pragnę zauważyć ponadto, że art. 15 tej dyrektywy jest zatytułowany „Stosowanie niektórych przepisów dyrektywy 95/46/WE”, natomiast art. 10 tej dyrektywy jest wyraźnie zatytułowany „Wyjątki”. Tytuły te utwierdzają mnie w przekonaniu, że prawo przewidziane w art. 15 nie może być zakwalifikowane jako „wyjątek [odstępstwo]”.
111. Zgodnie z czwartym i ostatnim argumentem za niezgodnością ogólnego obowiązku zatrzymywania danych z systemem ustanowionym w dyrektywie 2002/58 przemawia dodanie art. 15 ust. 1a tej dyrektywy przy przyjmowaniu dyrektywy 2006/24, unieważnionej wyrokiem DRI. Zgodnie z tym argumentem to właśnie owa niezgodność skłoniła prawodawcę Unii do uznania, że art. 15 ust. 1 dyrektywy 2002/58 nie ma zastosowania do systemu ogólnego zatrzymywania ustanowionego przez dyrektywę 2006/24.
112. Wydaje mi się, że argument ten wynika z błędnego rozumienia zakresu art. 15 ust. 1a dyrektywy 2002/58. Zgodnie z tym przepisem „[art. 15 ust. 1 dyrektywy 2002/58] nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy [2006/24] dla celów określonych w art. 1 ust. 1 tej dyrektywy”.
113. Moja wykładnia tego przepisu jest następująca. W odniesieniu do danych, których zatrzymywanie było wymagane na mocy dyrektywy 2006/24 i do celów ustanowionych przez tę dyrektywę, państwa członkowskie utraciły określone w art. 15 ust. 1 dyrektywy 2002/58 prawo do dalszego ograniczenia zakresu praw i obowiązków, o których mowa w tym przepisie, w szczególności poprzez dodatkowe obowiązki w dziedzinie zatrzymywania danych. Innymi słowy, art. 15 ust. 1a przewidywał pełną harmonizację w odniesieniu do danych, których zatrzymywanie było wymagane na mocy dyrektywy 2006/24 i do celów ustanowionych przez tę dyrektywę.
114. Potwierdzenie tej interpretacji znajduję w motywie 12 dyrektywy 2006/24, zgodnie z którym „[a]rtykuł 15 ust. 1 dyrektywy [2002/58] powinien być stosowany w dalszym ciągu w odniesieniu do danych, w szczególności [w tym] tych dotyczących nieudanych prób uzyskania połączenia, co do których nie istnieje szczególny wymóg zatrzymywania w świetle niniejszej dyrektywy i z tego względu nie zostały w niej ujęte, a także w odniesieniu do [zatrzymywania danych do innych] celów, które nie zostały uwzględnione w niniejszej dyrektywie [zwłaszcza do celów sądowych]” (wyróżnienie moje).
115. Tak więc dodanie art. 15 ust. 1a dyrektywy 2002/58 świadczy nie o niezgodności ogólnego obowiązku zatrzymywania danych z systemem ustanowionym przez tę dyrektywę, lecz o woli prawodawcy Unii, aby przy przyjęciu dyrektywy 2006/24 dokonać pełnej harmonizacji.
116. Mając na uwadze powyższe rozważania, uważam, że ogólny obowiązek zatrzymywania danych jest zgodny z systemem ustanowionym przez dyrektywę 2002/58 i co za tym idzie, państwo członkowskie może skorzystać z prawa przewidzianego w art. 15 ust. 1 tej dyrektywy w celu nałożenia takiego obowiązku(20). Prawo to należy jednak uzależnić od spełnienia restrykcyjnych wymogów wynikających nie tylko z tego przepisu, lecz również z odpowiednich postanowień karty interpretowanych w świetle wyroku DRI, które zostaną zbadane w dalszej części(21).
C – W przedmiocie możliwości stosowania karty do ogólnego obowiązku zatrzymywania danych
117. Przed zbadaniem treści wymogów, jakie karta przewiduje w związku z art. 15 ust. 1 dyrektywy 2002/58, w przypadku gdy państwo postanawia wprowadzić ogólny obowiązek zatrzymywania danych, należy sprawdzić, czy karta ma zastosowanie do takiego obowiązku.
118. Możliwość zastosowania karty do ogólnego obowiązku zatrzymywania danych zależy zasadniczo od stosowalności dyrektywy 2002/58 do takiego obowiązku.
119. Zgodnie bowiem z art. 51 ust. 1 zdanie pierwsze karty „postanowienia [karty] mają zastosowanie […] do państw członkowskich wyłącznie w zakresie, w jakim stosują one prawo Unii”. W wyjaśnieniach do art. 51 karty odsyłano w tym względzie do orzecznictwa Trybunału, zgodnie z którym wymóg poszanowania praw podstawowych określonych w kontekście Unii jest wiążący dla państw członkowskich wyłącznie wtedy, gdy działają one w zakresie stosowania prawa Unii(22).
120. Rządy czeski, francuski, polski i Zjednoczonego Królestwa, które zakwestionowały możliwość stosowania dyrektywy 2002/58 do ogólnego obowiązku zatrzymywania danych(23), stwierdziły również, że karta nie ma zastosowania do takiego obowiązku.
121. Wskazałem już powody, dla których uważam, że ogólny obowiązek zatrzymywania danych stanowi wykonanie prawa przewidzianego w art. 15 ust. 1 dyrektywy 2002/58(24).
122. W konsekwencji jestem zdania, że postanowienia karty mają zastosowanie do środków krajowych ustanawiających taki obowiązek, zgodnie z art. 51 ust. 1 karty, jak podnieśli T. Watson, P. Brice i G. Lewis, Open Rights Group i Privacy International, rządy duński, niemiecki, fiński oraz Komisja(25).
123. Wniosku tego nie podważa fakt, że krajowe przepisy regulujące dostęp do zatrzymanych danych nie mieszczą się, jako takie, w dziedzinie stosowania karty.
124. Prawdą jest, że w zakresie, w jakim dotyczą one „działalności państwa w dziedzinie prawa karnego”, przepisy krajowe regulujące dostęp do zatrzymywanych danych przez organy policji lub sądy w celu walki z poważnymi przestępstwami podlegają moim zdaniem wyłączeniu przewidzianemu w art. 1 ust. 3 dyrektywy 2002/58(26). W konsekwencji takie przepisy krajowe nie stanowią stosowania prawa Unii, wobec czego karta nie ma do nich zastosowania.
125. Niemniej jednak przyczyną ustanowienia obowiązku zatrzymywania danych jest umożliwienie organom ścigania dostępu do zatrzymanych danych, wobec czego problematyka związana z ich ochroną i dostępem do nich nie jest zagadnieniem całkowicie odrębnym. Jak słusznie zauważyła Komisja, przepisy regulujące dostęp mają decydujące znaczenie dla oceny zgodności z kartą przepisów ustanawiających ogólny obowiązek zatrzymywania danych, które wprowadzają w życie art. 15 ust. 1 dyrektywy 2002/58. Ściślej rzecz ujmując, przepisy regulujące dostęp powinny być brane pod uwagę przy ocenie konieczności i proporcjonalności takiego obowiązku(27).
D – W przedmiocie zgodności ogólnego obowiązku zatrzymywania danych z wymogami ustanowionymi w art. 15 ust. 1 dyrektywy 2002/58, a także w art. 7, 8 i art. 52 ust. 1 karty
126. Pozostaje mi teraz zająć się trudną kwestią zgodności ogólnego obowiązku zatrzymywania danych z wymogami ustanowionymi w art. 15 ust. 1 dyrektywy 2002/58, a także w art. 7, 8 i art. 52 ust. 1 karty rozpatrywanych w związku z wyrokiem DRI. Pytanie to dotyczy, w sposób bardziej ogólny, konieczności dostosowania przepisów regulujących możliwości prowadzenia przez państwa niejawnych obserwacji, których liczba znacznie wzrosła dzięki obecnemu postępowi technologicznemu(28).
127. Pierwszy etap analizy polega w tym kontekście na stwierdzeniu ingerencji w prawa ustanowione przez dyrektywę 2002/58 i w prawa podstawowe ustanowione w art. 7 i 8 karty.
128. Obowiązek taki stanowi bowiem poważną ingerencję w prawo do poszanowania życia prywatnego ustanowione w art. 7 karty i w prawo do ochrony danych osobowych zagwarantowane w art. 8 karty. Nie sądzę, abym musiał rozwodzić się nad ustaleniem owej ingerencji, która została wyraźnie stwierdzona przez Trybunał w pkt 32–37 wyroku DRI(29). Tym samym ogólny obowiązek zatrzymywania danych stanowi ingerencję w szereg praw ustanowionych w dyrektywie 2002/58(30).
129. Drugi etap analizy polega na ustaleniu, czy i na jakich warunkach owa poważna ingerencja w prawa ustanowione w dyrektywie 2002/58, jak również w prawa podstawowe ustanowione w art. 7 i 8 karty, może być uzasadniona.
130. Dwa przepisy określają warunki, jakie muszą zostać spełnione, aby ta podwójna ingerencja była uzasadniona: art. 15 ust. 1 dyrektywy 2002/58, który normuje prawo państw członkowskich do ograniczenia zakresu pewnych praw określonych w tej dyrektywie, i art. 52 ust. 1 karty, interpretowany w związku z wyrokiem DRI, który normuje wszelkie ograniczenia w korzystaniu z praw ustanowionych przez kartę.
131. Chciałbym podkreślić, że wymogi te są kumulatywne. Przestrzeganie wymogów ustanowionych w art. 15 ust. 1 dyrektywy 2002/58 nie oznacza bowiem samo w sobie, że spełnione są wymogi przewidziane w art. 52 ust. 1 karty, i odwrotnie(31). W konsekwencji, jak podkreśliło Law Society of England and Wales(32), ogólny obowiązek zatrzymywania danych może zostać uznany za zgodny z prawem Unii, jedynie jeśli jednocześnie spełnia wymogi określone w art. 15 ust. 1 dyrektywy 2002/58 i określone w art. 52 ust. 1 karty.
132. Te dwa przepisy łącznie ustanawiają sześć wymogów, które muszą zostać spełnione, aby ingerencja spowodowana ogólnym obowiązkiem zatrzymywania danych była uzasadniona:
– obowiązek zatrzymywania danych musi być oparty na podstawie prawnej;
– musi szanować istotę praw ustanowionych przez kartę;
– musi dążyć do osiągnięcia celu interesu ogólnego;
– musi być właściwy do realizacji tego celu;
– musi być konieczny do realizacji tego celu;
– musi być, w ramach społeczeństwa demokratycznego, proporcjonalny do osiągnięcia tego celu.
133. Wiele z tych przesłanek zostało już przywołanych przez Trybunał w wyroku DRI. W trosce o zapewnienie jasności i biorąc pod uwagę specyfikę niniejszych spraw w porównaniu do sprawy DRI, pragnę jednak powrócić do każdej z nich i zbadać w sposób bardziej szczegółowy wymogi odnoszące się do podstawy prawnej, do koniecznego oraz proporcjonalnego charakteru ogólnego obowiązku zatrzymywania danych w społeczeństwie demokratycznym.
1. W przedmiocie wymogu istnienia podstawy prawnej w prawie krajowym
134. Zarówno art. 52 ust. 1 karty, jak i art. 15 ust. 1 dyrektywy 2002/58 określają wymogi w odniesieniu do podstawy prawnej, z której państwo członkowskie powinno skorzystać w celu nałożenia ogólnego obowiązku zatrzymywania danych.
135. W pierwszej kolejności każde ograniczenie w korzystaniu z praw uznanych w karcie musi być „przewidziane ustawą” zgodnie z jej art. 52 ust. 1. Chciałbym wyjaśnić, że wymóg ten nie został formalnie zbadany przez Trybunał w wyroku DRI, który dotyczył ingerencji przewidzianej w dyrektywie.
136. Do czasu niedawnego wyroku WebMindLicenses(33) Trybunał nigdy nie wypowiedział się na temat dokładnego zakresu tego wymogu, i to nawet jeżeli wyraźnie stwierdził, że wymóg ten był(34) albo nie był(35) spełniony. W pkt 81 tego wyroku trzecia izba Trybunału orzekła, co następuje:
„W tym względzie należy podkreślić, że wymóg, aby wszelkie ograniczenia w korzystaniu z tego prawa były przewidziane ustawą, oznacza, że podstawa prawna umożliwiająca wykorzystanie dowodów wskazanych w poprzednim punkcie przez organ podatkowy musi być wystarczająco jasna i precyzyjna oraz że w zakresie, w jakim definiuje ona sama zakres ograniczenia w wykonywaniu prawa zagwarantowanego w art. 7 karty, zapewnia ona pewną ochronę przed ewentualnymi arbitralnymi działaniami tego organu (zob. w szczególności wyroki ETPC: z dnia 2 sierpnia 1984 r. w sprawie Malone przeciwko Zjednoczonemu Królestwu, seria A, nr 82, § 67; a także z dnia 12 stycznia 2010 r. w sprawie Gillan i Quinton przeciwko Zjednoczonemu Królestwu, nr 4158/05, § 77, ETPC 2010)”.
137. Chciałbym zaproponować wielkiej izbie Trybunału, aby w niniejszych sprawach potwierdziła tę interpretację, z następujących powodów.
138. Jak słusznie zauważa rzecznik generalny P. Cruz Villalón w opinii przedstawionej w sprawie Scarlet Extended(36), ETPC wypracował bogate orzecznictwo dotyczące tego wymogu w kontekście EKPC, które charakteryzuje się materialnym, a nie formalnym pojmowaniem terminu „ustawy”(37).
139. Zgodnie z tym orzecznictwem wyrażenie „przewidziane ustawą” oznacza, że podstawa prawna jest wystarczająco przystępna i przewidywalna, czyli przedstawiona na tyle dokładnie, aby umożliwić jednostce dostosowanie jej postępowania, w razie potrzeby po zasięgnięciu fachowej porady. Rzeczona podstawa prawna powinna również oferować odpowiednią ochronę przed arbitralnością i w konsekwencji określać w sposób wystarczająco jasny zakres i warunki wykonywania uprawnienia powierzonego właściwym organom (zasada rządów prawa)(38).
140. Otóż moim zdaniem wyrażeniu „przewidziane ustawą”, o którym mowa w art. 52 ust. 1 karty, trzeba przypisać zakres podobny do zakresu tego pojęcia w kontekście EKPC, a to z następujących powodów.
141. Po pierwsze, zgodnie z art. 53 karty i wyjaśnieniami dotyczącymi tego artykułu poziom ochrony zapewniany na gruncie karty nigdy nie może być niższy od zagwarantowanego w EKPC. Ów zakaz zejścia poniżej „progu EKPC” oznacza, że przyjmowana przez Trybunał wykładnia wyrażenia „przewidziane ustawą”, o którym mowa w art. 52 ust. 1 karty, powinna być przynajmniej tak ścisła, jak ta przyjęta przez ETPC w kontekście EKPC(39).
142. Po drugie, zważywszy na horyzontalny charakter tego wymogu, który może mieć zastosowanie do wielu rodzajów ingerencji zarówno w kontekście karty, jak i na gruncie EKPC(40), niewłaściwe byłoby poddawanie państw członkowskich różnym kryteriom w zależności od tego, czy ingerencja rozpatrywana jest w świetle jednego czy drugiego z tych instrumentów(41).
143. W związku z tym uważam, że – jak podnoszą rząd estoński oraz Komisja – zawarte w art. 52 ust. 1 karty wyrażenie „przewidziane ustawą”, należy interpretować w świetle orzecznictwa ETPC streszczonego w pkt 139 niniejszej opinii, w ten sposób, że ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, musi zostać ustanowiony w oparciu o podstawę prawną, która, po pierwsze, jest wystarczająco przystępna i przewidywalna, a po drugie, zapewnia odpowiednią ochronę przed arbitralnością.
144. W drugiej kolejności należy określić treść wymogów ustanowionych w art. 15 ust. 1 dyrektywy 2002/58 w odniesieniu do podstawy prawnej, która powinna zostać wykorzystana przez państwo członkowskie pragnące skorzystać z prawa przysługującego na mocy tego przepisu.
145. Wydaje się, iż należy zaznaczyć w tym względzie istnienie rozbieżności między wersjami językowymi pierwszego zdania tego przepisu.
146. W wersjach angielskiej („legislative measures”), francuskiej („mesures législatives”), włoskiej („disposizioni legislative”), portugalskiej („medidas legislativas”), rumuńskiej („măsuri legislative”) i w szwedzkiej („genom lagstiftning vidta åtgärder”) art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 wymaga moim zdaniem przyjęcia środków pochodzących od władzy ustawodawczej.
147. Natomiast wersje duńska („retsforskrifter”), niemiecka („Rechtsvorschriften”), niderlandzka („wettelijke maatregele”) i hiszpańska („medidas legales”) tego zdania mogą być interpretowane jako wymagające przyjęcia albo środków pochodzących od władzy ustawodawczej, albo przepisów wykonawczych wydanych przez władzę wykonawczą.
148. Zgodnie z utrwalonym orzecznictwem konieczność jednolitego stosowania, a w związku z tym jednolitej wykładni aktu Unii wyklucza jego rozpatrywanie w jednej – w oderwaniu od innych – wersji, ale wymaga ustalenia wykładni w zależności zarówno od rzeczywistej woli autora tego aktu, jak i przyświecającego mu celu, a zwłaszcza w świetle wszystkich innych oficjalnych wersji językowych. W wypadku wystąpienia rozbieżności między nimi sporny przepis należy interpretować z uwzględnieniem ogólnej systematyki i celu uregulowania, którego przepis ten jest częścią(42).
149. W niniejszym przypadku art. 15 ust. 1 dyrektywy 2002/58 reguluje prawa państw członkowskich do wprowadzenia odstępstw od praw podstawowych ustanowionych w art. 7 i 8 karty, których ochrona jest realizowana przez tę dyrektywę. Uważam zatem za konieczne, aby interpretować wymóg podstawy prawnej nałożony przez art. 15 ust. 1 dyrektywy 2002/58 w świetle karty, a w szczególności jej art. 52 ust. 1.
150. Tak więc „środki” wymagane przez art. 15 ust. 1 dyrektywy 2002/58 muszą bezwzględnie posiadać cechy przystępności, przewidywalności i odpowiedniej ochrony przed arbitralnością, przytoczone w pkt 143 niniejszej opinii. Jak wynika w szczególności z tych cech, a zwłaszcza z wymogu odpowiedniej ochrony przed arbitralnością, środki te powinny być wiążące dla władz krajowych, które otrzymują prawo dostępu do zatrzymanych danych. W szczególności nie byłoby wystarczające ustanowienie gwarancji dotyczących dostępu do tych danych w wewnętrznych kodeksach lub wytycznych, nieposiadających takiego wiążącego charakteru, jak słusznie podkreśliło to Law Society of England and Wales.
151. Ponadto wyrażenie „państwa członkowskie mogą uchwalić środki”, które jest wspólne dla wszystkich wersji językowych art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58, wyklucza, jak mi się wydaje, możliwość, aby orzecznictwo krajowe, nawet utrwalone, mogło stanowić podstawę prawną wystarczającą do wdrożenia tego przepisu. Podkreślam, że w tym zakresie przepis ten wykracza poza wymogi wynikające z orzecznictwa ETPC(43).
152. Dodam, że wydaje mi się pożądane, aby ze względu na wagę ingerencji, jaką stanowi ogólny obowiązek zatrzymywania danych, w prawa podstawowe ustanowione w art. 7 i 8 karty, istota spornego systemu, a w szczególności istota gwarancji związanych z tym obowiązkiem, została określona w środku przyjętym przez władzę ustawodawczą, przy czym do władzy wykonawczej należy dokładne określenie warunków jego wykonywania.
153. Mając na uwadze powyższe rozważania, jestem zdania, że art. 15 ust. 1 dyrektywy 2002/58 i art. 52 ust. 1 karty należy interpretować w ten sposób, iż system ustanawiający ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, powinien zostać ustanowiony na podstawie przepisów ustawowych lub wykonawczych odznaczających się cechami przystępności, przewidywalności i odpowiedniej ochrony przed arbitralnością.
154. Ustalenie poszanowania tego wymogu należy do sądów odsyłających ze względu na ich uprzywilejowaną pozycję w zakresie oceny swojego systemu krajowego.
2. W przedmiocie poszanowania istoty praw uznanych w art. 7 i 8 karty
155. Zgodnie z art. 52 ust. 1 wszelkie ograniczenia w korzystaniu z praw uznanych w karcie muszą „szanować istotę tych praw”(44). Aspekt ten, który został zbadany przez Trybunał w pkt 39 i 40 wyroku DRI w kontekście dyrektywy 2006/24, nie wydaje mi się stanowić szczególnego problemu w ramach niniejszych spraw, jak podniosły rząd hiszpański, Irlandia oraz Komisja.
156. W pkt 39 wyroku DRI Trybunał orzekł, że dyrektywa ta nie naruszała istoty prawa do poszanowania życia prywatnego i innych praw zawartych w art. 7 karty, ponieważ nie pozwalała na zapoznanie się z samą treścią komunikatów elektronicznych.
157. Ocenę tę według mnie można zastosować do systemów krajowych będących przedmiotem sporu w postępowaniach głównych, zważywszy, że systemy te również nie pozwalają na zapoznanie się z samą treścią komunikatów elektronicznych(45).
158. W pkt 40 wyroku DRI Trybunał uznał, że dyrektywa 2006/24 nie narusza zasadniczej istoty ustanowionego w art. 8 karty prawa podstawowego do ochrony danych osobowych w świetle zasad ochrony i bezpieczeństwa danych, które powinny być przestrzegane przez dostawców na mocy art. 7 tej dyrektywy, przy czym państwa członkowskie mają obowiązek zapewnienia właściwych środków technicznych i organizacyjnych w celu ochrony danych przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą.
159. Również w tym przypadku uważam, że ocenę tę można zastosować także do systemów krajowych będących przedmiotem sporu w postępowaniach głównych, zważywszy, że przewidują one, jak mi się wydaje, gwarancje porównywalne odnośnie do ochrony i bezpieczeństwa danych zatrzymanych przez dostawców, gdyż takie gwarancje powinny umożliwiać skuteczną ochronę danych osobowych przed ryzykiem nadużyć i przed jakimkolwiek bezprawnym dostępem do tych danych i korzystaniem z nich(46).
160. Do sądu odsyłającego należy jednak ustalenie, czy przepisy krajowe będące przedmiotem postępowań głównych rzeczywiście zachowują, w świetle powyższych rozważań, istotę praw uznanych w art. 7 i 8 karty.
3. W przedmiocie istnienia uznanego przez Unię celu interesu ogólnego, który może uzasadniać ogólny obowiązek zatrzymywania danych
161. Zarówno art. 15 ust. 1 dyrektywy 2002/58, jak i art. 52 ust. 1 karty wymagają, aby wszelka ingerencja w prawa w nich ustanowione służyła celowi interesu ogólnego.
162. W pkt 41–44 wyroku DRI Trybunał orzekł, po pierwsze, że ogólny obowiązek zatrzymywania danych nałożony przez dyrektywę 2006/24 przyczynia się do „walki z poważną przestępczością, co w ostatecznym rozrachunku przekłada się na zapewnienie bezpieczeństwa publicznego”, a po drugie, że walka ta stanowi cel interesu ogólnego Unii.
163. Z orzecznictwa Trybunału wynika bowiem, że walka z terroryzmem międzynarodowym w celu utrzymania międzynarodowego pokoju i bezpieczeństwa stanowi cel interesu ogólnego Unii. Podobnie rzecz ma się w przypadku walki z poważną przestępczością, w celu zapewnienia bezpieczeństwa publicznego. Należy też w tym względzie zauważyć, że art. 6 karty gwarantuje każdemu prawo nie tylko do wolności, ale też do bezpieczeństwa osobistego(47).
164. Ocena ta ma zastosowanie do ogólnych obowiązków zatrzymywania danych będących przedmiotem sporu w postępowaniach głównych, które mogą być uzasadnione celem walki z poważnymi przestępstwami.
165. Niemniej jednak, zważywszy na niektóre argumenty przedstawione Trybunałowi, należy ustalić, czy taki obowiązek może być uzasadniony celem interesu ogólnego innym niż walka z poważnymi przestępstwami.
166. W tym względzie treść art. 52 ust. 1 karty odwołuje się w sposób ogólny do „celów interesu ogólnego uznawanych przez Unię” i „potrzeb ochrony praw i wolności innych osób”.
167. Brzmienie art. 15 ust. 1 dyrektywy 2002/58 jest bardziej precyzyjne co do celów mogących uzasadniać ingerencję w prawa ustanowione w tej dyrektywie. Zgodnie z tym przepisem sporne środki powinny bowiem przyczyniać się do „zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy [95/46]”.
168. Ponadto w wyroku Promusicae(48) Trybunał orzekł, że przepis ten należy interpretować w świetle art. 13 ust. 1 dyrektywy 95/46, która dopuszcza odstępstwa od praw ustanowionych w tej dyrektywie, jeżeli są uzasadnione dla „zabezpieczenia praw i wolności innych osób”. W konsekwencji Trybunał orzekł, że na podstawie art. 15 ust. 1 dyrektywy 2002/58 państwom członkowskim przysługiwało prawo ustanowienia spoczywającego na dostawcy obowiązku ujawnienia danych osobowych w celu ustalenia, w ramach postępowania cywilnego, istnienia naruszenia praw autorskich dotyczącego nagrań muzycznych i audiowizualnych.
169. Rząd Zjednoczonego Królestwa oparł na tym wyroku argument, że ogólny obowiązek zatrzymywania danych może być uzasadniony każdym celem, określonym albo w art. 15 ust. 1 dyrektywy 2002/58, albo w art. 13 ust. 1 dyrektywy 95/46. Zdaniem tego rządu obowiązek taki może być uzasadniony użytecznością zatrzymanych danych w walce z przestępstwami „pospolitymi” (w przeciwieństwie do „poważnych”) lub nawet w związku z postępowaniami niemającymi charakteru karnego, lecz pozostającymi w związku z celami, o których mowa w tych przepisach.
170. Argument ten nie przekonuje mnie z następujących powodów.
171. W pierwszej kolejności, jak słusznie podkreślili T. Watson oraz Open Rights Group i Privacy International, podejście przyjęte przez Trybunał w wyroku Promusicae(49) nie ma zastosowania do niniejszej sprawy, ponieważ wyrok ten dotyczył złożonego przez stowarzyszenie właścicieli praw autorskich wniosku o udzielenie dostępu do danych zatrzymanych z własnej inicjatywy przez dostawcę, to jest przedsiębiorstwo Telefónica de España. Innymi słowy, wyrok ten nie dotyczył celów, które mogłyby uzasadniać poważne ingerencje w prawa podstawowe, jakie pociąga za sobą ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych.
172. W drugiej kolejności uważam, że wymóg proporcjonalności w społeczeństwie demokratycznym wyklucza, aby walka z przestępstwami pospolitymi lub sprawny przebieg postępowań niemających charakteru karnego mógł uzasadniać ogólny obowiązek zatrzymywania danych. Znaczne zagrożenia, jakie rodzi taki obowiązek, są bowiem nadmierne w stosunku do korzyści, jakie przyniósłby on w walce z pospolitymi przestępstwami lub też w kontekście postępowań niemających charakteru karnego(50).
173. Mając na uwadze powyższe rozważania, jestem zdania, że art. 15 ust. 1 dyrektywy 2002/58 i art. 52 ust. 1 karty należy interpretować w ten sposób, że walka z poważnymi przestępstwami stanowi cel interesu ogólnego, który może uzasadniać ogólny obowiązek zatrzymywania danych, w przeciwieństwie do walki z przestępstwami pospolitymi lub ze sprawnym przebiegiem postępowań niemających charakteru karnego.
174. W konsekwencji należy zbadać odpowiedni, konieczny i proporcjonalny charakter takiego obowiązku w świetle celu walki z poważnymi przestępstwami.
4. W przedmiocie odpowiedniego charakteru ogólnego obowiązku zatrzymywania danych w świetle walki z poważnymi przestępstwami
175. Wymogi dotyczące charakteru odpowiedniego, koniecznego(51) i proporcjonalnego(52) wypływają zarówno z art. 15 ust. 1 dyrektywy 2002/58, jak i z art. 52 ust. 1 karty.
176. Zgodnie z pierwszym z tych wymogów ogólny obowiązek zatrzymywania danych, taki jak obowiązki rozpatrywane w postępowaniach głównych, powinien móc przyczyniać się do realizacji wskazanego wyżej celu interesu ogólnego, a mianowicie do walki z poważnymi przestępstwami.
177. Wymóg ten nie stwarza szczególnych trudności w kontekście niniejszych spraw. Jak Trybunał wskazał zasadniczo w pkt 49 wyroku DRI, zatrzymane dane pozwalają organom krajowym właściwym w sprawach karnych dysponować dodatkowym środkiem dochodzeniowo-śledczym w celu zapobiegania poważnym przestępstwom lub wyjaśniania ich. W rezultacie obowiązek taki przyczynia się do walki z poważnymi przestępstwami.
178. Chciałbym jednak uściślić, w jaki sposób ogólny obowiązek zatrzymywania danych może być użyteczny do celów walki z poważnymi przestępstwami. Jak słusznie podnosi rząd francuski, obowiązek taki w pewnym stopniu pozwala organom ścigania na „odtwarzanie przeszłości” dzięki badaniu zatrzymanych danych, w odróżnieniu od środków ukierunkowanej obserwacji niejawnej.
179. Środek ukierunkowanej obserwacji niejawnej dotyczy osób, które zostały wcześniej zidentyfikowane jako mogące mieć związek, nawet pośredni lub odległy, z poważnym przestępstwem. Takie środki ukierunkowane pozwalają właściwym organom na dostęp do danych dotyczących komunikatów przekazywanych przez te osoby, a wręcz do treści owych komunikatów. Jednakże taki dostęp może dotyczyć jedynie komunikatów przekazywanych przez takie osoby po ich identyfikacji.
180. Natomiast ogólny obowiązek zatrzymywania danych obejmuje wszystkie komunikaty przekazywane przez ogół użytkowników, przy czym nie jest wymagane jakiekolwiek powiązanie z poważnym przestępstwem. Obowiązek taki pozwala właściwym organom na dostęp do historii komunikatów przekazywanych przez osobę przed jej zidentyfikowaniem jako mającej takie powiązanie. To właśnie w ten sposób ów obowiązek daje organom ścigania ograniczoną zdolność do odtwarzania przeszłości, przyznając im dostęp do komunikatów przekazywanych przez takie osoby przed identyfikacją tych osób(53).
181. Innymi słowy, użyteczność ogólnego obowiązku zatrzymywania danych do celów walki z poważnymi przestępstwami polega na owej ograniczonej zdolności do odtwarzania przeszłości na podstawie danych ukazujących historię komunikatów przekazywanych przez daną osobę, nawet zanim jeszcze stała się ona podejrzana o związek z poważnym przestępstwem(54).
182. W trakcie prezentacji wniosku w sprawie dyrektywy, który doprowadził do przyjęcia dyrektywy 2006/24, Komisja zilustrowała ową użyteczność za pomocą konkretnych przykładów postępowań dotyczących w szczególności aktów terrorystycznych, zabójstw, porwań i pornografii dziecięcej(55).
183. Szereg podobnych przykładów zostało przedstawionych Trybunałowi w ramach niniejszych spraw, w szczególności przez rząd francuski, który podkreślił ciążący na państwach członkowskich pozytywny obowiązek zapewnienia bezpieczeństwa osób znajdujących się na ich terytorium. Zdaniem tego rządu w postępowaniach dotyczących rozbicia siatki organizującej wyjazdy rezydentów francuskich do stref konfliktu w Iraku lub w Syrii dostęp do zatrzymanych danych odgrywa decydującą rolę w identyfikacji osób, które pomagały w tych wyjazdach. Rząd ten dodaje, że dostęp do dotyczących komunikatów danych związanych z osobami zaangażowanymi w ostatnie ataki terrorystyczne mające miejsce w styczniu i listopadzie 2015 r. we Francji był szczególnie użyteczny dla osób prowadzących postępowania przy wykrywaniu pomocników sprawców tychże ataków. Podobnie, w poszukiwaniach osoby zaginionej dane dotyczące lokalizacji tej osoby w czasie przekazywania komunikatów przed jej zaginięciem mogą odgrywać decydującą rolę w postępowaniu.
184. Mając na względzie powyższe rozważania, jestem zdania, że ogólny obowiązek zatrzymywania danych jest w stanie przyczynić się do walki z poważnymi przestępstwami. Pozostaje jednak ustalić, czy taki obowiązek jest jednocześnie konieczny i proporcjonalny do osiągnięcia tego celu.
5. W przedmiocie koniecznego charakteru ogólnego obowiązku zatrzymywania danych w świetle walki z poważnymi przestępstwami
185. Zgodnie z utrwalonym orzecznictwem środek może zostać uznany za konieczny wyłącznie w braku jakiegokolwiek innego środka, który byłby równie odpowiedni, będąc jednocześnie mniej dolegliwy(56).
186. Wymóg dotyczący odpowiedniości sprowadza się do oceny skuteczności „bezwzględnej” – niezależnie od jakiegokolwiek innego możliwego środka – ogólnego obowiązku zatrzymywania danych w odniesieniu do walki z poważnymi przestępstwami. Wymóg konieczności prowadzi natomiast do oceny skuteczności – albo skuteczności „względnej”, to znaczy w porównaniu z innym możliwym środkiem – takiego obowiązku(57).
187. W kontekście niniejszej sprawy test konieczności wymaga, po pierwsze, sprawdzenia, czy inne środki mogłyby być równie skuteczne, jak ogólny obowiązek zatrzymywania danych w ramach walki z poważnymi przestępstwami, i po drugie, czy te ewentualne środki byłyby mniej szkodliwe dla praw ustanowionych w dyrektywie 2002/58 i w art. 7 i 8 karty(58).
188. Przypominam ponadto utrwalone orzecznictwo, przywołane w pkt 52 wyroku DRI, zgodnie z którym ochrona prawa podstawowego do prywatności wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia trzymały się w granicach tego, co „absolutnie konieczne”(59).
189. Strony, które przedstawiły uwagi Trybunałowi, omówiły dogłębnie dwa zagadnienia odnoszące się do wymogu absolutnej konieczności w kontekście niniejszych spraw, odpowiadające zasadniczo dwóm pytaniom postawionym przez sąd odsyłający w sprawie C‑203/15:
– po pierwsze, czy w świetle pkt 56–59 wyroku DRI należy uznać, że ogólny obowiązek zatrzymywania danych sam w sobie wykracza poza granice tego, co absolutnie konieczne do walki z poważnymi przestępstwami, i to niezależnie od gwarancji towarzyszących temu obowiązkowi;
– po drugie, zakładając, że taki obowiązek sam w sobie mógłby zostać uznany za nieprzekraczający granic tego, co absolutnie konieczne, czy powinien on zostać obwarowany wszystkimi gwarancjami ustanowionymi przez Trybunał w pkt 60–68 wyroku DRI, w celu ograniczenia naruszenia praw ustanowionych w dyrektywie 2002/58 i w art. 7 i 8 karty do tego, co absolutnie konieczne?
190. Zanim zajmę się tymi zagadnieniami, pragnę zauważyć, że należy oddalić podniesiony przez rząd Zjednoczonego Królestwa argument, zgodnie z którym kryteria określone w wyroku DRI są pozbawione znaczenia w kontekście niniejszych spraw ze względu na to, że wyrok ten dotyczy nie systemu krajowego, lecz systemu ustanowionego przez prawodawcę Unii.
191. W tym względzie podkreślam, że w wyroku DRI dokonano wykładni art. 7, 8 i art. 52 ust. 1 karty oraz że postanowienia te są również przedmiotem pytań postawionych w postępowaniach głównych. Otóż nie jest moim zdaniem możliwe, aby wykładnia postanowień karty była odmienna w zależności od tego, czy sporny system został ustanowiony na poziomie Unii, czy na poziomie krajowym, jak słusznie podkreślili P. Brice i G. Lewis oraz Law Society of England and Wales. Jeżeli stwierdzono, że karta znajduje zastosowanie, jak ma to miejsce w przypadku niniejszych spraw(60), powinna ona być stosowana w taki sam sposób, niezależnie od spornego systemu. Co za tym idzie, kryteria określone przez Trybunał w wyroku DRI są istotne do celów oceny systemów krajowych będących przedmiotem sporu w niniejszych sprawach, jak wskazały w szczególności rząd duński i Irlandia oraz Komisja.
a) W przedmiocie absolutnie koniecznego charakteru ogólnego obowiązku zatrzymywania danych
192. Zgodnie z pierwszym podejściem, bronionym przez Tele2 Sverige oraz Open Rights Group i Privacy International, należy uznać, w następstwie wyroku DRI, że ogólny obowiązek zatrzymywania danych sam w sobie wykracza poza granice tego, co absolutnie konieczne do walki z poważnymi przestępstwami, i to niezależnie od ewentualnych gwarancji, którymi obwarowany jest ten obowiązek.
193. Zgodnie z drugim stanowiskiem, popieranym przez większość pozostałych stron, które przedłożyły uwagi Trybunałowi, obowiązek taki nie wykracza poza granice tego, co absolutnie konieczne, pod warunkiem że jest obwarowany pewnymi gwarancjami dotyczącymi dostępu do danych, okresu przechowywania oraz ochrony i bezpieczeństwa danych.
194. Następujące powody skłaniają mnie do przyjęcia tego drugiego podejścia.
195. W pierwszej kolejności, zgodnie z moim rozumieniem wyroku DRI, Trybunał orzekł, że ogólny obowiązek zatrzymywania danych wykracza poza granice tego, co jest absolutnie konieczne, w przypadku gdy nie jest obwarowany rygorystycznymi gwarancjami dotyczącymi dostępu do danych, okresu przechowywania oraz ochrony i bezpieczeństwa danych. Natomiast Trybunał nie wypowiedział się w przedmiocie zgodności z prawem Unii ogólnego obowiązku zatrzymywania danych, który jest obwarowany takimi gwarancjami, ponieważ system taki nie stanowił przedmiotu pytań skierowanych do Trybunału w tej sprawie.
196. W tym względzie podkreślam, że pkt 56–59 wyroku DRI nie zawierają żadnego stwierdzenia Trybunału wskazującego, że ogólny obowiązek zatrzymywania danych sam w sobie wykracza poza granice tego, co absolutnie konieczne.
197. W pkt 56 i 57 tego wyroku Trybunał stwierdza, że ustanowiony w dyrektywie 2006/24 obowiązek zatrzymywania danych obejmuje wszystkie środki łączności elektronicznej, wszystkich użytkowników i wszystkie dane o ruchu, przy czym nie przewidziano jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku ze względu na cel walki z poważnymi przestępstwami.
198. W pkt 58 i 59 tego wyroku Trybunał wskazuje w sposób bardziej szczegółowy praktyczne skutki wspomnianego braku zróżnicowania. Po pierwsze, obowiązek zatrzymywania dotyczy nawet tych osób, co do których brak jest dowodów mogących sugerować, że ich zachowanie może mieć związek, nawet pośredni lub daleki, z poważnymi przestępstwami. Po drugie, dyrektywa ta nie wymaga istnienia żadnego związku między danymi, które mają być zatrzymywane, a zagrożeniem dla bezpieczeństwa publicznego; w szczególności dyrektywa nie ogranicza się do zatrzymywania danych związanych z określonym okresem czasu, określonym obszarem geograficznym lub określonym kręgiem osób mogących, w taki czy inny sposób, mieć związek z poważnym przestępstwem.
199. W konsekwencji Trybunał stwierdza, że ogólny obowiązek zatrzymywania danych charakteryzuje się brakiem zróżnicowania ze względu na cel walki z poważnymi przestępstwami. Nie orzekł on jednak, że ów brak zróżnicowania oznacza, iż obowiązek taki sam w sobie przekracza granice tego, co absolutnie konieczne.
200. W rzeczywistości dopiero zbadawszy system przewidziany przez dyrektywę 2006/24 i stwierdziwszy brak pewnych gwarancji, które przeanalizuję poniżej(61), Trybunał orzekł w pkt 69 wyroku DRI:
„Z powyższych względów należy uznać, że przyjmując dyrektywę 2006/24, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności na gruncie art. 7, 8 i art. 52 ust. 1 karty” (wyróżnienie moje).
201. Jak wskazały rządy niemiecki i niderlandzki, gdyby samo generalne zatrzymywanie danych było wystarczające do stwierdzenia nieważności dyrektywy 2006/24, Trybunał nie miałby potrzeby badania, i to w sposób szczegółowy, braku gwarancji określonych w pkt 60–68 tego wyroku.
202. Co za tym idzie, ogólny obowiązek zatrzymywania danych ustanowiony w dyrektywie 2006/24 nie przekraczał sam w sobie granic tego, co absolutnie konieczne. Dyrektywa ta przekroczyła granice tego, co absolutnie konieczne, ze względu na połączony skutek generalnego zatrzymywania danych i braku gwarancji służących ograniczeniu naruszenia praw uznanych w art. 7 i 8 karty do tego, co absolutnie konieczne. W związku z tym skutkiem połączonym dyrektywa powinna zostać uznana za nieważną w całości(62).
203. W drugiej kolejności taka wykładnia znajduje potwierdzenie w pkt 93 wyroku Schrems(63), który przytaczam poniżej:
„W ten sposób uregulowanie umożliwiające generalnie przechowywanie wszelkich danych osobowych wszystkich osób fizycznych, których dane zostały przekazane z Unii do Stanów Zjednoczonych bez jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od zamierzonego celu i bez przewidzenia obiektywnych kryteriów, które pozwoliłyby na ograniczenie dostępu władz publicznych do danych oraz na ich późniejsze wykorzystanie do określonych celów, ściśle ograniczonych, które mogą uzasadnić ingerencję, jaką stanowi zarówno dostęp, jak i wykorzystanie tych danych, nie ogranicza się do tego, co absolutnie konieczne [zob. podobnie, w odniesieniu do dyrektywy 2006/24, wyrok DRI, pkt 57–61]” (wyróżnienie moje).
204. Ponownie, Trybunał nie orzekł, że sporny w tej sprawie system przekracza granice tego, co absolutnie konieczne, jedynie na tej podstawie, że zezwalał on na generalne zatrzymywanie danych osobowych. W niniejszej sprawie granice tego, co absolutnie konieczne, zostały przekroczone ze względu na połączony skutek możliwości dokonania takiego generalnego zatrzymywania danych i braku gwarancji w zakresie dostępu zmierzającej do ograniczenia ingerencji do tego, co absolutnie konieczne.
205. Z powyższego wnioskuję, że nie można uznać, iż ogólny obowiązek zatrzymywania danych sam w sobie zawsze przekracza granice tego, co jest absolutnie konieczne do walki z poważnymi przestępstwami. Natomiast taki obowiązek zawsze przekracza granice tego, co jest absolutnie konieczne, w przypadku gdy nie jest obwarowany gwarancjami dotyczącymi dostępu do danych, okresu przechowywania oraz ochrony i bezpieczeństwa danych.
206. W trzeciej kolejności moje przekonanie w tym względzie potwierdza konieczność ustalenia w konkretnych przypadkach, czy poszanowany został wymóg dotyczący charakteru absolutnie koniecznego w obrębie systemów krajowych rozpatrywanych w postępowaniach głównych.
207. Jak wskazałem w pkt 187 niniejszej opinii, wymóg absolutnie koniecznego charakteru wymaga zbadania, czy inne środki mogłyby być równie skuteczne, jak ogólny obowiązek zatrzymywania danych w ramach walki z poważnymi przestępstwami, będąc jednocześnie mniej szkodliwe dla praw ustanowionych w dyrektywie 2002/58 i w art. 7 i 8 karty.
208. Tymczasem taka ocena powinna zostać dokonana w szczególnym kontekście każdego systemu krajowego przewidującego ogólny obowiązek zatrzymywania danych. Po pierwsze, ocena ta wymaga porównania skuteczności tego obowiązku ze skutecznością każdego innego możliwego na gruncie krajowym środka, biorąc pod uwagę fakt, że wspomniany obowiązek zapewnia właściwym organom ograniczoną zdolność do odtwarzania przeszłości na podstawie zatrzymanych danych(64).
209. Mając na względzie wymóg ścisłej konieczności, nieodzowne jest, aby sądy te nie ograniczyły się do weryfikacji samej li tylko użyteczności ogólnego obowiązku zatrzymywania danych, ale by rygorystycznie sprawdziły też, czy żaden inny środek lub kombinacja środków, a w szczególności obowiązek indywidualnego zatrzymywania danych wraz z innymi narzędziami dochodzeniowo-śledczymi, nie może zapewnić takiej samej skuteczności w walce z poważnymi przestępstwami. W tym względzie podkreślam, że szereg badań zaprezentowanych Trybunałowi podważa konieczność wprowadzenia tego rodzaju obowiązku do celów walki z poważnymi przestępstwami(65).
210. Po drugie, zakładając, że inne środki mogą być równie skuteczne w walce z poważnymi przestępstwami, do sądów odsyłających należeć będzie jeszcze ustalenie, czy w myśl utrwalonego orzecznictwa przypomnianego w pkt 185 niniejszej opinii są one dla rozpatrywanych praw podstawowych mniej szkodliwe niż ogólny obowiązek zatrzymywania danych.
211. W świetle pkt 59 wyroku DRI sądy krajowe będą miały za zadanie zastanowić się w szczególności nad możliwością ograniczenia zakresu materialnego obowiązku zatrzymywania danych przy jednoczesnym zachowaniu skuteczności tego środka w walce z poważnymi przestępstwami(66). Obowiązki takie mogą mieć bowiem zasięg materialny szerzy lub węższy, w zależności od użytkowników, obszarów geograficznych i środków komunikacji, których dotyczą(67).
212. W mojej ocenie w szczególności pożądane byłoby, o ile pozwala na to technologia, wykluczenie z obowiązku zatrzymywania danych szczególnie wrażliwych w świetle praw podstawowych rozpatrywanych w niniejszych sprawach, takich jak dane objęte tajemnicą zawodową lub też dane pozwalające na zidentyfikowanie źródła dziennikarskiego.
213. Należy jednak mieć na uwadze fakt, że znaczne ograniczenie zakresu ogólnego obowiązku zatrzymywania danych wiąże się z ryzykiem istotnego ograniczenia użyteczności, jaką taki system posiada w walce z poważnymi przestępstwami. Po pierwsze, szereg rządów podkreśliło trudności, a wręcz brak możliwości określenia z góry danych, które mogłyby mieć związek z poważnym przestępstwem. Co za tym idzie, ograniczenie takie może wykluczyć zatrzymywanie danych, które mogłyby okazać się istotne w walce z poważnymi przestępstwami.
214. Z drugiej strony, jak to podniósł rząd estoński, poważna przestępczość jest zjawiskiem dynamicznym i posiada zdolność dostosowania się do narzędzi dochodzeniowych, którymi dysponują organy ścigania. Tak więc ograniczenie do określonego obszaru geograficznego lub określonego środka komunikacji mogłoby spowodować przeniesienie działalności związanej z poważną przestępczością do obszaru geograficznego lub środka komunikacji nieobjętych tym systemem.
215. Uważam, że ocena ta, jako wymagająca przeprowadzenia złożonego badania krajowych systemów rozpatrywanych w postępowaniach głównych, powinna zostać przeprowadzona przez sądy krajowe, jak to podkreśliły rządy czeski, estoński, francuski, niderlandzki, Irlandia oraz Komisja.
b) W przedmiocie wiążącego charakteru gwarancji ustanowionych przez Trybunał w pkt 60–68 wyroku DRI w świetle wymogu absolutnej konieczności
216. Zakładając, że ogólny obowiązek zatrzymywania danych może być uznany za absolutnie konieczny w ramach rozpatrywanego systemu krajowego, czego ocena należy do sądu krajowego, należy ponadto ustalić, czy obowiązek taki powinien zostać obwarowany całością gwarancji ustanowionych przez Trybunał w pkt 60–68 wyroku DRI, w celu ograniczenia naruszenia praw przyznanych w dyrektywie 2002/58 i w art. 7 i 8 karty do tego, co absolutnie konieczne.
217. Gwarancje te dotyczą zasad regulujących dostęp do zatrzymanych danych i ich wykorzystywania przez właściwe organy (pkt 60–62 wyroku DRI), okresu przechowywania danych (pkt 63 i 64 tego wyroku) oraz bezpieczeństwa i ochrony danych zatrzymanych przez dostawców (pkt 66–68 wyroku).
218. W uwagach przedłożonych Trybunałowi przedstawiono dwie przeciwstawne koncepcje dotyczące charakteru tych gwarancji.
219. Zgodnie z pierwszą koncepcją, bronioną przez T. Watsona, P. Brice’a i G. Lewisa oraz Open Rights Group i Privacy International, gwarancje wymienione przez Trybunał w pkt 60–68 wyroku DRI mają wiążący charakter. Zgodnie z tą koncepcją Trybunał ustalił minimalne gwarancje, z których wszystkie muszą być spełnione przez sporny system krajowy, aby naruszenie praw podstawowych było ograniczone do tego, co absolutnie konieczne.
220. Zgodnie z drugą koncepcją, wysuniętą przez rządy niemiecki, estoński, francuski, Zjednoczonego Królestwa i Irlandię gwarancje wymienione przez Trybunał w pkt 60–68 wyroku DRI mają jedynie charakter orientacyjny. Trybunał dokonał „oceny całości” gwarancji, których brak było w systemie przewidzianym przez dyrektywę 2006/24, przy czym żadna z tych gwarancji nie może w sposób autonomiczny zostać uznana za wiążącą z punktu widzenia wymogu absolutnej konieczności. Dla zilustrowania tej koncepcji rząd niemiecki posłużył się mechanizmem „naczyń połączonych”, zgodnie z którym podejście bardziej elastyczne w odniesieniu do jednego z trzech aspektów wskazanych przez Trybunał (na przykład dostępu do zatrzymywanych danych) może zostać skompensowane przez podejście bardziej rygorystyczne w odniesieniu do dwóch pozostałych aspektów (okresu przechowywania oraz bezpieczeństwa i ochrony danych).
221. Żywię przekonanie, że koncepcja „naczyń połączonych” powinna zostać odrzucona i że należy uznać, iż wszystkie gwarancje wymienione przez Trybunał w pkt 60–68 wyroku DRI mają wiążący charakter, a to z następujących powodów.
222. W pierwszej kolejności nie podlegają takiej wykładni sformułowania użyte przez Trybunał w ramach badania absolutnie koniecznego charakteru systemu wprowadzonego przez dyrektywę 2006/24. W szczególności Trybunał nigdzie w pkt 60–68 wspomnianego wyroku nie daje do zrozumienia, że istnieje jakakolwiek możliwość „skompensowania” podejścia bardziej elastycznego w odniesieniu do jednego z trzech aspektów wskazanych przez Trybunał przez podejście bardziej rygorystyczne w odniesieniu do dwóch pozostałych aspektów.
223. W rzeczywistości koncepcja „naczyń połączonych”, jak mi się wydaje, wynika z pomylenia wymogu konieczności i wymogu proporcjonalności sensu stricto, który nie został zbadany przez Trybunał w wyroku DRI. Jak już bowiem wskazałem w pkt 186 niniejszej opinii, wymóg konieczności polega na odrzuceniu wszelkich środków nieskutecznych. Nie można w tym kontekście mówić o „ocenie całościowej”, „skompensowaniu” ani „wyważeniu”, ponieważ elementy te występują dopiero na etapie proporcjonalności sensu stricto(68).
224. W drugiej kolejności owa koncepcja „naczyń połączonych” niweczy skuteczność gwarancji ustanowionych przez Trybunał w pkt 60–68 wyroku DRI, przez co osoby, których dane zostały zatrzymane, zostają pozbawione wystarczających gwarancji rzeczywistej ochrony ich danych osobowych przed ryzykiem nadużyć oraz ich bezprawnym udostępnianiem i wykorzystywaniem, czego wymaga pkt 54 owego wyroku.
225. Destrukcyjny skutek takiej koncepcji można łatwo zilustrować za pomocą następujących przykładów. System krajowy, który ściśle limituje dostęp jedynie do celów walki z terroryzmem i ogranicza okres przechowywania do trzech miesięcy (podejście rygorystyczne w odniesieniu do dostępu i okresu przechowywania), ale który nie zobowiązuje dostawców do przechowywania danych na danym terytorium krajowym i w postaci zaszyfrowanej (podejście elastyczne w odniesieniu do bezpieczeństwa), naraża ogół ludności na wysokie ryzyko niezgodnego z prawem dostępu do zatrzymanych danych. Tak samo system krajowy, który ustala okres przechowywania na trzy miesiące oraz wymaga przechowywania danych na swoim terytorium krajowym w postaci zaszyfrowanej (podejście rygorystyczne w odniesieniu do okresu przechowywania i bezpieczeństwa), lecz który umożliwia wszystkim pracownikom wszystkich organów władzy publicznej dostęp do zatrzymanych danych (podejście elastyczne w odniesieniu do dostępu), narażałby ogół ludności na wysokie ryzyko nadużycia ze strony organów krajowych.
226. W mojej ocenie z przykładów tych wynika, że zachowanie skuteczności gwarancji ustanowionych przez Trybunał w pkt 60–68 wyroku DRI wymaga uznania każdej z tych gwarancji za wiążącą. ETPC podkreślił również fundamentalne znaczenie tych gwarancji w niedawnym wyroku Szabó i Vissy przeciwko Węgrom, odnosząc się wyraźnie do wyroku DRI(69).
227. W trzeciej kolejności wprowadzenie w życie tych gwarancji przez państwa członkowskie, które zamierzają nałożyć ogólny obowiązek zatrzymywania danych, nie powinno, jak mi się wydaje, sprawiać większych trudności praktycznych. W rzeczywistości gwarancje te wydają mi się pod wieloma względami „minimalne”, jak podniósł T. Watson.
228. Wiele z tych gwarancji było przedmiotem dyskusji przed Trybunałem ze względu na możliwy ich brak w krajowych systemach będących przedmiotem sporu w postępowaniach głównych.
229. Po pierwsze, jak wynika z pkt 61 i 62 wyroku DRI, dostęp do zatrzymanych danych i ich późniejsze wykorzystanie powinny być ściśle ograniczone do celów zapobiegania i wykrywania dokładnie określonych poważnych przestępstw lub ich ścigania na gruncie prawa karnego.
230. Zdaniem Tele2 Sverige i Komisji szwedzki system będący przedmiotem sprawy C‑203/15, który pozwala na dostęp do zatrzymanych danych w celu walki z przestępstwami pospolitymi, nie spełnia tego wymogu. Z podobnym zarzutem spotkał się ze strony P. Brice’a i G. Lewisa oraz T. Watsona będący przedmiotem sprawy C‑698/15 system Zjednoczonego Królestwa, który zezwala na dostęp w celu walki z przestępstwami pospolitymi, a nawet w wypadku braku przestępstwa.
231. Chociaż to nie do Trybunału należy orzekanie w przedmiocie treści tych systemów krajowych, do niego należy jednak określenie celów interesu ogólnego, które mogą uzasadnić poważną ingerencję w prawa ustanowione w dyrektywie i w art. 7 i 8 karty. W niniejszej sprawie przedstawiłem już powody, dla których uważam, że taką ingerencję może uzasadniać wyłącznie walka z poważnymi przestępstwami(70).
232. Po drugie, zgodnie z pkt 62 wyroku DRI, uzyskanie dostępu do danych powinno podlegać uprzedniej kontroli sądu lub niezależnego organu administracyjnego, które pilnowałyby, aby udostępnianie i wykorzystywanie danych ograniczało się do przypadków, gdy jest to absolutnie konieczne do realizacji zamierzonego celu. Owa uprzednia kontrola powinna ponadto mieć miejsce na uzasadniony wniosek owych organów, złożony w ramach postępowań mających na celu zapobieganie przestępstwom na gruncie prawa karnego, ich wykrywanie lub ściganie.
233. Jak wynika z uwag Tele2 Sverige i Komisji, owej gwarancji niezależnej i uprzedniej kontroli dostępu częściowo brak jest w systemie szwedzkim będącym przedmiotem sprawy C‑203/15. To samo stwierdzenie, którego prawdziwość nie jest kwestionowana przez rząd Zjednoczonego Królestwa, zostało sformułowane przez P. Brice’a i G. Lewisa, T. Watsona oraz Open Rights Group i Privacy International w odniesieniu do systemu Zjednoczonego Królestwa będącego przedmiotem sprawy C‑698/15.
234. Nie widzę żadnego powodu, by osłabić ów wymóg przeprowadzenia uprzedniej kontroli przez niezależny organ, który to wymóg bez wątpienia wynika ze sformułowań użytych przez Trybunał w pkt 62 wyroku DRI(71). Przede wszystkim wymóg ten jest podyktowany wagą ingerencji i zagrożeń spowodowanych przez utworzenie baz danych obejmujących niemal ogół ludności(72). Pragnę zauważyć, że wielu ekspertów w dziedzinie ochrony praw człowieka w walce z terroryzmem skrytykowało obecną tendencję do zastępowania tradycyjnych procedur niezależnego udzielania zezwoleń i skutecznego nadzoru systemami „wewnętrznych” zezwoleń na dostęp do danych, które służby wywiadowcze i policja wydają same sobie(73).
235. Poza tym niezależna i uprzednia kontrola dostępu do danych jest konieczna w celu umożliwienia indywidualnego traktowania szczególnie wrażliwych w świetle praw podstawowych rozpatrywanych w niniejszych sprawach danych, takich jak dane objęte tajemnicą zawodową lub też dane pozwalające na zidentyfikowanie źródła dziennikarskiego, co podkreśliły Law Society of England and Wales, a także rządy francuski i niemiecki. Owa uprzednia kontrola, następująca przed przyznaniem dostępu, jest tym bardziej niezbędna w przypadku, gdy technicznie trudno jest wykluczyć wszystkie takie dane na etapie zatrzymywania(74).
236. Wreszcie pragnę dodać, że z praktycznego punktu widzenia żaden z trzech podmiotów, których dotyczy wniosek o dostęp, nie jest w stanie sprawować skutecznej kontroli nad dostępem do zatrzymanych danych. Organy ścigania potrzebują przedstawić żądanie możliwie najszerszego dostępu do tych danych. Dostawcy, którzy nie znają akt dochodzenia lub śledztwa, nie mogą ustalić, czy wniosek o dostęp jest ograniczony do tego, co absolutnie konieczne. W odniesieniu do osób, których dane są przeglądane, nie mają one żadnej możliwości dowiedzenia się, że są przedmiotem takiego środka dochodzeniowo-śledczego, i to nawet w przypadku nadużycia lub działania bezprawnego, co zostało podkreślone przez T. Watsona, P. Brice’a i G. Lewisa. Taki układ wchodzących w grę interesów wymaga w mojej ocenie, aby przed przyznaniem możliwości zapoznania się z zatrzymanymi danymi nastąpiła interwencja niezależnego organu w celu ochrony osób, których dane są przechowywane, przed nadużyciem dostępu przez właściwe organy.
237. Niezależnie od tego wydaje mi się rozsądne, aby sytuacje doraźne, niecierpiące zwłoki, o których mówił rząd Zjednoczonego Królestwa, mogły uzasadniać natychmiastowy dostęp organów ścigania do zatrzymanych danych, bez uprzedniej kontroli, w celu zapobieżenia popełnieniu ciężkiego przestępstwa lub w celu ścigania sprawców takich przestępstw(75). Konieczne jest, aby, jeśli to tylko możliwe, utrzymać wymóg uprzedniego zezwolenia poprzez ustanowienie w ramach niezależnego organu pilnej procedury służącej rozpatrywaniu tego rodzaju wniosków o dostęp. Jednakże gdyby samo nawet zwrócenie się do tego organu z wnioskiem o dostęp było niezgodne z niezwykle pilnym charakterem sytuacji, dostęp i wykorzystanie danych powinny być przedmiotem kontroli następczej przeprowadzonej przez ten organ w możliwie najkrótszym terminie.
238. Po trzecie, w pkt 68 wyroku DRI ustanowiono spoczywający na dostawcach obowiązek zatrzymywania danych na terytorium Unii w celu zagwarantowania kontroli poszanowania wymogów ochrony i bezpieczeństwa, o których mowa w pkt 66 i 67 tego wyroku, przez niezależny organ, czego wymaga art. 8 ust. 3 karty.
239. Tele2 Sverige i Komisja podniosły, że system szwedzki, będący przedmiotem sprawy C‑203/15, nie gwarantuje, iż dane będą przechowywane na terytorium krajowym. Z takim samym zarzutem spotkał się ze strony P. Brice’a i G. Lewisa oraz T. Watsona system Zjednoczonego Królestwa, będący przedmiotem sprawy C‑698/15.
240. W tym względzie, po pierwsze, nie widzę żadnego powodu, by ów wymóg, ustanowiony w pkt 68 wyroku DRI, osłabić, ponieważ przechowywanie danych poza terytorium Unii nie pozwoliłoby zagwarantować osobom, których dane są przechowywane, poziomu ochrony zapewnionego przez dyrektywę 2002/58 oraz art. 7, 8 i art. 52 ust. 1 karty(76).
241. Wydaje mi się, po drugie, że rozsądne byłoby dostosowanie tego wymogu, opisanego przez Trybunał w kontekście dyrektywy 2006/24, do kontekstu systemów krajowych poprzez wprowadzenie obowiązku przechowywania danych na terytorium krajowym, jak podnoszą rządy niemiecki i francuski oraz Komisja. Zgodnie bowiem z art. 8 ust. 3 karty każde państwo członkowskie ma obowiązek zapewnić, by niezależny organ dokonał kontroli przestrzegania wymogów ochrony i bezpieczeństwa przez dostawców objętych systemem krajowym. Tymczasem w braku koordynacji na szczeblu Unii taki organ krajowy mógłby zostać pozbawiony możliwości wypełniania swoich zadań kontrolnych na terytorium innego państwa członkowskiego.
242. Po czwarte, w odniesieniu do okresu przechowywania, sądy odsyłające powinny zastosować kryteria określone przez Trybunał w pkt 63 i 64 wyroku DRI. Z jednej strony sądy te powinny ustalić, czy zatrzymywane dane można rozróżnić ze względu na ich użyteczność oraz, jeśli tak jest, czy okres przechowywania został dostosowany zgodnie z tym kryterium. Z drugiej strony sądy te muszą ustalić, czy okres przechowywania jest oparty na obiektywnych kryteriach pozwalających na zapewnienie, by był on ograniczony do tego, co absolutnie konieczne.
243. Podkreślam, że ETPC w niedawnym wyroku Roman Zakharov przeciwko Rosji orzekł, iż okres przechowywania o długości nieprzekraczającej sześciu miesięcy jest rozsądny, lecz jednocześnie skrytykował brak obowiązku niszczenia na miejscu danych, które nie mają związku z celem, dla którego zostały zebrane(77). Dodam w tym względzie, że systemy krajowe będące przedmiotem postępowań głównych powinny przewidywać obowiązek nieodwracalnego zniszczenia zatrzymanych danych, o ile nie są one już absolutnie konieczne do walki z poważnymi przestępstwami. Obowiązek ten musi być przestrzegany nie tylko przez dostawców, którzy dokonują zatrzymywania danych, lecz również przez organy mające dostęp do zatrzymanych danych.
244. Mając na względzie powyższe rozważania, uważam, że wszystkie gwarancje ustanowione przez Trybunał w pkt 60–68 wyroku DRI mają wiążący charakter i powinny zatem towarzyszyć ogólnemu obowiązkowi zatrzymywania danych w celu ograniczenia naruszenia praw przyznanych w dyrektywie 2002/58 i w art. 7 i 8 karty do tego, co absolutnie konieczne.
245. Do sądów odsyłających należy ustalenie, czy systemy krajowe będące przedmiotem postępowań głównych obejmują każdą z tych gwarancji.
6. W przedmiocie proporcjonalnego charakteru, w demokratycznym społeczeństwie, ogólnego obowiązku zatrzymywania danych w świetle celu walki z poważnymi przestępstwami
246. Po ustaleniu, czy systemy krajowe sporne w postępowaniach głównych mają konieczny charakter, sądy odsyłające powinny jeszcze zbadać ich proporcjonalny charakter w demokratycznym społeczeństwie w świetle celu walki z poważnymi przestępstwami. Kwestia ta nie została zbadana przez Trybunał w wyroku DRI, zważywszy, że system ustanowiony przez dyrektywę 2006/24 przekroczył granice tego, co jest absolutnie konieczne do walki z poważnymi przestępstwami.
247. Ów wymóg proporcjonalności w społeczeństwie demokratycznym – lub proporcjonalności „sensu stricto” – wynika zarówno z art. 15 ust. 1 dyrektywy 2002/58, z art. 52 ust. 1 karty, jak i z utrwalonego orzecznictwa. Zgodnie z tym utrwalonym orzecznictwem przepis naruszający prawa podstawowe może być uważany za proporcjonalny tylko wówczas, gdy niedogodności, które powoduje, nie są nadmierne w stosunku do zamierzonych celów(78).
248. W odróżnieniu od wymogów dotyczących odpowiedniego i koniecznego charakteru rozpatrywanego przepisu, w przypadku których dokonuje się oceny skuteczności tego przepisu w świetle zamierzonego celu, wymóg proporcjonalności sensu stricto polega na wyważeniu z jednej strony korzyści wynikających z tego przepisu w świetle zgodnego z prawem zamierzonego celu, a z drugiej strony wynikających z niego niedogodności w świetle praw podstawowych ustanowionych w społeczeństwie demokratycznym(79). Wymóg ten otwiera tym samym dyskusję na temat wartości, jakie należy przyjąć w demokratycznym społeczeństwie, i ostatecznie na temat modelu społeczeństwa, w jakim pragniemy żyć(80).
249. W rezultacie, jak wskazałem w pkt 223 niniejszej opinii, to właśnie na etapie badania proporcjonalności sensu stricto, a nie na etapie badania konieczności, jak podnosili zwolennicy koncepcji „naczyń połączonych”, należy dokonać oceny całości spornego systemu(81).
250. W myśl orzecznictwa przypomnianego w pkt 247 niniejszej opinii należy wyważyć korzyści i niedogodności ogólnego obowiązku zatrzymywania danych w demokratycznym społeczeństwie. Owe korzyści i niedogodności są ściśle związane z zasadniczą cechą takiego obowiązku, której stanowią one w pewnym sensie jasną i ciemną stronę, sprowadzającą się mianowicie do tego, iż obowiązek ten dotyczy wszystkich komunikatów przekazywanych przez ogół użytkowników, przy czym nie jest wymagane jakiekolwiek powiązanie z poważnym przestępstwem.
251. Po pierwsze, już wcześniej w pkt 178–183 niniejszej opinii wyjaśniłem korzyści, jakich w walce z poważnymi przestępstwami przysparza zatrzymywanie danych dotyczących wszystkich komunikatów przekazywanych na terytorium krajowym.
252. Z drugiej strony niedogodności płynące z ogólnego obowiązku zatrzymywania danych wynikają z faktu, że ogromna większość zatrzymywanych danych dotyczy osób, które nigdy nie będą miały żadnego powiązania z poważnym przestępstwem. W tym względzie ważne jest, aby wyjaśnić charakter niedogodności, którymi zostaną dotknięte te osoby. Otóż natura owych niedogodności jest zależna od stopnia ingerencji w prawa podstawowe tych osób do poszanowania życia prywatnego oraz do ochrony danych osobowych.
253. W przypadku ingerencji „indywidualnej”, dotykającej określonej jednostki, niedogodności wynikające z ogólnego obowiązku zatrzymywania danych zostały opisane z dużą wyrazistością przez rzecznika generalnego P. Cruza Villalóna w pkt 72–74 opinii w sprawie DRI(82). Zgodnie z użytym przez niego sformułowaniem wykorzystywanie tych danych umożliwia „opracowanie mapy, równie wiernej co wyczerpującej, sporej części działań określonej osoby należących ściśle do jej życia prywatnego, wręcz stworzenie kompletnego i dokładnego wizerunku jej prywatnej tożsamości”.
254. Innymi słowy, w odniesieniu do indywidualnej osoby, ogólny obowiązek zatrzymywania danych pozwala na ingerencje równie poważne, jak środki ukierunkowanej obserwacji niejawnej, w tym na zapoznanie się z treścią przekazanych komunikatów.
255. Chociaż nie należy umniejszać wagi takich ingerencji indywidualnych, to wydaje mi się jednak, że konkretne zagrożenia wynikające z ogólnego obowiązku zatrzymywania danych uwidaczniają się dopiero w kontekście ingerencji „masowej”.
256. W odróżnieniu od środków ukierunkowanej obserwacji niejawnej, obowiązek taki może bowiem w znacznym stopniu ułatwić ingerencje masowe, to znaczy ingerencje dotykające istotnej części, a nawet ogółu danej populacji, co można zilustrować za pomocą następujących przykładów.
257. Załóżmy w pierwszej kolejności, że osoba, która posiada dostęp do zatrzymanych danych, ma zamiar zidentyfikować w populacji państwa członkowskiego wszystkie jednostki cierpiące na zaburzenia psychiczne. Zanalizowanie w tym celu treści wszystkich komunikatów przekazanych na terytorium krajowym wymagałoby znacznych zasobów. Natomiast bazy danych dotyczących komunikatów pozwalałyby na natychmiastowe zidentyfikowanie wszystkich osób, które kontaktowały się z psychologiem w trakcie okresu przechowywania danych(83). Dodam, że technika ta może mieć zastosowanie do każdej ze specjalizacji medycznych zarejestrowanych w państwie członkowskim(84).
258. Załóżmy w drugiej kolejności, że ta sama osoba pragnie zidentyfikować osoby sprzeciwiające się polityce obecnego rządu. Również w tym przypadku przeprowadzenie w tym celu analizy treści rozmów wymagałoby znacznych zasobów. Natomiast wykorzystanie danych dotyczących komunikatów pozwoliłoby na zidentyfikowanie wszystkich krytykujących politykę rządu osób wpisanych na listy dystrybucji korespondencji elektronicznej. Ponadto dane te pozwoliłby również na wskazanie osób uczestniczących we wszelkich publicznych manifestacjach organizacji opozycyjnych wobec rządu(85).
259. Pragnę podkreślić, że zagrożenia związane z dostępem do danych dotyczących komunikatów (lub „metadanych”) mogą być równe zagrożeniom wynikającym z dostępu do treści komunikatów lub większe od tych zagrożeń, co zostało podkreślone przez Open Rights Group i Privacy International, Law Society of England and Wales, a także w niedawnym sprawozdaniu Wysokiego Komisarza Narodów Zjednoczonych ds. Praw Człowieka(86). W szczególności, jak wskazują podane wyżej przykłady, „metadane” pozwalają na niemalże natychmiastowe skatalogowanie populacji w całości, na co nie pozwala treść komunikatu.
260. Dodam, że ryzyko nadużycia dostępu lub niezgodnego z prawem dostępu do zatrzymanych danych wcale nie jest tylko teoretyczne. Po pierwsze, ryzyko nadużycia dostępu przez właściwe organy należy łączyć ze skrajnie dużą liczbą wniosków o dostęp, przywołaną w uwagach przedstawionych Trybunałowi. W odniesieniu do systemu szwedzkiego spółka Tele2 Sverige oświadczyła, że otrzymywała około 10 000 wniosków o dostęp miesięcznie, a jest to liczba, która nie obejmuje wniosków otrzymywanych przez innych dostawców prowadzących działalność na terytorium Szwecji. W odniesieniu do systemu Zjednoczonego Królestwa T. Watson przedstawił liczby pochodzące ze sprawozdania urzędowego, mówiące o 517 236 zezwoleniach i 55 346 pilnych zezwoleniach ustnych wyłącznie w odniesieniu do roku 2014. Po drugie, ryzyko niezgodnego z prawem dostępu przez dowolną osobę jest nierozłącznym skutkiem samego tylko istnienia baz danych przechowywanych na nośnikach elektronicznych(87).
261. Moim zdaniem do sądów odsyłających należy ocena – zgodnie z orzecznictwem przypomnianym w pkt 247 niniejszej opinii – czy niedogodności powodowane przez ogólne obowiązki zatrzymywania danych rozpatrywane w postępowaniach głównych nie są w demokratycznym społeczeństwie nadmierne w porównaniu do zamierzonych celów. W ramach tej oceny sądy te powinny wyważyć zagrożenia i korzyści związane z takim obowiązkiem, a mianowicie:
– z jednej strony korzyści związane z zapewnieniem organom zajmującym się walką z poważnymi przestępstwami ograniczonej zdolności do odtwarzania przeszłości(88), a
– z drugiej strony poważne zagrożenia wynikające w demokratycznym społeczeństwie z uprawnienia do rejestrowania życia prywatnego jednostki i z uprawnienia do katalogowania całej populacji.
262. Oceny tej należy dokonać w świetle wszystkich istotnych cech krajowych systemów rozpatrywanych w postępowaniach głównych. W tym względzie podkreślam, że wiążące gwarancje określone przez Trybunał w pkt 60–68 wyroku DRI to jedynie gwarancje minimalne, służące ograniczeniu naruszenia praw przyznanych w dyrektywie 2002/58 i w art. 7 i 8 karty do tego, co absolutnie konieczne. Nie jest zatem wykluczone, że system krajowy zawierający wszystkie te gwarancje musi jednak zostać uznany za nieproporcjonalny w demokratycznym społeczeństwie z powodu dysproporcji między poważnymi zagrożeniami spowodowanymi przez ów obowiązek w demokratycznym społeczeństwie a wynikającymi z tego obowiązku korzyściami w walce z poważnymi przestępstwami.
VI – Wnioski
263. Mając na uwadze powyższe rozważania, proponuję Trybunałowi, by na pytania prejudycjalne przedstawione przez Kammarrätten i Stockholm (administracyjny sąd apelacyjny w Sztokholmie, Szwecja) oraz Court of Appeal (England & Wales) (Civil Division) [sąd apelacyjny (Anglia i Walia) (wydział cywilny), Zjednoczone Królestwo] odpowiedział następująco:
Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z dnia 25 listopada 2009 r., oraz art. 7, 8 i art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że nie stoją one na przeszkodzie temu, aby państwo członkowskie nałożyło na dostawców usług łączności elektronicznej obowiązek zatrzymywania wszystkich danych dotyczących komunikatów przekazywanych przez użytkowników ich usług, jeżeli spełnione są wszystkie następujące warunki, czego ustalenie w świetle wszystkich istotnych cech systemów krajowych spornych w postępowaniach głównych należy do sądów odsyłających:
– obowiązek ten i towarzyszące mu gwarancje muszą zostać ustanowione przez przepisy ustawowe lub wykonawcze, które posiadają cechy przystępności, przewidywalności i ochrony przed arbitralnością;
– obowiązek ten i towarzyszące mu gwarancje muszą szanować istotę praw uznanych w art. 7 i 8 karty praw podstawowych;
– obowiązek ten musi być absolutnie konieczny do walki z poważnymi przestępstwami, co oznacza, że żaden inny środek ani kombinacja środków nie mogłyby być równie skuteczne w walce z poważnymi przestępstwami, będąc jednocześnie mniej szkodliwe dla praw ustanowionych w dyrektywie 2002/58 i w art. 7 i 8 karty praw podstawowych;
– obowiązek ten musi być obwarowany wszystkimi gwarancjami wymienionymi przez Trybunał w pkt 60–68 wyroku z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in. (C‑293/12 i C‑594/12, EU:C:2014:238), dotyczącymi dostępu do danych, okresu przechowywania oraz ochrony i bezpieczeństwa danych, w celu ograniczenia naruszenia praw ustanowionych w dyrektywie 2002/58 i w art. 7 i 8 karty praw podstawowych do tego, co absolutnie konieczne, oraz
– obowiązek ten musi być proporcjonalny w społeczeństwie demokratycznym do celu walki z poważnymi przestępstwami, co oznacza, że poważne zagrożenia spowodowane przez ten obowiązek w społeczeństwie demokratycznym nie mogą być nadmierne wobec wynikających z niego korzyści w walce z poważnymi przestępstwami.