Language of document : ECLI:EU:C:2014:238

WYROK TRYBUNAŁU (wielka izba)

z dnia 8 kwietnia 2014 r.(*)

Łączność elektroniczna – Dyrektywa 2006/24/WE – Ogólnie dostępne usługi łączności elektronicznej lub udostępnianie publicznych sieci łączności – Zatrzymywanie danych generowanych lub przetwarzanych w związku ze świadczeniem tych usług – Ważność – Artykuły 7, 8 i 11 Karty praw podstawowych Unii Europejskiej

W sprawach połączonych C‑293/12 i C‑594/12

mających za przedmiot wnioski o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożone przez High Court (Irlandia) oraz Verfassungsgerichtshof (Austria), odpowiednio postanowieniami z dni 27 stycznia i 28 listopada 2012 r., które wpłynęły do Trybunału w dniach 11 czerwca i 19 grudnia 2012 r., w postępowaniach:

Digital Rights Ireland Ltd (C‑293/12)

przeciwko

Minister for Communications, Marine and Natural Resources,

Minister for Justice, Equality and Law Reform,

Commissioner of the Garda Síochána,

Irlandii,

The Attorney General,

przy udziale:

Irish Human Rights Commission,

oraz

Kärntner Landesregierung (C‑594/12),

Michael Seitlinger,

Christof Tschohl i in.,

TRYBUNAŁ (wielka izba),

w składzie: V. Skouris, prezes, K. Lenaerts, wiceprezes, A. Tizzano, R Silva de Lapuerta, T. von Danwitz (sprawozdawca), E. Juhász, A Borg Barthet, C.G. Fernlund i J.L. da Cruz Vilaça, prezesi izb, A. Rosas, G. Arestis, J.C. Bonichot, A. Arabadjiev, C. Toader i C. Vajda, sędziowie,

rzecznik generalny: P. Cruz Villalón,

sekretarz: K. Malacek, administrator,

uwzględniając procedurę pisemną i po przeprowadzeniu rozprawy w dniu 9 lipca 2013 r.,

rozważywszy uwagi przedstawione:

–        w imieniu Digital Rights Ireland Ltd przez F. Callanana, SC, i F. Crehana, BL, upoważnionych przez S. McGarra, solicitor,

–        w imieniu M. Seitlingera przez G. Otta, Rechtsanwalt,

–        w imieniu Ch. Tschohla i in. przez E. Scheuchera, Rechtsanwalt,

–        w imieniu Irish Human Rights Commission przez P. Dillona Malone’a, BL, upoważnionego przez S. Lucey, solicitor,

–        w imieniu Irlandii przez E. Creedon i D. McGuinnessa, działających w charakterze pełnomocników, wspieranych przez E. Regana, SC, i D. Fennelly’ego, JC,

–        w imieniu rządu austriackiego przez G. Hessego oraz G. Kunnerta, działających w charakterze pełnomocników,

–        w imieniu rządu hiszpańskiego przez N. Díaz Abad, działającą w charakterze pełnomocnika,

–        w imieniu rządu francuskiego przez G. de Bergues’a i D. Colasa oraz przez B. Beaupère-Manokhę, działających w charakterze pełnomocników,

–        w imieniu rządu włoskiego przez G. Palmieri, działającą w charakterze pełnomocnika, wspieraną przez A. De Stefano, avvocato dello Stato,

–        w imieniu rządu polskiego przez B. Majczynę i M. Szpunara, działających w charakterze pełnomocników,

–        w imieniu rządu portugalskiego przez L. Ineza Fernandesa i C. Vieirę Guerrę, działających w charakterze pełnomocników,

–        w imieniu rządu Zjednoczonego Królestwa przez L. Christiego, działającego w charakterze pełnomocnika, wspieranego przez S. Lee, barrister,

–        w imieniu Parlamentu Europejskiego przez U. Rössleina i A. Caiolę oraz przez K. Zejdovą, działających w charakterze pełnomocników,

–        w imieniu Rady Unii Europejskiej przez J. Monteiro i E. Sitbona oraz przez I. Šulce, działających w charakterze pełnomocników,

–        w imieniu Komisji Europejskiej przez D. Maidani oraz przez B. Martenczuka i M. Wilderspina, działających w charakterze pełnomocników,

po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 12 grudnia 2013 r.,

wydaje następujący

Wyrok

1        Niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym dotyczą ważności dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz.U. L 105, s. 54).

2        Wniosek przedstawiony przez High Court (irlandzki wysoki trybunał) (sprawa C‑293/12) dotyczy sporu między Digital Rights Ireland Ltd (zwaną dalej „Digital Rights”) a Minister for Communications, Marine and Natural Resources (ministrem ds. łączności, środowiska naturalnego i zasobów morskich), Minister for Justice, Equality and Law Reform (ministrem ds. sprawiedliwości, równości i reformy prawa), Commissioner of the Garda Síochána (komendantem głównym irlandzkiej policji), Irlandią oraz Attorney General (prokuratorem generalnym) dotyczącego zgodności z prawem krajowych środków ustawodawczych i administracyjnych dotyczących zatrzymywania danych związanych z łącznością elektroniczną.

3        Wniosek przedstawiony przez Verfassungsgerichtshof (austriacki trybunał konstytucyjny) (sprawa C‑594/12) dotyczy skarg konstytucyjnych wniesionych przez Kärntner Landesregierung (rząd kraju związkowego Karyntii) oraz przez M. Seitlingera, Ch. Tschohla i 11 128 innych skarżących w przedmiocie zgodności z federalną ustawą konstytucyjną Austrii (Bundes-Verfassungsgesetz) ustawy wdrażającej dyrektywę 2006/24 do prawa austriackiego.

 Ramy prawne

 Dyrektywa 95/46/WE

4        Celem dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281, s. 31 – wyd. spec. w jęz. polskim, rozdz. 13, t. 15, s. 355) jest, zgodnie z jej art. 1 ust. 1, zapewnienie ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, w szczególności prawa do prywatności.

5        W odniesieniu do bezpieczeństwa przetwarzania tego rodzaju danych art. 17 ust. 1 tej dyrektywy stanowi:

„Państwa członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania.

Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przyjęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną”.

 Dyrektywa 2002/58/WE

6        Celem dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. L 201, s. 37 – wyd. spec. w jęz. polskim, rozdz. 13, t. 29, s. 514), zmienionej dyrektywą 2009/136/WE Parlamentu Europejskiego i Rady z dnia 25 listopada 2009 r. (Dz.U. L 337, s. 11, zwanej dalej „dyrektywą 2002/58”) jest, zgodnie z jej art. 1 ust. 1, harmonizacja przepisów państw członkowskich wymaganych dla zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu w Unii Europejskiej tego typu danych oraz urządzeń i usług łączności elektronicznej. W myśl art. 1 ust. 2 przepisy tej dyrektywy dookreślają i uzupełniają dyrektywę 95/46 zgodnie z celami przedstawionymi w ww. ust. 1.

7        W odniesieniu do bezpieczeństwa przetwarzania danych art. 4 dyrektywy 2002/58 przewiduje:

„1.      Dostawca publicznie dostępnych usług łączności elektronicznej musi podjąć właściwe środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa oferowanych przez siebie usług, jeśli to konieczne, wraz z dostawcą publicznej sieci komunikacyjnej w odniesieniu do bezpieczeństwa sieci. Uwzględniając najnowocześniejsze osiągnięcia techniczne oraz koszty ich wprowadzenia, środki te zapewniają poziom bezpieczeństwa odpowiedni do stopnia ryzyka.

1a.      Bez uszczerbku dla dyrektywy 95/46/WE środki, o których mowa w ust. 1, muszą co najmniej:

–        zapewniać, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach,

–        chronić przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz

–        zapewnić wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

Właściwe organy krajowe muszą być w stanie kontrolować środki przyjęte przez dostawcę publicznie dostępnych usług łączności elektronicznej oraz wydawanie zaleceń dotyczących najlepszych praktyk dotyczących poziomu bezpieczeństwa, do jakiego środki te powinny prowadzić.

2.      W przypadku szczególnego ryzyka naruszenia bezpieczeństwa sieci dostawca publicznie dostępnych usług łączności elektronicznej musi poinformować abonentów o zaistniałym ryzyku i, w przypadku gdy ryzyko wykracza poza zakres środków zaradczych, które może podjąć dostawca usług, włącznie z wynikającymi z nich ewentualnymi kosztami”.

8        W odniesieniu do poufności komunikacji i związanych z nią danych o ruchu art. 5 ust. 1 i 3 tej dyrektywy stanowią:

„1.      Państwa członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności.

[...]

3.      Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

9        Stosownie do art. 6 ust. 1 dyrektywy 2002/58:

„Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1”.

10      Zgodnie z art. 15 ust. 1 dyrektywy 2002/58:

„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej”.

 Dyrektywa 2006/24

11      Po przeprowadzaniu konsultacji z przedstawicielami organów ścigania, branży łączności elektronicznej oraz ekspertów do spraw ochrony danych w dniu 21 września 2005 r. Komisja przedstawiła ocenę wpływu wariantów politycznych odnoszących się do reguł zatrzymywania danych o ruchu (zwaną dalej „oceną wpływu”). Ocena ta posłużyła jako podstawa do opracowania wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej zmieniającej dyrektywę 2002/58/WE [COM(2005) 438 wersja ostateczna, zwanego dalej „wnioskiem dotyczącym dyrektywy”], który Komisja opublikowała tego samego dnia i który doprowadził do przyjęcia dyrektywy 2006/24 na podstawie art. 95 WE.

12      Motyw 4 dyrektywy 2006/24 stanowi:

„Artykuł 15 ust. 1 dyrektywy 2002/58/WE określa warunki, w jakich państwa członkowskie mogą ograniczyć zakres praw i obowiązków gwarantowanych przepisami art. 5, art. 6, art. 8 ust. 1, 2, 3 i 4 oraz art. 9 tej dyrektywy; wszelkie tego typu odstępstwa powinny być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego dla celów porządku publicznego, tj. zachowania bezpieczeństwa narodowego (tj. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego czy też zapobiegania, dochodzenia, wykrywania i ścigania przestępstw lub nielegalnego wykorzystania systemów łączności elektronicznej”.

13      Zgodnie z motywem 5 zdanie pierwsze dyrektywy 2006/24 „[k]ilka państw członkowskich przyjęło przepisy przewidujące zatrzymywanie danych przez usługodawców w celu zapobiegania, dochodzenia, wykrywania i ścigania przestępstw”.

14      Motywy 7–11 dyrektywy 2006/24 brzmią następująco:

„(7)      W konkluzjach z posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 19 grudnia 2002 r. podkreślono, że z uwagi na znaczny wzrost możliwości, jakie daje łączność elektroniczna, dane odnoszące się do korzystania z łączności elektronicznej są szczególnie ważne i w związku z tym stanowią istotne narzędzie służące zapobieganiu, dochodzeniu, wykrywaniu oraz ściganiu przestępstw, zwłaszcza przestępczości zorganizowanej.

(8)      Przyjęta w dniu 25 marca 2004 r. przez Radę Europejską deklaracja w sprawie zwalczania terroryzmu zaleca Radzie zbadanie środków w celu przyjęcia przepisów w sprawie zatrzymywania przez usługodawców danych o ruchu połączeń.

(9)      Zgodnie z art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC) [podpisanej w Rzymie w dniu 4 listopada 1950 r.] każdy ma prawo do poszanowania swojego życia prywatnego i korespondencji. Władze publiczne mogą ingerować w to prawo jedynie w zgodzie z obowiązującym ustawodawstwem i jeżeli jest to konieczne dla dobra społeczeństwa demokratycznego, między innymi w interesie bezpieczeństwa narodowego i publicznego, w celu zapobiegania naruszaniu porządku lub przestępstwom bądź ochrony praw i swobód innych obywateli. Ponieważ zatrzymywanie danych okazało się niezbędnym i skutecznym narzędziem egzekwowania prawa w śledztwach prowadzonych w niektórych państwach członkowskich, a w szczególności dotyczących tak poważnych przypadków, jak przestępstwa zorganizowane i terroryzm, niezbędne jest zagwarantowanie, że zatrzymywane dane przez pewien okres mogłyby być udostępniane organom odpowiedzialnym za egzekwowanie prawa, zgodnie z warunkami określonymi w niniejszej dyrektywie. [...]

(10)      W deklaracji z dnia 13 lipca 2005 r., potępiającej ataki terrorystyczne w Londynie, Rada podkreśla potrzebę możliwie szybkiego przyjęcia wspólnych środków w sprawie zatrzymywania danych dotyczących połączeń.

(11)      Zważywszy na znaczenie, jakie dane o ruchu i lokalizacji mają w dochodzeniu, wykrywaniu i ściganiu przestępstw, istnieje, jak to wykazały badania i doświadczenia kilku państw członkowskich, potrzeba zapewnienia na poziomie europejskim zatrzymywania przez pewien czas danych generowanych lub przetwarzanych przez dostawców dostępnej publicznie łączności elektronicznej lub sieci łączności publicznej podczas świadczenia usług łączności, zgodnie z warunkami określonymi w niniejszej dyrektywie”.

15      W motywach 16, 21 i 22 wspomnianej dyrektywy wyjaśniono:

„(16)      Spoczywające na usługodawcach obowiązki w zakresie środków zapewniających jakość danych, wynikające z art. 6 dyrektywy 95/46/WE, a także ich obowiązki w zakresie środków zapewniających poufność i bezpieczeństwo przetwarzania danych, wynikające z art. 16 i 17 tej dyrektywy, w pełni stosują się do danych zatrzymywanych w rozumieniu niniejszej dyrektywy.

(21)      Jako że cele niniejszej dyrektywy, mianowicie harmonizacja obowiązków spoczywających na dostawcach, dotyczących zatrzymywania pewnych danych, oraz zapewnienie dostępu do tych danych w celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie krajowym każdego państwa członkowskiego, nie mogą zostać osiągnięte w wystarczający sposób przez państwa członkowskie, a mogą z uwagi na zasięg i skutki niniejszej dyrektywy zostać lepiej osiągnięte na poziomie wspólnotowym, Wspólnota może przyjąć środki zgodnie z zasadą pomocniczości, przewidzianą w art. 5 traktatu. Zgodnie z zasadą proporcjonalności, przewidzianą w tym samym artykule, zakres niniejszej dyrektywy nie wykracza poza to, co jest konieczne dla osiągnięcia powyższych celów.

(22)      Niniejsza dyrektywa respektuje prawa podstawowe i przestrzega zasad uznanych w szczególności w Karcie praw podstawowych Unii Europejskiej; w szczególności niniejsza dyrektywa wraz z dyrektywą 2002/58/WE mają na celu zwłaszcza zapewnienie pełnego przestrzegania praw podstawowych obywateli w zakresie poszanowania prywatności i tajemnicy korespondencji oraz ochrony danych osobowych, jak to zostało określone w art. 7 i 8 Karty”.

16      Dyrektywa 2006/24 nakłada na dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności obowiązek zatrzymywania pewnych danych, jakie są przez nich generowane lub przetwarzane. W tym względzie art. 1–9, 11 oraz 13 tej dyrektywy stanowią:

Artykuł 1

Przedmiot i zakres stosowania

1.      Celem niniejszej dyrektywy jest zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie [nich] generowanych lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego.

2.      Niniejsza dyrektywa stosuje się do danych o ruchu i lokalizacji, dotyczących zarówno osób fizycznych, jak i prawnych, oraz do powiązanych z nimi danych niezbędnych do identyfikacji abonenta lub zarejestrowanego użytkownika. Nie odnosi się ona natomiast do treści komunikatów elektronicznych, w tym informacji uzyskiwanych przy użyciu sieci łączności elektronicznej.

Artykuł 2

Definicje

1.      Do celów niniejszej dyrektywy stosuje się definicje z dyrektywy 95/46/WE, dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) [...] oraz dyrektywy 2002/58/WE.

2.      Do celów niniejszej dyrektywy:

a)      »dane« oznaczają dane o ruchu i lokalizacji oraz powiązane dane niezbędne do identyfikacji abonenta lub użytkownika;

b)      »użytkownik« oznacza każdą osobę fizyczną lub prawną korzystającą z ogólnie dostępnych usług łączności elektronicznej do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu na te usługi;

c)      »usługa telefoniczna« oznacza połączenia (w tym połączenia głosowe, pocztę głosową oraz połączenia konferencyjne i transmisję danych), usługi dodatkowe (w tym przekazywanie połączeń i transfer połączeń), usługi w zakresie przekazywania wiadomości i usługi multimedialne (w tym krótkie wiadomości tekstowe (SMS), rozszerzone wiadomości tekstowe (EMS) i wiadomości multimedialne (MMS));

d)      »identyfikator użytkownika« oznacza osobny i niepowtarzalny identyfikator przypisany każdej osobie opłacającej abonament lub będącej zarejestrowanym użytkownikiem usług dostępu do Internetu lub usług komunikacji internetowej;

e)      »identyfikator komórki« oznacza identyfikację komórki, z której rozpoczęto połączenie komórkowe bądź na której je zakończono;

f)      »nieudana próba połączenia« oznacza nawiązanie łączności, w którym połączenie nie zostało odebrane lub nastąpiła interwencja sieci.

Artykuł 3

Obowiązek zatrzymywania danych

1.      Na zasadzie odstępstwa od art. 5, 6 i 9 dyrektywy 2002/58/WE państwa członkowskie przyjmują środki w celu zagwarantowania, że dane określone w art. 5 niniejszej dyrektywy są zatrzymywane zgodnie z jej przepisami w stopniu, w jakim są generowane lub przetwarzane na ich terenie przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia odnośnych usług łączności.

2.      Obowiązek zatrzymywania danych, określony w ust. 1, obejmuje również zatrzymanie danych określonych w art. 5 w przypadku nieudanych prób połączenia, podczas których dane te są generowane, przetwarzane i przechowywane (w przypadku danych telefonicznych) lub zapisywane w momencie logowania (w przypadku danych internetowych) przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności w trakcie świadczenia przedmiotowych usług łączności. Niniejsza dyrektywa nie wymaga zatrzymania danych w przypadku nieuzyskania połączenia telefonicznego.

Artykuł 4

Dostęp do danych

Państwa członkowskie podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa publicznego, w szczególności EKPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka.

Artykuł 5

Kategorie danych przeznaczonych do zatrzymywania

1.      Państwa członkowskie zapewniają zatrzymywanie następujących kategorii danych zgodnie z niniejszą dyrektywą:

a)      dane niezbędne do ustalenia źródła połączenia:

1)      w przypadku telefonii stacjonarnej i komórkowej:

(i)      numer nadawcy połączenia;

(ii)      nazwisko i adres abonenta lub zarejestrowanego użytkownika;

2)      w przypadku dostępu internetowego, elektronicznej poczty internetowej i telefonii internetowej:

(i)      przyznany identyfikator użytkownika;

(ii)      identyfikator użytkownika i numer telefonu przydzielony każdemu przychodzącemu połączeniu w sieci telefonii publicznej;

(iii) nazwisko i adres abonenta lub zarejestrowanego użytkownika, do którego w momencie połączenia należał adres IP, identyfikator użytkownika lub numer telefonu;

b)      dane niezbędne do ustalenia odbiorcy połączenia:

1)      w przypadku telefonii stacjonarnej i komórkowej:

(i)      wybierany numer (numer (numery) odbiorcy (odbiorców) połączenia), a w przypadku dodatkowych usług, takich jak przekierowywanie lub przełączanie połączeń, numer (numery) na który(-e) połączenie jest przekierowywane;

(ii)      nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników);

2)      w przypadku elektronicznej poczty internetowej i telefonii internetowej:

(i)      identyfikator użytkownika lub numer (numery) odbiorcy (odbiorców) połączenia w telefonii internetowej;

(ii)      nazwisko (nazwiska) i adres (adresy) abonenta (abonentów) lub zarejestrowanego (zarejestrowanych) użytkownika (użytkowników) i identyfikator użytkownika docelowego odbiorcy połączenia;

c)      dane niezbędne do określenia daty, godziny i czasu trwania połączenia:

1)      w przypadku telefonii stacjonarnej i komórkowej: data i dokładny czas rozpoczęcia i zakończenia połączenia;

2)      w przypadku elektronicznej poczty internetowej i telefonii internetowej:

(i)      data i godzina zalogowania i wylogowania sesji internetowej na podstawie danej strefy czasowej włącznie z adresem protokołu komunikacyjnego dynamicznego lub statycznego (IP) przydzielonym przez dostawcę usług internetowych dla danej komunikacji oraz identyfikatorem użytkownika abonenta lub zarejestrowanego użytkownika;

(ii)      data i godzina zalogowania i wylogowania z elektronicznej poczty internetowej i telefonii internetowej na podstawie danej strefy czasowej;

d)      dane niezbędne do określenia rodzaju połączenia:

1)      w przypadku telefonii stacjonarnej i komórkowej: wykorzystana usługa telefoniczna;

2)      w przypadku elektronicznej poczty internetowej i telefonii internetowej: wykorzystana usługa internetowa;

e)      dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji:

1)      w przypadku telefonii stacjonarnej i komórkowej: numery nadawcy i odbiorcy połączenia;

2)      w przypadku telefonii komórkowej:

(i)      numery nadawcy i odbiorcy połączenia;

(ii)      międzynarodowy numer tożsamości telefonicznej abonenta mobilnego (IMSI) nadawcy połączenia;

(iii) międzynarodowy numer fabryczny mobilnego aparatu telefonicznego (IMEI) nadawcy połączenia;

(iv)      IMSI odbiorcy połączenia;

(v)      IMEI odbiorcy połączenia;

(vi)      w przypadku anonimowych usług opłaconych z góry (pre-paid) data i dokładny czas początkowej aktywacji usługi oraz etykieta lokalizacji (identyfikator komórki), z której dokonano aktywacji;

3)      w przypadku dostępu do Internetu, elektronicznej poczty internetowej i telefonii internetowej:

(i)      numer telefonu przy dostępie za pośrednictwem dial-up;

(ii)      identyfikator DSL lub inny identyfikator końcowy inicjatora połączenia;

f)      dane niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej:

1)      etykieta lokalizacji (identyfikator komórki) na początku połączenia;

2)      dane pozwalające ustalić położenie geograficzne komórek przez odniesienie się do ich etykiet lokalizacji (identyfikatorów komórki) w czasie, przez który zatrzymywane są dane odnośnie połączenia.

2.      Zgodnie z niniejszą dyrektywą nie można zatrzymywać danych, które ujawniają treść komunikatu.

Artykuł 6

Okresy zatrzymywania

Państwa członkowskie gwarantują, że wymienione w art. 5 kategorie danych są zatrzymywane na okresy nie krótsze niż 6 miesięcy oraz nie dłuższe niż dwa lata od daty połączenia.

Artykuł 7

Ochrona i bezpieczeństwo danych

Bez uszczerbku dla postanowień przyjętych zgodnie z dyrektywą 95/46/WE i dyrektywą 2002/58/WE, każde państwo członkowskie gwarantuje, że dostawcy ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności respektują co najmniej następujące zasady dotyczące bezpieczeństwa danych w odniesieniu do danych zatrzymywanych zgodnie z niniejszą dyrektywą:

a)      zatrzymywane dane mają taką samą jakość i podlegają takim samym zasadom bezpieczeństwa i ochrony, jak dane w sieci;

b)      w stosunku do danych stosowane będą właściwe środki techniczne i organizacyjne w celu ochrony tych danych przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą, nieupoważnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;

c)      w stosunku do danych stosowane będą właściwe środki techniczne i organizacyjne w celu zagwarantowania, że dostęp do danych ma jedynie upoważniony do tego personel;

oraz

d)      wszystkie dane, z wyjątkiem tych, które zostały udostępnione i zachowane, zostaną zniszczone pod koniec okresu zatrzymania.

Artykuł 8

Wymogi dotyczące przechowywania zatrzymywanych danych

Państwa członkowskie gwarantują, że dane określone w art. 5 są zatrzymywane zgodnie z przepisami niniejszej dyrektywy, w sposób umożliwiający przekazanie właściwym organom na ich wniosek zatrzymywanych danych i wszelkich informacji odnoszących się do takich danych bez zbędnej zwłoki.

Artykuł 9

Organ nadzorujący

1.      Każde państwo członkowskie wyznacza jeden lub więcej organów publicznych odpowiedzialnych za nadzór nad stosowaniem na ich terytorium przepisów przyjętych przez państwa członkowskie zgodnie z art. 7 w odniesieniu do bezpieczeństwa przechowywanych danych. Organami tymi mogą być te same organy, o których mowa w art. 28 dyrektywy 95/46/WE.

2.      Organy, o których mowa w ust. 1, są w pełni niezależne w wykonywaniu nadzoru, o którym mowa w tym ustępie.

[...]

Artykuł 11

Zmiana dyrektywy 2002/58/WE

W art. 15 dyrektywy 2002/58/WE dodaje się ustęp w następującym brzmieniu:

»1a.      Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy [dyrektywy 2006/24] dla celów określonych w art. 1 ust. 1 tej dyrektywy«.

[...]

Artykuł 13

Środki prawne, odpowiedzialność i sankcje

1.      Wszystkie państwa członkowskie podejmują niezbędne środki w celu zagwarantowania, że działania krajowe służące wprowadzeniu w życie rozdziału III dyrektywy 95/46/WE, która przewiduje środki prawne, kary oraz określa zakres odpowiedzialności, są w pełni realizowane w odniesieniu do przetwarzania danych zgodnie z niniejszą dyrektywą.

2.      Każde z państw członkowskich podejmuje w szczególności środki niezbędne do zagwarantowania, że jakikolwiek umyślny dostęp do danych zatrzymanych zgodnie z obecną dyrektywą lub ich przekazywanie, czego zabrania prawo krajowe przyjęte w oparciu o niniejszą dyrektywę, podlega sankcjom, w tym także sankcjom administracyjnym i karnym, które są skuteczne, proporcjonalne i mają charakter odstraszający”.

 Postępowania przed sądami krajowymi i pytania prejudycjalne

 Sprawa C‑293/12

17      W dniu 11 sierpnia 2006 r. Digital Rights wystąpiła do High Court ze skargą, w której podniosła, że jest właścicielem zarejestrowanego w dniu 3 czerwca 2006 r. telefonu komórkowego, z którego korzysta od tamtej pory. Digital Rights kwestionuje zgodność z prawem krajowych przepisów ustawodawczych i administracyjnych dotyczących zatrzymywania danych związanych z łącznością elektroniczną, domagając się w szczególności, aby sąd odsyłający stwierdził nieważność dyrektywy 2006/24 oraz części siódmej Criminal Justice (Terrorist Offences) Act 2005 [ustawy karnej (przestępstwa o charakterze terrorystycznym) z 2005 r.], która nakłada na dostawców usług telekomunikacyjnych obowiązek zatrzymywania związanych z tymi usługami danych o ruchu i lokalizacji przez okres określony ustawą w celu zapobiegania i wykrywania przestępstw, prowadzenia czynności dochodzeniowo-śledczych oraz zapewnienia bezpieczeństwa państwa.

18      Uznając, że rozpatrzenie kwestii związanych z prawem krajowym nie jest możliwe bez rozstrzygnięcia o ważności dyrektywy 2006/24, High Court postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      Czy wynikające z wymogów art. 3, 4 i 6 dyrektywy 2006/24/WE ograniczenie praw strony skarżącej w postępowaniu głównym w zakresie korzystania z telefonii komórkowej jest niezgodne z art. 5 ust. 4 TUE, ponieważ jest nieproporcjonalne, a także nie jest konieczne lub jest nieodpowiednie do realizacji uzasadnionych celów:

a)      zapewnienia dostępności określonych danych do celów wykrywania, prowadzenia czynności dochodzeniowo-śledczych i ścigania poważnych przestępstw,

lub

b)      zapewnienia prawidłowego funkcjonowania rynku wewnętrznego Unii Europejskiej?

2)      W szczególności,

a)      Czy dyrektywa 2006/24/WE jest zgodna z prawem obywateli do swobodnego przemieszczania się i przebywania na terytorium państw członkowskich określonym w art. 21 TFUE?

b)      Czy dyrektywa 2006/24/WE jest zgodna z prawem do poszanowania życia prywatnego określonym w art. 7 [Karty praw podstawowych Unii Europejskiej (zwanej dalej »kartą«)] i art. 8 [EKPC]?

c)      Czy dyrektywa 2006/24/WE jest zgodna z prawem do ochrony danych osobowych określonym w art. 8 karty?

d)      Czy dyrektywa 2006/24/WE jest zgodna z prawem do wolności wypowiedzi określonym w art. 11 karty i art. 10 EKPC?

e)      Czy dyrektywa 2006/24/WE jest zgodna z prawem do dobrej administracji określonym w art. 41 karty?

3)      W jakim zakresie traktaty – a zwłaszcza zasada lojalnej współpracy określona w art. 4 ust. 3 TUE – zobowiązują sąd krajowy do badania i oceny zgodności krajowych przepisów wdrażających dyrektywę 2006/24/WE z gwarancjami określonymi w karcie, w tym w jej art. 7 (powtórzonym za art. 8 EKPC)?”.

 Sprawa C‑594/12

19      Źródłem wniosku o wydanie orzeczenia w trybie prejudycjalnym w sprawie C‑594/12 jest szereg skarg wniesionych do Verfassungsgerichtshof przez Kärntner Landesregierung oraz przez M. Seitlingera, Ch. Tschohla i 11 128 innych skarżących w przedmiocie stwierdzenia nieważności art. 102a Telekommunikationsgesetz 2003 (ustawy o prawie telekomunikacyjnym z 2003 r.), który do tej ustawy został dodany przez Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird (federalną ustawę zmieniającą ustawę o prawie telekomunikacyjnym) (BGBl. I, 27/2011), wdrażającą dyrektywę 2006/24 do prawa austriackiego. Zdaniem tych stron art. 102a narusza w szczególności prawo podstawowe jednostek do ochrony swoich danych.

20      Verfassungsgerichtshof zastanawia się w szczególności, czy dyrektywa 2006/24 jest zgodna z kartą w zakresie, w jakim pozwala na masowe gromadzenie przez długi czas różnych rodzajów danych dotyczących nieograniczonej liczby osób. To zatrzymywanie danych dotyczy prawie wyłącznie osób, których zachowanie w ogóle nie uzasadnia konieczności zatrzymywania dotyczących ich danych. Osoby te – w szczególności z uwagi na nieograniczoną liczbę osób mających dostęp do tych danych przez okres co najmniej sześciu miesięcy – narażone są na zwiększone ryzyko tego, że ich dane staną się obiektem zainteresowania władz, które będą mogły poznać ich treść oraz fakty z ich życia prywatnego, a także wykorzystywać je w różnych celach. Sąd odsyłający ma wątpliwości, po pierwsze, czy ta dyrektywa pozwala na osiągnięcie celów, jakie zakłada, oraz, po drugie, czy ta ingerencja w omawiane prawa podstawowe jest proporcjonalna.

21      W tych okolicznościach Verfassungsgerichtshof postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)      W przedmiocie ważności aktów instytucji unijnych:

Czy art. 3–9 dyrektywy 2006/24 są zgodne z art. 7, 8 i 11 [karty]?

2)      W przedmiocie wykładni traktatów:

a)      Czy – w świetle wyjaśnień odnoszących się do art. 8 karty, które zgodnie z art. 52 ust. 7 karty zostały sporządzone w celu wskazania [jej] wykładni i są należycie uwzględnione przez Verfassungsgerichtshof – dyrektywa 95/46 [...] oraz rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych [Dz.U. 2001, L 8, s. 1 – wyd. spec. w jęz. polskim, rozdz. 13, t. 26, s. 102] powinny być brane pod uwagę przy ocenie dopuszczalności ingerencji na równi z warunkami określonymi w art. 8 ust. 2 oraz art. 52 ust. 1 karty?

b)      Jaki jest stosunek między »praw[em] Unii«, o którym mowa w art. 52 ust. 3 ostatnie zdanie karty, a dyrektywami w dziedzinie ochrony danych?

c)      Czy, wobec okoliczności, że dyrektywa 95/46/WE oraz rozporządzenie [...] nr 45/2001 ustalają warunki i ograniczenia dla wykonywania określonego w karcie prawa podstawowego do ochrony danych, przy wykładni art. 8 karty należy uwzględniać zmiany wynikające z późniejszego prawa wtórnego?

d)      Czy – ze względu na art. 52 ust. 4 karty – konsekwencją zasady zachowania wyższego poziomu ochrony zawartej w art. 53 karty jest to, że granice określone w karcie dla ograniczeń, jakie można w sposób dopuszczalny ustalać na podstawie prawa wtórnego, powinny być ujmowane węziej?

e)      Czy w świetle art. 52 ust. 3 karty, motywu piątego preambuły oraz wyjaśnień odnoszących się do [jej] art. 7, zgodnie z którymi zagwarantowane w niej prawa odpowiadają prawom określonym w art. 8 EKPC, z orzecznictwa Europejskiego Trybunału Praw Człowieka dotyczącego art. 8 EKPC mogą wynikać wskazówki dla wykładni art. 8 karty, które mają wpływ na wykładnię tego ostatniego artykułu?”.

22      Postanowieniem prezesa Trybunału z dnia 11 czerwca 2013 r. sprawy C‑293/12 i C‑594/12 zostały połączone do celów ustnego etapu postępowania oraz wydania wyroku.

 W przedmiocie pytań prejudycjalnych

 W przedmiocie pytania drugiego lit. b)–d) w sprawie C‑293/12 oraz pytania pierwszego w sprawie C‑594/12

23      W swoich pytaniach drugim lit. b)–d) w sprawie C‑293/12 oraz pierwszym w sprawie C‑594/12, które należy rozpatrzyć łącznie, sądy odsyłające zwracają się w istocie do Trybunału o dokonanie kontroli ważności dyrektywy 2006/24 w świetle art. 7, 8 i 11 karty.

 W przedmiocie znaczenia art. 7, 8 i 11 karty do celów kontroli ważności dyrektywy 2006/24

24      Z art. 1 oraz motywów 4, 5, 7–11, 21 i 22 dyrektywy 2006/24 wynika, że jej głównym celem jest harmonizacja przepisów państw członkowskich w zakresie zatrzymywania przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności pewnych generowanych lub przetwarzanych przez nich danych, aby zapewnić ich dostępność w celu zapobiegania poważnym przestępstwom, dochodzenia, wykrywania i ścigania poważnych przestępstw, takich jak przestępstwa zorganizowane i przestępstwa o charakterze terrorystycznym, przy jednoczesnym poszanowaniu praw określonych w art. 7 i 8 karty.

25      Przewidziany w art. 3 dyrektywy 2006/24 obowiązek zatrzymywania przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności danych określonych w jej art. 5 w celu udostępniania ich w odpowiednim przypadku właściwym organom krajowym rodzi pytania dotyczące prawa do ochrony życia prywatnego i komunikowania się określonego w art. 7 karty, prawa do ochrony danych osobowych przewidzianego w jej art. 8 oraz prawa do wolności wypowiedzi zagwarantowanego w art. 11 karty.

26      W tym względzie należy zwrócić uwagę, że danymi, do których zatrzymywania zobowiązani są – na podstawie art. 3 i 5 dyrektywy 2006/24 – dostawcy ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności, są w szczególności dane niezbędne do ustalenia źródła oraz odbiorcy połączenia, do określenia daty, godziny i czasu trwania połączenia oraz jej rodzaju, do określenia narzędzia komunikacji i do identyfikacji lokalizacji urządzenia komunikacji ruchomej, w tym między innymi nazwiska i adresu abonenta lub zarejestrowanego użytkownika, numeru nadawcy i odbiorcy połączenia, a także adresu IP w przypadku usług internetowych. Dane te pozwalają w szczególności ustalić, z jaką osobą i za pomocą jakiego środka komunikował się abonent lub zarejestrowany użytkownik, a także – czas połączenia oraz miejsce, z którego zostało ono nawiązane. Dzięki nim można też ustalić częstotliwości komunikowania się abonenta lub zarejestrowanego użytkownika z określonymi osobami w danym okresie.

27      Całokształt tych danych może dostarczyć bardzo precyzyjnych wskazówek dotyczących życia prywatnego osób, których dane są zatrzymywane, takich jak ich codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, podejmowane czynności, relacje społeczne i środowiska społeczne, w których osoby te się obracają.

28      W tych okolicznościach, mimo że dyrektywa 2006/24 nie zezwala – jak wynika z jej art. 1 ust. 2 oraz art. 5 ust. 2 – na zatrzymywanie treści komunikatów ani informacji uzyskiwanych przy użyciu sieci łączności elektronicznej, nie można wykluczyć, że zatrzymywanie przedmiotowych danych może wpływać na sposób korzystania przez abonentów lub zarejestrowanych użytkowników ze środków komunikacji, których dotyczy ta dyrektywa, a tym samym – na sposób korzystania przez nich ze swobody wypowiedzi zagwarantowanej w art. 11 karty.

29      Przewidziane w dyrektywie 2006/24 zatrzymywanie danych w celu ich ewentualnego udostępnienia właściwym organom krajowym pozostaje w bezpośrednim i szczególnym związku z prawem do poszanowania życia prywatnego, a tym samym – z prawami, które zostały zagwarantowane w art. 7 karty. Takie zatrzymywanie danych jest objęte również zakresem zastosowania art. 8 karty, gdyż stanowi przetwarzanie danych osobowych w rozumieniu tego artykułu i jako takie musi spełniać wynikające z niego wymogi w zakresie ochrony danych (wyrok Volker und Markus Schecke i Eifert, C‑92/09 i C‑93/09, EU:C:2010:662, pkt 47).

30      Jakkolwiek niniejsze odesłania prejudycjalne dotyczą przede wszystkim problemu dopuszczalności zatrzymywania danych abonentów i zarejestrowanych użytkowników na gruncie art. 7 karty, poruszają one również kwestię zgodności dyrektywy 2006/24 z wymogami w zakresie ochrony danych osobowych wynikającymi z art. 8 karty.

31      W związku z powyższym, odpowiadając na pytanie drugie lit. b)–d) w sprawie C‑293/12 oraz na pytanie pierwsze w sprawie C‑594/12, kontroli ważności dyrektywy należy dokonać w świetle art. 7 i 8 karty.

 W przedmiocie ingerencji w prawa określone w art. 7 i 8 karty

32      Nakładając obowiązek zatrzymywania danych określonych w art. 5 ust. 1 dyrektywy 2006/24 oraz umożliwiając dostęp do nich właściwym organom krajowym, dyrektywa – jak zauważył rzecznik generalny w pkt 39 i 40 swej opinii – wprowadza odstępstwo od systemu ochrony prawa do poszanowania prywatności w zakresie przetwarzania danych osobowych w sektorze łączności elektronicznej ustanowionego przez dyrektywę 95/46 oraz dyrektywę 2002/58, które przewidują obowiązek zagwarantowania poufności komunikacji oraz danych o ruchu, a także obowiązek usuwania lub anonimizacji tych danych w przypadku, gdy nie są już potrzebne do celów transmisji komunikatu, z wyjątkiem sytuacji, gdy są one potrzebne do celów naliczania opłat i tylko tak długo, jak taka potrzeba istnieje.

33      Przy ustalaniu tego, czy mamy do czynienia z ingerencją w podstawowe prawo do poszanowania życia prywatnego, nie ma znaczenia, czy informacje związane z życiem prywatnym mają charakter wrażliwy, ani też to, czy też ze względu na tę ingerencję zainteresowane osoby doświadczyły ewentualnych niedogodności (zob. podobnie wyrok Österreichischer Rundfunk i in., C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 75).

34      Wynika stąd, że nałożony w art. 3 i 6 dyrektywy 2006/24 na dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności obowiązek zatrzymywania przez określony czas związanych z życiem prywatnym danej osoby i jej komunikacją danych takich jak te określone w art. 5 tej dyrektywy stanowi samoistną ingerencję w prawa zagwarantowane w art. 7 karty.

35      Za dodatkową ingerencję w to prawo podstawowe należy też uznać możliwość uzyskania dostępu do tych danych przez właściwe organy krajowe (zob., w odniesieniu do art. 8 EKPC, wyroki ETPC: z dnia 26 marca 1987 r. w sprawie Leander przeciwko Szwecji, seria A, nr 116, § 48; w sprawie Rotaru przeciwko Rumunii [GC], skarga nr 28341/95, § 46, ETPC 2000-V; a także w sprawie Weber i Saravia przeciwko Niemcom (déc.), skarga nr 54934/00, § 79, ETPC 2006-XI). W konsekwencji art. 4 i 8 dyrektywy 2006/24 określające zasady dostępu do danych przez właściwe organy krajowe również stanowią ingerencję w prawa zagwarantowane w art. 7 karty.

36      Podobnie dyrektywa 2006/24 stanowi ingerencję w prawo podstawowe do ochrony danych osobowych zagwarantowane w art. 8 karty, gdyż przewiduje możliwość przetwarzania danych osobowych.

37      Należy stwierdzić, że – jak w pkt 77 i 80 swojej opinii zauważył rzecznik generalny – dyrektywa 2006/24 stanowi szczególnie daleko posuniętą ingerencję w prawa podstawowe ustanowione w art. 7 i 8 karty. Ponadto okoliczność, że zatrzymywanie i późniejsze wykorzystywanie danych jest dokonywane bez poinformowania o tym abonenta lub zarejestrowanego użytkownika, może – zgodnie z pkt 52 i 72 tej opinii – wywołać u osób, których danych są zatrzymywane czy też wykorzystywane, poczucie, iż ich życie prywatne podlega stałemu nadzorowi.

 W przedmiocie uzasadnienia ingerencji w prawa zagwarantowane w art. 7 i 8 karty

38      Zgodnie z art. 52 ust. 1 karty wszelkie ograniczenia w korzystaniu z praw i wolności uznanych w karcie muszą być przewidziane ustawą i szanować istotę tych praw i wolności, zaś, z zastrzeżeniem zasady proporcjonalności, ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób.

39      Co się tyczy zasadniczej istoty prawa podstawowego do poszanowania życia prywatnego oraz innych praw wynikających z art. 7 karty, należy stwierdzić, że, mimo iż obowiązek zatrzymywania danych nałożony dyrektywą 2006/24 stanowi szczególnie poważną ingerencję w te prawa, nie narusza on ich istoty, gdyż zgodnie z art. 1 ust. 2 tej dyrektywy nie pozwala ona na zapoznawanie się z samą treścią komunikatów elektronicznych.

40      Owo zatrzymywanie danych nie narusza też zasadniczej istoty prawa podstawowego do ochrony danych osobowych ustanowionego w art. 8 karty, gdyż art. 7 dyrektywy 2006/24 ustanawia regułę dotyczącą ochrony i bezpieczeństwa danych, zgodnie z którą, bez uszczerbku dla postanowień przyjętych zgodnie z dyrektywą 95/46 i dyrektywą 2002/58, dostawcy ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności są obowiązani przestrzegać pewnych zasad w zakresie ochrony i bezpieczeństwa danych ustanawianych przez państwa członkowskie, które gwarantują, że w stosunku do danych stosowane będą właściwe środki techniczne i organizacyjne w celu ich ochrony przed przypadkowym lub bezprawnym zniszczeniem, utratą lub zmianą.

41      Co się tyczy kwestii, czy owa ingerencja odpowiada celowi w postaci interesu ogólnego, należy zauważyć, że o ile dyrektywa 2006/24 służy harmonizacji przepisów państw członkowskich dotyczących obowiązków wspomnianych dostawców w zakresie zatrzymywania pewnych generowanych lub przetwarzanych przez nich danych, jej rzeczywistym celem jest, jak wynika z jej art. 1 ust. 1, zapewnienie dostępności przedmiotowych danych dla dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego. Rzeczywistym celem tej dyrektywy jest więc przyczynianie się do walki z poważną przestępczością, co w ostatecznym rozrachunku przekłada się na zapewnienie bezpieczeństwa publicznego.

42      Z orzecznictwa Trybunału wynika, że walka z terroryzmem w celu utrzymania międzynarodowego pokoju i bezpieczeństwa stanowi cel interesu ogólnego Unii (zob. podobnie wyroki: Kadi i Al Barakaat International Foundation/Rada i Komisja, C‑402/05 P i C‑415/05 P, EU:C:2008:461, pkt 363; a także Al-Aqsa/Rada, C‑539/10 P i C‑550/10 P, EU:C:2012:711, pkt 130). Podobnie rzecz ma się w przypadku walki z poważną przestępczością, prowadzoną w celu zapewnienia bezpieczeństwa publicznego (zob. podobnie wyrok Tsakouridis, C‑145/09, EU:C:2010:708, pkt 46, 47). Należy też w tym względzie zauważyć, że art. 6 karty gwarantuje każdemu nie tylko prawo do wolności, ale też – do bezpieczeństwa osobistego.

43      W tym względzie z motywu 7 dyrektywy 2006/24 wynika, że z uwagi na znaczny wzrost możliwości, jakie daje łączność elektroniczna, Rada ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych na posiedzeniu z dnia 19 grudnia 2002 r. uznała, że dane związane z korzystaniem z niej są szczególnie ważne i w związku z tym stanowią istotne narzędzie służące zapobieganiu, dochodzeniu, wykrywaniu oraz ściganiu przestępstw, zwłaszcza przestępczości zorganizowanej.

44      Należy wobec tego stwierdzić, że ustanowiony w dyrektywie 2006/24 obowiązek zatrzymywania danych w celu ich ewentualnego udostępniania właściwym organom krajowym, ustanowiony w dyrektywie 2006/24, w istocie realizuje cel interesu ogólnego.

45      W tych okolicznościach należy zbadać, czy stwierdzona ingerencja jest proporcjonalna.

46      W tej kwestii trzeba przypomnieć, że zgodnie z utrwalonym orzecznictwem Trybunału zasada proporcjonalności wymaga, by akty prawne instytucji Unii były odpowiednie do realizacji uzasadnionych celów, którym akty te służą, i nie wykraczały poza to, co jest konieczne do ich osiągnięcia (zob. podobnie wyroki: Afton Chemical, C‑343/09, EU:C:2010:419, pkt 45; Volker und Markus Schecke i Eifert, EU:C:2010:662, pkt 74; Nelson i in., C‑581/10 i C‑629/10, EU:C:2012:657, pkt 71; Sky Österreich, C‑283/11, EU:C:2013:28, pkt 50; a także Schaible, C‑101/12, EU:C:2013:661, pkt 29).

47      Co się tyczy sądowej kontroli przestrzegania tych wymogów w przypadku, gdy dotyczy ona ingerencji w prawa podstawowe, zakres uprawnień dyskrecjonalnych prawodawcy Unii może okazać się ograniczony w zależności od kilku czynników, w tym między innymi obszaru, którego kontrola ta dotyczy, natury prawa gwarantowanego przez kartę, charakteru i wagi tej ingerencji oraz jej celu (zob. analogicznie w odniesieniu do art. 8 EKPC, wyrok ETPC w sprawie S i Marper przeciwko Zjednoczonemu Królestwu [GC], skargi nr 30562/04 i 30566/04, § 102, ETPC 2008-V).

48      W niniejszej sprawie, mając na uwadze, po pierwsze, znaczącą rolę, jaką odgrywa ochrona danych osobowych w świetle prawa podstawowego do poszanowania życia prywatnego oraz, po drugie, zakres i wagę ingerencji w to prawo, której źródłem jest dyrektywa 2006/24, uprawnienia dyskrecjonalne prawodawcy Unii są ograniczone, skutkiem czego kontrola tych uprawnień musi mieć charakter ścisły.

49      Co się tyczy kwestii, czy zatrzymywanie danych jest odpowiednie dla realizacji celu, jaki zakłada dyrektywa 2006/24, należy stwierdzić, że, z uwagi na rosnące znaczenie środków komunikacji elektronicznej, dane, które mają być zatrzymywane na podstawie tej dyrektywy, dają krajowym organom ścigania dodatkowe możliwości w zakresie wyjaśniania okoliczności poważnych przestępstw i z tego względu stanowią dla nich cenne narzędzie przy prowadzeniu czynności dochodzeniowo-śledczych. Można zatem uznać, że zatrzymywanie tego rodzaju danych jest odpowiednie dla realizacji celów, jakie zakłada ta dyrektywa.

50      Oceny tej nie podważa podniesiony w uwagach na piśmie przez Ch. Tschohla i M. Seitlingera oraz rząd portugalski argument, że istnieje szereg środków łączności elektronicznej, które nie zostały objęte dyrektywą 2006/24 albo które pozwalają na anonimizację komunikatów. O ile okoliczność ta z pewnością może osłabić zdatność środka polegającego na zatrzymywaniu danych do realizacji zamierzonego celu, nie oznacza to, że – jak w pkt 137 swojej opinii zauważył rzecznik generalny – środek ten jest do tego nieprzydatny.

51      Co się tyczy kwestii, czy zatrzymywanie danych, którego obowiązek został ustanowiony w dyrektywie 2006/24, jest konieczne, należy stwierdzić, że walka z poważną przestępczością, a zwłaszcza z przestępczością zorganizowaną i terroryzmem, z pewnością ma pierwszorzędne znaczenie dla zagwarantowania bezpieczeństwa publicznego, zaś jej skuteczność może w znacznym stopniu zależeć od wykorzystania nowoczesnych technik dochodzeniowo-śledczych. Jednakże tego rodzaju cel interesu ogólnego, mimo że ma on fundamentalne znaczenie, sam w sobie nie uzasadnia stwierdzenia, że system zatrzymywania danych taki jak ten ustanowiony przez dyrektywę 2006/24, jest konieczny do celów tej walki.

52      Co się tyczy prawa do poszanowania życia prywatnego, zgodnie z utrwalonym orzecznictwem ochrona tego prawa podstawowego w każdym wypadku wymaga, aby odstępstwa od ochrony danych osobowych i jej ograniczenia ograniczały się do tego, co absolutnie konieczne (wyrok IPI, C‑473/12, EU:C:2013:715, pkt 39 i przytoczone tam orzecznictwo).

53      W tym względzie należy przypomnieć, że ochrona danych osobowych mająca swoje źródło w wyraźnie przewidzianym w art. 8 ust. 1 karty obowiązku jest szczególnie istotna z punktu widzenia prawa do poszanowania życia prywatnego ustanowionego w jej art. 7.

54      W rezultacie rozpatrywane uregulowania Unii muszą zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanych środków, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane zostały zatrzymane, miały wystarczające gwarancje rzeczywistej ochrony ich danych osobowych przed ryzykiem nadużyć oraz ich bezprawnym udostępnianiem i wykorzystywaniem (zob. analogicznie, w odniesieniu do art. 8 EKPC, wyrok ETPC z dnia 1 lipca 2008 r. w sprawie Liberty i in. przeciwko Zjednoczonemu Królestwu, skarga nr 58243/00, §§ 62, 63; ww. wyrok w sprawie Rotaru przeciwko Rumunii, §§ 57–59; a także ww. wyrok w sprawie S i Marper przeciwko Zjednoczonemu Królestwu, § 99).

55      Konieczność zapewnienia takich gwarancji ma znaczenie tym większe, że zgodnie z dyrektywą 2006/24 dane osobowe przetwarzane są automatycznie, z czym wiąże się ryzyko bezprawnego uzyskania dostępu do nich (zob. analogicznie, w odniesieniu do art. 8 EKPC, wyroki ETPC: ww. wyrok w sprawie S i Marper przeciwko Zjednoczonemu Królestwu, § 103; a także wyrok z dnia 18 kwietnia 2013 r. w sprawie M.K. przeciwko Francji, skarga nr 19522/09, § 35).

56      Co się tyczy kwestii, czy ingerencja, którą zakłada dyrektywa 2006/24, jest ograniczona do tego, co ściśle niezbędne, należy zauważyć, że zgodnie z art. 3 w związku z art. 5 ust. 1 dyrektywa ta zobowiązuje do zatrzymywania wszystkich danych o ruchu związanych z telefonią stacjonarną i mobilną, dostępem do Internetu, pocztą elektroniczną oraz telefonią internetową. Obowiązek ten dotyczy zatem wszystkich środków komunikacji elektronicznej, którymi posługiwanie się jest bardzo rozpowszechnione i ma coraz większe znaczenie w życiu codziennym każdego. Ponadto, zgodnie z art. 3 powyższej dyrektywy, obejmuje ona swoim zakresem stosowania wszystkich abonentów i zarejestrowanych użytkowników. Ingeruje więc w prawa podstawowe prawie wszystkich mieszkańców Unii Europejskiej.

57      W tym względzie należy stwierdzić, po pierwsze, że dyrektywa 2006/24 obejmuje generalnie wszystkie jednostki, środki łączności elektronicznej i dane o ruchu, przy czym nie przewidziano w niej jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od celu dotyczącego zwalczania poważnych przestępstw.

58      Z jednej bowiem strony dyrektywa 2006/24 obejmuje całościowo wszystkie korzystające z usług łączności elektronicznej osoby, których dane zatrzymywane są nawet wtedy, gdy nie ma wobec nich żadnych podstaw, nawet pośrednich, do wszczęcia postępowania karnego. Ma ona zastosowanie nawet wobec tych osób, co do których brak jest dowodów mogących sugerować, że ich zachowanie może mieć związek, nawet pośredni i daleki, z poważnymi przestępstwami. Ponadto dyrektywa nie przewiduje żadnych wyjątków, a więc w rezultacie stosuje się nawet wobec tych osób, których komunikacja na gruncie przepisów prawa krajowego objęta jest tajemnicą zawodową.

59      Z drugiej strony, mając jednocześnie na celu przyczynienie się do walki z poważną przestępczością, dyrektywa ta nie wymaga istnienia żadnego związku między danymi, które mają być zatrzymywane, a zagrożeniem dla bezpieczeństwa publicznego; w szczególności dyrektywa nie ogranicza się do zatrzymywania danych związanych albo z określonym czasem, określonym obszarem geograficznym lub określonym kręgiem osób mogących, w taki czy inny sposób, mieć związek z poważnym przestępstwem, albo osobami, których zatrzymane dane z innych powodów mogłyby przyczynić się do zapobiegania poważnym przestępstwom oraz ich wykrywania lub ścigania.

60      Po drugie, dyrektywa 2006/24 nie tylko nie wyznacza ogólnych granic swojego zakresu zastosowania, ale także nie przewiduje żadnego obiektywnego kryterium, które pozwoliłoby zagwarantować, że właściwe organy krajowe będą miały dostęp do danych i będą mogły je wykorzystywać wyłącznie w celu zapobiegania, wykrywania i ścigania przestępstw, które z uwagi na zakres i wagę ingerencji w prawa podstawowe ustanowione w art. 7 i 8 karty, można uznać za wystarczająco poważne, by taką ingerencję uzasadnić. Przeciwnie, dyrektywa 2006/24 ogranicza się do ogólnego odesłania, w art. 1 ust. 1, do pojęcia „poważnych przestępstw” określonych w ustawodawstwie każdego państwa członkowskiego.

61      Ponadto dyrektywa nie określa żadnych materialnych i proceduralnych przesłanek, w przypadku zaistnienia których właściwe organy krajowe będą mogły uzyskać dostęp do danych i następnie je wykorzystać. Artykuł 4 tej dyrektywy, regulujący kwestię dostępu tych organów do zatrzymanych danych, nie stanowi wyraźnie, że możliwość dostępu do tych danych i ich późniejszego wykorzystania powinna być ściśle ograniczona celami zapobiegania i wykrywania dokładnie określonych poważnych przestępstw lub ich ścigania, a jedynie wskazuje, że każde państwo członkowskie ma określić procedury i warunki uzyskiwania dostępu do zatrzymanych danych, mając na uwadze wymogi konieczności i proporcjonalności.

62      W szczególności dyrektywa 2006/24 nie przewiduje żadnego obiektywnego kryterium, które pozwoliłoby ograniczyć liczbę osób uprawnionych do uzyskiwania dostępu i późniejszego wykorzystywania zatrzymanych danych do przypadków, gdy jest to ściśle konieczne do realizacji zamierzonego celu. Przede wszystkim to uzyskanie przez właściwe organy krajowe dostępu do danych nie podlega uprzedniej kontroli sądu lub niezależnego organu administracyjnego, które pilnowałyby, aby udostępnianie i wykorzystywanie danych ograniczało się do przypadków, gdy jest to ściśle konieczne do realizacji zamierzonego celu, oraz orzekały lub decydowały wyłącznie na uzasadniony wniosek przedstawiony w kontekście postępowań mających na celu zapobieganie, wykrywanie lub ściganie przestępstw. Co więcej, dyrektywa nie nakazuje państwom członkowskim w sposób wyraźny ustanowienia takich mechanizmów.

63      Po trzecie, w odniesieniu do czasu zatrzymania danych, dyrektywa 2006/24 przewiduje w art. 6 okres co najmniej sześciu miesięcy, przy czym nie wskazuje żadnych różnic między kategoriami danych przewidzianymi w art. 5 w zależności od zainteresowanych osób lub ewentualnej użyteczności danych w stosunku do zakładanego celu.

64      Co więcej, czas ten wynosi od co najmniej sześciu do maksymalnie dwudziestu czterech miesięcy, przy czym dyrektywa nie wskazuje obiektywnych kryteriów, na podstawie których należy ustalić czas, na jaki dane te zostaną zatrzymane, aby zagwarantować, że będzie on ograniczał się do tego, co ściśle niezbędne.

65      Wynika stąd, że dyrektywa 2006/24 nie zawiera jasnych i precyzyjnych reguł określających zakres ingerencji w prawa podstawowe ustanowione w art. 7 i 8 karty. Należy w rezultacie stwierdzić, że dyrektywa ta wyjątkowo szeroko i mocno ingeruje w te podstawowe dla porządku prawnego Unii prawa, przy czym przepisy mające zagwarantować to, że ingerencja ta nie będzie rzeczywiście wykraczać poza to, co ściśle niezbędne, nie regulują precyzyjnie tej kwestii.

66      Ponadto w odniesieniu do reguł związanych z bezpieczeństwem i ochroną danych zatrzymywanych przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznych sieci łączności, należy zauważyć, że dyrektywa 2006/24 nie ustanawia gwarancji takich jak te określone w art. 8 karty, pozwalających na zapewnienie skutecznej ochrony tych danych przed ryzykiem nadużyć oraz przed jakimkolwiek dostępem do nich i wykorzystywaniem w sposób niedozwolony. W pierwszej kolejności art. 7 dyrektywy 2006/24 nie przewiduje bowiem konkretnych reguł, które uwzględniałyby okoliczność, że ilość danych, które dyrektywa nakazuje zatrzymywać, jest znaczna, że dane te mają charakter wrażliwy, oraz że istnieje ryzyko bezprawnego uzyskania dostępu do nich, a które reguły w szczególności wyraźnie i dokładnie rozwiązywałyby problem ochrony i bezpieczeństwa tych danych w taki sposób, aby zapewnić ich integralność i poufność. Co więcej, dyrektywa nie nakłada na państwa członkowskie wyraźnego obowiązku ustanowienia takich reguł.

67      Artykuł 7 dyrektywy 2006/24 w związku z art. 4 ust. 1 dyrektywy 2002/58 i art. 17 ust. 1 akapit drugi dyrektywy 95/46 nie tylko nie gwarantuje tego, że dostawcy ci będą zachowywać odpowiednio wysoki poziom ochrony i bezpieczeństwa tych danych dzięki zastosowaniu środków technicznych i organizacyjnych, ale nawet pozwala im przy określaniu stosowanych przez nich poziomów bezpieczeństwa kierować się względami gospodarczymi, jeśli chodzi o koszty wprowadzenia tych środków bezpieczeństwa. W szczególności dyrektywa 2006/24 nie gwarantuje nieodwracalnego zniszczenia danych po upływie ich okresu zatrzymania.

68      W drugiej kolejności trzeba dodać, że w ramach nałożonego przez tę dyrektywę obowiązku nie przewidziano, aby dane były zatrzymywane na obszarze Unii, a w rezultacie nie można uznać, że dyrektywa ta w pełni gwarantuje kontrolę poszanowania wymogów ochrony i bezpieczeństwa, o których mowa w dwóch poprzednich punktach, przez niezależny organ, czego wyraźnie wymaga art. 8 ust. 3 karty. Tymczasem kontrola taka, dokonywana na podstawie prawa Unii, stanowi zasadniczy element poszanowania ochrony osób w odniesieniu do przetwarzania danych osobowych (zobacz podobnie wyrok Komisja/Austria, C‑614/10, EU:C:2012:631, pkt 37).

69      Z powyższych względów należy uznać, że przyjmując dyrektywę 2006/24, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności na gruncie art. 7, 8 i art. 52 ust. 1 karty.

70      W tych okolicznościach nie ma potrzeby przeprowadzania kontroli ważności dyrektywy 2006/24 w świetle art. 11 karty.

71      Na pytanie drugie lit. b–d) w sprawie C‑293/12 oraz na pytanie pierwsze w sprawie C‑594/12 należy w związku z tym odpowiedzieć, że dyrektywa 2006/24 jest nieważna.

 W przedmiocie pytania pierwszego, pytania drugiego lit. a) i e) oraz pytania trzeciego w sprawie C‑293/12, a także pytania drugiego w sprawie C‑594/12

72      Z powyższego punktu wynika, że nie ma potrzeby udzielania odpowiedzi na pytanie pierwsze, pytanie drugie lit. a) i e) oraz pytanie trzecie w sprawie C‑293/12, a także na pytanie drugie w sprawie C‑594/12.

 W przedmiocie kosztów

73      Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.

Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:

Stwierdza się nieważność dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE.

Podpisy


* Języki postępowania: angielski i niemiecki.