OPINIA RZECZNIKA GENERALNEGO
NIILA JÄÄSKINENA
przedstawiona w dniu 17 listopada 2011 r.(1)
Sprawa C‑461/10
Bonnier Audio AB,
Earbooks AB,
Norstedts Förlagsgrupp AB,
Piratförlaget Aktiebolag,
Storyside AB
przeciwko
Perfect Communication Sweden AB („ePhone”)
[wniosek o wydanie orzeczenia w trybie prejudycjalnym
złożony przez Högsta domstolen (Szwecja)]
Prawa autorskie i prawa pokrewne – Prawo do skutecznej ochrony własności intelektualnej – Dyrektywa 2004/48/WE – Artykuł 8 – Ochrona danych osobowych – Łączność elektroniczna – Przechowywanie niektórych generowanych danych – Przekazywanie danych osobowych osobom prywatnym – Dyrektywa 2002/58/WE – Artykuł 15 – Dyrektywa 2006/24/WE – Artykuł 4 – Książki audio – Udostępnianie plików – Nakaz sądowy skierowany do dostawcy usług internetowych o ujawnienie imienia i nazwiska oraz adresu użytkownika adresu IP
I – Wprowadzenie
1. Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 3–5 i 11 dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie [przechowywania] generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE(2), a także art. 8 dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej(3).
2. Wniosek ten został złożony przez Högsta domstolen (sąd najwyższy, Szwecja) w ramach sporu pomiędzy spółkami Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag i Storyside AB (zwanymi dalej łącznie „Bonnier Audio i in.” lub „powodami w postępowaniu przez sądem krajowym”) a spółką Perfect Communication Sweden AB (zwaną dalej „ePhone”) w przedmiocie sprzeciwu wniesionego przez ePhone’a wobec wniosku o nakazanie przekazania danych złożonego przez powodów w postępowaniu przed sądem krajowym w celu zidentyfikowania określonego abonenta.
3. Ochrona danych osobowych jest dziedziną złożoną, w której wciąż pojawia się wiele różnorodnych nierozstrzygniętych kwestii przekrojowych dla wielu dziedzin. Stanowi prawo podstawowe [art. 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą praw podstawowych”)], podobnie jak prawo do poszanowania życia prywatnego i rodzinnego (art. 7 karty praw podstawowych), które należy często wyważyć z innym prawem podstawowym gwarantowanym przez porządek prawny Unii – ochroną własności intelektualnej (art. 17 karty praw podstawowych)(4). W prawie wtórnym akty odniesienia stanowią dwie dyrektywy, tj. dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(5) oraz dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)(6). Wspomniane dyrektywy zostały uzupełnione dyrektywą 2006/24.
4. Nowy i często delikatny charakter kwestii dotyczących ochrony danych osobowych wynika także z faktu, że wiele spraw wniesionych do Trybunału doprowadziło do wydania wyroku wielkiej izby, zwłaszcza w odniesieniu do wykładni dyrektywy 95/46(7).
5. Trybunał już wielokrotnie orzekał w przedmiocie wykładni dyrektywy 2006/24. Problem prawny podniesiony w niniejszej sprawie różni się jednak od tych, których dotyczyły sprawy rozstrzygane dotychczas(8). W niniejszym przypadku sąd krajowy zapytuje w szczególności, czy w związku z przyjęciem dyrektywy 2006/24 należy uzupełnić wykładnię dokonaną względem tego aktu w sprawach, które doprowadziły do wydania ww. wyroku w sprawie Promusicae i ww. postanowienia w sprawie LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten(9).
II – Ramy prawne
A – Prawo Unii
1. Prawa własności intelektualnej
6. Dyrektywa 2004/48 ustanawia normy w sprawie egzekwowania praw własności intelektualnej.
7. Artykuł 8 dyrektywy 2004/48 ma następujące brzmienie:
„1. Państwa członkowskie zapewniają, że w kontekście postępowania sądowego dotyczącego naruszenia prawa własności intelektualnej oraz w odpowiedzi na uzasadnione i proporcjonalne żądanie powoda, właściwe organy sądowe mogą nakazać przedstawienie informacji o pochodzeniu i sieciach dystrybucji towarów lub usług naruszających prawo własności intelektualnej przez naruszającego i/lub jakąkolwiek inną osobę, u której:
a) stwierdzono posiadanie na skalę handlową towarów naruszających prawo;
b) stwierdzono wykonywanie na skalę handlową usług naruszających prawo;
c) stwierdzono dostarczanie na skalę handlową usług stosowanych w działaniach naruszających prawo;
lub [która:]
d) została przez osobę określoną w lit. a), b) lub c) wskazana jako zaangażowana w produkcję, wytwarzanie lub dystrybucję towarów albo dostarczanie usług.
2. Informacja, o której mowa w ust. 1, zawiera, jeśli stosowne:
a) nazwy i adresy producentów, wytwórców, dystrybutorów, dostawców oraz innych poprzednich posiadaczy towarów lub usług, jak również przewidywanych hurtowników i detalistów;
b) informację o ilości wyprodukowanych, wytworzonych, wysłanych, otrzymanych lub zamówionych towarów lub usług, o które chodzi, jak również o cenach otrzymanych za nie.
3. Ustępy 1 i 2 stosuje się bez uszczerbku dla innych przepisów ustawowych, które:
[…]
e) zarządzają ochroną poufności źródeł informacji lub przetwarzania danych osobowych”.
2. Ochrona danych osobowych
8. Stosowne ramy prawne w tym zakresie składają się z trzech dyrektyw, czyli dyrektyw 95/46, 2002/58 i 2006/24.
a) Dyrektywa 95/46
9. Dyrektywa 95/46 nakłada na państwa członkowskie obowiązek zapewnienia ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, ustanawiając wiodące zasady określające zgodność z prawem wspomnianego przetwarzania.
b) Dyrektywa 2002/58
10. Dyrektywa 2002/58 przekłada zasady ustanowione w dyrektywie 95/46 na przepisy szczególne dotyczące sektora łączności elektronicznej.
11. Przepisy art. 5 ust. 1 dyrektywy 2002/58 przewidują, że państwa członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej, a w szczególności zakazują co do zasady każdej innej osobie niż użytkownicy przechowywania tych danych, bez zgody zainteresowanych użytkowników. Jedynymi wyjątkami od tej zasady są wyjątek ustanowiony na rzecz osób upoważnionych zgodnie z art. 15 ust. 1 wspomnianej dyrektywy i wyjątek dotyczący technicznego przechowywania, które jest niezbędne do przekazania komunikatu. Ponadto zgodnie z art. 6 ust. 1 dyrektywy 2002/58 dane o ruchu przetwarzane i przechowywane muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów art. 6 ust. 2, 3 i 5 oraz art. 15 ust. 1 tej dyrektywy.
12. Na mocy art. 15 ust. 1 dyrektywy 2002/58 państwa członkowskie mogą uchwalić przepisy ustawodawcze w celu ograniczenia zakresu obowiązku zapewnienia poufności danych o ruchu, gdy takie ograniczenie stanowi środek niezbędny, właściwy i proporcjonalny w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego, to jest bezpieczeństwa państwa, obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak stanowi art. 13 ust. 1 dyrektywy 95/46.
c) Dyrektywa 2006/24
13. Dyrektywa 2006/24 dotyczy przechowywania danych generowanych lub przetwarzanych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności.
14. Artykuł 1 ust. 1 dyrektywy 2006/24 stanowi, co następuje:
„Celem niniejszej dyrektywy jest zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności w zakresie [przechowywania] pewnych danych przez nie generowanych lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego”.
15. Przepisy dyrektywy 2006/24 mają na celu zbliżenie ustawodawstw państw członkowskich w zakresie obowiązku przetrzymywania danych (art. 3), kategorii danych przeznaczonych do przechowywania (art. 5), okresu przechowywania danych (art. 6), ochrony i bezpieczeństwa danych (art. 7) oraz wymogów dotyczących ich przechowywania (art. 8).
16. Artykuł 3 ust. 1 wspomnianej dyrektywy stanowi:
„Na zasadzie odstępstwa od art. 5, 6 i 9 dyrektywy 2002/58/WE państwa członkowskie przyjmują środki [niezbędne] w celu zagwarantowania, że dane określone w art. 5 niniejszej dyrektywy są [przechowywane] zgodnie z jej przepisami w stopniu, w jakim są generowane lub przetwarzane na ich terenie przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia odnośnych usług łączności”.
17. Artykuł 4 dyrektywy stanowi:
„Państwa członkowskie podejmują środki [niezbędne] w celu zagwarantowania, że dane [przechowywane] w myśl niniejszej dyrektywy są udostępniane jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu do [przechowywanych] danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa publicznego, w szczególności EKPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka”.
18. Artykuł 5 dyrektywy 2006/24 stanowi:
„1. Państwa członkowskie zapewniają [przechowanie] następujących kategorii danych zgodnie z niniejszą dyrektywą:
[…]
2) w przypadku dostępu internetowego, elektronicznej poczty internetowej i telefonii internetowej:
i) przyznany identyfikator użytkownika;
ii) identyfikator użytkownika i numer telefonu przydzielony każdemu przychodzącemu połączeniu w sieci telefonii publicznej;
iii) nazwisko i adres abonenta lub zarejestrowanego użytkownika, do którego w momencie połączenia należał adres IP, identyfikator użytkownika lub numer telefonu;
b) dane niezbędne do ustalenia odbiorcy połączenia:
[…]
c) dane niezbędne do określenia daty, godziny i czasu trwania połączenia:
[…]
d) dane niezbędne do określenia rodzaju połączenia:
[…]
e) dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji:
[…]
f) dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej:
[…]
2. Zgodnie z niniejszą dyrektywą nie można [przechowywać] danych, które ujawniają treść komunikatu”.
19. Wreszcie art. 11 dyrektywy 2006/24 wprowadza do art. 15 dyrektywy 2002/58 nowy ustęp 1a. Na mocy tego przepisu nie stosuje się art. 15 ust. 1 do danych, których przechowywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24.
B – Prawo krajowe
1. Prawo autorskie
20. W odniesieniu do prawa autorskiego przepisy dyrektywy 2004/48 zostały przetransponowane do prawa szwedzkiego poprzez wprowadzenie nowych przepisów do lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk (ustawy 1960:729 w sprawie własności literackiej i artystycznej, zwanej dalej „ustawą o prawie autorskim”). Te nowe przepisy weszły w życie z dniem 1 kwietnia 2009 r.(10).
21. Artykuł 53c ustawy o prawie autorskim stanowi:
„Jeżeli powód uprawdopodobni, że nastąpiło naruszenie prawa własności intelektualnej do dzieła, o którym mowa w art. 53, sąd może nakazać pod groźbą kary pieniężnej osobie lub osobom, o których mowa w akapicie drugim poniżej, przekazanie informacji dotyczących źródeł i sieci dystrybucyjnej towarów i usług, których naruszenie dotyczy (nakaz ujawnienia informacji). Taki środek może być zarządzony na wniosek uprawnionego z prawa, jego przedstawiciela lub każdej osoby, która posiada prawo wykorzystywania dzieła. Może być nakazany tylko w przypadku, gdy żądane informacje mogą ułatwić dochodzenie w sprawie naruszenia prawa wiążącego się ze wspomnianymi towarami lub usługami.
Obowiązek ujawnienia ciąży na każdej osobie:
1) będącej sprawcą lub współsprawcą naruszenia;
2) która była w posiadaniu na skalę handlową towaru naruszającego prawo;
3) która wykorzystywała na skalę handlową usługę naruszającą prawo;
4) która świadczyła na skalę handlową usługę łączności elektronicznej lub inną usługę wykorzystywaną w celu naruszenia prawa,
lub
5) została zidentyfikowana przez osobę, o której mowa w pkt 2–4 powyżej jako osoba uczestnicząca w produkcji lub dystrybucji towaru lub w świadczeniu usług naruszających prawo.
Informacje dotyczące źródeł i sieci dystrybucyjnej towarów lub usług obejmują między innymi:
1) imię i nazwisko bądź nazwę oraz adres producenta, dystrybutora, dostawcy i innych osób, w których posiadaniu znajdowały się towary lub świadczyły usługi;
2) imię i nazwisko bądź nazwę oraz adres sprzedawcy hurtowego lub detalicznego,
oraz
3) informację o ilości wyprodukowanych, wytworzonych, wysłanych, otrzymanych lub zamówionych towarów lub usług, o które chodzi, jak również o cenach otrzymanych za nie.
Powyższe przepisy mają zastosowanie do usiłowania lub przygotowania naruszenia prawa, o którym mowa w art. 53”.
22. Artykuł 53d ustawy o prawie autorskim stanowi:
„Nakaz ujawnienia informacji może zostać wydany jedynie w sytuacji, gdy pożytek z jego wydania będzie większy niż niedogodność lub szkoda, jaką może on wyrządzić osobie, przeciwko której ma być wydany, lub innym osobom, których interes może zostać naruszony.
Obowiązek poinformowania na podstawie art. 53c nie dotyczy informacji, których ujawnienie zobowiązywałoby daną osobę do przyznania się do swego własnego udziału lub udziału swych bliskich w rozumieniu rozdziału 36 art. 3 kodeksu postępowania karnego w popełnieniu naruszenia.
Personuppgiftslagen (1998:204) (ustawa 1998:204 dotycząca danych osobowych) nakłada ograniczenia w odniesieniu do przetwarzania tych informacji”.
2. Ochrona danych osobowych
23. Dyrektywa 2002/58 została przetransponowana do prawa szwedzkiego na podstawie lagen (2003:389) om elektronisk kommunikation (ustawy 2003:389 w sprawie łączności elektronicznej). Zgodnie z art. 20 akapit pierwszy, zamieszczonym w rozdziale 6 wspomnianej ustawy kto w związku z prowadzeniem elektronicznej sieci łącznościowej lub w związku ze świadczeniem usług łączności elektronicznej uzyskał lub zapewnił dostęp między innymi do danych o abonentach, nie może bez upoważnienia rozpowszechniać ani korzystać z uzyskanych lub udostępnionych danych.
24. Sąd krajowy zauważa w tym względzie, że obowiązek zachowania poufności, który ciąży między innymi na dostawcach usług internetowych, ma na celu zakazanie wyłącznie ujawniania lub wykorzystywania bez upoważnienia określonych danych. Ten obowiązek zachowania poufności ma jednak charakter względny w zakresie, w jakim podporządkowany jest innym przepisom wymagającym ujawnienia informacji, albowiem ujawnienie nie odbywa się wówczas bez upoważnienia. Zdaniem Högsta domstolen w odniesieniu do ustanowionego w art. 53c ustawy o prawie autorskim prawa do informacji, które ma zastosowanie także do dostawców usług internetowych, orzeczono, że w celu zapewnienia pierwszeństwa tych nowych przepisów w zakresie ujawnienia względem obowiązku zachowania poufności nie ma konieczności przeprowadzania szczególnych dostosowań ustawodawczych(11). Obowiązek zachowania poufności ustępuje więc przed wydanym przez sąd nakazem ujawnienia informacji.
25. Dyrektywa 2006/24 nie została przetransponowana do prawa szwedzkiego w wyznaczonym terminie(12).
III – Spór przed sądem krajowym, pytania prejudycjalne i postępowanie przed Trybunałem
26. Bonnier Audio i in. są wydawcami, którym przysługują wyłączne prawa do rozpowszechniania 27 książek w postaci książek audio [audiobooks], ich powielania oraz ich udostępniania publiczności.
27. Bonnier Audio i in. twierdzą, że ich wyłączne prawa zostały naruszone ze względu na udostępnienie publiczności tych 27 dzieł, bez ich zgody, za pomocą serwera FTP („file transfer protocol” – protokół transferu plików), który umożliwia wymianę plików i transfer danych pomiędzy komputerami za pośrednictwem Internetu.
28. Dostawcą usług internetowych, za pośrednictwem których odbywała się zarzucana bezprawna wymiana plików, jest spółka ePhone.
29. Bonnier Audio i in. zwrócili się do Solna tingsrätt (sądu pierwszej instancji w Solnej) o wydanie nakazu ujawnienia informacji, domagając się przekazania imienia i nazwiska oraz adresu osoby, która zarejestrowana jest jako użytkownik adresu IP, z którego rzekomo pliki były transferowane w dniu 1 kwietnia 2009 r. w godzinach od 3.28 do 5.45.
30. Spółka ePhone sprzeciwiła się temu wnioskowi, podnosząc między innymi, że żądany nakaz jest niezgodny z dyrektywą 2006/24.
31. W postępowaniu w pierwszej instancji Solna tingsrätt uwzględnił nakaz ujawnienia rozpatrywanych informacji.
32. Spółka ePhone wniosła apelację do Svea hovrätt (sądu apelacyjnego w Sztokholmie), wnosząc o oddalenie wniosku o wydanie nakazu ujawnienia informacji. Spółka ta wniosła także o zwrócenie się do Trybunału Sprawiedliwości z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym w celu wyjaśnienia, czy dyrektywa 2006/24 wyklucza, by informacje dotyczące abonenta, któremu przyznano adres IP, zostały przekazane podmiotowi innemu niż organy władzy, o których mowa w tej dyrektywie.
33. Svea hovrätt orzekł, że żaden przepis dyrektywy 2006/24 nie zabrania wydania stronie sporu nakazu ujawnienia danych abonenckich podmiotowi innemu niż organ władzy publicznej. Sąd ten oddalił również wniosek o zwrócenie się do Trybunału z wnioskiem o wydanie orzeczenia w trybie prejudycjalnym.
34. Ten sam sąd orzekł także, że spółki będące wydawcami książek audio nie uprawdopodobniły naruszenia prawa własności intelektualnej. Postanowił zatem uchylić nakaz ujawnienia informacji wydany przez Solna tingsrätt. Bonnier Audio i in. zaskarżyły zatem ten wyrok do Högsta domstolen, sądu krajowego.
35. Sąd ten stoi na stanowisku, że niezależnie od ww. wyroku w sprawie Promusicae, a także ww. postanowienia w sprawie LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten, istnieje wątpliwość co do kwestii, czy prawno Unii wyklucza stosowanie art. 53c ustawy o prawie autorskim w zakresie, w jakim ani ten wyrok, ani to postanowienie nie odwołują się do dyrektywy 2006/24.
36. W tych okolicznościach Högsta domstolen postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy dyrektywa 2006/24 […], a w szczególności jej art. 3–5 i 11 wykluczają stosowanie przepisu krajowego, opartego na art. 8 dyrektywy 2004/48 […], na mocy którego w postępowaniu cywilnym można, w celu zidentyfikowania określonego abonenta, nakazać dostawcy usług internetowych ujawnienie uprawnionemu z prawa autorskiego albo jego przedstawicielowi informacji o abonencie, któremu dostawca usług internetowych udostępnił określony adres IP, przy użyciu którego miało zostać popełnione naruszenie? Pytanie niniejsze oparte jest na założeniu, że powód uprawdopodobnił naruszenie konkretnego prawa autorskiego, a wydanie nakazu byłoby proporcjonalne.
2) Czy okoliczność, że pomimo upływu wyznaczonego terminu państwo członkowskie nie wdrożyło dyrektywy 2006/24, ma wpływ na brzmienie odpowiedzi na pytanie pierwsze?”.
37. Bonnier Audio i in., ePhone, rządy szwedzki, czeski, włoski i łotewski oraz Komisja Europejska złożyły uwagi na piśmie.
38. Wszyscy uczestnicy, którzy złożyli uwagi na piśmie, z wyjątkiem rządów czeskiego i łotewskiego, byli reprezentowani na rozprawie, która odbyła się w dniu 30 czerwca 2011 r.
IV – Analiza
A – W przedmiocie zakresu dyrektywy 2006/24
39. W pierwszym pytaniu prejudycjalnym sąd krajowy zmierza zasadniczo do ustalenia, czy dyrektywa 2006/24 wyklucza stosowanie przepisu prawa krajowego, uchwalonego na podstawie art. 8 dyrektywy 2004/48, na mocy którego można, w celu zidentyfikowania określonego abonenta usług internetowych lub użytkownika usług internetowych, nakazać dostawcy usług internetowych ujawnienie uprawnionemu z prawa autorskiego albo jego przedstawicielowi imienia i nazwiska oraz adresu abonenta, któremu udostępniono określony adres IP, przy użyciu którego miało zostać popełnione naruszenie.
40. Sąd krajowy stawia to pytanie, wychodząc z założenia, że w sprawie toczącej się przed tym sądem powodowie, Bonnier Audio i in., uprawdopodobnili naruszenie prawa autorskiego, z jednej strony, a wydanie nakazu jest proporcjonalne, z drugiej strony.
41. Ponadto, jak wynika z postanowienia odsyłającego, postępowanie wszczęte przez Bonnier Audio i in. przed sądem krajowym w celu ujawnienia danych osobowych wpisuje się w ramy postępowania cywilnego.
42. Najpierw należy rozpatrzyć kwestię, czy dane, których ujawnienia zażądano, są danymi osobowymi. W celu bowiem zastosowania przepisów dotyczących ochrony danych osobowych konieczne jest, aby przedmiotem postępowania były dane tego rodzaju. W sprawie przed sądem krajowym chodzi o imię i nazwisko oraz adres abonenta, które można zidentyfikować na podstawie adresu IP. Z powyższego wynika, że rozpatrywana sytuacja wpisuje się w zakres stosowania przepisów dotyczących ochrony danych osobowych.
43. Należy jednak przypomnieć, że tożsamość osoby, która naruszyła prawa własności intelektualnej, nie może być ustalona jedynie na podstawie adresu IP, w przypadku gdy kilka osób może korzystać z dostępu do sieci zidentyfikowanej za pośrednictwem tego samego adresu IP. Tak jest na przykład w przypadku sieci bezprzewodowych pozbawionych skutecznej ochrony, przekierowania komputerów podłączonych do Internetu, a także w sytuacji, w których kilka osób może korzystać z tego samego komputera. Jednakże moim zdaniem, w niektórych państwach członkowskich, adresu IP można używać jako wskazówki co do tożsamości osoby, która mogła popełnić naruszenie(13).
44. Następnie należy zweryfikować, czy dyrektywa 2006/24 ma zastosowanie do sprawy przed sądem krajowym. W ww. sprawie Promusicae dyrektywa ta nie miała zastosowania ratione temporis, dlatego też Trybunał na wstępie odrzucił możliwość jej zastosowania(14).
45. W celu zweryfikowania możliwości stosowania dyrektywy 2006/24 ratione materiae do niniejszego przypadku, należy przypomnieć, że zgodnie z jej art. 1 jej celem jest zapewnienie „dostępnoś[ci] przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego”(15). Poza tym art. 4 wspomnianej dyrektywy zobowiązuje państwa członkowskie do podjęcia środków w celu zagwarantowania, by dane, o których mowa w tej dyrektywie, były udostępniane jedynie właściwym krajowym organom władzy publicznej, w szczegółowo określonych przypadkach i zgodnie z przepisami krajowymi.
46. Tymczasem w sprawie przed sądem krajowym mamy do czynienia z postępowaniem cywilnym, a dane nie zostały zażądane przez właściwe organy władzy krajowej, ale przez osoby prywatne.
47. Moim zdaniem dyrektywa 2006/24 nie ma zatem zastosowania ratione materiae do sprawy przed sądem krajowym, mimo że dane przechowywane do celów, na które zezwala wspomniana dyrektywa, objęte są zakresem stosowania dyrektyw dotyczących ochrony danych osobowych w zakresie, w jakim podmiot przechowywał je do innych celów.
48. W konsekwencji pytanie drugie, dotyczące wpływu niewdrożenia do prawa szwedzkiego dyrektywy 2006/24 na odpowiedź udzieloną na pytanie pierwsze, jest bezprzedmiotowe.
49. Niezależnie od braku możliwości stosowania dyrektywy 2006/24 w niniejszym przypadku należy rozpatrzyć kwestię, jaki może być jej wkład w sprawie przed sądem krajowym. Zanim rozważę tę kwestię, zbadam najpierw przepisy dotyczące ochrony danych osobowych.
B – W przedmiocie ograniczeń ochrony danych osobowych
50. W tym miejscu należy przypomnieć kilka podstawowych zasad dotyczących ochrony danych osobowych w prawie Unii.
51. Podstawowa zasada ustanowiona w art. 6 ust. 1 lit. b) dyrektywy 95/46 mówi, że dane osobowe muszą być gromadzone do konkretnych, bezpośrednich i zgodnych z prawem celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Gromadzenie danych oraz jego zasady, a także cele powinny być uprzednio ustalone. Zakazane jest dalsze przetwarzanie niezgodne z wcześniej ustalonymi celami.
52. Należy zatem zbadać, czy przepisy odpowiadające tym wymogom w odniesieniu do przechowywania danych osobowych i ich przekazywania osobom trzecim w przypadku domniemanych naruszeń prawa własności intelektualnej, podniesionych przez osoby prywatne, zostały przyjęte na szczeblu Unii Europejskiej, czy na szczeblu krajowym.
1. W przedmiocie ograniczeń przewidzianych na szczeblu Unii
53. W odniesieniu do prawa Unii w zakresie danych dotyczących telekomunikacji dyrektywa szczegółowa 2002/58, uzupełniona dyrektywą 2006/24, precyzuje ogólne ramy przewidziane w dyrektywie 95/46. Tymczasem z analizy dyrektyw 2002/58 i 2006/24 wyraźnie wynika, że nie zawierają one żadnego szczegółowego przepisu dotyczącego przechowywania lub wykorzystywania danych telekomunikacyjnych w ramach walki z naruszeniami praw własności intelektualnej ze strony osób prywatnych. Dyrektywa 2002/58 oparta jest na prawach i obowiązkach dostawców usług łączności elektronicznej. Dyrektywa 2006/24 dotyczy przechowywania danych przez organy władzy publicznej w celu wykrywania poważnych przestępstw. W odniesieniu do naruszeń praw własności intelektualnej podnoszonych przez osoby prywatne, należy stwierdzić, że ani dyrektywa 2002/58, ani dyrektywa 2006/24 nie przewidują możliwości ani obowiązku przechowywania lub wykorzystywania wspomnianych danych w tym celu lub korzystania z danych już istniejących, które są przechowywane do innych celów.
54. Co do dyrektywy 2004/48 jedyna wzmianka na temat danych osobowych znajduje się w art. 8 ust. 3 lit. e) tego aktu. Zgodnie z tym przepisem art. 8 ust. 1 i 2, dotyczące dostępu do informacji, które mogą dotyczyć naruszeń prawa własności intelektualnej, stosuje się bez uszczerbku dla innych przepisów ustawowych, które zarządzają ochroną poufności źródeł informacji lub przetwarzania danych osobowych. Dyrektywa 2004/48 wskazuje zatem, że należy przestrzegać przepisów ustawowych, które regulują przetwarzaniem danych osobowych. Natomiast nie precyzuje ani danych osobowych przeznaczonych do przechowywania, ani też celu i okresu ich przechowywania, jak również osób, które mogą mieć do nich dostęp w przypadku naruszenia praw własności intelektualnej.
55. Nawet jeśli na szczeblu unijnym można byłoby rozważać przyjęcie dyrektywy uzupełniającej dyrektywę 2002/58, przewidującej obowiązek przechowywania co do naruszeń prawa własności intelektualnej i która definiowałaby jednocześnie cel wspomnianego przechowywania, dane przeznaczone do przechowywania, okres przechowywania, oraz osoby, które mogłyby mieć do nich dostęp, należy stwierdzić, że obecnie taka dyrektywa nie istnieje(16).
56. W świetle powyższych rozważań należy stwierdzić, że obowiązujące prawodawstwo Unii nie przewiduje zasad koniecznych do przechowywania i przekazywania danych osobowych, które są generowane podczas łączności elektronicznej w celu ich przekazania w przypadku naruszenia praw własności intelektualnej, na które powołują się osoby prywatne.
2. W przedmiocie ograniczeń przewidzianych na szczeblu państw członkowskich
57. W odniesieniu do prawa państw członkowskich należy stwierdzić, że art. 15 dyrektywy 2002/58 pozwala na ograniczenie możliwości zastosowania zasad, które legły u podstaw wspomnianej dyrektywy.
58. Trybunał dokonał wykładni tego artykułu w ww. wyroku w sprawie Promusicae oraz w ww. postanowieniu w sprawie LSG‑Gesellschaft zur Wahrnehmung von Leistungsschutzrechten. Stwierdził, że dyrektywa 2002/58 nie wyklucza możliwości ustanowienia przez państwa członkowskie obowiązku ujawnienia danych osobowych w ramach postępowania cywilnego, ale że prawo Unii nie wymaga od państw członkowskich ustanowienia takiego obowiązku(17). Trybunał w ten sposób ustanowił powiązanie między art. 15 ust. 1 wspomnianej dyrektywy a art. 13 ust. 1 dyrektywy 95/46(18).
59. W wyroku w sprawie Promusicae Trybunał odniósł się do danych osobowych i, in fine, do obowiązku państw członkowskich, aby w trakcie transpozycji rozpatrywanych dyrektyw oparły się na takiej ich wykładni, która pozwoli na zapewnienie odpowiedniej równowagi między poszczególnymi prawami podstawowymi chronionymi przez porządek prawny Unii(19). Interpretuję to stwierdzenie w ten sposób, że należy w pełni przestrzegać podstawowych zasad istniejących w każdej dziedzinie – czyli w dziedzinie ochrony poufności łączności elektronicznej oraz dziedzinie ochrony prawa autorskiego i praw pokrewnych.
60. Aby możliwe było ujawnienie danych osobowych, prawo Unii wymaga, by obowiązek przechowywania był przewidziany w ustawodawstwie krajowym w celu uszczegółowienia kategorii danych przeznaczonych do przechowywania, celu i okresu przechowywania oraz osób, które mogą mieć do nich dostęp. Sprzeczne z zasadami ochrony danych osobowych byłoby wykorzystywanie istniejących baz danych do celów innych niż zdefiniowane przez ustawodawcę.
61. W konsekwencji, aby przechowywanie i przekazywanie danych osobowych były zgodne z art. 15 dyrektywy 2002/58, w sytuacji takiej jak opisana w sprawie przed sądem krajowym ustawodawstwo krajowe powinno uprzednio i w sposób szczegółowy przewidywać ograniczenia wprowadzone w drodze ustawodawczej co do zakresu praw i obowiązków przewidzianych w art. 5 i 6, art. 8 ust. 1–4 i art. 9 wspomnianej dyrektywy(20). Takie ograniczenie powinno stanowić środek niezbędny, odpowiedni i proporcjonalny. Tymczasem obowiązek ujawnienia nałożony na dostawców usług internetowych i dotyczący danych osobowych przechowywanych w tym celu nie wystarczy do spełnienia tych wymogów(21).
62. Podsumowując, należy podkreślić, że prawa podstawowe, z jednej strony, w zakresie ochrony danych osobowych i życia prywatnego, a z drugiej, w zakresie ochrony własności intelektualnej, powinny korzystać z takiej samej ochrony. Nie należy zatem nadawać pierwszeństwa uprawnionym z praw własności intelektualnej, umożliwiając im korzystanie z danych osobowych, które zostały zgodnie z prawem zgromadzone lub przechowywane do celów innych niż ochrona danych osobowych. Gromadzenie i wykorzystywanie wspomnianych danych do takich celów z poszanowaniem prawa Unii w zakresie ochrony danych osobowych wymaga uprzedniego przyjęcia przez ustawodawcę krajowego szczegółowych przepisów, zgodnie z art. 15 dyrektywy 2002/58(22).
V – Wnioski
63. Mając powyższe na uwadze, proponuję, aby na pytania prejudycjalne przedłożone przez Högsta domstolen Trybunał udzielił następującej odpowiedzi:
1) Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie przechowywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE nie ma zastosowania do przetwarzania danych osobowych do celów innych niż wymienione w art. 1 ust. 1 tej dyrektywy. W konsekwencji wspomniana dyrektywa nie wyklucza stosowania przepisu krajowego, na mocy którego w postępowaniu cywilnym można, w celu zidentyfikowania określonego abonenta, nakazać dostawcy usług internetowych ujawnienie uprawnionemu z prawa autorskiego albo jego przedstawicielowi informacji o abonencie, któremu dostawca usług internetowych udostępnił określony adres IP, przy użyciu którego miało zostać popełnione naruszenie. Jednakże te informacje, dla ich rozpowszechnienia i wykorzystania w tym celu, powinny były być przechowywane zgodnie ze szczegółowymi krajowymi przepisami ustawodawczymi, które zostały przyjęte z poszanowaniem prawa Unii w dziedzinie ochrony danych osobowych.
2) W świetle odpowiedzi udzielonej na pytanie pierwsze, pytanie drugie jest bezprzedmiotowe.