Sprawy połączone C‑293/12 i C‑594/12

Digital Rights Ireland Ltd

przeciwko

Minister for Communications, Marine and Natural Resources i in.
oraz

Kärntner Landesregierung i in.

[wnioski o wydanie orzeczenia w trybie prejudycjalnym złożone przez High Court (Irlandia) i Verfassungsgerichtshof]

Łączność elektroniczna – Dyrektywa 2006/24/WE – Ogólnie dostępne usługi łączności elektronicznej lub udostępnianie publicznych sieci łączności – Zatrzymywanie danych generowanych lub przetwarzanych w związku ze świadczeniem tych usług – Ważność – Artykuły 7, 8 i 11 Karty praw podstawowych Unii Europejskiej

Streszczenie – Wyrok Trybunału (wielka izba) z dnia 8 kwietnia 2014 r.

1.        Prawa podstawowe – Karta praw podstawowych Unii Europejskiej – Poszanowanie życia prywatnego – Ochrona danych osobowych – Zatrzymywanie generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności – Dyrektywa 2006/24 – Obowiązek zatrzymywania przez dostawców pewnych danych w celu ewentualnego ich udostępniania organom krajowym – Ingerencja w rozumieniu art. 7 i art. 8 karty

(Karta praw podstawowych Unii Europejskiej, art. 7, 8; dyrektywa 2006/24 Parlamentu Europejskiego i Rady, art. 3, 4, 5, 6, 8)

2.        Prawa podstawowe – Karta praw podstawowych Unii Europejskiej – Ograniczenie wykonywania praw i wolności przewidzianych w karcie – Przesłanki – Zatrzymywanie generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności – Dyrektywa 2006/24 – Obowiązek zatrzymywania przez dostawców pewnych danych w celu ewentualnego ich udostępniania organom krajowym – Naruszenie zasadniczej istoty praw podstawowych – Brak – Cel ochrony bezpieczeństwa publicznego

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, art. 52 ust. 1; dyrektywa 2006/24 Parlamentu Europejskiego i Rady)

3.        Prawa podstawowe – Karta praw podstawowych Unii Europejskiej – Ograniczenie wykonywania praw i wolności przewidzianych w karcie – Przesłanki – Zatrzymywanie generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności – Dyrektywa 2006/24 – Obowiązek zatrzymywania przez dostawców pewnych danych w celu ewentualnego ich udostępniania organom krajowym – Naruszenie zasady proporcjonalności

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, art. 52 ust. 1; dyrektywa 2006/24 Parlamentu Europejskiego i Rady)

1.        Nałożony w art. 3 i 6 dyrektywy 2006/24 w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58, na dostawców tych usług łączności obowiązek zatrzymywania przez określony czas związanych z życiem prywatnym danej osoby i jej komunikacją danych takich jak te określone w art. 5 tej dyrektywy stanowi samoistną ingerencję w prawa zagwarantowane w art. 7 Karty praw podstawowych Unii Europejskiej. Ponadto art. 4 i 8 dyrektywy 2006/24 określające zasady dostępu do danych przez właściwe organy krajowe również stanowią ingerencję w prawa zagwarantowane w art. 7 karty.

Podobnie dyrektywa 2006/24 stanowi ingerencję w prawo podstawowe do ochrony danych osobowych zagwarantowane w art. 8 karty, gdyż przewiduje możliwość przetwarzania danych osobowych.

Owa ingerencja jest daleko posunięta i powinna być uznana za szczególnie poważną. Ponadto okoliczność, że zatrzymywanie i późniejsze wykorzystywanie danych jest dokonywane bez poinformowania o tym abonenta lub zarejestrowanego użytkownika, może wywołać u osób, których danych są zatrzymywane czy też wykorzystywane, poczucie, iż ich życie prywatne podlega stałemu nadzorowi.

(por. pkt 34–37)

2.        Zgodnie z art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej wszelkie ograniczenia w korzystaniu z praw i wolności uznanych w karcie muszą być przewidziane ustawą i szanować istotę tych praw i wolności, zaś, z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób.

Po pierwsze, mimo iż obowiązek zatrzymywania danych nałożony dyrektywą 2006/24 w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58, stanowi szczególnie poważną ingerencję prawo do poszanowania życia prywatnego oraz inne prawa wynikające z art. 7 karty, nie narusza on ich istoty, gdyż zgodnie z art. 1 ust. 2 tej dyrektywy nie pozwala ona na zapoznawanie się z samą treścią komunikatów elektronicznych. Owo zatrzymywanie danych nie narusza też zasadniczej istoty prawa podstawowego do ochrony danych osobowych ustanowionego w art. 8 karty, gdyż w art. 7 dyrektywy 2006/24 ustanawia regułę dotyczącą ochrony i bezpieczeństwa danych.

Po drugie, rzeczywistym celem dyrektywy 2006/24 jest, jak wynika z jej art. 1 ust. 1, zapewnienie dostępności przedmiotowych danych dla dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego. Rzeczywistym celem tej dyrektywy jest więc przyczynianie się do walki z poważną przestępczością, co w ostatecznym rozrachunku przekłada się na zapewnienie bezpieczeństwa publicznego. W konsekwencji obowiązek zatrzymywania danych w celu ich ewentualnego udostępniania właściwym organom krajowym, ustanowiony w dyrektywie 2006/24, w istocie realizuje cel interesu ogólnego.

(por. pkt 38–41, 44)

3.        Stwierdza się nieważność dyrektywy 2006/24 w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58.

W istocie niewątpliwie walka z poważną przestępczością, a zwłaszcza z przestępczością zorganizowaną i terroryzmem, ma pierwszorzędne znaczenie dla zagwarantowania bezpieczeństwa publicznego, zaś jej skuteczność może w znacznym stopniu zależeć od wykorzystania nowoczesnych technik dochodzeniowo-śledczych. Jednakże tego rodzaju cel interesu ogólnego, mimo że ma on fundamentalne znaczenie, sam w sobie nie uzasadnia stwierdzenia, że system zatrzymywania danych taki jak ten ustanowiony przez dyrektywę 2006/24, jest konieczny do celów tej walki.

Ochrona danych osobowych, wynikająca z wyraźnego obowiązku ustanowionego w art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej, ma szczególne znaczenie dla prawa do poszanowania życia prywatnego ustanowionego w art. 7 karty. W rezultacie rozpatrywane uregulowania Unii muszą zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanych środków, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane zostały zatrzymane, miały wystarczające gwarancje rzeczywistej ochrony ich danych osobowych przed ryzykiem nadużyć oraz ich bezprawnym udostępnianiem i wykorzystywaniem.

Okazuje się, że dyrektywa 206/24 dotyczy wszystkich środków komunikacji elektronicznej, którymi posługiwanie się jest bardzo rozpowszechnione i ma coraz większe znaczenie w życiu codziennym każdego oraz obejmuje ona swoim zakresem stosowania wszystkich abonentów i zarejestrowanych użytkowników. Ingeruje więc w prawa podstawowe prawie wszystkich mieszkańców Unii Europejskiej.

Tymczasem po pierwsze, dyrektywa 2006/24 obejmuje generalnie wszystkie jednostki, środki łączności elektronicznej i dane o ruchu, przy czym nie przewidziano w niej jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od celu dotyczącego zwalczania poważnych przestępstw.

Po drugie, dyrektywa 2006/24 nie przewiduje żadnego obiektywnego kryterium, które pozwoliłoby zagwarantować, że właściwe organy krajowe będą miały dostęp do danych i będą mogły je wykorzystywać wyłącznie w celu zapobiegania, wykrywania i ścigania przestępstw, które z uwagi na zakres i wagę ingerencji w prawa podstawowe ustanowione w art. 7 i 8 karty, można uznać za wystarczająco poważne, by taką ingerencję uzasadnić. Ponadto dyrektywa 2006/24 nie określa żadnych materialnych i proceduralnych przesłanek, w przypadku zaistnienia których właściwe organy krajowe będą mogły uzyskać dostęp do danych i następnie je wykorzystać.

Po trzecie, dyrektywa 2006/24 przewiduje okres co najmniej sześciu miesięcy, przy czym nie wskazuje żadnych różnic między kategoriami danych w zależności od zainteresowanych osób lub ewentualnej użyteczności danych w stosunku do zakładanego celu. Ponadto nie jest wskazane, że ustalenie czasu na jaki dane są zatrzymywane winno być oparte na obiektywnych kryteriach, aby zagwarantować, że będzie on ograniczał się do tego, co ściśle niezbędne.

W rezultacie dyrektywa 2006/24 wyjątkowo szeroko i mocno ingeruje w te podstawowe dla porządku prawnego Unii prawa, przy czym przepisy mające zagwarantować to, że ingerencja ta nie będzie rzeczywiście wykraczać poza to, co ściśle niezbędne, nie regulują precyzyjnie tej kwestii.

Dyrektywa 2006/24 nie ustanawia gwarancji takich jak te określone w art. 8 karty, pozwalających na zapewnienie skutecznej ochrony zatrzymanych danych przed ryzykiem nadużyć oraz przed jakimkolwiek dostępem do nich i wykorzystywaniem w sposób niedozwolony.

Z całości powyższych względów przyjmując dyrektywę 2006/24w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającą dyrektywę 2002/58, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności na gruncie art. 7, 8 i art. 52 ust. 1 karty.

(por. pkt 51, 53, 54, 56, 57, 60, 61, 63–66, 69; sentencja)