Language of document : ECLI:EU:C:2009:68

WYROK TRYBUNAŁU (wielka izba)

z dnia 10 lutego 2009 r.(*)

Skarga o stwierdzenie nieważności – Dyrektywa 2006/24/WE – Zatrzymywanie generowanych lub przetwarzanych danych w związku ze świadczeniem usług łączności elektronicznej – Wybór podstawy prawnej

W sprawie C‑301/06

mającej za przedmiot skargę o stwierdzenie nieważności na podstawie art. 230 WE, wniesioną w dniu 6 lipca 2006 r.,

Irlandia, reprezentowana przez D. O’Hagana, działającego w charakterze pełnomocnika, wspieranego przez E. Fitzsimonsa, D. Barniville’a oraz A. Collinsa, SC, z adresem do doręczeń w Luksemburgu,

strona skarżąca,

popierana przez:

Republikę Słowacką, reprezentowaną przez J. Čorbę, działającego w charakterze pełnomocnika,

interwenient,

przeciwko

Parlamentowi Europejskiemu, reprezentowanemu początkowo przez H. Duintjera Tebbensa, M. Dean oraz A. Auerspergera Matića, a następnie przez dwóch ostatnich oraz K. Bradleya, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,

Radzie Unii Europejskiej, reprezentowanej przez J.C. Pirisa i J. Schutte’a oraz przez S. Kyriakopoulou, działających w charakterze pełnomocników,

strona pozwana,

popieranym przez:

Królestwo Hiszpanii, reprezentowane przez M.A. Sampola Pucurulla oraz J. Rodrígueza Cárcama, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,

Królestwo Niderlandów, reprezentowane przez C. ten Dam oraz C. Wissels, działające w charakterze pełnomocników,

Komisję Wspólnot Europejskich, reprezentowaną przez C. Dockseya i R. Troostersa oraz przez C. O’Reilly, działających w charakterze pełnomocników, z adresem do doręczeń w Luksemburgu,

Europejskiego Inspektora Ochrony Danych, reprezentowanego przez H. Hijmansa, działającego w charakterze pełnomocnika,

interwenienci,

TRYBUNAŁ (wielka izba),

w składzie: V. Skouris, prezes, P. Jann, C.W.A. Timmermans, A. Rosas i K. Lenaerts, prezesi izb, A. Tizzano, J.N. Cunha Rodrigues (sprawozdawca), R. Silva de Lapuerta, K. Schiemann, J. Klučka, A. Arabadjiev, C. Toader i J.J. Kasel, sędziowie,

rzecznik generalny: Y. Bot,

sekretarz: C. Strömholm, administrator,

uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 1 lipca 2008 r.,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 14 października 2008 r.,

wydaje następujący

Wyrok

1        Irlandia wnosi do Trybunału o stwierdzenie nieważności dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz.U. L 105, s. 54) z tego powodu, że nie została ona wydana na właściwej podstawie prawnej.

 Ramy prawne

 Dyrektywa 95/46/WE

2        Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31) ustanawia normy dotyczące przetwarzania danych osobowych w celu ochrony w tym zakresie praw osób fizycznych, przy jednoczesnym zapewnieniu swobodnego przepływu tych danych we Wspólnocie Europejskiej.

3        Artykuł 3 ust. 2 dyrektywy 95/46 stanowi:

„Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

–        w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,

–        przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze”.

 Dyrektywa 2002/58/WE

4        Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201, s. 37) została wydana w celu uzupełnienia dyrektywy 95/46 o przepisy szczególne w sektorze telekomunikacji.

5        Zgodnie z art. 6 ust. 1 dyrektywy 2002/58:

„Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1”.

6        Artykuł 15 ust. 1 tej dyrektywy stanowi:

„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej”.

 Dyrektywa 2006/24

7        Zgodnie z motywami 5–11 dyrektywy 2006/24:

„(5)      Kilka państw członkowskich przyjęło przepisy przewidujące zatrzymywanie danych przez usługodawców w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw. Te przepisy krajowe różnią się od siebie w znacznym stopniu.

(6)      Prawne i techniczne różnice pomiędzy przepisami krajowymi w zakresie zatrzymywania danych w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw stanowią przeszkodę dla wewnętrznego rynku łączności elektronicznej; usługodawcy napotykają na różne wymogi odnośnie do rodzajów danych o ruchu i lokalizacji, które mają być zatrzymywane, oraz warunków i okresów zatrzymywania.

(7)      W konkluzjach z posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 19 grudnia 2002 r. podkreślono, że z uwagi na znaczny wzrost możliwości, jakie daje łączność elektroniczna, dane odnoszące się do korzystania z łączności elektronicznej są szczególnie ważne i w związku z tym stanowią istotne narzędzie służące zapobieganiu, dochodzeniu, wykrywaniu oraz ściganiu przestępstw, zwłaszcza przestępczości zorganizowanej.

(8)      Przyjęta w dniu 25 marca 2004 r. przez Radę Europejską deklaracja w sprawie zwalczania terroryzmu zaleca Radzie zbadanie środków w celu przyjęcia przepisów w sprawie zatrzymywania przez usługodawców danych o ruchu połączeń.

(9)      Zgodnie z art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności [zwanej dalej „EKPC”] każdy ma prawo do poszanowania swojego życia prywatnego i korespondencji. Władze publiczne mogą ingerować w to prawo jedynie w zgodzie z obowiązującym ustawodawstwem i jeżeli jest to konieczne dla dobra społeczeństwa demokratycznego, między innymi w interesie bezpieczeństwa narodowego i publicznego, w celu zapobiegania naruszaniu porządku lub przestępstwom bądź ochrony praw i swobód innych obywateli. Ponieważ zatrzymywanie danych okazało się niezbędnym i skutecznym narzędziem egzekwowania prawa w śledztwach prowadzonych w niektórych państwach członkowskich, a w szczególności dotyczących tak poważnych przypadków, jak przestępstwa zorganizowane i terroryzm, niezbędne jest zagwarantowanie, że zatrzymywane dane przez pewien okres mogłyby być udostępniane organom odpowiedzialnym za egzekwowanie prawa, zgodnie z warunkami określonymi w niniejszej dyrektywie. Przyjęcie instrumentu spełniającego wymogi art. 8 EKPC, służącego zatrzymywaniu danych, jest więc działaniem niezbędnym.

(10)      W deklaracji z dnia 13 lipca 2005 r., potępiającej ataki terrorystyczne w Londynie, Rada podkreśla potrzebę możliwie szybkiego przyjęcia wspólnych środków w sprawie zatrzymywania danych dotyczących połączeń.

(11)      Zważywszy na znaczenie, jakie dane o ruchu i lokalizacji mają w dochodzeniu, wykrywaniu i ściganiu przestępstw, istnieje, jak to wykazały badania i doświadczenia kilku państw członkowskich, potrzeba zapewnienia na poziomie europejskim zatrzymywania przez pewien czas danych generowanych lub przetwarzanych przez dostawców dostępnej publicznie łączności elektronicznej lub sieci łączności publicznej podczas świadczenia usług łączności, zgodnie z warunkami określonymi w niniejszej dyrektywie”.

8        Motyw 21 tej dyrektywy ma następujące brzmienie:

„Jako że cele niniejszej dyrektywy, mianowicie harmonizacja obowiązków spoczywających na dostawcach, dotyczących zatrzymywania pewnych danych, oraz zapewnienie dostępu do tych danych w celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie krajowym każdego państwa członkowskiego, nie mogą zostać osiągnięte w wystarczający sposób przez państwa członkowskie, a mogą z uwagi na zasięg i skutki niniejszej dyrektywy zostać lepiej osiągnięte na poziomie wspólnotowym, Wspólnota może przyjąć środki zgodnie z zasadą pomocniczości, przewidzianą w art. 5 traktatu [WE]. Zgodnie z zasadą proporcjonalności, przewidzianą w tym samym artykule, zakres niniejszej dyrektywy nie wykracza poza to, co jest konieczne dla osiągnięcia powyższych celów”.

9        Motyw 25 tej dyrektywy został sformułowany następująco:

„Niniejsza dyrektywa pozostaje bez uszczerbku dla możliwości przyjmowania przez państwa członkowskie określonych przez nie środków legislacyjnych dotyczących prawa dostępu i wykorzystania danych przez organy krajowe. Kwestie dostępu organów krajowych do danych zatrzymywanych zgodnie z niniejszą dyrektywą w związku z działaniami, o których mowa w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, nie są objęte zakresem prawa wspólnotowego. Mogą one jednak podlegać przepisom krajowym lub działaniom podejmowanym na mocy tytułu VI Traktatu o Unii Europejskiej, przy czym takie przepisy lub działania powinny zawsze być w pełni zgodne z prawami podstawowymi, wynikającymi ze wspólnych tradycji konstytucyjnych państw członkowskich oraz gwarantowanymi przez EKPC. […]”.

10      Artykuł 1 ust. 1 dyrektywy 2006/24 przewiduje:

„Celem niniejszej dyrektywy jest zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie generowanych lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego”.

11      Artykuł 3 ust. 1 tej dyrektywy stanowi:

„Na zasadzie odstępstwa od art. 5, 6 i 9 dyrektywy 2002/58/WE, państwa członkowskie przyjmują środki w celu zagwarantowania, że dane określone w art. 5 niniejszej dyrektywy są zatrzymywane zgodnie z jej przepisami w stopniu, w jakim są generowane lub przetwarzane na ich terenie przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia odnośnych usług łączności”.

12      Artykuł 4 tej dyrektywy zawiera następujące sformułowanie:

„Państwa członkowskie podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa publicznego, w szczególności EKPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka”.

13      Zgodnie z art. 5 dyrektywy 2006/24:

„1.      Państwa członkowskie zapewniają zatrzymywanie następujących kategorii danych zgodnie z niniejszą dyrektywą:

a)      dane niezbędne do ustalenia źródła połączenia:

[…]

b)      dane niezbędne do ustalenia odbiorcy połączenia:

[…]

c)      dane niezbędne do określenia daty, godziny i czasu trwania połączenia:

[…]

d)      dane niezbędne do określenia rodzaju połączenia:

[…]

e)      dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji:

[…]

f)      dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej:

[…]

2.      Zgodnie z niniejszą dyrektywą nie można zatrzymywać danych, które ujawniają treść komunikatu”.

14      Artykuł 6 dyrektywy 2006/24 stanowi:

„Państwa członkowskie gwarantują, że wymienione w art. 5 kategorie danych są zatrzymywane na okresy nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od daty połączenia”.

15      Artykuł 7 tej dyrektywy przewiduje:

„Bez uszczerbku dla postanowień przyjętych zgodnie z dyrektywą 95/46/WE i dyrektywą 2002/58/WE, każde państwo członkowskie gwarantuje, że dostawcy ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności respektują co najmniej następujące zasady dotyczące bezpieczeństwa danych w odniesieniu do danych zatrzymywanych zgodnie z niniejszą dyrektywą:

[…]”.

16      Zgodnie z art. 8 dyrektywy 2006/24:

„Państwa członkowskie gwarantują, że dane określone w art. 5 są zatrzymywane zgodnie z przepisami niniejszej dyrektywy, w sposób umożliwiający przekazanie właściwym organom na ich wniosek zatrzymywanych danych i wszelkich informacji odnoszących się do takich danych bez zbędnej zwłoki”.

17      Artykuł 11 tej dyrektywy ma następujące brzmienie:

„W art. 15 dyrektywy 2002/58/WE dodaje się ustęp w następującym brzmieniu:

»1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy [2006/24] dla celów określonych w art. 1 ust. 1 tej dyrektywy«”.

 Okoliczności powstania sporu

18      W dniu 28 kwietnia 2004 r. Republika Francuska, Irlandia, Królestwo Szwecji oraz Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zgłosiły Radzie Unii Europejskiej inicjatywę przyjęcia decyzji ramowej na podstawie art. 31 ust. 1 lit. c) i art. 34 ust. 2 lit. b) UE. Celem tego projektu było zatrzymywanie danych przetwarzanych i przechowywanych w związku ze świadczeniem publicznych usług łączności elektronicznej lub danych przekazywanych przez publiczne sieci łączności do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, w tym także działalności terrorystycznej (dokument Rady 8958/04).

19      Komisja Wspólnot Europejskich wypowiedziała się przychylnie w przedmiocie zaproponowanej podstawy prawnej części projektu decyzji ramowej. W szczególności przypomniała, że art. 47 UE nie pozwala na to, by akt mający jako podstawę traktat UE naruszał dorobek wspólnotowy, który w tym przypadku stanowią dyrektywy 95/46 oraz 2002/58. Stojąc na stanowisku, że określenie kategorii danych podlegających zatrzymywaniu oraz czasu tego zatrzymywania należy do kompetencji prawodawcy wspólnotowego, Rada zastrzegła sobie prawo opracowania projektu dyrektywy.

20      W dniu 21 września 2005 r. Komisja przyjęła projekt dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania danych przetwarzanych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej oraz zmieniającej dyrektywę 2002/58/WE [COM(2005) 438 wersja ostateczna]; podstawą tego projektu był art. 95 WE.

21      Na posiedzeniu w dniach 1 i 2 grudnia 2005 r. Rada opowiedziała się za przyjęciem dyrektywy na podstawie traktatu WE zamiast kontynuowania prac nad decyzją ramową.

22      W dniu 14 grudnia 2005 r. Parlament Europejski wyraził swoją opinię w ramach procedury współdecydowania, o której mowa w art. 251 WE.

23      Rada uchwaliła dyrektywę 2006/24 większością kwalifikowaną na posiedzeniu w dniu 21 lutego 2006 r. Przeciwko głosowały Irlandia i Republika Słowacka.

 Żądania stron

24      Irlandia wnosi do Trybunału o:

–        stwierdzenie nieważności dyrektywy 2006/24 z tego powodu, że nie została ona wydana na właściwej podstawie prawnej, i

–        obciążenie kosztami postępowania Rady i Parlamentu.

25      Parlament wnosi do Trybunału:

–        tytułem żądania głównego o oddalenie skargi jako niezasadnej oraz

–        o obciążenie Irlandii całością kosztów związanych z niniejszym postępowaniem;

–        tytułem żądania ewentualnego, na wypadek stwierdzenia przez Trybunał nieważności dyrektywy 2006/24, o orzeczenie, że dyrektywa ta będzie nadal wywoływać skutki prawne do czasu wejścia w życie nowego aktu.

26      Rada wnosi do Trybunału o:

–        oddalenie skargi wniesionej przez Irlandię oraz

–        obciążenie tego państwa członkowskiego kosztami postępowania.

27      Postanowieniami prezesa Trybunału z dnia 1 lutego 2007 r. Republika Słowacka została dopuszczona do sprawy w charakterze interwenienta na poparcie żądań Irlandii, natomiast Królestwo Hiszpanii, Królestwo Niderlandów, Komisja oraz Europejski Inspektor Ochrony Danych – na poparcie żądań Parlamentu i Rady.

 W przedmiocie skargi

 Argumentacja stron

28      Irlandia podnosi, że wybór art. 95 WE jako podstawy prawnej dyrektywy 2006/24 stanowił zasadniczy błąd. Ani ten artykuł, ani żadne inne postanowienie traktatu WE nie może jej zdaniem dostarczyć podstawy prawnej dla tej dyrektywy. To państwo członkowskie uważa zasadniczo, że głównym lub dominującym celem tej dyrektywy jest ułatwienie zapobiegania, dochodzenia, wykrywania i ścigania przestępstw, w tym także działalności terrorystycznej. W tej sytuacji jedyną podstawą prawną mogącą skutecznie uzasadnić środki zawarte w dyrektywie 2006/24 jest zdaniem tego państwa tytuł VI traktatu UE, w szczególności jego art. 30, art. 31 ust. 1 lit. c) oraz art. 34 ust. 2 lit. b).

29      Zdaniem Irlandii analiza między innymi motywów 7–11, motywu 21 oraz podstawowych przepisów dyrektywy 2006/24, w szczególności art. 1 ust. 1, wskazuje, że przyjęcie art. 95 WE jako podstawy prawnej tej dyrektywy jest niewłaściwe i nieusprawiedliwione. Dyrektywa ta jest jej zdaniem wyraźnie ukierunkowana na zwalczanie przestępstw.

30      To państwo członkowskie uważa za udowodnione, że w przypadku przepisów przyjmowanych na podstawie art. 95 WE „środkiem ciężkości” powinno być zbliżenie przepisów krajowych w celu poprawy funkcjonowania rynku wewnętrznego (zob. w szczególności wyrok z dnia 30 maja 2006 r. w sprawach połączonych C‑317/04 i C‑318/04 Parlament przeciwko Radzie i Komisji, Zb.Orz. s. I‑4721). Jego zdaniem przepisy dyrektywy 2006/24 dotyczą karania przestępstw i nie służą usuwaniu ewentualnych niedoskonałości rynku wewnętrznego.

31      Na wypadek gdyby – wbrew żądaniu głównemu Irlandii – Trybunał miał orzec, że celem dyrektywy 2006/24 jest jednak między innymi zapobieganie zakłóceniom lub przeszkodom w funkcjonowaniu rynku wewnętrznego, subsydiarnie to państwo członkowskie podnosi, że należy uznać, iż cel ten ma wyłącznie wtórny charakter w porównaniu z celem głównym czy dominującym, jakim jest zwalczanie przestępczości.

32      Irlandia dodaje, że dyrektywę 2002/58 można zmienić inną dyrektywą, lecz prawodawca wspólnotowy nie jest upoważniony do posłużenia się dyrektywą zmieniającą ustanowioną na podstawie art. 9 WE w celu wprowadzenia do dyrektywy 2002/58 przepisów, które pozostają poza kompetencją przyznaną Wspólnocie w ramach pierwszego filaru. Obowiązki, których celem jest zapewnienie, by dane były dostępne dla potrzeb dochodzenia, wykrywania i karania przestępstw, należą do dziedziny, która może być regulowana wyłącznie przy pomocy instrumentu opartego na tytule VI traktatu UE. Przyjęcie takiego instrumentu prawnego nie naruszałoby przepisów tej dyrektywy w rozumieniu art. 47 UE. Gdyby czasownik „naruszać” użyty w tym artykule był prawidłowo rozumiany, należałoby interpretować go w ten sposób, że nie zabrania on, by akty wspólnotowe i akty Unii mogły nachodzić na siebie, o ile dotyczy to spraw wtórnych i bez znaczenia.

33      Republika Słowacka popiera stanowisko Irlandii. Uważa, że art. 95 WE nie może służyć jako podstawa prawna dyrektywy 2006/24, ponieważ głównym celem tej dyrektywy nie jest usuwanie barier i zakłóceń w ramach rynku wewnętrznego. Celem tej dyrektywy jest zdaniem Republiki Słowackiej zatrzymywanie danych w zakresie wykraczającym poza cele handlowe dla potrzeb ułatwienia państwom członkowskim działań w dziedzinie prawa karnego, i z tej przyczyny nie można było jej ustanowić w ramach kompetencji Wspólnoty.

34      Zdaniem tego państwa członkowskiego zatrzymywanie danych osobowych w zakresie wymaganym w dyrektywie 2006/24 oznacza znaczącą ingerencję w prawo jednostek do poszanowania ich życia prywatnego, przewidziane w art. 8 EKPC. Wątpliwe jest jej zdaniem, by tak poważna ingerencja mogła znaleźć uzasadnienie ekonomiczne, w tym przypadku polegające na lepszym funkcjonowaniu rynku wewnętrznego. Przyjęcie aktu wykraczającego poza kompetencję Wspólnoty, którego podstawowym, a nie ukrytym celem byłoby zwalczanie przestępczości i terroryzmu, stanowiłoby właściwsze rozwiązanie, dające bardziej odpowiednie uzasadnienie dla ingerencji w prawo jednostek do poszanowania życia prywatnego.

35      Parlament podnosi, że skarga Irlandii opiera się na wybiórczym odczytaniu przepisów dyrektywy 2006/24. Jego zdaniem w motywie 5 i 6 tej dyrektywy stwierdzono, iż głównym czy też dominującym celem tej dyrektywy jest usunięcie przeszkód dla wewnętrznego rynku łączności elektronicznej, a motyw 25 wspomnianej dyrektywy potwierdza, iż dostęp do zatrzymanych danych i ich wykorzystywanie nie należą do kompetencji wspólnotowej.

36      Parlament wskazuje, iż w następstwie zamachów terrorystycznych, które miały miejsce w dniu 11 września 2001 r. w Nowym Jorku (Stany Zjednoczone), w dniu 11 marca 2004 r. w Madrycie (Hiszpania) i w dniu 7 lipca 2005 r. w Londynie (Zjednoczone Królestwo), niektóre państwa członkowskie przyjęły lub miały zamiar przyjąć różniące się między sobą regulacje w zakresie zatrzymywania danych. Zdaniem tej instytucji takie różnice mogły utrudniać świadczenie usług łączności elektronicznej. Parlament uważa, że zatrzymywanie danych stanowi poważny koszt dla dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności (zwanych dalej „dostawcami usług”), a istnienie różnych przepisów w tej dziedzinie może zniekształcać konkurencję na rynku wewnętrznym. Dodaje, że podstawowym celem dyrektywy 2006/24 jest harmonizacja obowiązków nałożonych przez państwa członkowskie na dostawców usług w zakresie zatrzymywania danych. Wynika z tego, iż art. 95 WE stanowi prawidłową podstawę prawną dla tej dyrektywy.

37      Parlament podnosi także, że znaczenie przyznane zwalczaniu przestępczości nie oznacza, że art. 95 WE nie może stanowić podstawy dyrektywy. O ile kwestia zwalczania przestępczości miała wyraźny wpływ na rozwiązania przyjęte w tej dyrektywie, to wpływ ten nie pozbawia ważności wyboru art. 95 WE jako jej podstawy prawnej.

38      Ponadto Parlament wskazuje, że art. 4 dyrektywy 2006/24 stanowi, w zgodzie z jej motywem 21, iż warunki dostępu do zatrzymanych danych i ich przetwarzania powinny być określone w prawie krajowym każdego państwa członkowskiego, z zastrzeżeniem przepisów prawa Unii, jak również prawa międzynarodowego, w szczególności EKPC. Takie stanowisko różni się od tego, jakie przyjęte zostało w przypadku przepisów będących przedmiotem ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji – sprawie, w której przedsiębiorstwa lotnicze były zobowiązane do udostępniania danych pasażerów organowi ścigania państwa trzeciego. Omawiana dyrektywa zachowuje zatem rozdział kompetencji między filary pierwszy i trzeci.

39      Zdaniem Parlamentu o ile prawdą jest, że przechowywanie danych osobowych jednostki może co do zasady stanowić ingerencję w rozumieniu art. 8 EKPC, ingerencja ta może na podstawie tego postanowienia zostać uzasadniona poprzez odniesienie do bezpieczeństwa publicznego i zapobiegania przestępstwom. Jego zdaniem należy odróżnić kwestię uzasadnienia takiej ingerencji od kwestii wyboru prawidłowej podstawy prawnej w ramach porządku prawnego Unii, ponieważ nie istnieje między nimi jakikolwiek związek.

40      Rada podnosi, iż w latach następujących po przyjęciu dyrektywy 2002/58, krajowe organy ścigania w coraz większym stopniu były zaniepokojone wykorzystywaniem innowacji w dziedzinie usług łączności elektronicznej w celach przestępczych. Jej zdaniem obawy te skłoniły państwa członkowskie do przyjęcia regulacji zakazujących usuwania danych związanych z tą łącznością i do zapewnienia dostępu do nich organom ścigania. Instytucja ta wskazuje, że rozbieżności między tymi regulacjami zaczęły zakłócać prawidłowe funkcjonowanie rynku wewnętrznego. Motywy 5 i 6 dyrektywy 2006/24 w sposób wyraźny się do tego odnoszą.

41      W jej opinii sytuacja ta zobowiązała prawodawcę wspólnotowego do upewnienia się, że dostawców usług będą obowiązywać jednolite normy dotyczące warunków wykonywania ich działalności.

42      To z tych przyczyn, zdaniem Rady, w trakcie roku 2006 prawodawca wspólnotowy uznał za konieczne skończyć z obowiązkiem usuwania danych nałożonym w art. 5, 6 i 9 dyrektywy 2002/58 i wprowadzić na przyszłość obowiązkowe zatrzymywanie przez pewien czas danych określonych w art. 5 dyrektywy 2006/24. Zmiana ta oznaczała dla państw członkowskich obowiązek zapewnienia zatrzymywania tych danych na okresy nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od daty połączenia. Celem tej zmiany jest zdaniem Rady wprowadzenie jasnych i zharmonizowanych warunków obowiązujących dostawców usług w zakresie usuwania bądź nieusuwania danych osobowych, o których mowa w art. 5 dyrektywy 2006/24, i wprowadzenie w ten sposób we Wspólnocie wspólnych przepisów w celu zapewnienia jedności rynku wewnętrznego.

43      Rada stwierdza, że o ile potrzeba zwalczania przestępczości, w tym terroryzmu, była czynnikiem o decydującym znaczeniu przy podejmowaniu decyzji o zmianie zakresu praw i obowiązków przewidzianych w art. 5, 6 i 9 dyrektywy 2002/58, okoliczność ta nie stała na przeszkodzie przyjęciu art. 95 WE jako podstawy prawnej dyrektywy 2006/24.

44      Uważa ona, że ani art. 30 UE, 31 UE i 34 UE, ani żadne inne postanowienie traktatu UE nie mogą stanowić podstawy aktu, którego celem co do zasady jest zmiana warunków wykonywania działalności przez dostawców usług lub spowodowanie, że nie będzie miał do nich zastosowania system ustanowiony w dyrektywie 2002/58.

45      Uregulowanie dotyczące kategorii danych podlegających zatrzymywaniu przez dostawców usług i okres zatrzymywania tych danych, zmieniające obowiązki nałożone na dostawców usług dyrektywą 2002/58, nie może jej zdaniem być przedmiotem aktu przyjętego na podstawie tytułu VI traktatu UE. Przyjęcie takiego aktu naruszałoby przepisy tej dyrektywy, co z kolei stanowiłoby naruszenie art. 47 UE.

46      Zdaniem Rady prawa chronione w art. 8 EKPC nie są prawami absolutnymi i mogą podlegać ograniczeniom na warunkach określonych w ust. 2 tego postanowienia. Zatrzymywanie danych przewidziane w dyrektywie 2006/24 służy uzasadnionemu interesowi ogólnemu, uwzględnionemu w art. 8 ust. 2 EKPC, i stanowi środek właściwy do osiągnięcia tego celu.

47      Królestwo Hiszpanii i Królestwo Niderlandów podnoszą, że – jak wynika z motywów 1, 2, 5 i 6 dyrektywy 2006/24 – głównym celem tej dyrektywy jest usunięcie przeszkód dla wewnętrznego rynku łączności elektronicznej spowodowanych rozbieżnościami prawnymi i technicznymi między przepisami państw członkowskich. Uważają, że dyrektywa ta reguluje zatrzymywanie danych w celu usunięcia tego rodzaju przeszkód – z jednej strony poprzez harmonizację obowiązku zatrzymywania danych, a z drugiej strony poprzez uściślenie elementów, których ten obowiązek dotyczy, takich jak kategorie danych podlegających zatrzymaniu oraz okres tego zatrzymania.

48      Odrębną kwestią jest ich zdaniem okoliczność, że – zgodnie z art. 1 dyrektywy 2006/24 – harmonizacja ta podejmowana jest po to, „aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego”. Dyrektywa nie reguluje przetwarzania danych przez organy publiczne lub policyjne państw członkowskich. Przeciwnie, harmonizacja dotyczy w ich opinii wyłącznie tych aspektów zatrzymywania danych, które mają wpływ bezpośrednio na działalność handlową dostawców usług.

49      Ponieważ dyrektywa ta zmienia dyrektywę 2002/58 i wykazuje związek z dyrektywą 95/46, zmiany w niej zawarte mogą być dokonane wyłącznie w drodze aktu wspólnotowego, a nie aktu wchodzącego w zakres traktatu UE.

50      Komisja przypomina, że przed ustanowieniem dyrektywy 2006/24 niektóre państwa członkowskie wprowadziły na podstawie art. 15 ust. 1 dyrektywy 2002/58 przepisy krajowe dotyczące zatrzymywania danych. Instytucja ta zwraca uwagę na istotne rozbieżności między tymi przepisami. Przykładowo okres zatrzymywania danych wynosił od trzech miesięcy w Niderlandach do czterech lat w Irlandii. Jej zdaniem obowiązki w zakresie zatrzymywania danych mają dla dostawców usług znaczące skutki ekonomiczne. Rozbieżność między tymi obowiązkami może spowodować zakłócenia rynku wewnętrznego. W tym kontekście uzasadnione było jej zdaniem przyjęcie dyrektywy 2006/24 na podstawie art. 95 WE.

51      Z drugiej strony dyrektywa 2006/24 ogranicza, w sposób zharmonizowany na poziomie wspólnotowym, obowiązki przewidziane w dyrektywie 2002/58. Skoro podstawą tamtej dyrektywy był art. 95 WE, podstawa prawna dyrektywy 2006/24 nie może być odmienna.

52      Nawiązanie w art. 1 ust. 1 dyrektywy 2006/24 do dochodzenia, wykrywania i ścigania poważnych przestępstw wchodzi w zakres prawa wspólnotowego, ponieważ wskazuje uzasadniony interes, jakiemu służą wprowadzone dyrektywą ograniczenia praw osób w dziedzinie ochrony danych. Takie wskazanie jest konieczne zarówno w celu przestrzegania wymogów dyrektyw 95/46 i 2002/58, jak i w celu zastosowania się do art. 8 EKPC.

53      Europejski Inspektor podnosi, że przedmiot dyrektywy 2006/24 wchodzi w zakres art. 95 WE, po pierwsze dlatego, że dyrektywa ta ma bezpośredni wpływ na działalność gospodarczą dostawców usług, a zatem może przyczyniać się do ustanowienia i funkcjonowania rynku wewnętrznego, a po drugie dlatego, że bez interwencji prawodawcy wspólnotowego mogłoby wystąpić zakłócenie konkurencji na rynku wewnętrznym. Cel polegający na zwalczaniu przestępstw nie jest jego zdaniem ani jedynym, ani nawet zasadniczym celem tej dyrektywy. Przeciwnie, ma ona przede wszystkim na celu przyczynienie się do ustanowienia i funkcjonowania rynku wewnętrznego, jak również usunięcia zakłóceń konkurencji. Dyrektywa ta harmonizuje przepisy krajowe dotyczące zatrzymywania danych przez przedsiębiorstwa prywatne w ramach ich zwykłej działalności gospodarczej.

54      Ponadto wskazuje, że dyrektywa 2006/24 zmienia dyrektywę 2002/58 i w konsekwencji powinna zostać przyjęta na tej samej podstawie prawnej. Zgodnie z art. 47 UE jedynie prawodawca wspólnotowy jest właściwy do zmiany obowiązków wynikających z dyrektywy ustanowionej na podstawie traktatu WE.

55      Zdaniem Europejskiego Inspektora, gdyby traktat WE nie mógł stanowić podstawy dyrektywy 2006/24, przepisy prawa wspólnotowego dotyczące ochrony danych nie chroniłyby obywateli w sytuacji przetwarzania ich danych osobowych dla celów ułatwienia zwalczania przestępczości. W takim przypadku ogólny system ochrony danych na podstawie prawa wspólnotowego miałby zastosowanie do przetwarzania danych w celach handlowych, lecz nie do przetwarzania tych samych danych dla potrzeb ścigania przestępstw. Po stronie dostawców usług spowodowałoby to powstanie trudnych do rozróżnienia niuansów, a po stronie zainteresowanej osoby – zmniejszenie poziomu ochrony. Takiej sytuacji należy unikać. Ta potrzeba spójności uzasadnia ustanowienie dyrektywy 2006/24 na podstawie traktatu WE.

 Ocena Trybunału

56      Tytułem wstępu należy zauważyć, że kwestia kompetencji Unii Europejskiej przedstawia się w różny sposób w zależności od tego, czy dana kompetencja została już przyznana Unii Europejskiej w szerokim znaczeniu, czy nie została jej jeszcze przyznana. W pierwszym przypadku chodzi o rozstrzygnięcie w przedmiocie podziału kompetencji w ramach Unii, a dokładnie o ustalenie, czy działania należy podejmować w drodze dyrektywy na podstawie traktatu WE, czy w drodze decyzji ramowej na podstawie traktatu UE. W drugim natomiast przypadku chodzi o rozstrzygnięcie w przedmiocie podziału kompetencji między Unię i państwa członkowskie, a dokładniej o ustalenie, czy Unia wkroczyła w kompetencje państw członkowskich. Niniejsza sprawa dotyczy obu tych sytuacji.

57      Należy również wskazać, że skarga Irlandii dotyczy wyłącznie wyboru podstawy prawnej, a nie ewentualnego naruszenia praw podstawowych wynikających z ingerencji w wykonywanie prawa do poszanowania życia prywatnego, jakie powoduje dyrektywa 2006/24.

58      Irlandia, popierana przez Republikę Słowacką, podnosi, że podstawą dyrektywy 2006/24 nie może być art. 95 WE, ponieważ jej „środkiem ciężkości” nie jest funkcjonowanie rynku wewnętrznego. Jej jedynym, a przynajmniej głównym celem jest jej zdaniem dochodzenie, wykrywanie i ściganie przestępstw.

59      Ze stanowiskiem tym nie sposób się zgodzić.

60      Zgodnie z utrwalonym orzecznictwem Trybunału wybór podstawy prawnej aktu wspólnotowego musi opierać się na obiektywnych czynnikach, które mogą zostać poddane kontroli sądowej, do których należą w szczególności cel i treść aktu (zob. w szczególności wyrok z dnia 23 października 2007 r. w sprawie C‑440/05 Komisja przeciwko Radzie, Zb.Orz. s. I‑9097, pkt 61 i przytoczone tam orzecznictwo).

61      Dyrektywa 2006/24 została przyjęta na podstawie traktatu WE, w szczególności jego art. 95.

62      Artykuł 95 ust. 1 WE przewiduje, że Rada przyjmuje środki dotyczące zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego.

63      Prawodawca wspólnotowy może skorzystać z art. 95 WE w szczególności w razie zaistnienia rozbieżności między przepisami krajowymi, jeżeli takie rozbieżności mogą naruszać podstawowe swobody lub powodować zakłócenia konkurencji i wywierać w ten sposób bezpośredni wpływ na funkcjonowanie rynku wewnętrznego (zob. podobnie wyrok z dnia 12 grudnia 2006 r. w sprawie C‑380/03 Niemcy przeciwko Parlamentowi i Radzie, Zb.Orz. s. I‑11573, pkt 37 i przytoczone tam orzecznictwo).

64      Ponadto, jakkolwiek zastosowanie art. 95 WE jako podstawy prawnej jest dopuszczalne w celu zapobieżenia przyszłym przeszkodom w wymianie handlowej wynikającym z rozbieżnej ewolucji uregulowań krajowych, to jednak wystąpienie tego rodzaju przeszkód musi być prawdopodobne, a wydane przepisy winny mieć na celu zapobieganie im (ww. wyrok w sprawie Niemcy przeciwko Parlamentowi i Radzie, pkt 38 i przytoczone tam orzecznictwo).

65      Należy ustalić, czy sytuacja, która doprowadziła do przyjęcia dyrektywy 2006/24, spełnia warunki przedstawione w dwóch punktach poprzedzających.

66      Jak wynika z motywu 5 i 6 omawianej dyrektywy, punktem wyjścia prawodawcy wspólnotowego było stwierdzenie, że istnieją rozbieżności prawne i techniczne między uregulowaniami krajowymi dotyczącymi zatrzymywania danych przez dostawców usług.

67      W tej kwestii materiał przedłożony Trybunałowi potwierdza, że w następstwie zamachów terrorystycznych wskazanych w pkt 36 niniejszego wyroku niektóre państwa członkowskie – zdając sobie sprawę, że dane dotyczące łączności elektronicznej stanowią skuteczny środek wykrywania i zwalczania przestępstw, w tym terroryzmu – wprowadziły na podstawie art. 15 ust. 1 dyrektywy 2002/58 przepisy nakładające na dostawców usług obowiązki związane z zatrzymywaniem takich danych.

68      Z akt sprawy wynika także, że obowiązki w zakresie zatrzymywania danych mają dla dostawców usług bardzo istotne skutki ekonomiczne, ponieważ mogą pociągać za sobą poważne inwestycje i koszty eksploatacji.

69      Materiał przedłożony Trybunałowi potwierdza, że przepisy krajowe wprowadzane do 2005 r. na podstawie art. 15 ust. 1 dyrektywy 2002/58 różniły się między sobą w sposób zasadniczy, w szczególności w odniesieniu do rodzaju zatrzymywanych danych i okresu ich zatrzymywania.

70      Wreszcie z łatwością można było przewidzieć, że te z państw członkowskich, które do tej pory nie posiadały uregulowań w sprawie zatrzymywania danych, wprowadzą w tej dziedzinie przepisy jeszcze wyraźniej akcentujące rozbieżności między różnymi istniejącymi przepisami krajowymi.

71      W świetle tych okoliczności okazuje się, że rozbieżności między różnymi przepisami krajowymi wprowadzanymi w dziedzinie zatrzymywania danych dotyczących łączności elektronicznej mogły mieć bezpośredni wpływ na funkcjonowanie rynku wewnętrznego i można było przewidywać, że wpływ ten będzie się pogłębiał.

72      Taka sytuacja uzasadniała wprowadzenie przez prawodawcę wspólnotowego zharmonizowanych przepisów w celu ochrony prawidłowego funkcjonowania rynku wewnętrznego.

73      Ponadto należy zauważyć, że przewidując zharmonizowany poziom zatrzymywania danych dotyczących komunikacji elektronicznej, dyrektywa 2006/24 zmieniła dyrektywę 2002/58.

74      Ta ostatnia dyrektywa została wprowadzona na podstawie art. 95 WE.

75      Zgodnie z art. 47 UE żadne z postanowień traktatu UE nie narusza postanowień traktatu WE. Ten sam wymóg został zawarty również w art. 29 akapit pierwszy UE, który stanowi wprowadzenie tytułu VI traktatu UE, zatytułowanego „Postanowienia o współpracy policyjnej i sądowej w sprawach karnych” (ww. wyrok w sprawie Komisja przeciwko Radzie, pkt 52).

76      Artykuł 47 UE, przewidując, iż żadne z postanowień traktatu UE nie narusza traktatów ustanawiających Wspólnoty Europejskie ani późniejszych traktatów i aktów je zmieniających lub uzupełniających, ma na celu – zgodnie z art. 2 tiret piąte UE i art. 3 akapit pierwszy UE – zachowanie i rozwój dorobku wspólnotowego (wyrok z dnia 20 maja 2008 r. w sprawie C‑91/05 Komisja przeciwko Radzie, Zb.Orz. s. I‑3651, pkt 59).

77      Do Trybunału należy więc zapewnienie, żeby akty prawne, co do których Rada utrzymuje, iż objęte są tytułem VI traktatu UE, i które ze swej istoty mogą wywoływać skutki prawne, nie naruszały kompetencji przyznanych Wspólnocie na mocy postanowień traktatu WE (ww. wyrok z dnia 20 maja 2008r. w sprawie Komisja przeciwko Radzie, pkt 33 i przytoczone tam orzecznictwo).

78      Tak długo jak zmiana dyrektywy 2002/58 dokonana dyrektywą 2006/24 wchodzi w zakres kompetencji wspólnotowych, nie mogła ona zostać przeprowadzona na podstawie postanowienia traktatu UE, nie naruszając przy tym jego art. 47.

79      W celu ustalenia, czy prawodawca wybrał właściwą podstawę prawną dla przyjęcia dyrektywy 2006/24, należy jeszcze – jak wynika z pkt 60 niniejszego wyroku – zbadać treść jej przepisów.

80      W tej kwestii należy stwierdzić, że przepisy tej dyrektywy są zasadniczo ograniczone do działalności dostawców usług i nie regulują dostępu do danych ani ich wykorzystywania przez organy policyjne lub sądowe państw członkowskich.

81      Bardziej konkretnie przepisy dyrektywy 2006/24 mają na celu zbliżenie ustawodawstw państw członkowskich w zakresie obowiązku zatrzymywania danych (art. 3), kategorii danych przeznaczonych do zatrzymania (art. 5), okresu zatrzymania danych (art. 6), ochrony i bezpieczeństwa danych (art. 7) oraz wymogów dotyczących ich przechowywania (art. 8).

82      Środki przewidziane w dyrektywie 2006/24 nie oznaczają natomiast same w sobie interwencji natury karnej ze strony organów państw członkowskich. Jak wynika w szczególności z art. 3 tej dyrektywy, postanowiono w niej, że dostawcy usług powinni zatrzymywać jedynie te dane, które są generowane lub przetwarzane w trakcie świadczenia odnośnych usług łączności. Są to wyłącznie takie dane, które są ściśle związane z wykonywaniem działalności handlowej przez tych dostawców.

83      Dyrektywa 2006/24 reguluje zatem czynności niezależne od wdrożenia jakiegokolwiek ewentualnego działania w dziedzinie współpracy policyjnej i sądowej w sprawach karnych. Nie harmonizuje ona ani kwestii dostępu do danych ze strony organów krajowych właściwych w sprawach karnych, ani kwestii związanych z wykorzystaniem takich danych przez te organy i ich wymianą między nimi. Kwestie te, wchodzące co do zasady w zakres tytułu VI traktatu UE, zostały wyłączone z przepisów dyrektywy, na co wskazują w szczególności jej motyw 25 i art. 4.

84      Z powyższego wynika, że treść dyrektywy 2006/24 obejmuje zasadniczo działalność dostawców usług w danym sektorze rynku wewnętrznego, z wyłączeniem działań państwowych wchodzących w zakres tytułu VI traktatu UE.

85      Mając na względzie treść dyrektywy 2006/24, należy uznać, że w przeważającej mierze dotyczy ona funkcjonowania rynku wewnętrznego.

86      W obliczu takiego stwierdzenia Irlandia podnosi, że ww. wyrokiem w sprawie Parlament przeciwko Radzie i Komisji Trybunał stwierdził nieważność decyzji Rady 2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (Dz.U. L 183, s. 83 i – sprostowanie – Dz.U. 2005, L 255, s. 168).

87      W punkcie 68 ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji Trybunał stwierdził, że porozumienie to dotyczyło tego samego przekazywania danych co decyzja Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Dz.U. L 235, s. 11).

88      Decyzja ta dotyczyła przekazywania danych pasażerów lotniczych pochodzących z systemów rezerwacji przewoźników lotniczych położonych na terytorium państw członkowskich do Biura Celnego i Ochrony Granic Stanów Zjednoczonych. Trybunał stwierdził, że przedmiotem tej decyzji było przetwarzanie danych, które nie było niezbędne w celu świadczenia usług, lecz uznane zostało za niezbędne w celu ochrony bezpieczeństwa publicznego oraz w celu zwalczania przestępczości. W pkt 57–59 ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji Trybunał orzekł, że takie przetwarzanie danych wchodzi w zakres art. 3 ust. 2 dyrektywy 95/46, zgodnie z którym dyrektywa ta nie stosuje się w szczególności do przetwarzania danych w celu ochrony bezpieczeństwa publicznego oraz w ramach działalności państwa w zakresie prawa karnego. Trybunał stwierdził zatem, że decyzja 2004/535 nie wchodziła w zakres zastosowania dyrektywy 95/46.

89      Skoro porozumienie będące przedmiotem decyzji 2004/496 dotyczyło, tak samo jak decyzja 2004/535, przetwarzania danych wyłączonego z zakresu stosowania dyrektywy 95/46, Trybunał orzekł, że decyzja 2004/496 nie mogła zostać zgodnie z prawem wydana na podstawie art. 95 WE (ww. wyrok w sprawie Parlament przeciwko Radzie i Komisji, pkt 68 i 69).

90      Takie rozważania nie przekładają się na dyrektywę 2006/24.

91      W odróżnieniu bowiem od decyzji 2004/496, która dotyczyła przekazywania danych osobowych w ramach zakreślonych przez władze publiczne w celu zapewnienia bezpieczeństwa publicznego, dyrektywa 2006/24 dotyczy działalności dostawców usług na rynku wewnętrznym i w żaden sposób nie reguluje działań władz publicznych w celach prawnokarnych.

92      Wynika stąd, że argumenty, jakie Irlandia wywodzi z faktu stwierdzenia nieważności decyzji 2004/496 ww. wyrokiem w sprawie Parlament przeciwko Radzie i Komisji, nie zasługują na uwzględnienie.

93      W świetle całości powyższych rozważań należy stwierdzić, że dyrektywa 2006/24 musiała zostać przyjęta na podstawie art. 95 WE.

94      W konsekwencji skargę należy oddalić.

 W przedmiocie kosztów

95      Zgodnie z art. 69 § 2 regulaminu kosztami zostaje obciążona, na żądanie strony przeciwnej, strona przegrywająca sprawę. Ponieważ Parlament i Rada wniosły o obciążenie Irlandii kosztami postępowania, a Irlandia przegrała sprawę, należy obciążyć ją kosztami postępowania. Zgodnie z § 4 akapit pierwszy tego artykułu interwenienci pokrywają własne koszty.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

1)      Skarga zostaje oddalona.

2)      Irlandia zostaje obciążona kosztami postępowania.

3)      Królestwo Hiszpanii, Królestwo Niderlandów, Republika Słowacka, Komisja Wspólnot Europejskich i Europejski Inspektor Ochrony Danych pokrywają swoje własne koszty.

Podpisy


* Język postępowania: angielski.