NÁVRHY GENERÁLNEHO ADVOKÁTA
HENRIK SAUGMANDSGAARD ØE
prednesené 19. júla 2016 (1)
Spojené veci C‑203/15 a C‑698/15
Tele2 Sverige AB
proti
Post‑ och telestyrelsen (C‑203/15)
a
Secretary of State for the Home Department
proti
Tomovi Watsonovi,
Petrovi Briceovi,
Geoffreymu Lewisovi (C‑698/15),
za účasti:
Open Rights Group,
Privacy International,
Law Society of England and Wales
<návrhy na začatie prejudiciálneho konania, ktoré podali Kammarrätten i Stockholm (Odvolací správny súd Štokholm, Švédsko) a Court of Appeal (England & Wales) (Civil Division) [Odvolací súd (Anglicko a Wales) (občianskoprávne kolégium), Spojené kráľovstvo]>
„Návrh na začatie prejudiciálneho konania – Smernica 2002/58/ES – Spracovávanie osobných údajov a ochrana súkromia v sektore elektronických komunikácií – Vnútroštátna právna úprava stanovujúca všeobecnú povinnosť uchovávať údaje týkajúce sa elektronických komunikácií – Článok 15 ods. 1 – Charta základných práv Európskej únie – Článok 7 – Právo na rešpektovanie súkromného života – Článok 8 – Právo na ochranu osobných údajov – Závažný zásah – Odôvodnenie – Článok 52 ods. 1 – Podmienky – Oprávnený cieľ boja proti závažným trestným činom – Požiadavka zákonného základu vo vnútroštátnom práve – Požiadavka prísnej nevyhnutnosti – Požiadavka primeranosti v demokratickej spoločnosti“
Obsah
I – Úvod
II – Právny rámec
A – Smernica 2002/58
B – Švédske právo
1. O rozsahu povinnosti uchovávať údaje
2. O prístupe k uchovávaným údajom
a) LEK
b) RB
c) Zákon 2012:278
3. Doba uchovávania údajov
4. O ochrane a bezpečnosti uchovávaných údajov
C – Právo Spojeného kráľovstva
1. O rozsahu povinnosti uchovávať údaje
2. O prístupe k uchovávaným údajom
3. O dobe uchovávania údajov
4. O ochrane a bezpečnosti uchovávaných údajov
III – Spory vo veciach samých a prejudiciálne otázky
A – Vec C‑203/15
B – Vec C‑698/15
IV – Konanie pred Súdnym dvorom
V – Analýza prejudiciálnych otázok
A – O prípustnosti druhej prejudiciálnej otázky položenej vo veci C‑698/15
B – O zlučiteľnosti všeobecnej povinnosti uchovávať údaje s režimom zavedeným smernicou 2002/58
1. O tom, či povinnosť uchovávať údaje patrí do pôsobnosti smernice 2002/58
2. O možnosti odchýliť sa od režimu zavedeného smernicou 2002/58 prostredníctvom zavedenia všeobecnej povinnosti uchovávať údaje
C – O uplatniteľnosti Charty vo vzťahu k povinnosti uchovávať údaje
D – O zlučiteľnosti všeobecnej povinnosti uchovávať údaje s požiadavkami stanovenými v článku 15 ods. 1 smernice 2002/58, ako aj v článkoch 7 a 8 a článku 52 ods. 1 Charty
1. O požiadavke týkajúcej sa právneho základu vo vnútroštátnom práve
2. O rešpektovaní podstaty práv uznaných v článkoch 7 a 8 Charty
3. O existencii cieľa všeobecného záujmu, ktorý je uznaný Úniou a môže odôvodniť všeobecnú povinnosť uchovávať údaje
4. O vhodnosti všeobecnej povinnosti uchovávať údaje so zreteľom na boj proti závažným trestným činom
5. O nevyhnutnosti všeobecnej povinnosti uchovávať údaje vo vzťahu k boju proti závažným trestným činom
a) O prísnej nevyhnutnosti všeobecnej povinnosti uchovávať údaje
b) O nevyhnutnosti záruk uvedených Súdnym dvorom v bodoch 60 až 68 rozsudku DRI z hľadiska požiadavky prísnej nevyhnutnosti
6. O primeranosti všeobecnej povinnosti uchovávať údaje vzhľadom na cieľ boja proti závažným trestným činom v demokratickej spoločnosti
VI – Návrh
I – Úvod
1. V roku 1788 napísal James Madison, jeden z autorov Ústavy Spojených štátov amerických: „If men were angels, no government would be necessary. If angels were to govern men, neither external nor internal controls on government would be necessary. In framing a government which is to be administered by men over men, the great difficulty lies in this: you must first enable the government to control the governed; and in the next place oblige it to control itself“(2).
2. Prejednávané veci nás privádzajú k „veľkému problému“ identifikovanému Madisonom. Týkajú sa zlučiteľnosti vnútroštátnych režimov, ktoré ukladajú poskytovateľom verejne dostupných elektronických komunikačných služieb (ďalej len „poskytovatelia“) povinnosť uchovávať údaje týkajúce sa elektronických komunikácií (ďalej len „údaje týkajúce sa komunikácií“), ktorá sa týka všetkých komunikačných prostriedkov a všetkých užívateľov (ďalej len „všeobecná povinnosť uchovávať údaje“), s právom Únie.
3. Na jednej strane uchovávanie údajov týkajúcich sa komunikácií umožňuje „štátu kontrolovať tých, ktorým vládne“, tým, že príslušným orgánom poskytuje vyšetrovací prostriedok, ktorý určite môže byť užitočný v boji proti závažným trestným činom, a najmä v boji proti terorizmu. Uchovávanie týchto údajov v podstate poskytuje orgánom obmedzenú možnosť „čítať minulosť“ prostredníctvom prístupu k údajom týkajúcim sa komunikácií, ktoré určitá osoba uskutočnila ešte pred tým, ako sa stala podozrivou v súvislosti so závažným trestným činom.(3)
4. Na druhej strane však treba „štátu uložiť povinnosť kontrolovať sám seba“, a to tak z hľadiska uchovávania údajov, ako aj prístupu k uchovávaným údajom, so zreteľom na vážne riziká spojené s existenciou takýchto databáz, ktoré zahŕňajú všetky komunikácie uskutočnené na území štátu. Tieto databázy značného rozsahu totiž umožňujú každému, kto má do nich prístup, ihneď získať súpis všetkého relevantného obyvateľstva.(4) Tieto riziká treba starostlivo vyhodnotiť najmä prostredníctvom posúdenia, či je všeobecná povinnosť uchovávať údaje, o akú ide v sporoch vo veci samej, prísne nevyhnutná a primeraná.
5. V rámci prejednávaných vecí je tak úlohou Súdneho dvora a vnútroštátnych súdov nájsť rovnováhu medzi povinnosťou členských štátov zaistiť bezpečnosť jednotlivcov nachádzajúcich sa na ich území a dodržiavaním základných práv na súkromie a ochranu osobných údajov, ktoré sú zakotvené v článkoch 7 a 8 Charty základných práv Európskej únie (ďalej len „Charta“).
6. Otázky položené Súdnemu dvoru v prejednávaných veciach preskúmam z hľadiska uvedeného „veľkého problému“. Tieto otázky sa konkrétne týkajú zlučiteľnosti vnútroštátnych režimov, ktorými sa stanovuje všeobecná povinnosť uchovávať údaje, so smernicou 2002/58/ES(5) a článkami 7 a 8 Charty. Na zodpovedanie týchto otázok bude potrebné, aby Súdny dvor predovšetkým spresnil výklad, ktorý sa má vo vnútroštátnom kontexte pripisovať rozsudku Digital Rights Ireland a i. (ďalej len „rozsudok DRI“)(6), v ktorom veľká komora Súdneho dvora vyhlásila smernicu 2006/24/ES(7) za neplatnú.
7. Z dôvodov, ktoré ďalej vysvetlím, sa domnievam, že všeobecná povinnosť uchovávať údaje, ktorú ukladá členský štát, môže byť zlučiteľná so základnými právami zakotvenými v práve Únie za predpokladu, že je striktne vymedzená radom prísnych záruk, ktoré uvediem ďalej vo svojom výklade.
II – Právny rámec
A – Smernica 2002/58
8. Článok 1 smernice 2002/58, nazvaný „Rozsah pôsobnosti a cieľ“, stanovuje:
„1. Touto smernicou sa ustanovuje harmonizácia vnútroštátnych ustanovení požadovaných na zabezpečenie primeranej úrovne ochrany základných práv a slobôd, a najmä práva na súkromie a dôvernosť, z hľadiska spracúvania osobných údajov v elektronickom komunikačnom sektore a zabezpečenia voľného pohybu takých údajov a elektronických komunikačných zariadení a služieb v [Európskej únii].
2. Ustanovenia tejto smernice spodrobňujú a dopĺňajú smernicu [95/46] na účely uvedené v odseku 1. Okrem toho poskytujú ochranu legitímnych záujmov účastníkov, ktorí sú právnickými osobami.
3. Táto smernica sa nevzťahuje na činnosti, ktoré sú mimo pôsobnosti [ZFEÚ], ako sú činnosti podľa hlavy V a VI [ZEÚ] a v žiadnom prípade na činnosti týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane ekonomického blahobytu štátu, keď sa činnosti týkajú záležitostí bezpečnosti štátu) a činnosti v oblasti trestného práva.“
9. Článok 15 ods. 1 smernice 2002/58, nazvaný „Uplatňovanie niektorých ustanovení smernice [95/46]“, znie:
„Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu práv a povinností uvedených v článku 5, článku 6, článku 8 ods. 1, 2, 3 a 4 a článku 9 tejto smernice, ak také obmedzenie predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie národnej bezpečnosti (t. j. bezpečnosti štátu), obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo neoprávnené používanie elektronického komunikačného systému podľa článku 13 ods. 1 smernice [95/46]. Na tento účel členské štáty môžu, medzi iným, prijať legislatívne opatrenia umožňujúce zadržanie údajov na limitované obdobie, oprávnené z dôvodov stanovených v tomto odseku. Všetky opatrenia uvedené v tomto odseku musia byť v súlade so všeobecnými princípmi práva spoločenstva vrátane tých, ktoré sú uvedené v článku 6 ods. 1 a 2 [ZEÚ].“
B – Švédske právo
10. Dnes už neplatná smernica 2006/24 bola prebratá do švédskeho práva prostredníctvom zmien a doplnení lagen (2003:389) om elektronisk kommunikation (švédsky zákon 2003:389 o elektronických komunikáciách, ďalej len „LEK“) a förordningen (2003:396) om elektronisk kommunikation (nariadenie 2003:396 o elektronických komunikáciách, ďalej len „FEK“), ktoré nadobudli účinnosť 1. mája 2012.
1. O rozsahu povinnosti uchovávať údaje
11. Z ustanovení kapitoly 6 § 16a LEK vyplýva, že poskytovatelia sú povinní uchovávať údaje týkajúce sa komunikácií, ktoré sú potrebné na identifikáciu zdroja komunikácie, adresáta komunikácie, dátumu, času a trvania komunikácie, typu komunikácie, použitého komunikačného zariadenia a polohy použitého mobilného komunikačného zariadenia pri začatí a ukončení komunikácie. Druhy údajov, ktoré sa majú uchovávať, sú podrobnejšie špecifikované v ustanoveniach § 38 až § 43 FEK.
12. Táto povinnosť uchovávať údaje sa vzťahuje na údaje spracované telefónnym spojením, mobilným telefónnym spojením, prenosom správ, internetovým prístupom a poskytovaním kapacity na internetový prístup.
13. Údaje, ktoré sa musia uchovávať, zahŕňajú všetky údaje, ktoré sa mali uchovávať podľa smernice 2006/24, ale tiež údaje o neúspešných volaniach, ako aj údaje o polohe v čase ukončenia telefonátu z mobilného telefónu. Tak ako v prípade režimu zavedeného touto smernicou údaje, ktoré sa musia uchovávať, nezahŕňajú obsah komunikácií.
2. O prístupe k uchovávaným údajom
14. Prístup k uchovávaným údajom upravujú tri zákony: LEK, rättegångsbalken (súdny poriadok, ďalej len „RB“) a lagen (2012:278) om inhämtning av uppgifter om elektronisk kommunikation i de brottsbekämpande myndigheternas underrättelseverksamhet (švédsky zákon 2012:278 o zhromažďovaní údajov o elektronických komunikáciách pri vyšetrovacích činnostiach orgánov pôsobiacich v oblasti presadzovania práva).
a) LEK
15. Podľa ustanovení kapitoly 6 § 22 prvého odseku bodu 2 LEK každý musí poskytovateľ na požiadanie poskytnúť údaje o predplatnom prokurátorovi, polícii, Säkerhetspolisen (švédska bezpečnostná služba, ďalej len „Säpo“) alebo akémukoľvek inému orgánu verejnej moci poverenému presadzovaním práva, ak tieto údaje súvisia s trestným činom, o ktorom existuje podozrenie. Tieto ustanovenia nevyžadujú, aby išlo o závažný trestný čin.
16. Pojem údaje o predplatnom v podstate označuje údaje ako meno, titul, adresu, telefónne číslo a IP adresu predplatiteľa.
17. Poskytnutie údajov o predplatnom podľa LEK nie je podmienené predchádzajúcou kontrolou, ale môže podliehať následnej správnej kontrole. Okruh orgánov, ktoré môžu získať prístup k týmto údajom, navyše nie je obmedzený.
b) RB
18. RB upravuje otázku sledovania elektronickej komunikácie v rámci prípravného konania.
19. Sledovanie elektronickej komunikácie možno v podstate nariadiť len v prípade, ak existuje dôvodné podozrenie, že určitá osoba spáchala trestný čin, za ktorý možno uložiť trest odňatia slobody aspoň na šesť mesiacov, alebo iný z vymenovaných trestných činov, a toto opatrenie má osobitný význam pre vyšetrovanie.
20. Okrem uvedených prípadov možno takéto sledovanie vykonávať iba na účely vyšetrovania trestného činu, za ktorý možno uložiť trest odňatia slobody aspoň na dva roky, s cieľom zistiť, kto by mohol byť dôvodne podozrivý z jeho spáchania, ak má takéto opatrenie osobitný význam pre vyšetrovanie.
21. Podľa kapitoly 27 § 21 RB musí prokurátor spravidla pred tým, ako pristúpi k sledovaniu elektronickej komunikácie, získať povolenie príslušného súdu.
22. Ak sa však možno domnievať, že vyžiadanie povolenia na sledovanie elektronickej komunikácie od príslušného súdu, ktoré je úplne nevyhnutným opatrením na účely vyšetrovania, by viedlo k zdržaniu alebo iným prekážkam vo vyšetrovaní, môže povolenie na toto opatrenie na obdobie do rozhodnutia príslušného súdu vydať prokurátor. Prokurátor však musí toto opatrenie ihneď písomne oznámiť príslušnému súdu. Príslušný súd musí následne dôkladne preskúmať opodstatnenosť takéhoto opatrenia.
c) Zákon 2012:278
23. Podľa § 1 zákona 2012:278 môžu štátna polícia, Säpo alebo Tullverket (švédsky colný úrad) za podmienok uvedených v tomto zákone zhromažďovať v rámci svojej vyšetrovacej činnosti údaje týkajúce sa komunikácií bez vedomia poskytovateľa.
24. Podľa § 2 a 3 zákona 2012:278 možno údaje zhromažďovať vtedy, keď má toto opatrenie v závislosti od okolností osobitný význam z hľadiska predchádzania, zabránenia alebo odhaľovania trestnej činnosti zahŕňajúcej jeden alebo viaceré trestné činy, za ktoré možno uložiť trest odňatia slobody aspoň na dva roky, alebo niektorý z trestných činov vymenovaných v § 3 (vrátane rôznych foriem sabotáže a špionáže).
25. Rozhodnutie pristúpiť k takémuto opatreniu prijíma vedúci príslušného orgánu alebo osoba, ktorá má príslušné poverenie.
26. V rozhodnutí musí byť uvedená trestná činnosť a príslušné obdobie, ako aj telefónne číslo, akákoľvek iná adresa, elektronické komunikačné zariadenie alebo zemepisná oblasť, na ktoré sa rozhodnutie vzťahuje. Obdobie, na ktoré rozhodnutie vzťahuje, nesmie byť dlhšie, než je nevyhnutné, a – pokiaľ ide o obdobie nasledujúce po rozhodnutí o povolení – toto obdobie nesmie byť dlhšie ako jeden mesiac.
27. Tento druh opatrenia nepodlieha predchádzajúcej kontrole. Podľa § 6 zákona 2012:278 však treba upovedomiť Säkerhets‑ och integritetsskyddsnämnden (Komisia pre bezpečnosť a ochranu integrity, Švédsko) o každom rozhodnutí o povolení na zhromažďovanie údajov. Podľa § 1 lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (zákon o dohľade nad určitými činnosťami v oblasti presadzovania práva) má tento orgán dohliadať na uplatňovanie práva orgánmi pôsobiacimi v oblasti presadzovania práva.
3. Doba uchovávania údajov
28. Podľa kapitoly 6 § 16d LEK sa údaje uvedené v kapitole 6 § 16a LEK musia uchovávať šesť mesiacov odo dňa ukončenia komunikácie. Údaje sa potom musia ihneď zničiť, pokiaľ sa v kapitole 6 § 16d druhom odseku LEK nestanovuje inak. Podľa kapitoly 6 § 16d druhého odseku LEK sa majú údaje vyžiadané pred koncom obdobia uchovávania, ktoré však ešte neboli poskytnuté, zničiť hneď po tom, ako boli poskytnuté.
4. O ochrane a bezpečnosti uchovávaných údajov
29. Podľa kapitoly 6 § 20 prvého odseku LEK nesmie nikto bez povolenia šíriť alebo využívať údaje týkajúce sa komunikácií.
30. Podľa kapitoly 6 § 3a LEK musia poskytovatelia prijať vhodné technické a organizačné opatrenia na zabezpečenie ochrany uchovávaných údajov počas ich spracovania. Z prípravných prác týkajúcich sa tohto ustanovenia vyplýva, že nie je dovolené určovať úroveň ochrany prostredníctvom porovnania techniky a nákladov s rizikom počítačového pirátstva a narušenia súkromia.
31. Ďalšie požiadavky týkajúce sa ochrany údajov sú uvedené v § 37 FEK a v pokynoch a usmerneniach Post‑ och telestyrelsen (švédsky orgán pre dohľad nad poštami a telekomunikáciami, ďalej len „PTS“) o ochranných opatreniach pri uchovávaní a spracovávaní údajov na účely boja proti trestnej činnosti (PTSFS č. 2012:4). V týchto predpisoch sa okrem iného uvádza, že poskytovatelia musia prijať opatrenia na ochranu údajov pred neúmyselným alebo protiprávnym zničením, pred protiprávnym uchovávaním, spracovaním alebo prístupom a protiprávnym zverejňovaním údajov. Poskytovatelia tiež musia sústavne a systematicky zaisťovať bezpečnosť údajov s prihliadnutím na osobitné riziká súvisiace s povinnosťou uchovávať údaje.
32. V švédskom práve neexistujú ustanovenia, ktoré by stanovovali, kde sa majú tieto údaje uchovávať.
33. Podľa kapitoly 7 LEK má orgán dohľadu v prípade, ak poskytovateľ poruší svoje povinnosti, právomoc vydávať príkazy a zákazy, ktoré môžu byť prípadne spojené s uložením penále, a tiež nariadiť úplné alebo čiastočné ukončenie činnosti.
C – Právo Spojeného kráľovstva
34. Ustanovenia upravujúce uchovávanie údajov sú obsiahnuté v Data Retention and Investigatory Powers Act 2014 (zákon o uchovávaní údajov a vyšetrovacích právomociach z roku 2014, ďalej len „DRIPA“), v Data Retention Regulations 2014 (SI 2014/2042) (nariadenie o uchovávaní údajov z roku 2014, ďalej len „nariadenie z roku 2014“), ako aj v Retention of Communications Data Code of Practice (kódex osvedčených postupov týkajúci sa uchovávania údajov).
35. Ustanovenia upravujúce prístup k údajom sa nachádzajú v kapitole 2 časti 1 Regulation of Investigatory Powers Act 2000 (zákon o úprave vyšetrovacích právomocí z roku 2000, ďalej len „RIPA“), v Regulation of Investigatory Powers (Communications Data) Order 2010 (SI 2010/480) (vyhláška o úprave vyšetrovacích právomocí v oblasti údajov týkajúcich sa komunikácií z roku 2010), zmenenej a doplnenej Regulation of Investigatory Powers (Communications Data) (Amendment) Order 2015 (SI 2015/228) (vyhláška o úprave vyšetrovacích právomocí v oblasti údajov týkajúcich sa komunikácií z roku 2015, ďalej len „vyhláška“), ako aj v Acquisition and Disclosure of Communications Data Code of Practice (kódex osvedčených postupov v oblasti zhromažďovania a sprístupňovania údajov týkajúcich sa komunikácií, ďalej len „kódex zhromažďovania údajov“).
1. O rozsahu povinnosti uchovávať údaje
36. Podľa § 1 DRIPA môže Secretary of State for the Home Department (minister vnútra, Spojené kráľovstvo, ďalej len „minister“) uložiť poskytovateľom povinnosť uchovávať všetky údaje týkajúce sa komunikácií. Táto povinnosť sa v podstate môže týkať všetkých údajov vytvorených pri komunikácii prostredníctvom poštovej služby alebo telekomunikačného systému, s výnimkou obsahu komunikácie. Tieto údaje zahŕňajú najmä miesto, kde sa nachádza užívateľ služby, ako aj údaje umožňujúce určiť jeho IP adresu (internetový protokol) alebo akýkoľvek iný údaj identifikujúci odosielateľa alebo príjemcu komunikácie.
37. Takéto opatrenie v oblasti uchovávania údajov možno prijať v záujme národnej bezpečnosti, na účely predchádzania alebo odhaľovania trestnej činnosti alebo predchádzania verejným nepokojom, v záujme hospodárskeho blahobytu Spojeného kráľovstva, ak to má význam aj z hľadiska národnej bezpečnosti, v záujme verejnej bezpečnosti, na účely ochrany verejného zdravia, na účely vyrubenia alebo výberu akejkoľvek dane, poplatku alebo akéhokoľvek iného odvodu splatného orgánu štátnej správy, na účely predchádzania ujme na fyzickom alebo psychickom zdraví v naliehavých prípadoch, na účely vyšetrovania možného justičného omylu, na účely identifikácie zosnulej osoby alebo osoby, ktorá nie je sama schopná preukázať svoju totožnosť v dôsledku svojho fyzického alebo psychického stavu, ktorý nebol spôsobený trestným činom (napríklad v dôsledku živelnej pohromy alebo nehody), na účely výkonu funkcií súvisiacich s reguláciou finančných služieb a trhov alebo s finančnou stabilitou, ako aj na akýkoľvek iný účel stanovený príkazom ministra vydaným podľa § 22 ods. 2 DRIPA.
38. Vnútroštátna právna úprava nepodmieňuje vydanie príkazu na uchovávanie údajov predchádzajúcim povolením súdu alebo iného nezávislého orgánu. Minister musí overiť, či je povinnosť uchovávať relevantné údaje týkajúce sa komunikácií „nevyhnutná a primeraná“ vo vzťahu k jednému alebo viacerým účelom, na aké možno tieto údaje uchovávať.
2. O prístupe k uchovávaným údajom
39. Podľa § 22 ods. 4 RIPA môžu orgány verejnej moci na základe výzvy požadovať od poskytovateľov, aby im poskytli údaje týkajúce sa komunikácií. Formu a obsah tejto výzvy stanovuje § 23 ods. 2 RIPA. Takáto výzva je časovo obmedzená ustanoveniami týkajúcimi sa jej zrušenia a obnovenia.
40. Zhromažďovanie údajov týkajúcich sa komunikácií musí byť nevyhnutné a primerané vo vzťahu k jednému alebo viacerým cieľom stanoveným v § 22 RIPA, ktoré zodpovedajú cieľom odôvodňujúcim uchovávanie údajov opísaným v bode 37 týchto návrhov.
41. Z kódexu zhromažďovania údajov vyplýva, že v prípade žiadosti o prístup k údajom podanej na účely identifikácie novinárskeho zdroja, ako aj v prípade žiadosti o prístup k údajom podanej miestnymi orgánmi sa vyžaduje súdny príkaz.
42. Okrem toho je prístup orgánov verejnej moci k údajom podmienený získaním povolenia vydaného osobou, ktorá je na to v rámci príslušného orgánu verejnej moci určená. Osobou, ktorá je na to určená, je osoba, ktorá má v dotknutom orgáne verejnej moci určitú funkciu, postavenie alebo miesto a bola určená na zhromažďovanie údajov týkajúcich sa komunikácií v súlade s vyhláškou o úprave vyšetrovacích právomocí v oblasti údajov týkajúcich sa komunikácií z roku 2015 v účinnom znení.
43. Na sprístupnenie údajov týkajúcich sa komunikácií, ktoré na základe zákona podliehajú profesijnému tajomstvu, alebo údajov týkajúcich sa komunikácií, ktoré sa týkajú lekárov, poslancov parlamentu alebo duchovných, sa výslovne nevyžaduje povolenie súdu alebo iného nezávislého orgánu. Kódex zhromažďovania údajov spresňuje len to, že osobitne treba zohľadniť nevyhnutnosť a primeranosť žiadosti o prístup k takýmto údajom.
3. O dobe uchovávania údajov
44. § 1 ods. 5 DRIPA a § 4 ods. 2 nariadenia z roku 2014 stanovujú, že najdlhšia doba uchovávania údajov je dvanásť mesiacov. Podľa kódexu osvedčených postupov týkajúceho sa uchovávania údajov nesmie byť táto doba dlhšia, než je nevyhnutné a primerané. § 6 nariadenia z roku 2014 ukladá ministrovi povinnosť priebežne prehodnocovať rozhodnutie, ktorým sa nariaďuje uchovávanie údajov.
4. O ochrane a bezpečnosti uchovávaných údajov
45. Podľa § 1 DRIPA poskytovatelia nesmú sprístupňovať uchovávané údaje, s výnimkou ich sprístupnenia v súlade s kapitolou 2 časti 1 RIPA, na základe rozhodnutia súdu alebo iného súdneho povolenia alebo príkazu, alebo na základe nariadenia prijatého ministrom podľa § 1 DRIPA.
46. Podľa ustanovení 7 a 8 nariadenia z roku 2014 sú poskytovatelia povinní zabezpečiť celistvosť a bezpečnosť uchovávaných údajov; chrániť uchovávané údaje pred neúmyselným alebo protiprávnym zničením, neúmyselnou stratou alebo zmenou, alebo nedovoleným či protiprávnym uchovávaním, spracovaním, sprístupnením alebo zverejnením; zničiť údaje, a tým znemožniť prístup k nim v prípade, ak sa skončí platnosť oprávnenia na uchovávanie údajov; a zaviesť zodpovedajúce systémy zabezpečenia. § 9 nariadenia z roku 2014 ukladá Information Commissioner (komisár pre ochranu osobných údajov) povinnosť kontrolovať dodržiavanie uvedených povinností poskytovateľmi.
47. Orgány, ktorým poskytovatelia poskytujú údaje týkajúce sa komunikácií, sú povinné s týmito údajmi, ako aj so všetkými kópiami, výpismi a zhrnutiami týchto údajov nakladať a uchovávať ich bezpečným spôsobom. Podľa kódexu zhromažďovania údajov musia pritom dodržiavať požiadavky uvedené v zákone o ochrane údajov (Data Protection Act) (ďalej len „DPA“), ktorým sa prebrala smernica 95/46.
48. RIPA ustanovuje Interception of Communications Commissioner (komisár pre odpočúvanie komunikácií, ďalej len „komisár pre odpočúvanie“), ktorý je zodpovedný za nezávislý dohľad nad výkonom právomocí a plnením povinností uvedených v kapitole II časti I RIPA. Komisár pre odpočúvanie nevykonáva dohľad nad uplatňovaním § 1 DRIPA. Jeho povinnosťou je pravidelne predkladať správy určené verejnosti a parlamentu (§ 57 ods. 2 a § 58 RIPA) a správy o vedení záznamov a predkladaní správ orgánmi verejnej moci (body 6.1 až 6.8 kódexu zhromažďovania údajov). Ak má niekto dôvod domnievať sa, že údaje boli získané protiprávne (§ 65 RIPA), môže podať sťažnosť na Investigatory Powers Tribunal (súd pre kontrolu vyšetrovacích právomocí).
49. Z kódexu zhromažďovania údajov vyplýva, že komisár pre odpočúvanie nie je oprávnený predložiť vec uvedenému súdu. Je oprávnený iba informovať určitú osobu, že existuje podozrenie zo zneužívania právomoci, pokiaľ môže „preukázať, že určitá osoba bola poškodená protiprávnym konaním spáchaným úmyselne alebo z nedbanlivosti“. Aj keď však dospeje k záveru, že k takému protiprávnemu konaniu došlo úmyselne alebo z nedbanlivosti, nie je oprávnený zverejniť údaje v prípade, ak by tým bola ohrozená národná bezpečnosť.
III – Spory vo veciach samých a prejudiciálne otázky
A – Vec C‑203/15
50. Dňa 9. apríla 2014, čiže deň po vyhlásení rozsudku DRI, spoločnosť Tele2 Sverige oznámila PTS svoje rozhodnutie, že už nebude uchovávať údaje uvedené v kapitole 6 LEK. Tele2 Sverige takisto zamýšľala vymazať údaje dovtedy uchovávané podľa tejto kapitoly. Tele2 Sverige sa domnieva, že švédska právna úprava, ktorou sa prebrala smernica 2006/24, nie je v súlade s Chartou.
51. Dňa 15. apríla 2014 Rikspolisstyrelsen (Štátne policajné riaditeľstvo, Švédsko, ďalej len „RPS“) podalo na PTS sťažnosť z dôvodu, že Tele2 Sverige prestala jeho útvarom poskytovať údaje o niektorých elektronických komunikáciách. RPS vo svojej sťažnosti uviedlo, že odmietnutie poskytovať údaje spoločnosťou Tele2 Sverige bude mať vážne dôsledky pre činnosť polície v oblasti presadzovania práva.
52. PTS príkazom z 27. júna 2014 nariadil spoločnosti Tele2 Sverige, aby najneskôr 25. júla 2014 opätovne začala uchovávať údaje podľa kapitoly 6 § 16a LEK a § 37 až 43 FEK.
53. Tele2 Sverige podala proti rozhodnutiu PTS žalobu na Förvaltningsrätten i Stockholm (Správny súd Štokholm). Förvaltningsrätten i Stockholm rozsudkom z 13. októbra 2014 žalobu zamietol.
54. Tele2 Sverige podala proti rozsudku Förvaltningsrätten i Stockholm odvolanie na vnútroštátny súd s cieľom dosiahnuť zrušenie sporného rozhodnutia.
55. Keďže Kammarrätten i Stockholm (Odvolací správny súd Štokholm, Švédsko) konštatoval, že existujú argumenty svedčiace tak v prospech, ako aj v neprospech tvrdenia, že povinnosť uchovávať údaje v rozsahu stanovenom v kapitole 6 § 16a LEK je v súlade s ustanoveniami článku 15 ods. 1 smernice 2002/58, ako aj článkov 7 a 8 a článku 52 ods. 1 Charty, rozhodol o prerušení konania a položil Súdnemu dvoru tieto prejudiciálne otázky:
„1. Je všeobecná povinnosť uchovávať údaje vzťahujúca sa na všetky osoby, všetky prostriedky elektronickej komunikácie a všetky prevádzkové údaje bez akéhokoľvek rozlišovania, obmedzení alebo výnimiek na účely boja proti trestnej činnosti [opísaná v bodoch 13 až 18 návrhu na začatie prejudiciálneho konania] s prihliadnutím na články 7 a 8 a článok 52 ods. 1 Charty zlučiteľná s článkom 15 ods. 1 smernice 2002/58?
2. V prípade, ak je odpoveď na prvú otázku záporná, možno uchovávanie napriek tomu povoliť, pokiaľ:
a) prístup vnútroštátnych orgánov k uchovávaným údajom je vymedzený tak, ako je to opísané v bodoch 19 až 36 [návrhu na začatie prejudiciálneho konania] a
b) požiadavky na ochranu a bezpečnosť údajov sú upravené tak, ako je to opísané v bodoch 38 až 43 [návrhu na začatie prejudiciálneho konania] a
c) všetky relevantné údaje sa majú uchovávať šesť mesiacov odo dňa ukončenia komunikácie a následne sa majú zmazať tak, ako je to opísané v bode 37 [návrhu na začatie prejudiciálneho konania]?“
B – Vec C‑698/15
56. Páni Tom Watson, Peter Brice a Geoffrey Lewis podali na High Court of Justice (England & Wales), Queen’s Bench Division (Administrative Court) [Vrchný súd (Anglicko a Wales), Queen’s Bench Division (správne kolégium)] žaloby o preskúmanie zákonnosti („judicial review“) režimu uchovávania údajov stanoveného v § 1 DRIPA, ktorý umožňuje, aby minister vyžadoval od prevádzkovateľov verejných telekomunikačných služieb uchovávať údaje týkajúce sa elektronických komunikácií po dobu najviac 12 mesiacov, pričom je vylúčené uchovávanie obsahu týchto komunikácií.
57. Bol povolený vstup Open Rights Group, Privacy International a Law Society of England and Wales do konaní o všetkých jednotlivých žalobách.
58. Rozsudkom zo 17. júla 2015 tento súd rozhodol, že uvedený režim nie je zlučiteľný s právom Únie, pretože nespĺňa požiadavky uvedené v rozsudku DRI, ktoré sa podľa neho vzťahujú na právne úpravy členských štátov v oblastiach uchovávania údajov týkajúcich sa elektronických komunikácií a prístupu k týmto údajom. Minister podal proti tomuto rozsudku odvolanie na vnútroštátny súd.
59. V rozsudku z 20. novembra 2015 Court of Appeal (England & Wales) (Civil Division) [Odvolací súd (Anglicko a Wales) (občianskoprávne kolégium), Spojené kráľovstvo] predbežne rozhodol, že rozsudok DRI nestanovil žiadne záväzné požiadavky práva Únie, ktoré majú spĺňať vnútroštátne právne predpisy, ale iba identifikoval a opísal mechanizmy ochrany údajov, ktoré neboli obsiahnuté v harmonizovanej úprave Únie.
60. Keďže však Court of Appeal (England & Wales) (Civil Division) [Odvolací súd (Anglicko a Wales) (občianskoprávne kolégium) (Spojené kráľovstvo)] dospel k záveru, že odpovede na tieto otázky práva Únie nie sú jasné a sú nevyhnutné na to, aby mohol rozhodnúť v týchto veciach, rozhodol prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:
„1. Stanovuje rozsudok [DRI] (a to najmä body 60 a 62 tohto rozsudku) záväzné požiadavky práva Európskej únie uplatniteľné na vnútroštátny režim členského štátu, ktorý upravuje prístup k údajom uchovávaným v súlade s vnútroštátnymi právnymi predpismi, aby boli dodržané články 7 a 8 [Charty]?
2. Rozširuje rozsudok [DRI] rozsah pôsobnosti článkov 7 a/alebo 8 Charty EÚ nad rámec rozsahu pôsobnosti článku 8 Európskeho dohovoru o ľudských právach (ďalej len ‚EDĽP‘), ako je stanovená v judikatúre Európskeho súdu pre ľudské práva (ďalej len ‚ESĽP‘)?“
IV – Konanie pred Súdnym dvorom
61. Návrhy na začatie prejudiciálneho konania boli zapísané do registra kancelárie Súdneho dvora 4. mája 2015 vo veci C‑203/15 a 28. decembra 2015 vo veci C‑698/15.
62. Uznesením z 1. februára 2016 Súdny dvor rozhodol, že vec C‑698/15 sa prejedná v skrátenom konaní upravenom v článku 105 ods. 1 Rokovacieho poriadku Súdneho dvora.
63. Vo veci C‑203/15 predložili písomné pripomienky Tele2 Sverige, belgická, česká, dánska, nemecká, estónska, írska, španielska, francúzska, maďarská, holandská a švédska vláda, vláda Spojeného kráľovstva, ako aj Európska komisia.
64. Vo veci C‑698/15 predložili písomné pripomienky páni Watson, Brice a Lewis, Open Rights Group, Privacy International, Law Society of England and Wales, česká, dánska, nemecká, estónska, írska, francúzska, cyperská, poľská a fínska vláda, vláda Spojeného kráľovstva, ako aj Európska komisia.
65. Rozhodnutím Súdneho dvora z 10. marca 2016 sa tieto dve veci spojili na účely ústnej časti konania a rozsudku.
66. Na pojednávaní, ktoré sa konalo 12. apríla 2016, sa zúčastnili a predniesli svoje pripomienky zástupcovia spoločnosti Tele2 Sverige, pánov Watsona, Bricea a Lewisa, zástupcovia Open Rights Group, Privacy International a Law Society of England and Wales, zástupcovia českej, dánskej, nemeckej, estónskej, írskej, španielskej, francúzskej, fínskej a švédskej vlády, vlády Spojeného kráľovstva, ako aj Európskej komisie.
V – Analýza prejudiciálnych otázok
67. Svojou prvou otázkou položenou vo veci C‑203/15 sa vnútroštátny súd pýta Súdneho dvora, či sa z hľadiska rozsudku DRI majú článok 15 ods. 1 smernice 2002/58, ako aj články 7, 8 a článok 52 ods. 1 Charty vykladať v tom zmysle, že bránia tomu, aby členský štát uložil poskytovateľom všeobecnú povinnosť uchovávať údaje, akou je povinnosť dotknutá v sporoch vo veciach samých, a to bez ohľadu na prípadné záruky spojené s touto povinnosťou.
68. Pre prípad, že odpoveď na túto otázku bude záporná, druhá otázka položená vo veci C‑203/15 a prvá otázka položená vo veci C‑698/15 smerujú k objasneniu, či sa tieto ustanovenia majú vykladať v tom zmysle, že bránia tomu, aby členský štát uložil poskytovateľom povinnosť uchovávať údaje v prípade, ak táto povinnosť nie je sprevádzaná všetkými zárukami uvedenými Súdnym dvorom v bodoch 60 až 68 rozsudku DRI, ktoré sa týkajú prístupu k údajom, doby ich uchovávania, ako aj ochrany a bezpečnosti údajov.
69. Keďže tieto tri otázky spolu úzko súvisia, v nasledujúcom výklade ich preskúmam spoločne.
70. Druhá otázka položená vo veci C‑698/15 naopak vyžaduje samostatné preskúmanie. Touto otázkou sa vnútroštátny súd pýta Súdneho dvora, či rozsudok DRI rozširuje rozsah pôsobnosti článkov 7 a/alebo 8 Charty nad rámec rozsahu pôsobnosti článku 8 EDĽP. V nasledujúcej časti vysvetlím dôvody, pre ktoré sa domnievam, že túto otázku treba odmietnuť ako neprípustnú.
71. Pred tým, ako začnem skúmať tieto otázky, považujem za vhodné pripomenúť, na aký typ údajov sa vzťahuje povinnosť uchovávať údaje v sporoch vo veciach samých. Podľa zistení vnútroštátnych súdov je rozsah týchto povinností v podstate rovnaký ako rozsah povinnosti stanovenej v článku 5 smernice 2006/24.(8) Údaje týkajúce sa komunikácií, ktoré sú predmetom povinnosti uchovávať údaje, možno schematicky rozdeliť do štyroch kategórií(9):
– údaje umožňujúce identifikovať tak zdroj, ako aj adresáta komunikácie,
– údaje umožňujúce lokalizovať tak zdroj, ako aj adresáta komunikácie,
– údaje týkajúce sa dátumu, času a trvania komunikácie a
– údaje umožňujúce určiť typ komunikácie a typ použitého komunikačného zariadenia.
72. Obsah komunikácií je zo všeobecnej povinnosti uchovávať údaje, o akú ide v konaniach vo veciach samých, vylúčený v súlade s tým, čo stanovil článok 5 ods. 2 smernice 2006/24.
A – O prípustnosti druhej prejudiciálnej otázky položenej vo veci C‑698/15
73. Na základe druhej otázky položenej vo veci C‑698/15 má Súdny dvor určiť, či rozsudok DRI rozširuje rozsah pôsobnosti článku 7 a/alebo 8 Charty nad rámec rozsahu pôsobnosti článku 8 EDĽP, ako je stanovená v judikatúre ESĽP.
74. Táto otázka odzrkadľuje najmä tvrdenie uvedené ministrom v konaní na vnútroštátnom súde, podľa ktorého judikatúra ESĽP nevyžaduje, aby jednak prístup k údajom podliehal predchádzajúcemu povoleniu nezávislého orgánu a jednak uchovávanie týchto údajov a prístup k nim boli obmedzené na prípady boja proti závažným trestným činom.
75. Domnievam sa, že túto otázku treba odmietnuť ako neprípustnú z nasledujúcich dôvodov. Je zrejmé, že odôvodnenie a riešenie prijaté Súdnym dvorom v rozsudku DRI majú rozhodujúci význam pre rozhodnutie sporov vo veciach samých. Okolnosť, že tento rozsudok prípadne rozšíril rozsah pôsobnosti článku 7 a/alebo článku 8 Charty nad rámec rozsahu pôsobnosti článku 8 EDĽP, však nie je sama osebe relevantná na rozhodnutie týchto sporov.
76. V tejto súvislosti treba pripomenúť, že v súlade s článkom 6 ods. 3 ZEÚ predstavujú základné práva, tak ako sú zaručené EDĽP, všeobecné zásady práva Únie. Bez pristúpenia Únie k EDĽP však tento dohovor netvorí právny nástroj formálne začlenený do právneho poriadku Únie.(10)
77. Je pravda, že v článku 52 ods. 3 prvej vete Charty sa stanovuje výkladové pravidlo, podľa ktorého v rozsahu, v akom táto charta obsahuje práva, ktoré zodpovedajú právam zaručeným v EDĽP, „zmysel a rozsah týchto práv je rovnaký ako zmysel a rozsah práv ustanovených v uvedenom dohovore“.
78. Podľa článku 52 ods. 3 druhej vety Charty však „toto ustanovenie nebráni tomu, aby právo Únie priznávalo širší rozsah ochrany týchto práv“. Z môjho pohľadu z tejto vety vyplýva, že Súdny dvor môže rozšíriť rozsah pôsobnosti ustanovení Charty nad rámec rozsahu pôsobnosti im zodpovedajúcich ustanovení EDĽP, ak to bude v kontexte práva Únie považovať za nevyhnutné.
79. Subsidiárne dodávam, že článok 8 Charty vyložený Súdnym dvorom v rozsudku DRI stanovuje právo, ktoré nezodpovedá žiadnemu z práv zaručených EDĽP, totiž právo na ochranu osobných údajov, ako to ostatne potvrdzujú vysvetlivky k článku 52 Charty.(11) Výkladové pravidlo uvedené v článku 52 ods. 3 prvej vete Charty teda v žiadnom prípade nemožno použiť na výklad článku 8 Charty, ako uviedli páni Brice a Lewis, Open Rights Group a Privacy International, Law Society of England and Wales, ako aj česká, írska a fínska vláda.
80. Z uvedeného vyplýva, že právo Únie nebráni tomu, aby články 7 a 8 Charty priznávali širšiu ochranu, než akú poskytuje EDĽP. Okolnosť, že rozsudok DRI prípadne rozšíril rozsah pôsobnosti týchto ustanovení Charty nad rámec rozsahu pôsobnosti článku 8 EDĽP, preto nie je sama osebe relevantná pri rozhodovaní sporov vo veciach samých. Riešenie týchto sporov závisí predovšetkým od podmienok, za akých možno všeobecnú povinnosť uchovávať údaje považovať za zlučiteľnú s článkom 15 ods. 1 smernice 2002/58, ako aj článkami 7 a 8 a článkom 52 ods. 1 Charty, vykladanými z hľadiska rozsudku DRI, čo je konkrétne predmetom ďalších troch otázok položených v prejednávaných veciach.
81. Podľa ustálenej judikatúry je zamietnutie návrhu vnútroštátneho súdu možné len vtedy, ak je zjavné, že požadovaný výklad práva Únie nemá nijakú súvislosť s existenciou alebo predmetom sporu vo veci samej, pokiaľ ide o hypotetický problém, alebo ak Súdny dvor nemá k dispozícii skutkové a právne podklady nevyhnutné na užitočné zodpovedanie otázok, ktoré sú mu položené.(12)
82. Z vyššie uvedených dôvodov sa v danom prípade domnievam, že druhá otázka položená vo veci C‑698/15 je iba teoretická, lebo prípadná odpoveď na ňu by neumožnila poskytnúť prvky výkladu práva Únie, ktoré by vnútroštátny súd mohol užitočne uplatniť pri rozhodovaní sporu, ktorý mu bol predložený.(13)
83. Za týchto okolností sa domnievam, že uvedenú otázku treba odmietnuť ako neprípustnú, ako správne uviedli pán Watson, Law Society of England and Wales a česká vláda.
B – O zlučiteľnosti všeobecnej povinnosti uchovávať údaje s režimom zavedeným smernicou 2002/58
84. Táto časť sa týka možnosti členských štátov využiť oprávnenie, ktoré poskytuje článok 15 ods. 1 smernice 2002/58, a to uložiť všeobecnú povinnosť uchovávať údaje. Nebudem v nej skúmať osobitné požiadavky, ktoré musia dodržať členské štáty, ktoré chcú toto oprávnenie využiť; tieto požiadavky podrobne rozoberiem v ďalšej časti.(14)
85. Open Rights Group a Privacy International totiž uviedli, že takáto povinnosť nie je zlučiteľná s harmonizovaným režimom zavedeným smernicou 2002/58, a to bez ohľadu na to, či sú dodržané požiadavky vyplývajúce z článku 15 ods. 1 smernice 2002/58, lebo popiera podstatu týchto práv a režimu, ktoré boli zavedené touto smernicou.
86. Ešte pred preskúmaním tohto tvrdenia treba overiť, či všeobecná povinnosť uchovávať údaje patrí do pôsobnosti tejto smernice.
1. O tom, či povinnosť uchovávať údaje patrí do pôsobnosti smernice 2002/58
87. Žiadny z účastníkov konania, ktorí predložili Súdnemu dvoru pripomienky, nespochybnil skutočnosť, že všeobecná povinnosť uchovávať údaje, o akú ide v sporoch vo veciach samých, spadá pod pojem „spracovávanie osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v [Únii]“ v zmysle článku 3 smernice 2002/58.
88. Česká, francúzska a poľská vláda a vláda Spojeného kráľovstva však uviedli, že všeobecná povinnosť uchovávať údaje spadá pod výnimku stanovenú v článku 1 ods. 3 smernice 2002/58. Po prvé vnútroštátne právne predpisy upravujúce prístup k údajom a ich využívanie policajnými alebo súdnymi orgánmi členských štátov sa podľa ich názoru týkajú verejnej bezpečnosti, obrany alebo bezpečnosti štátu alebo prinajmenšom patria do oblasti trestného práva. Po druhé jediným účelom uchovávania údajov je podľa nich umožniť policajným alebo súdnym orgánom prístup k týmto údajom a ich využívanie. Povinnosť uchovávať údaje je teda podľa uvedeného ustanovenia vyňatá z pôsobnosti tejto smernice.
89. Táto argumentácia nie je podľa môjho názoru presvedčivá z nasledujúcich dôvodov.
90. Po prvé znenie článku 15 ods. 1 smernice 2002/58 potvrdzuje, že povinnosť uchovávať údaje stanovená členskými štátmi patrí do pôsobnosti tejto smernice. Podľa tohto ustanovenia „členské štáty môžu, medzi iným, prijať legislatívne opatrenia umožňujúce zadržanie údajov na limitované obdobie, oprávnené z dôvodov stanovených v tomto odseku“. Domnievam sa, že je prinajmenšom ťažké obhájiť tvrdenie, že povinnosť uchovávať údaje je vyňatá z rozsahu pôsobnosti tejto smernice, ak článok 15 ods. 1 uvedenej smernice priamo upravuje možnosť uložiť takúto povinnosť.
91. Ako uviedli páni Watson, Brice a Lewis, belgická, dánska, nemecká a fínska vláda, ako aj Komisia, všeobecnou povinnosťou uchovávať údaje, o akú ide v sporoch vo veciach samých, sa v skutočnosti vykonáva článok 15 ods. 1 smernice 2002/58.
92. Po druhé skutočnosť, že sa na ustanovenia upravujúce prístup k údajom môže vzťahovať výnimka stanovená v článku 1 ods. 3 smernice 2002/58(15), neznamená, že sa táto výnimka vzťahuje aj na povinnosť uchovávať údaje, a že teda táto povinnosť nepatrí do pôsobnosti uvedenej smernice.
93. V tejto súvislosti Súdny dvor už mal príležitosť spresniť, že činnosti uvedené v článku 3 ods. 2 prvej zarážke smernice 95/46/ES(16), ktorej znenie má rovnaký rozsah ako článok 1 ods. 3 smernice 2002/58, sú činnosti štátu a štátnych orgánov a nepatria do oblasti činností jednotlivcov.(17)
94. Ako v tomto ohľade uviedla Komisia, povinnosť uchovávať údaje, o akú ide v sporoch vo veciach samých, sa ukladá súkromným prevádzkovateľom v rámci súkromného podnikania v oblasti poskytovania služieb elektronických komunikácií, ako to uviedla Komisia. Táto povinnosť sa im navyše ukladá nezávisle od akýchkoľvek žiadostí policajných alebo súdnych orgánov a všeobecne od akýchkoľvek aktov štátnych orgánov v oblasti verejnej bezpečnosti, obrany, bezpečnosti štátu alebo trestného práva.
95. Po tretie riešenie prijaté Súdnym dvorom v rozsudku Írsko/Parlament a Rada potvrdzuje, že všeobecná povinnosť uchovávať údaje nepatrí do oblasti trestného práva.(18) Súdny dvor totiž rozhodol, že smernica 2006/24, ktorá stanovila takúto povinnosť, nepatrí do oblasti trestného práva, ale do oblasti fungovania vnútorného trhu, a teda náležitým právnym základom pre prijatie tejto smernice je článok 95 ES (teraz článok 114 ZFEÚ).
96. K tomuto záveru dospel Súdny dvor najmä preto, lebo ustanovenia tejto smernice sú v podstate obmedzené na činnosti poskytovateľov služieb a neupravujú prístup k údajom ani ich využívanie policajnými alebo súdnymi orgánmi členských štátov.(19) Z toho vyvodzujem, že ustanovenia vnútroštátneho práva, ktorými sa stanovuje podobná povinnosť uchovávať údaje, akou je povinnosť stanovená smernicou 2006/24, takisto nepatrí do oblasti trestného práva.
97. So zreteľom na predchádzajúce skutočnosti sa domnievam, že všeobecná povinnosť uchovávať údaje nespadá pod výnimku stanovenú v článku 1 ods. 3 smernice 2002/58, a preto patrí do pôsobnosti tejto smernice.
2. O možnosti odchýliť sa od režimu zavedeného smernicou 2002/58 prostredníctvom zavedenia všeobecnej povinnosti uchovávať údaje
98. Teraz treba určiť, či je všeobecná povinnosť uchovávať údaje zlučiteľná s režimom zavedeným smernicou 2002/58.
99. V tejto súvislosti vzniká otázka, či členský štát môže využiť možnosť, ktorú poskytuje článok 15 ods. 1 smernice 2002/58, na uloženie takejto povinnosti.
100. Proti takej možnosti boli predložené štyri tvrdenia, najmä zo strany Open Rights Group a Privacy International.
101. Podľa prvého tvrdenia by poskytnutie možnosti uložiť všeobecnú povinnosť uchovávať informácie členským štátom ohrozilo cieľ harmonizácie, ktorý je zmyslom smernice 2002/58. Touto smernicou sa totiž podľa jej článku 1 ods. 1 ustanovuje harmonizácia vnútroštátnych ustanovení požadovaných na zabezpečenie primeranej úrovne ochrany základných práv a slobôd, a najmä práva na súkromie a dôvernosť, z hľadiska spracúvania osobných údajov v elektronickom komunikačnom sektore a zabezpečenia voľného pohybu takých údajov a elektronických komunikačných zariadení a služieb v Únii.
102. Článok 15 ods. 1 smernice 2002/58 preto nemožno vykladať v tom zmysle, že členským štátom dáva možnosť prijať výnimku z režimu zavedeného touto smernicou v takom rozsahu, aby to takéto harmonizačné úsilie zbavilo akéhokoľvek potrebného účinku.
103. Podľa druhého tvrdenia aj znenie článku 15 ods. 1 smernice 2002/58 bráni tak širokému výkladu možnosti členských štátov stanoviť výnimku z režimu zavedeného touto smernicou. Podľa tohto ustanovenia totiž „členské môžu štáty prijať legislatívne opatrenia na obmedzenie rozsahu práv a povinností uvedených v článku 5, článku 6, článku 8 ods. 1, 2, 3 a 4 a článku 9 tejto smernice“ (kurzívou zvýraznil generálny advokát).
104. Všeobecná povinnosť uchovávať údaje sa však podľa tohto tvrdenia neuspokojuje len s „obmedzením rozsahu“ práv a povinností uvedených v tomto ustanovení, ale úplne tieto práva a povinnosti okliešťuje. Ide o:
– povinnosť zabezpečiť dôvernosť prevádzkových údajov a povinnosť podriadiť uchovávanie údajov súhlasom užívateľa, ktoré sú stanovené v článku 5 ods. 1 a článku 3 smernice 2002/58,
– povinnosť vymazať alebo zabezpečiť anonymitu prevádzkových údajov, stanovenú v článku 6 ods. 1 tejto smernice a
– povinnosť zabezpečiť anonymitu lokalizačných údajov iných než prevádzkových údajov alebo získať súhlas užívateľa so spracovaním týchto údajov, stanovenú v článku 9 ods. 1 uvedenej smernice.
105. Domnievam sa, že obe tieto tvrdenia treba z nižšie uvedených dôvodov odmietnuť.
106. Podľa znenia článku 15 ods. 1 smernice 2002/58 členské štáty môžu prijať „legislatívne opatrenia umožňujúce zadržanie údajov na limitované obdobie“. Tento výslovný odkaz na povinnosť uchovávať údaje potvrdzuje, že takáto povinnosť nie je sama osebe nezlučiteľná s režimom zavedeným smernicou 2002/58. Hoci táto formulácia výslovne nestanovuje možnosť prijať všeobecnú povinnosť uchovávať údaje, treba konštatovať, že ich uchovávaniu ani nebráni.
107. Na druhej strane sa v odôvodnení 11 smernice 2002/58 spresňuje, že táto smernica nemení „existujúcu rovnováhu medzi právami jednotlivca na súkromie a možnosťami členských štátov prijať opatrenia uvedené v článku 15 ods. 1 tejto smernice, ktoré sú potrebné na ochranu verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane ekonomického blahobytu štátu, keď sa činnosti týkajú záležitostí bezpečnosti štátu) a presadzovanie trestného práva“. Následne „táto smernica nemá vplyv na možnosť členských štátov zachytávať elektronické správy alebo prijímať iné opatrenia, ak je to nevyhnutné z akýchkoľvek iných dôvodov a v súlade s Európskym dohovorom o ochrane ľudských práv a základných slobôd [EDĽP]“.
108. Z tohto odôvodnenia 11 podľa môjho názoru vyplýva, že zámerom normotvorcu Únie nebolo narušiť možnosť členských štátov prijať opatrenia podľa článku 15 ods. 1 smernice 2002/58, ale podriadiť túto možnosť určitým požiadavkám týkajúcim sa najmä sledovaných cieľov a primeranosti týchto opatrení. Inými slovami, všeobecná povinnosť uchovávať údaje nie je podľa môjho názoru nezlučiteľná s režimom zavedeným touto smernicou za predpokladu, že spĺňa určité podmienky.
109. Podľa tretieho tvrdenia by sa článok 15 ods. 1 smernice 2002/58 mal ako výnimka z režimu zavedeného touto smernicou vykladať reštriktívne, a to podľa výkladového pravidla vyplývajúceho z ustálenej judikatúry Súdneho dvora. Toto pravidlo reštriktívneho výkladu nedovoľuje vykladať uvedené ustanovenie v tom zmysle, že poskytuje možnosť uložiť všeobecnú povinnosť uchovávať údaje.
110. V tejto súvislosti sa domnievam, že možnosť stanovenú v článku 15 ods. 1 smernice 2002/58, ako správne uvádza Komisia, nemožno považovať za výnimku, a preto by sa nemala vykladať reštriktívne. Domnievam sa totiž, že túto možnosť možno len ťažko považovať za výnimku z hľadiska vyššie uvedeného odôvodnenia 11, podľa ktorého táto smernica nenarúša možnosť členských štátov prijať opatrenia uvedené v tomto ustanovení. Podotýkam však, že článok 15 uvedenej smernice nesie názov „Uplatňovanie niektorých ustanovení smernice 95/46/ES“, zatiaľ čo článok 10 tej istej smernice sa výslovne nazýva „Výnimky“. Tieto názvy ma utvrdzujú v presvedčení, že možnosť stanovenú v uvedenom článku 15 nemožno považovať za „výnimku“.
111. Podľa štvrtého a posledného tvrdenia je nezlučiteľnosť všeobecnej povinnosti uchovávať údaje s režimom zavedeným smernicou 2002/58 potvrdená aj doplnením článku 15 ods. 1a do uvedenej smernice pri prijímaní smernice 2006/24, ktorá bola rozsudkom DRI vyhlásená za neplatnú. Podľa tohto tvrdenia práve táto nezlučiteľnosť viedla normotvorcu Únie k tomu, aby stanovil, že článok 15 ods. 1 smernice 2002/58 sa neuplatňuje na režim uchovávania údajov stanovený smernicou 2006/24.
112. Domnievam sa, že toto tvrdenie vychádza z nesprávneho pochopenia rozsahu článku 15 ods. 1a smernice 2002/58. Podľa tohto ustanovenia „sa [článok 15 ods. 1 smernice 2002/58] nevzťahuje na údaje, ktorých uchovávanie výslovne požaduje smernica [2006/24] na účely, ktoré sú uvedené v článku 1 ods. 1 [tejto] smernice“.
113. Uvedené ustanovenie chápem tak, ako ďalej uvediem. Pokiaľ ide o údaje, ktorých uchovávanie požadovala smernica 2006/24 na účely ňou stanovené, členské štáty strácajú možnosť stanovenú v článku 15 ods. 1 smernice 2002/58, čiže možnosť viacej obmedziť rozsah práv a povinností uvedených v tomto ustanovení, najmä prostredníctvom dodatočných povinností uchovávať údaje. Inými slovami, článok 15 ods. 1a stanovil úplnú harmonizáciu, pokiaľ ide o údaje, ktorých uchovávanie požadovala smernica 2006/24 na účely v nej stanovené.
114. Potvrdenie tohto výkladu nachádzam v odôvodnení 12 smernice 2006/24, podľa ktorého „článok 15 ods. 1 smernice 2002/58/ES sa naďalej uplatňuje na údaje, vrátane údajov o neúspešných pokusoch o volanie, ktoré sa podľa tejto smernice nemusia osobitne uchovávať, a preto nepatria do rozsahu pôsobnosti tejto smernice, a na účely uchovávania, vrátane súdnych účelov, ktoré sa líšia od účelov vymedzených v tejto smernici“ (kurzívou zvýraznil generálny advokát).
115. Doplnenie článku 15 ods. 1a smernice 2002/58 teda nepotvrdzuje nezlučiteľnosť všeobecnej povinnosti uchovávať údaje s režimom zavedeným touto smernicou, ale vôľu normotvorcu Únie vykonať pri prijímaní smernice 2006/24 úplnú harmonizáciu.
116. So zreteľom na vyššie uvedené skutočnosti sa domnievam, že všeobecná povinnosť uchovávať údaje je zlučiteľná s režimom zavedeným smernicou 2002/58, a teda členský štát môže využiť možnosť, ktorú poskytuje článok 15 ods. 1 tejto smernice, na uloženie takejto povinnosti.(20) Využitie tejto možnosti je však podmienené splnením prísnych požiadaviek, ktoré vyplývajú nielen z tohto ustanovenia, ale aj z príslušných ustanovení Charty vykladaných z hľadiska rozsudku DRI, ktoré preskúmam v nasledujúcej časti.(21)
C – O uplatniteľnosti Charty vo vzťahu k povinnosti uchovávať údaje
117. Ešte pred preskúmaním obsahu požiadaviek stanovených Chartou v spojení s článkom 15 ods. 1 smernice 2002/58 treba pre prípad, že sa určitý štát rozhodne zaviesť všeobecnú povinnosť uchovávať údaje, overiť, či sa Charta na takúto povinnosť vôbec uplatňuje.
118. Uplatniteľnosť Charty na všeobecnú povinnosť uchovávať údaje závisí predovšetkým od toho, či je na takúto povinnosť uplatniteľná smernica 2002/58.
119. Podľa článku 51 ods. 1 prvej vety Charty totiž „ustanovenia [Charty] sú určené pre členské štáty výlučne vtedy, ak vykonávajú právo Únie“. Vysvetlivky k článku 51 Charty v tomto ohľade odkazujú na judikatúru Súdneho dvora, podľa ktorej sa členským štátom ukladá povinnosť dodržiavať základné práva vymedzené v rámci Únie len v prípade, ak konajú v rámci pôsobnosti práva Únie.(22)
120. Česká, francúzska, poľská vláda a vláda Spojeného kráľovstva, ktoré spochybnili uplatniteľnosť smernice 2002/58 na všeobecnú povinnosť uchovávať údaje(23), takisto tvrdili, že Charta sa na uvedenú povinnosť neuplatňuje.
121. Už som vysvetlil dôvody, pre ktoré sa domnievam, že všeobecná povinnosť uchovávať údaje predstavuje uplatnenie možnosti stanovenej v článku 15 ods. 1 smernice 2002/58.(24)
122. Ďalej sa domnievam, že ustanovenia Charty sa uplatňujú na vnútroštátne opatrenia, ktorými sa zavádza táto povinnosť, na základe článku 51 ods. 1 Charty, ako to uviedli pán Watson, páni Brice a Lewis, Open Rights Group a Privacy International, dánska, nemecká a fínska vláda.(25)
123. Tento záver nie je spochybnený tým, že vnútroštátne ustanovenia upravujúce prístup k uchovávaným údajom ako také nepatria do pôsobnosti Charty.
124. Keďže sa vnútroštátne ustanovenia, ktorými sa upravuje prístup policajných alebo súdnych orgánov k uchovávaným údajom na účely boja proti závažným trestným činom, týkajú „činností štátu v oblasti trestného práva“, podľa môjho názoru sa na ne určite vzťahuje výnimka stanovená v článku 1 ods. 3 smernice 2002/58.(26) Týmito vnútroštátnymi ustanoveniami sa teda nevykonáva právo Únie, takže Charta na ne neuplatňuje.
125. Zmyslom povinnosti uchovávať údaje je však umožniť orgánom pôsobiacim v oblasti presadzovania práva prístup k uchovávaným údajom, a preto by sa otázky uchovávania a prístupu nemali posudzovať úplne oddelene. Ako Komisia správne zdôraznila, ustanovenia upravujúce prístup k údajom majú rozhodujúci význam pri posudzovaní, či sú ustanovenia, ktorými sa zavádza všeobecná povinnosť uchovávať údaje a vykonáva článok 15 ods. 1 smernice 2002/58, zlučiteľné s Chartou. Pri posudzovaní nevyhnutnosti a primeranosti takejto povinnosti by sa konkrétne mali zohľadniť ustanovenia, ktoré upravujú prístup k údajom.(27)
D – O zlučiteľnosti všeobecnej povinnosti uchovávať údaje s požiadavkami stanovenými v článku 15 ods. 1 smernice 2002/58, ako aj v článkoch 7 a 8 a článku 52 ods. 1 Charty
126. Teraz mi ostáva vyriešiť zložitú otázku zlučiteľnosti všeobecnej povinnosti uchovávať údaje s požiadavkami stanovenými v článku 15 ods. 1 smernice 2002/58, ako aj v článkoch 7 a 8 a článku 52 ods. 1 Charty, vykladanými so zreteľom na rozsudok DRI. Táto otázka sa vo všeobecnej rovine týka nutnosti upraviť právny rámec vymedzujúci možnosti dohľadu zo strany štátov, ktoré sa vďaka najnovšiemu technologickému pokroku ešte znásobili.(28)
127. V tomto kontexte spočíva prvá fáza akejkoľvek analýzy v zisťovaní, či došlo k zásahu do práv zaručených smernicou 2002/58 a do základných práv zakotvených v článkoch 7 a 8 Charty.
128. Takáto povinnosť totiž predstavuje závažný zásah do práva na rešpektovanie súkromného života zakotveného v článku 7 Charty a práva na ochranu osobných údajov zaručeného článkom 8 Charty. Podľa môjho názoru nie je potrebné, aby som sa ďalej venoval zisťovaniu takéhoto zásahu do práv, lebo Súdny dvor ho už jednoznačne konštatoval v bodoch 32 až 37 rozsudku DRI.(29) Všeobecná povinnosť uchovávať údaje rovnako predstavuje zásah do viacerých práv zakotvených v smernici 2002/58.(30)
129. V druhej fáze analýzy treba určiť, či a za akých podmienok môže byť tento závažný zásah do práv zakotvených v smernici 2002/58, ako aj do základných práv zakotvených v článkoch 7 a 8 Charty odôvodnený.
130. Podmienky, ktoré musia byť splnené na to, aby bol takýto dvojitý zásah odôvodnený, sú stanovené v dvoch ustanoveniach: v článku 15 ods. 1 smernice 2002/58, ktorý členským štátom umožňuje obmedziť rozsah niektorých práv stanovených v tejto smernici, a v článku 52 ods. 1 Charty v spojení s rozsudkom DRI, ktorý je rámcom pre akékoľvek obmedzenie výkonu práv zakotvených v Charte.
131. Chcel by som zdôrazniť, že uvedené požiadavky sú kumulatívne. Splnenie požiadaviek stanovených v článku 15 ods. 1 smernice 2002/58 totiž samo osebe neznamená, že boli splnené požiadavky stanovené v článku 52 ods. 1 Charty a naopak.(31) Ako zdôraznila Law Society of England and Wales, všeobecnú povinnosť uchovávať údaje preto možno považovať za zlučiteľnú s právom Únie len v prípade, že bude spĺňať tak požiadavky stanovené v článku 15 ods. 1 smernice 2002/58, ako aj požiadavky stanovené v článku 52 ods. 1 Charty.(32)
132. Tieto dve ustanovenia spoločne stanovujú šesť požiadaviek, ktoré musia byť splnené na to, aby bol zásah vyvolaný všeobecnou povinnosťou uchovávať údaje odôvodnený:
– povinnosť uchovávať údaje musí mať právny základ,
– musí rešpektovať podstatu práv zakotvených v Charte,
– musí sledovať cieľ všeobecného obecného záujmu,
– musí byť vhodná na dosiahnutie tohto cieľa,
– musí byť nevyhnutná na dosiahnutie uvedeného cieľa a
– musí byť v demokratickej spoločnosti primeraná na dosiahnutie uvedeného cieľa.
133. Viaceré z týchto podmienok už uviedol Súdny dvor v rozsudku DRI. V záujme prehľadnosti a vzhľadom na osobitosti prejednávaných vecí vo vzťahu k veci DRI sa však zameriam na každú z nich a podrobnejšie preskúmam požiadavky, ktoré sa týkajú právneho základu, nevyhnutnosti a primeranosti všeobecnej povinnosti uchovávať údaje v demokratickej spoločnosti.
1. O požiadavke týkajúcej sa právneho základu vo vnútroštátnom práve
134. Tak článok 52 ods. 1 Charty, ako aj článok 15 ods. 1 smernice 2002/58 stanovujú požiadavky týkajúce sa právneho základu, ktorý je členský štát povinný použiť pri stanovovaní povinnosti uchovávať údaje.
135. V prvom rade akékoľvek obmedzenie výkonu práv uznaných v Charte musí byť podľa jej článku 52 ods. 1 „ustanovené zákonom“. Spresňujem, že táto požiadavka nebola Súdnym dvorom formálne preskúmaná v rozsudku DRI, ktorý sa týkal zásahu upraveného smernicou.
136. Až do vynesenia najnovšieho rozsudku vo veci WebMindLicenses(33) sa Súdny dvor nikdy nevyjadril k presnému rozsahu tejto požiadavky, a to ani keď výslovne konštatoval, že táto požiadavka bola(34) alebo nebola(35) splnená. V bode 81 tohto rozsudku sa tretia komora Súdneho dvora vyjadrila takto:
„V tejto súvislosti treba zdôrazniť, že požiadavka, aby každé obmedzenie výkonu tohto práva bolo stanovené zákonom, zahŕňa, že právny základ, ktorý umožňuje použitie dôkazov uvedených v predchádzajúcom bode daňovým orgánom musí byť dostatočne jasný a presný, a že tým, že sám definuje rozsah obmedzenia výkonu práva zaručeného článkom 7 Charty, dáva určitú ochranu proti prípadným svojvoľným zásahom tohto orgánu (pozri najmä rozsudky Európskeho súdu pre ľudské práva z 2. augusta 1984, Malone v. Spojené kráľovstvo, séria A č. 82, § 67, ako aj z 12. januára 2010, Gillan a Quinton v. Spojené kráľovstvo, č. 4158/05, § 77, Zbierka rozsudkov a rozhodnutí 2010).“
137. Navrhujem, aby veľká komora Súdneho dvora potvrdila tento výklad v prejednávaných veciach z nasledujúcich dôvodov.
138. Ako správne uviedol generálny advokát Cruz Villalón vo svojich návrhoch vo veci Scarlet Extended(36), ESĽP vytvoril rozsiahly súbor judikatúry týkajúcej sa tejto požiadavky v kontexte EDĽP, ktorá sa vyznačuje materiálnym, a nie formálnym poňatím pojmu „zákon“.(37)
139. Podľa tejto judikatúry slovné spojenie „ustanovené zákonom“ znamená, že právny základ je dostatočne dostupný a predvídateľný, čiže sformulovaný dostatočne presne, aby jednotlivcovi umožňoval – pri zabezpečení odbornej rady v prípade potreby – náležite sa správať. Tento právny základ musí tiež poskytovať primeranú ochranu proti svojvôli, a teda dostatočne jasne definovať rozsah a pravidlá výkonu právomoci priznanej príslušným orgánom (zásada prednosti práva).(38)
140. Podľa môjho názoru je však nevyhnutné, aby sa slovnému spojeniu „ustanovené zákonom“, použitému v článku 52 ods. 1 Charty, priznal rovnaký rozsah, aký sa mu pri pripisuje v kontexte EDĽP, a to z nasledujúcich dôvodov.
141. Po prvé v zmysle článku 53 Charty a vysvetliviek k tomuto článku nemôže byť úroveň ochrany, ktorú poskytuje Charta, v žiadnom prípade nižšia ako úroveň ochrany zaručená EDĽP. Z tohto zákazu poskytnutia nižšej úrovne ochrany než „minimálnej úrovne EDĽP“ vyplýva, že výklad pojmu „ustanovené zákonom“ v zmysle článku 52 ods. 1 Charty, poskytnutý Súdnym dvorom, musí byť minimálne rovnako prísny ako výklad poskytnutý ESĽP v kontexte EDĽP.(39)
142. Po druhé so zreteľom na horizontálny charakter tejto požiadavky, ktorú možno uplatniť na mnohé typy zásahov tak v kontexte Charty, ako aj EDĽP(40), by nebolo vhodné podriaďovať členské štáty rozdielnym kritériám podľa toho, či sa zásah posudzuje z hľadiska jedného či druhého z uvedených nástrojov.(41)
143. Preto sa – rovnako ako estónska vláda a Komisia – domnievam, že slovné spojenie „ustanovené zákonom“ v zmysle článku 52 ods. 1 Charty treba vykladať z hľadiska judikatúry ESĽP, ako je zhrnutá v bode 139 týchto návrhov, čiže tak, že všeobecná povinnosť uchovávať údaje, o akú ide v sporoch vo veciach samých, musí byť stanovená právnym základom, ktorý je jednak dostatočne dostupný a predvídateľný a jednak poskytuje primeranú ochranu proti svojvôli.
144. Ďalej treba určiť obsah požiadaviek stanovených v článku 15 ods. 1 smernice 2002/58, pokiaľ ide o právny základ, z ktorého má vychádzať členský štát, ktorý chce využiť možnosť, ktorú poskytuje toto ustanovenie.
145. V tejto súvislosti musím poukázať na existenciu rozdielov medzi jednotlivými jazykovými verziami prvej vety tohto ustanovenia.
146. Článok 15 ods. 1 prvá veta smernice 2002/58 v anglickej verzii („legislative measures“), francúzskej („mesures législatives“), talianskej („disposizioni legislative“), portugalskej („medidas legislativas“), rumunskej („măsuri legislative“) a švédskej („genom lagstiftning vidta åtgärder“) podľa môjho názoru ukladá povinnosť prijať opatrenia orgánom zákonodarnej moci.
147. Naopak v dánskej verzii („retsforskrifter“), nemeckej („Rechtsvorschriften“), holandskej („wettelijke maatregelen“) a španielskej („medidas legales“) možno túto vetu vykladať tak, že vyžaduje prijatie opatrení orgánom zákonodarnej moci alebo vykonávacích opatrení orgánom výkonnej moci.
148. Podľa ustálenej judikatúry potreba jednotného uplatňovania, a teda aj výkladu aktu Únie vylučuje, aby bol tento akt posudzovaný izolovane v jednej zo svojich verzií, ale naopak vyžaduje, aby bol vykladaný podľa skutočnej vôle normotvorcu a ním sledovaného účelu, najmä s prihliadnutím na všetky ostatné úradné jazyky. V prípade rozdielu medzi týmito verziami sa musí dotknuté ustanovenie vykladať podľa všeobecnej systematiky a účelu právnej úpravy, ktorej je súčasťou.(42)
149. V prejednávanej veci článok 15 ods. 1 smernice 2002/58 upravuje možnosť členských štátov odchýliť sa od základných práv zakotvených v článkoch 7 a 8 Charty, ktorých ochrana sa vykonáva touto smernicou. Preto sa domnievam, že je vhodné vykladať požiadavku zákonného základu stanovenú článkom 15 ods. 1 smernice 2002/58 z hľadiska Charty, a najmä jej článku 52 ods. 1.
150. „Opatrenia“ požadované článkom 15 ods. 1 smernice 2002/58 tak musia nevyhnutne spĺňať požiadavky dostupnosti, predvídateľnosti a primeranej ochrany proti svojvôli uvedené v bode 143 týchto návrhov. Predovšetkým z týchto vlastností, a najmä z požiadavky primeranej ochrany proti svojvôli, vyplýva, že tieto opatrenia musia byť záväzné pre vnútroštátne orgány, ktorým bolo priznané právo na prístup k uchovávaným údajom. Predovšetkým by nebolo postačujúce, ako správne uviedla Law Society of England and Wales, aby záruky spojené s prístupom k týmto údajom boli upravené vo vnútroštátnych predpisoch alebo iných opatreniach, ktoré nemajú takýto záväzný charakter.
151. Okrem toho slovné spojenie „členské štáty môžu prijať opatrenia“, ktoré sa nachádza vo všetkých jazykových verziách článku 15 ods. 1 prvej vety smernice 2002/58, podľa môjho názoru vylučuje možnosť, aby vnútroštátna judikatúra, dokonca aj ustálená, predstavovala dostatočný právny základ pre vykonanie tohto ustanovenia. Zdôrazňujem, že v tomto smere uvedené ustanovenie presahuje rámec požiadaviek vyplývajúcich z judikatúry ESĽP.(43)
152. Dodávam, že so zreteľom na závažnosť zásahov do základných práv zakotvených v článkoch 7 a 8 Charty, ktoré so sebou prináša povinnosť uchovávať údaje, je podľa mňa žiaduce, aby podstata dotknutého režimu, a najmä podstata záruk spojených s touto povinnosťou, bola stanovená opatrením prijatým zákonodarným orgánom s tým, že orgán výkonnej moci spresní vykonávacie pravidlá.
153. So zreteľom na vyššie uvedené sa domnievam, že článok 15 ods. 1 smernice 2002/58 a článok 52 ods. 1 Charty sa majú vykladať v tom zmysle, že režim stanovujúci všeobecnú povinnosť uchovávať údaje, a akú ide v sporoch vo veciach samých, musí byť stanovený legislatívnymi alebo vykonávacími opatreniami, ktoré sú dostupné a predvídateľné a poskytujú primeranú ochranu proti svojvôli.
154. Vnútroštátnym súdom prináleží, aby vzhľadom na svoje výsadné postavenie pri posudzovaní príslušných vnútroštátnych režimov overili, či je táto požiadavka splnená.
2. O rešpektovaní podstaty práv uznaných v článkoch 7 a 8 Charty
155. Podľa článku 52 ods. 1 Charty akékoľvek obmedzenie výkonu práv uznaných v Charte musí „rešpektovať podstatu týchto práv a slobôd“.(44) Tento aspekt, ktorý preskúmal Súdny dvor v bodoch 39 a 40 rozsudku DRI v kontexte smernice 2006/24, podľa môjho názoru nevyvoláva v rámci prejednávaných vecí žiadny osobitný problém, ako to uviedli španielska a írska vláda, ako aj Komisia.
156. Súdny dvor dospel v bode 39 rozsudku DRI k záveru, že táto smernica nezasahuje do podstaty základného práva na rešpektovanie súkromného života a ostatných práv zakotvených v článku 7 Charty, pretože neumožňuje oboznámiť sa so samotným obsahom elektronickej komunikácie.
157. Domnievam sa, že tento záver možno uplatniť aj na vnútroštátne režimy, o ktoré ide v konaniach vo veciach samých, lebo tieto režimy takisto neumožňujú oboznámiť sa so samotným obsahom elektronickej komunikácie.(45)
158. V bode 40 rozsudku DRI Súdny dvor konštatoval, že smernica 2006/24 nezasahuje do podstaty základného práva na ochranu osobných údajov, ktoré je zakotvené v článku 8 Charty, pretože článok 7 tejto smernice stanovuje zásady ochrany a bezpečnosti údajov, ktoré musia poskytovatelia dodržať, pričom ponecháva na členských štátoch, aby prijali vhodné technické a organizačné opatrenia proti náhodnému alebo nezákonnému zničeniu, ako aj proti strate či náhodnej zmene údajov.
159. Opätovne sa domnievam, že tento záver možno uplatniť aj na vnútroštátne režimy, o ktoré ide v konaniach vo veciach samých, lebo tieto režimy podľa môjho názoru stanovujú – pokiaľ ide o ochranu a bezpečnosť údajov uchovávaných poskytovateľmi – porovnateľné záruky, ktoré majú umožniť účinnú ochranu osobných údajov proti rizikám zneužitia, ako aj proti akémukoľvek nezákonnému prístupu a akémukoľvek nezákonnému použitiu týchto údajov.(46)
160. Vnútroštátnym súdom však prináleží, aby z hľadiska predchádzajúcich úvah overili, či vnútroštátne režimy, o aké ide v sporoch vo veciach samých, skutočne rešpektujú podstatu práv uznaných v článkoch 7 a 8 Charty.
3. O existencii cieľa všeobecného záujmu, ktorý je uznaný Úniou a môže odôvodniť všeobecnú povinnosť uchovávať údaje
161. Článok 15 ods. 1 smernice 2002/58, ako aj článok 52 ods. 1 Charty vyžadujú, aby akýkoľvek zásah do práv, ktoré tieto nástroje zakotvujú, sledoval cieľ všeobecného záujmu.
162. V bodoch 41 až 44 rozsudku DRI Súdny dvor jednak rozhodol, že všeobecná povinnosť uchovávať údaje vyplývajúca zo smernice 2006/24 podporuje „boj proti závažnej trestnej činnosti, a v konečnom dôsledku tak verejnú bezpečnosť“ a jednak konštatoval, že tento boj predstavuje cieľ všeobecného záujmu Únie.
163. Z judikatúry Súdneho dvora totiž vyplýva, že boj proti medzinárodnému terorizmu s cieľom zachovať mier a medzinárodnú bezpečnosť predstavuje cieľ všeobecného záujmu Únie. To isté platí, pokiaľ ide o boj proti závažnej trestnej činnosti na účely zabezpečenia verejnej bezpečnosti. Navyše treba v tejto súvislosti uviesť, že článok 6 Charty stanovuje právo každej osoby nielen na slobodu, ale aj na bezpečnosť.(47)
164. Toto posúdenie možno uplatniť aj na všeobecnú povinnosť uchovávať údaje, o akú ide v sporoch vo veciach samých, ktorú možno odôvodniť cieľom boja proti závažným trestným činom.
165. So zreteľom na niektoré tvrdenia predložené Súdnemu dvoru však treba určiť, či takáto povinnosť môže byť odôvodnená aj iným cieľom všeobecného záujmu, než je boj proti závažným trestným činom.
166. V tejto súvislosti sa v znení článku 52 ods. 1 Charty uvádzajú „ciele všeobecného záujmu, ktoré sú uznané Úniou“ a „potreba ochrany práv a slobôd iných“.
167. Znenie článku 15 ods. 1 smernice 2002/58 je z hľadiska cieľov, ktoré môžu odôvodniť zásah do práv stanovených touto smernicou, presnejšie. Podľa tohto ustanovenia totiž musia byť dotknuté opatrenia nevyhnutné na „zabezpečenie národnej bezpečnosti (t. j. bezpečnosti štátu), obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo neoprávnené používanie elektronického komunikačného systému podľa článku 13 ods. 1 smernice 95/46“.
168. Okrem toho Súdny dvor v rozsudku Promusicae(48) rozhodol, že toto ustanovenie treba vykladať z hľadiska článku 13 ods. 1 smernice 95/46, ktorý povoľuje výnimky z práv stanovených touto smernicou v prípade, keď sú odôvodnené „ochranou práv a slobôd ostatných“. V dôsledku toho Súdny dvor rozhodol, že článok 15 ods. 1 smernice 2002/58 poskytuje členským štátom možnosť, aby stanovili povinnosť poskytovateľa zverejniť osobné údaje v rámci občianskoprávneho konania na účely zistenia existencie zásahu do autorských práv týkajúcich sa hudobných a audiovizuálnych nahrávok.
169. Vláda Spojeného kráľovstva na základe argumentácie uvedenej v tomto rozsudku tvrdí, že všeobecná povinnosť uchovávať údaje môže byť odôvodnená akýmkoľvek cieľom uvedeným v článku 15 ods. 1 smernice 2002/58 alebo v článku 13 ods. 1 smernice 95/46. Podľa tejto vlády môže byť takáto povinnosť odôvodnená užitočnosťou uchovávaných údajov v boji proti „menej závažným“ trestným činom (na rozdiel od „závažných“) alebo dokonca aj v iných než trestných konaniach súvisiacich s cieľmi uvedenými v týchto ustanoveniach.
170. Uvedené tvrdenie ma nepresvedčilo z nasledujúcich dôvodov.
171. Po prvé – a ako správne zdôraznili pán Watson, ako aj Open Rights Group a Privacy International – prístup, ktorý si zvolil Súdny dvor v rozsudku Promusicae(49), nemožno uplatniť v prejednávaných veciach, lebo tento rozsudok sa týkal žiadosti združenia nositeľov autorských práv o prístup k údajom uchovávaným z vlastnej iniciatívy jedným z poskytovateľov, konkrétne spoločnosťou Telefónica de España. Inými slovami, tento rozsudok sa netýkal cieľov, ktoré môžu odôvodniť závažný zásah do základných práv, ktorý môže vyplynúť zo všeobecnej povinnosti uchovávať údaje, o akú ide v sporoch vo veciach samých.
172. Po druhé sa domnievam, že požiadavka primeranosti v demokratickej spoločnosti vylučuje, aby všeobecná povinnosť uchovávať údaje bola odôvodnená bojom proti menej závažným trestným činom alebo riadnym priebehom iných než trestných konaní. Značné riziká, ktoré sú s takouto povinnosťou spojené, sú totiž neúmerné jej prínosu v boji proti menej závažným trestným činom alebo v oblasti iných než trestných konaní.(50)
173. So zreteľom na vyššie uvedené sa domnievam, že článok 15 ods. 1 smernice 2002/58 a článok 52 ods. 1 Charty sa majú vykladať v tom zmysle, že boj proti závažným trestným činom predstavuje cieľ všeobecného záujmu, ktorý môže odôvodniť všeobecnú povinnosť uchovávať údaje, na rozdiel od boja proti menej závažným trestným činom alebo riadneho priebehu iných než trestných konaní.
174. Treba teda posúdiť vhodnosť, nevyhnutnosť a primeranosť takejto povinnosti z hľadiska cieľa boja proti závažným trestným činom.
4. O vhodnosti všeobecnej povinnosti uchovávať údaje so zreteľom na boj proti závažným trestným činom
175. Požiadavky týkajúce sa vhodnosti, nevyhnutnosti(51) a primeranosti(52) vyplývajú tak z článku 15 ods. 1 smernice 2002/58, ako aj z článku 52 ods. 1 Charty.
176. Podľa prvej z týchto požiadaviek musí byť všeobecná povinnosť uchovávať údaje, o akú ide v sporoch vo veciach samých, spôsobilá podporiť vyššie uvedený cieľ všeobecného záujmu, čiže boj proti závažným trestným činom.
177. Táto požiadavka nespôsobuje v kontexte prejednávaných vecí osobitné problémy. Ako Súdny dvor uviedol v bode 49 rozsudku DRI, uchovávané údaje ponúkajú príslušným vnútroštátnym orgánom v oblasti stíhania trestných činov dodatočný vyšetrovací nástroj na predchádzanie a objasnenie závažných trestných činov. Takáto povinnosť teda podporuje boj proti závažným trestným činom.
178. Chcel by som však objasniť, ako môže byť všeobecná povinnosť uchovávať údaje užitočná v boji proti závažným trestným činom. Ako správne uviedla francúzska vláda, takáto povinnosť do istej miery umožňuje orgánom pôsobiacim v oblasti presadzovania práva – na rozdiel od cieleného sledovania – „čítať minulosť“ z uchovávaných údajov.
179. Cielené sledovanie sa zameriava na osoby, ktoré boli vopred označené ako osoby, ktoré môžu mať súvislosť, dokonca aj nepriamu alebo vzdialenú, so závažným trestným činom. Takéto cielené sledovanie umožňuje príslušným orgánom prístup k údajom, ktoré sa týkajú komunikácií uskutočnených týmito osobami, ba aj k obsahu týchto komunikácií. Tento prístup sa však môže vzťahovať len na komunikácie uskutočnené po označení týchto osôb.
180. Všeobecná povinnosť uchovávať údaje sa naopak týka všetkých komunikácií uskutočnených všetkými užívateľmi bez toho, aby sa vyžadovala akákoľvek súvislosť so závažným trestným činom. Takáto povinnosť umožňuje príslušným orgánom prístup k histórii komunikácií uskutočnených určitou osobou ešte pred tým, ako bola označená za osobu súvisiacu s trestným činom. V tomto zmysle uvedená povinnosť priznáva orgánom pôsobiacim v oblasti presadzovania práva obmedzenú možnosť čítať minulosť tým, že im sprístupňuje komunikácie uskutočnené takýmito osobami ešte pred ich označením.(53)
181. Inými slovami užitočnosť všeobecnej povinnosti uchovávať údaje na účely boja proti závažným trestným činom spočíva v obmedzenej možnosti čítať minulosť prostredníctvom údajov mapujúcich históriu komunikácií uskutočnených určitou osobou ešte pred tým, ako sa stala podozrivou v súvislosti so závažným trestným činom.(54)
182. Pri predložení návrhu smernice, ktorý viedol k prijatiu smernice 2006/24, Komisia ukázala túto užitočnosť na niekoľkých konkrétnych príkladoch vyšetrovaní týkajúcich sa teroristických činov, vraždy, únosu a detskej pornografie.(55)
183. Niekoľko podobných príkladov poskytla Súdnemu dvoru v rámci prejednávaných vecí najmä francúzska vláda, ktorá zdôraznila pozitívnu povinnosť členských štátov zaistiť bezpečnosť osôb nachádzajúcich sa na ich území. Podľa tejto vlády v rámci vyšetrovaní rozbíjania sietí, ktoré organizujú vycestovanie francúzskych občanov do oblastí konfliktov v Iraku alebo Sýrie, zohráva prístup k uchovávaným údajom rozhodujúcu úlohu pri identifikácii osôb, ktoré takéto vycestovanie umožnili. Francúzska vláda dodáva, že prístup k údajom týkajúcim sa komunikácií osôb zapojených do nedávnych teroristických útokov, ku ktorým došlo v januári a decembri 2015 vo Francúzsku, bol pre vyšetrovateľov veľmi dôležitý pri odhaľovaní spolupáchateľov týchto atentátov. Rovnako pri pátraní po nezvestnej osobe môžu údaje týkajúce sa lokalizácie tejto osoby počas komunikácií uskutočnených pred jej zmiznutím zohrať rozhodujúcu úlohu pri vyšetrovaní.
184. So zreteľom na predchádzajúce úvahy sa domnievam, že všeobecná povinnosť uchovávať údaje môže podporiť boj proti závažným trestným činom. Zostáva však overiť, či je táto povinnosť nevyhnutná a súčasne primeraná danému cieľu.
5. O nevyhnutnosti všeobecnej povinnosti uchovávať údaje vo vzťahu k boju proti závažným trestným činom
185. Podľa ustálenej judikatúry možno opatrenie považovať za nevyhnutné len v prípade neexistencie akéhokoľvek iného opatrenia, ktoré by bolo rovnako vhodné a pritom menej obmedzujúce.(56)
186. Požiadavku týkajúcu sa vhodnosti treba hodnotiť podľa „absolútnej“ účinnosti – nezávisle od všetkých ostatných opatrení pripadajúcich do úvahy – všeobecnej povinnosti uchovávať údaje z hľadiska boja proti závažným trestným činom. Požiadavka nevyhnutnosti vyžaduje posúdenie efektívnosti takejto požiadavky – alebo jej „relatívnej“ účinnosti, teda jej účinnosti v porovnaní so všetkými ostatnými opatreniami pripadajúcimi do úvahy.(57)
187. V kontexte prejednávaných vecí vyžaduje test nevyhnutnosti overiť jednak to, či by iné opatrenia neboli rovnako účinné ako všeobecná povinnosť uchovávať údaje v boji proti závažným trestným činom, a jednak to, či tieto prípadné opatrenia nezasahujú menej do práv zakotvených v smernici 2002/58 a článku 7 a 8 Charty.(58)
188. Ďalej pripomínam ustálenú judikatúru uvedenú v bode 52 rozsudku DRI, podľa ktorej si ochrana základného práva na súkromný život vyžaduje, aby výnimky a obmedzenia v súvislosti s ochranou osobných údajov nepôsobili nad rámec toho, čo je „prísne nevyhnutné“.(59)
189. V kontexte prejednávaných vecí sa účastníci konania, ktorí predložili Súdnemu dvoru pripomienky, podrobne vyjadrovali k dvom otázkam týkajúcim sa požiadavky prísnej nevyhnutnosti, ktoré v podstate zodpovedajú dvom otázkam, ktoré položil vnútroštátny súd vo veci C‑203/15:
– Po prvé má sa všeobecná povinnosť uchovávať údaje sama osebe považovať z hľadiska bodov 56 až 59 rozsudku DRI za presahujúcu rámec toho, čo je prísne nevyhnutné na účely boja proti závažným trestným činom, a to bez ohľadu na prípadné záruky sprevádzajúce túto povinnosť?
– Po druhé aj za predpokladu, že takúto povinnosť samu osebe možno považovať za nepresahujúcu rámec toho, čo je prísne nevyhnutné, musí byť sprevádzaná všetkými zárukami, ktoré uvádza Súdny dvor v bodoch 60 až 68 rozsudku DRI, tak, aby bol zásah do práv zaručených smernicou 2002/58 a článkom 7 a 8 Charty obmedzený na to najnevyhnutnejšie?
190. Domnievam sa, že ešte pred preskúmaním týchto otázok treba odmietnuť tvrdenie vlády Spojeného kráľovstva, podľa ktorého sú kritériá stanovené v rozsudku DRI v kontexte posudzovaných vecí irelevantné, pretože tento rozsudok sa netýkal vnútroštátneho režimu, ale režimu zavedeného normotvorcom Únie.
191. V tejto súvislosti zdôrazňujem, že v rozsudku vo veci DRI boli vyložené články 7 a 8 a článok 52 ods. 1 Charty a tieto ustanovenia sú aj predmetom otázok položených v sporoch vo veciach samých. Podľa môjho názoru ustanovenia Charty nemožno vykladať rozdielne podľa toho, či bol dotknutý režim stanovený na úrovni Únie alebo na vnútroštátnej úrovni, ako správne uvádzajú páni Brice a Lewis, ako aj Law Society of England and Wales. Ak sa určilo, že Charta je uplatniteľná, ako je to aj v prejednávaných veciach(60), musí sa rovnako uplatniť bez ohľadu na dotknutý režim. Kritériá stanovené Súdnym dvorom v rozsudku DRI sa teda uplatnia na účely posúdenia vnútroštátnych režimov, o aké ide v posudzovaných veciach, ako okrem iného uviedli dánska a írska vláda, ako aj Komisia.
a) O prísnej nevyhnutnosti všeobecnej povinnosti uchovávať údaje
192. Podľa prvého prístupu, ktorý obhajujú Tele2 Sverige, ako aj Open Rights Group a Privacy International, treba všeobecnú povinnosť uchovávať údaje samu osebe považovať z hľadiska rozsudku DRI za presahujúcu rámec toho, čo je prísne nevyhnutné na účely boja proti závažným trestným činom, a to bez ohľadu na možné záruky sprevádzajúce túto povinnosť.
193. Podľa druhého prístupu, ktorý obhajuje väčšina ostatných subjektov, ktoré predložili Súdnemu dvoru pripomienky, táto povinnosť nepresahuje rámec toho, čo je prísne nevyhnutné, za predpokladu, že ju sprevádzajú určité záruky týkajúce sa prístupu k údajom, obdobia uchovávania, ako aj ochrany a bezpečnosti údajov.
194. Z nasledujúcich dôvodov sa prikláňam k tomuto druhému prístupu.
195. Po prvé podľa toho, ako chápem rozsudok DRI, Súdny dvor dospel k záveru, že všeobecná povinnosť uchovávať údaje presahuje rámec toho, čo je prísne nevyhnutné, v prípade, ak nie je sprevádzaná prísnymi zárukami týkajúcimi sa prístupu k údajom, obdobia uchovávania a ochrany a bezpečnosti údajov. Súdny dvor sa však nevyjadril k tomu, či je všeobecná povinnosť uchovávať údaje, ktorá nie je sprevádzaná takými zárukami, zlučiteľná s právom Únie, lebo takýto režim nebol predmetom otázok položených Súdnemu dvoru v tejto veci.
196. V tejto súvislosti zdôrazňujem, že body 56 až 59 rozsudku DRI neobsahujú žiadne konštatovanie Súdneho dvora v tom zmysle, že by všeobecná povinnosť uchovávať údaje sama osebe presahovala rámec toho, čo je prísne nevyhnutné.
197. V bodoch 56 a 57 tohto rozsudku Súdny dvor konštatuje, že povinnosť uchovávať údaje stanovená smernicou 2006/24 sa vzťahuje na všetky osoby, všetky prostriedky elektronickej komunikácie a všetky prevádzkové údaje bez stanovenia akékoľvek rozlíšenia, obmedzenia alebo výnimky na základe cieľa, ktorým je boj proti závažnej trestnej činnosti.
198. V bodoch 58 a 59 uvedeného rozsudku Súdny dvor podrobnejšie rozoberá praktické dôsledky nestanovenia uvedeného rozlíšenia. Táto povinnosť uchovávať údaje sa týka aj osôb, pri ktorých prípadne nie je žiadny dôvod domnievať sa, že by ich konanie mohlo mať aspoň nepriamu alebo vzdialenú súvislosť so závažnými trestnými činmi. Na druhej strane uvedená smernica nevyžaduje súvislosť medzi údajmi, ktorých uchovávanie stanovuje, a hrozbou pre verejnú bezpečnosť, a predovšetkým sa uchovávanie neobmedzuje ani na údaje z určitého časového obdobia a/alebo z určitej zemepisnej oblasti a/alebo na okruh osôb, ktorý by akýmkoľvek spôsobom bolo možné spájať so závažnými trestnými činmi.
199. Následne Súdny dvor konštatuje, že všeobecná povinnosť uchovávať údaje sa vyznačuje tým, že nestanovuje rozlíšenie na základe cieľa, ktorým je boj proti závažnej trestnej činnosti. Súdny dvor však nedospel k záveru, že by toto nestanovenie rozlíšenia mohlo znamenať, že takáto povinnosť uchovávať údaje sama osebe presahuje rámec toho, čo je prísne nevyhnutné.
200. V skutočnosti Súdny dvor po posúdení režimu stanoveného smernicou 2006/24 a po konštatovaní neexistencie niektorých záruk, ktoré ďalej preskúmam(61), dospel v bode 69 rozsudku DRI k tomuto záveru:
„Vzhľadom na všetky predchádzajúce úvahy treba usúdiť, že normotvorca Únie pri prijatí smernice 2006/24 prekročil hranice, ktoré mu ukladá dodržiavanie zásady proporcionality so zreteľom na články 7, 8 a článok 52 ods. 1 Charty“ (kurzívou zvýraznil generálny advokát).
201. Ako uviedli nemecká a holandská vláda, ak by na určenie neplatnosti smernice 2006/24 postačovalo samotné zovšeobecnené uchovávanie údajov, Súdny dvor by v bodoch 60 až 68 uvedeného rozsudku nemusel tak podrobne preskúmavať neexistenciu záruk.
202. Samotná všeobecná povinnosť uchovávať údaje stanovená smernicou 2006/24 teda nepresiahla rámec toho, čo je prísne nevyhnutné. Táto smernica presiahla rámec toho, čo je prísne nevyhnutné, z dôvodu kombinovaného účinku všeobecnej povinnosti uchovávať údaje a neexistencie záruk obmedzujúcich zásah do práv zakotvených v článkoch 7 a 8 Charty na to najnevyhnutnejšie. Z dôvodu tohto kombinovaného účinku musela byť smernica vyhlásená za neplatnú v celom rozsahu.(62)
203. Po druhé nachádzam potvrdenie tohto výkladu v bode 93 rozsudku Schrems(63), ktorý znie:
„Na prísnu nevyhnutnosť tak nie je obmedzená právna úprava, ktorá všeobecne oprávňuje uchovávanie všetkých osobných údajov každej osoby, ktorej osobné údaje boli prenesené z Únie do Spojených štátov bez toho, aby stanovovala akékoľvek rozlíšenie, obmedzenie alebo výnimku na základe sledovaného cieľa, a bez toho, aby sa stanovilo objektívne kritérium umožňujúce vymedziť prístup orgánov verejnej moci k údajom a ich neskoršie použitie na účely, ktoré sú presné, prísne obmedzené a spôsobilé odôvodniť zásah, ktorý spôsobuje tak prístup, ako aj používanie týchto údajov [pozri v tomto zmysle, pokiaľ ide o smernicu 2006/24, rozsudok DRI, body 57 až 61]“ (kurzívou zvýraznil generálny advokát).
204. Súdny dvor opätovne nerozhodol, že režim dotknutý v tejto veci prekračuje rámec toho, čo je prísne nevyhnutné, len z dôvodu, že umožňuje uchovávať osobné údaje. V danom prípade došlo k prekročeniu rámca toho, čo je prísne nevyhnutné, z dôvodu kombinácie účinkov možnosti takéhoto všeobecného uchovávania údajov a neexistencie záruky týkajúcej sa prístupu k údajom s cieľom obmedziť zásah na to najnevyhnutnejšie.
205. Z vyššie uvedeného vyvodzujem záver, že všeobecná povinnosť uchovávať údaje sama osebe nemusí vždy prekračovať rámec toho, čo je prísne nevyhnutné na účely boja proti závažnej trestnej činnosti. Takáto povinnosť naopak vždy prekračuje rámec toho, čo je prísne nevyhnutné, vtedy, keď nie je sprevádzaná zárukami týkajúcimi sa prístupu k údajom, doby uchovávania, ako aj ochrany a bezpečnosti údajov.
206. Po tretie môj názor v tomto ohľade nachádza oporu v nutnosti konkrétne overiť, či bola splnená požiadavka prísnej nevyhnutnosti v kontexte vnútroštátnych režimov, o ktoré ide v sporoch vo veciach samých.
207. Ako som už uviedol v bode 187 týchto návrhov, požiadavka prísnej nevyhnutnosti vyžaduje preskúmať, či neexistujú iné opatrenia, ktoré by mohli byť rovnako účinné, ako je všeobecná povinnosť uchovávať údaje, v boji proti závažnej trestnej činnosti a zároveň by menej zasahovali do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty.
208. Takéto posúdenie však treba uskutočniť v osobitnom kontexte každého z vnútroštátnych režimov, ktoré zaviedli všeobecnú povinnosť uchovávať údaje. Po prvé toto posúdenie vyžaduje porovnať účinnosť tejto povinnosti s účinnosťou akéhokoľvek iného opatrenia pripadajúceho do úvahy vo vnútroštátnom kontexte, a to so zreteľom na skutočnosť, že uvedená povinnosť poskytuje príslušným orgánom obmedzenú možnosť čítať minulosť prostredníctvom uchovávaných údajov.(64)
209. So zreteľom na požiadavku prísnej nevyhnutnosti je nevyhnutné, aby sa tieto súdne orgány neuspokojili iba s overením účelnosti všeobecnej povinnosti uchovávať údaje, ale aby dôsledne overili, či žiadne opatrenie alebo kombinácia opatrení, a najmä cielená povinnosť uchovávať údaje sprevádzaná ďalšími vyšetrovacími prostriedkami, nemôžu byť v boji proti závažnej trestnej činnosti rovnako účinné. V tejto súvislosti zdôrazňujem, že viaceré štúdie predložené Súdnemu dvoru spochybňujú nevyhnutnosť povinnosti tohto druhu na účely boja proti závažnej trestnej činnosti.(65)
210. Na druhej strane bude zasa prináležať vnútroštátnym súdom, aby za predpokladu, že iné opatrenia môžu byť v boji proti závažnej trestnej činnosti rovnako účinné, určili, či tieto opatrenia predstavujú menší zásah do dotknutých základných práv než všeobecná povinnosť uchovávať údaje, a to na základe ustálenej judikatúry citovanej v bode 185 týchto návrhov.
211. Z hľadiska bodu 59 rozsudku DRI bude vnútroštátnym súdom prináležať, aby sa zaoberali najmä možnosťou obmedziť vecný rozsah povinnosti uchovávať údaje a pritom zachovať účinnosť tohto opatrenia v boji proti závažnej trestnej činnosti.(66) Takáto povinnosť môže mať totiž väčší alebo menší vecný rozsah v závislosti od užívateľov, zemepisných oblastí a dotknutých komunikačných prostriedkov.(67)
212. Podľa môjho názoru je predovšetkým žiaduce vylúčiť z povinnosti uchovávania údajov, pokiaľ je to technicky možné, údaje, ktoré sú osobitne citlivé z hľadiska základných práv dotknutých v prejednávaných veciach, ako sú údaje podliehajúce profesijnému tajomstvu alebo údaje umožňujúce identifikovať novinárske zdroje.
213. Treba však mať na pamäti, že podstatné obmedzenie rozsahu všeobecnej povinnosti uchovávať údaje môže výrazne znížiť užitočnosť tohto režimu v boji proti závažným trestným činom. Viaceré vlády poukázali aj na to, že je ťažké alebo dokonca nemožné dopredu určiť údaje, ktoré by mohli mať súvislosť so závažnou trestnou činnosťou. Takéto obmedzenie teda môže vylúčiť z uchovávania tie údaje, ktoré by mohli byť z hľadiska boja proti závažným trestným činom relevantné.
214. Okrem toho, ako uviedla estónska vláda, závažná trestná činnosť je dynamický jav, ktorý je schopný prispôsobiť sa vyšetrovacím nástrojom, ktoré majú orgány pôsobiace v oblasti presadzovania práva k dispozícii. Obmedzenie na jednu konkrétnu zemepisnú oblasť alebo jeden konkrétny komunikačný prostriedok by preto mohlo viesť k riziku presunutia činností spojených so závažnou trestnou činnosťou do inej zemepisnej oblasti a/alebo na iný komunikačný prostriedok, na ktoré sa tento režim nevzťahuje.
215. Keďže toto posúdenie vyžaduje komplexne posúdiť vnútroštátne režimy, o aké ide v sporoch vo veciach samých, zastávam rovnaký názor ako česká, estónska, írska, francúzska a holandská vláda a Komisia, ktoré zdôraznili, že toto posúdenie by mali uskutočniť vnútroštátne súdy.
b) O nevyhnutnosti záruk uvedených Súdnym dvorom v bodoch 60 až 68 rozsudku DRI z hľadiska požiadavky prísnej nevyhnutnosti
216. Za predpokladu, že povinnosť uchovávať údaje bude možné považovať za absolútne nevyhnutnú v kontexte dotknutého vnútroštátneho režimu, čo prináleží posúdiť vnútroštátnemu súdu, treba ešte určiť, či táto povinnosť musí byť sprevádzaná všetkými zárukami uvedenými Súdnym dvorom v bodoch 60 až 68 rozsudku DRI, a to s cieľom obmedziť zásahy do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty na to najnevyhnutnejšie.
217. Uvedené záruky sa týkajú pravidiel upravujúcich prístup a využívanie uchovávaných údajov príslušnými vnútroštátnymi orgánmi (body 60 až 62 rozsudku DRI), dobu uchovávania údajov (body 63 a 64 tohto rozsudku), ako aj bezpečnosť a ochranu uchovávaných údajov poskytovateľmi (body 66 až 68 tohto rozsudku).
218. Pripomienky predložené Súdnemu dvoru obsahujú dva protichodné názory, pokiaľ ide o povahu týchto záruk.
219. Podľa prvého názoru, ktorý zastávajú pán Watson, páni Brice a Lewis, ako aj Open Rights Group a Privacy International, sú záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku DRI kogentné. Podľa tohto názoru Súdny dvor stanovil minimálne záruky, pričom dotknutý vnútroštátny režim musí spĺňať všetky tieto minimálne záruky, aby obmedzil zásah do základných práv na to najnevyhnutnejšie.
220. Podľa druhého názoru, ktorý zastávajú nemecká, estónska, írska, francúzska vláda a vláda Spojeného kráľovstva, sú záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku DRI iba orientačné. Súdny dvor podľa ich názoru uskutočnil „celkové posúdenie“ záruk neexistujúcich v režime stanovenom smernicou 2006/24, pričom žiadnu z týchto záruk nemožno samostatne považovať za kogentnú z hľadiska požiadavky prísnej nevyhnutnosti. Na dokreslenie tohto názoru nemecká vláda použila príklad „spojených nádob“, na ktorom ukázala, že pružnejší prístup k jednému z troch aspektov určených Súdnym dvorom (napr. prístup k uchovávaným údajom) môže byť kompenzovaný prísnejším prístupom, pokiaľ ide o ostatné dva aspekty (doba uchovávania a bezpečnosť a ochrana údajov).
221. Som presvedčený, že tento názor týkajúci sa „spojených nádob“ treba odmietnuť a že všetky záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku DRI treba považovať za kogentné, a to z nasledujúcich dôvodov.
222. Po prvé formulácie, ktoré použil Súdny dvor vo svojom preskúmaní prísnej nevyhnutnosti režimu stanoveného smernicou 2006/24, neumožňujú takýto výklad. Predovšetkým Súdny dvor v bodoch 60 až 68 uvedeného rozsudku nikde neuvádza žiadnu možnosť „kompenzácie“ pružnejšieho prístupu k jednému z troch aspektov určených Súdnym dvorom prísnejším prístupom k ostatným dvom aspektom.
223. Domnievam sa, že názor týkajúci sa „spojených nádob“ v skutočnosti vychádza zo zámeny požiadavky nevyhnutnosti s požiadavkou primeranosti stricto sensu, ktorú Súdny dvor v rozsudku DRI nepreskúmal. Ako som už uviedol v bode 186 týchto návrhov, požiadavka nevyhnutnosti totiž spočíva v odmietnutí akéhokoľvek neúčinného opatrenia. V tomto kontexte teda nemožno uvažovať o „celkovom posúdení“, „kompenzácii“ alebo „vyvážení“, ktoré prichádzajú do úvahy až v štádiu primeranosti stricto sensu.(68)
224. Po druhé tento názor týkajúci sa „spojených nádob“ by zmaril potrebný účinok záruk uvedených Súdnym dvorom v bodoch 60 až 68 rozsudku DRI, lebo osoby, ktorých údaje sa uchovávali, by už nemali dostatočné záruky umožňujúce účinnú ochranu ich osobných údajov proti rizikám zneužitia, ako aj proti akémukoľvek nezákonnému prístupu a akémukoľvek nezákonnému použitiu týchto údajov, ako to vyžaduje bod 54 tohto rozsudku.
225. Zničujúci účinok tohto názoru možno jednoducho ukázať na nasledujúcich príkladoch. Vnútroštátny režim, ktorý prísne obmedzuje prístup k údajom len na účely boja proti terorizmu a obmedzuje dobu uchovávania údajov na tri mesiace (prísny prístup, pokiaľ ide o prístup k uchovávaným údajom a dobu uchovávania), ale ktorý neukladá poskytovateľom povinnosť uchovávať údaje na vnútroštátnom území a v šifrovanej podobe (pružný prístup, pokiaľ ide o bezpečnosť), by vystavil obyvateľstvo ako celok vysokému riziku neoprávneného prístupu k uchovávaným údajom. Rovnako by tak vnútroštátny režim, ktorý by síce stanovil dobu uchovávania na tri mesiace a povinnosť uchovávať údaje na vnútroštátnom území a v šifrovanej podobe (prísny prístup, pokiaľ ide o dobu a bezpečnosť), avšak umožňoval by prístup k uchovávaným údajom všetkým zamestnancom všetkých orgánov verejnej moci (pružný prístup, pokiaľ ide o prístup k uchovávaným údajom), vystavil obyvateľstvo ako celok vysokému riziku zneužitia údajov vnútroštátnymi orgánmi.
226. Podľa môjho názoru z týchto príkladov vyplýva, že na zachovanie potrebného účinku záruk uvedených Súdnym dvorom v bodoch 60 až 68 rozsudku DRI treba každú z týchto záruk považovať za kogentnú. ESĽP tiež zdôraznil zásadný význam týchto záruk v nedávnom rozsudku Szabó a Vissy v. Maďarsko, pričom sa výslovne odvolal na rozsudok DRI.(69)
227. Po tretie zavedenie uvedených záruk členskými štátmi, ktoré zamýšľajú uložiť všeobecnú povinnosť uchovávať údaje, podľa môjho názoru nespôsobuje závažné praktické ťažkosti. Ako uviedol pán Watson, v skutočnosti sa tieto záruky v mnohých ohľadoch javia ako „minimálne“.
228. O viacerých z týchto záruk sa diskutovalo v konaní na Súdnom dvore z dôvodu ich možnej neexistencie vo vnútroštátnych režimoch, o ktoré ide v konaniach vo veciach samých.
229. Po prvé z bodov 61 a 62 rozsudku DRI vyplýva, že prístup a neskoršie využitie uchovávaných údajov musí byť prísne obmedzené na účely predchádzania a odhaľovania presne definovaných závažných trestných činov alebo na stíhanie týchto činov.
230. Podľa spoločnosti Tele2 Sverige a Komisie švédsky režim dotknutý vo veci C‑203/15 túto požiadavku nespĺňa, lebo umožňuje prístup k uchovávaným údajom na účely boja proti menej závažným trestným činom. Obdobnú kritiku vzniesli páni Brice a Lewis, ako aj pán Watson vo vzťahu k režimu Spojeného kráľovstva dotknutého vo veci C‑698/15, ktorý podľa ich názoru umožňuje prístup na účely boja proti menej závažným trestným činom, a to dokonca aj v prípade neexistencie trestnej činnosti.
231. Aj keď Súdnemu dvoru neprináleží, aby sa vyjadroval k obsahu týchto vnútroštátnych režimov, prislúcha mu povinnosť identifikovať ciele všeobecného záujmu, ktoré môžu odôvodniť vážny zásah do práv zakotvených v smernici a článkoch 7 a 8 Charty. V prejednávanej veci som už vysvetlil dôvody, pre ktoré sa domnievam, že takýto zásah môže byť odôvodnený výhradne bojom proti závažným trestným činom.(70)
232. Po druhé podľa bodu 62 rozsudku DRI musí prístup k uchovávaným údajom podliehať predchádzajúcej kontrole vykonanej buď súdom alebo nezávislým správnym orgánom, ktorých rozhodnutie má obmedziť prístup k údajom a k ich použitiu na to, čo je najnevyhnutejšie na dosiahnutie sledovaného cieľa. Táto predchádzajúca kontrola by sa mala uskutočniť na základe odôvodnenej žiadosti týchto orgánov podanej v rámci konania týkajúceho sa predchádzania, odhaľovania a stíhania trestných činov.
233. Podľa pripomienok spoločnosti Tele2 Sverige a Komisie vo švédskom režime dotknutom vo veci C‑203/15 táto záruka nezávislej a predchádzajúcej kontroly pred povolením prístupu čiastočne chýba. K rovnakému záveru, ktorého pravdivosť nebola vládou Spojeného kráľovstva spochybnená, dospeli v súvislosti s režimom Spojeného kráľovstva dotknutého vo veci C‑698/15 aj páni Brice a Lewis, pán Watson, ako aj Open Rights Group a Privacy International.
234. Nevidím žiadny dôvod na zmiernenie tejto požiadavky predchádzajúcej kontroly nezávislým orgánom, ktorá nesporne vyplýva z formulácií, ktoré použil Súdny dvor v bode 62 rozsudku DRI.(71) Táto požiadavka vyplýva v prvom rade zo závažnosti zásahu a rizík spojených s vytváraním databáz, ktoré sa vzťahujú na takmer celé dotknuté obyvateľstvo.(72) Podotýkam, že viacero odborníkov na problematiku ochrany základných ľudských práv v rámci boja proti terorizmu kritizovalo súčasný trend spočívajúci v nahrádzaní tradičných postupov nezávislého povoľovania a účinného monitorovania systémami „vlastného povoľovania“ prístupu k údajom zo strany spravodajských a policajných služieb.(73)
235. Nezávislá a predchádzajúca kontrola prístupu k údajom je ďalej nevyhnutná na umožnenie individuálneho spracovania zvlášť citlivých údajov so zreteľom na základné práva dotknuté v prejednávaných veciach, ako sú údaje podliehajúce profesijnému tajomstvu alebo údaje umožňujúce identifikovať novinárske zdroje, ako to zdôraznili Law Society of England and Wales a francúzska a nemecká vláda. Táto predchádzajúca kontrola prístupu je o to viac nevyhnutná v prípade, keď je v štádiu uchovávania technicky náročné vylúčiť tieto údaje ako celok.(74)
236. Nakoniec dodávam, že z praktického hľadiska žiadny z troch subjektov, ktorých sa týka žiadosť o prístup, nie je schopný vykonávať účinnú kontrolu nad prístupom k uchovávaným údajom. Príslušné orgány pôsobiace v oblasti presadzovania práva majú veľký záujem na tom, aby požiadali o čo najširší prístup k týmto údajom. Poskytovatelia, ktorí nie sú oboznámení s vyšetrovacím spisom, nemôžu overiť, či sa žiadosť o prístup obmedzuje na to najnevyhnutnejšie. Pokiaľ ide o osoby, ktorých údaje sa majú sprístupniť, tieto nemajú žiadnu možnosť zistiť, že sú predmetom takéhoto vyšetrovacieho opatrenia, a to dokonca ani v prípade jeho zneužitia či nezákonného použitia, ako to zdôraznili pán Watson a páni Brice a Lewis. Takéto rozloženie dotknutých záujmov vyžaduje podľa mňa zásah nezávislého orgánu ešte pred sprístupnením uchovávaných údajov tak, aby osoby, ktorých údaje sa uchovávajú, boli chránené proti akémukoľvek zneužitiu prístupu zo strany príslušných orgánov.
237. Vzhľadom na vyššie uvedené považujem za rozumné domnievať sa, že jednotlivé mimoriadne naliehavé situácie, o ktorých sa zmienila vláda Spojeného kráľovstva, môžu odôvodniť okamžitý prístup orgánov pôsobiacich v oblasti presadzovania práva k uchovávaným údajom bez predchádzajúcej kontroly, aby sa predišlo spáchaniu závažných trestných činov alebo sa umožnilo prenasledovanie páchateľov takýchto činov.(75) Je nevyhnutné zachovať požiadavku predchádzajúceho povolenia v čo najväčšej miere, a to prostredníctvom zavedenia postupu pre naliehavé prípady v rámci nezávislého orgánu príslušného rozhodovať o tomto druhu žiadostí o prístup. Ak sa však bude zdať, že samotné podanie žiadosti o prístup na tento orgán je nezlučiteľné s mimoriadnou naliehavosťou situácie, prístup a použitie údajov musia byť čo najskôr podrobené následnej kontrole tohto orgánu.
238. Po tretie bod 68 rozsudku DRI stanovuje poskytovateľom povinnosť uchovávať údaje na území Únie, aby sa zabezpečila kontrola nezávislým orgánom, ktorú vyžaduje článok 8 ods. 3 Charty, nad dodržiavaním požiadaviek ochrany a bezpečnosti uvedených v bodoch 66 a 67 tohto rozsudku.
239. Tele2 Sverige a Komisia uviedli, že uchovávanie údajov na vnútroštátnom území nie je v rámci švédskeho režimu dotknutého vo veci C‑203/15 zaručené. Rovnakú kritiku vyjadrili páni Brice a Lewis a pán Watson v súvislosti s režimom Spojeného kráľovstva dotknutým vo veci C‑698/15.
240. V tomto ohľade nevidím žiadny dôvod na zmiernenie tejto požiadavky stanovenej v bode 68 rozsudku DRI, pretože uchovávanie údajov mimo územia Únie by neumožnilo zaručiť osobám, ktorých údaje sa uchovávajú, úroveň ochrany, akú poskytujú smernica 2002/58 a články 7 a 8 a článok 52 ods. 1 Charty.(76)
241. Považujem za rozumné na jednej strane prispôsobiť túto požiadavku, vyjadrenú Súdnym dvorom v súvislosti so smernicou 2006/24, kontextu vnútroštátnych režimov, a to prostredníctvom stanovenia povinnosti uchovávať údaje na vnútroštátnom území, ako to uviedli nemecká a francúzska vláda a Komisia. Podľa článku 8 ods. 3 Charty totiž prináleží každému členskému štátu, aby zaručil kontrolu nezávislého orgánu nad dodržiavaním požiadaviek ochrany a bezpečnosti zo strany poskytovateľov, na ktorých sa vzťahuje jeho vnútroštátny režim. V prípade neexistencie koordinácie na úrovni Únie by sa však mohlo stať, že taký vnútroštátny orgán by nemohol riadne vykonávať svoje kontrolné úlohy na území iného členského štátu.
242. Po štvrté, pokiaľ ide o dobu uchovávania, vnútroštátne súdy budú musieť uplatniť kritériá stanovené Súdnym dvorom v bodoch 63 a 64 rozsudku DRI. Tieto súdy musia určiť, či uchovávané údaje možno rozlišovať podľa ich užitočnosti, a ak áno, či bola doba uchovávania prispôsobená podľa tohto kritéria. Uvedené súdy musia ďalej overiť, či je doba uchovávania založená na objektívnych kritériách, ktoré majú zaručiť, že sa táto doba obmedzí na to najnevyhnutnejšie.
243. Zdôrazňujem, že ESĽP v nedávnom rozsudku Roman Zacharov v. Rusko rozhodol, že maximálna rozumná doba uchovávania je šesť mesiacov, pričom kritizoval neexistenciu povinnosti okamžitého zničenia údajov, ktoré nesúvisia s účelom, na ktorý boli zhromaždené.(77) V tejto súvislosti dodávam, že vnútroštátne režimy, o aké ide v sporoch vo veciach samých, musia zaviesť povinnosť definitívne zničiť všetky uchovávané údaje, pokiaľ už nebudú prísne nevyhnutné na boj proti závažným trestným činom. Túto požiadavku musia dodržiavať nielen poskytovatelia, ktorí uchovávajú údaje, ale aj orgány, ktoré mali prístup k uchovávaným údajom.
244. Vzhľadom na vyššie uvedené úvahy sa domnievam, že všetky záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku DRI majú kogentnú povahu, a v dôsledku toho musia sprevádzať všeobecnú povinnosť uchovávať údaje, aby sa obmedzil zásah do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty na to najnevyhnutnejšie.
245. Vnútroštátnym súdom prináleží overiť, či vnútroštátne režimy, o aké ide v sporoch vo veciach samých, obsahujú každú z týchto záruk.
6. O primeranosti všeobecnej povinnosti uchovávať údaje vzhľadom na cieľ boja proti závažným trestným činom v demokratickej spoločnosti
246. Po tom, ako vnútroštátne súdny overia nevyhnutnosť režimov dotknutých v konaniach vo veciach samých, budú ešte musieť overiť ich primeranosť v demokratickej spoločnosti na účely boja proti závažným trestným činom. Súdny dvor tento aspekt v rozsudku DRI nepreskúmal, lebo režim zavedený smernicou 2006/24 prekračoval rámec toho, čo je najnevyhnutnejšie na účely boja proti závažným trestným činom.
247. Táto požiadavka primeranosti v demokratickej spoločnosti – alebo primeranosti „stricto sensu“ – vyplýva z článku 15 ods. 1 smernice 2002/58, článku 52 ods. 1 Charty, ako aj z ustálenej judikatúry. Podľa tejto ustálenej judikatúry sa opatrenie, ktoré zasahuje do základných práv, môže považovať za primerané len v prípade, ak ním spôsobené nevýhody nie sú neúmerné sledovaným cieľom.(78)
248. Na rozdiel od požiadaviek vhodnosti a nevyhnutnosti príslušného opatrenia, ktoré sú podstatné z hľadiska vyhodnotenia účinnosti daného opatrenia vo vzťahu k sledovanému cieľu, požiadavka primeranosti stricto sensu spočíva vo vyvážení výhod plynúcich z daného opatrenia z hľadiska sledovaného legitímneho cieľa na jednej strane a z neho plynúcich nevýhod z hľadiska základných práv zaručených v demokratickej spoločnosti na strane druhej.(79) Táto požiadavka tak otvára diskusiu o hodnotách, ktoré majú prevážiť v demokratickej spoločnosti, a v konečnom dôsledku o type spoločnosti, v ktorej si želáme žiť.(80)
249. Z toho dôvodu – ako som už naznačil v bode 223 týchto návrhov – sa celkové posúdenie dotknutého režimu musí uskutočniť v štádiu posudzovania primeranosti v prísnom zmysle slova, a nie v štádiu posudzovania nevyhnutnosti, ako to uviedli zástancovia názoru týkajúceho sa „spojených nádob“.(81)
250. Podľa judikatúry pripomenutej v bode 247 týchto návrhov treba porovnať výhody a nevýhody všeobecnej povinnosti uchovávať údaje v demokratickej spoločnosti. Tieto výhody a nevýhody úzko súvisia s podstatným znakom takejto povinnosti a istým spôsobom predstavujú jej svetlú a temnú stránku, a to skutočnosť, že táto povinnosť uchovávať údaje sa vzťahuje na všetky komunikácie uskutočnené všetkými užívateľmi bez toho, aby sa vyžadovala akákoľvek súvislosť so závažným trestným činom.
251. Po prvé v bodoch 178 až 183 týchto návrhov som už objasnil výhody, ktoré poskytuje uchovávanie údajov týkajúcich sa komunikácií uskutočnených na vnútroštátnom území v boji proti závažným trestným činom.
252. Po druhé nevýhody všeobecnej povinnosti uchovávať údaje vyplývajú zo skutočnosti, že podstatná väčšina uchovávaných údajov sa týka osôb, ktoré nikdy nebudú mať žiadnu súvislosť so závažným trestným činom. V tejto súvislosti je dôležité spresniť povahu nevýhod, ktoré sa dotknú uvedených osôb. Tieto nevýhody majú pritom rôznu povahu v závislosti od miery zásahu do ich základných práv na rešpektovanie súkromného života a ochranu osobných údajov.
253. V prípade „individuálneho“ zásahu, ktorý sa dotkne konkrétneho jednotlivca, veľmi presne opísal nevýhody plynúce zo všeobecnej povinnosti uchovávať údaje generálny advokát Cruz Villalón v bodoch 72 až 74 svojich návrhov vo veci DRI(82). Povedané jeho slovami, použitie týchto údajov môže umožniť „zostaviť verný, ako aj dôkladný prehľad o významnej časti správania osoby, ktorá patrí do jej súkromného života, ba dokonca úplný a presný obraz jej súkromnej identity“.
254. Inými slovami, v individuálnom kontexte všeobecná povinnosť uchovávať údaje umožňuje rovnako závažné zásahy ako cielené sledovanie, a to vrátane tých, ktoré zachytávajú obsah uskutočnených komunikácií.
255. Hoci takéto individuálne zásahy nemožno podceňovať, domnievam sa však, že práve v kontexte „plošných“ zásahov sa objavujú osobitné riziká spôsobené všeobecnou povinnosťou uchovávať údaje.
256. Na rozdiel od cieleného sledovania môže totiž takáto povinnosť značne uľahčiť plošné zásahy, čiže zásahy, ktoré sa dotýkajú podstatnej časti alebo dokonca celej relevantnej populácie, čo možno ilustrovať na nasledujúcich príkladoch.
257. Najprv predpokladajme, že osoba, ktorá má prístup k uchovávaným údajom, má v úmysle identifikovať v rámci obyvateľstva členského štátu všetkých jednotlivcov s psychickými problémami. Analýza obsahu všetkých komunikácií uskutočnených na vnútroštátnom území vykonávaná na tento účel by vyžadovala značné prostriedky. Využitie databáz komunikácií by naopak umožnilo okamžitú identifikáciu všetkých jednotlivcov, ktorí kontaktovali psychológa počas obdobia uchovávania údajov.(83) Dodávam, že tento postup by sa mohol rozšíriť na všetky lekárske špecializácie registrované v členskom štáte.(84)
258. Ďalej predpokladajme, že táto istá osoba má v úmysle identifikovať jednotlivcov, ktorí sú v opozícii voči súčasnej vláde. Analýza obsahu komunikácií na tento účel by si opäť vyžiadala značné prostriedky. Naopak využitie údajov týkajúcich sa komunikácií by umožnilo identifikovať všetky osoby uvedené v zoznamoch adresátov elektronických komunikácií kritizujúcich vládnu politiku. Tieto údaje by okrem iného umožnili identifikovať osoby, ktoré sa zúčastnili na verejnej protivládnej manifestácii.(85)
259. Chcel by som zdôrazniť, že riziká spojené s prístupom k údajom týkajúcim sa komunikácií (alebo „metaúdajom“) môžu byť rovnaké alebo dokonca vyššie než riziká plynúce z prístupu k obsahu týchto komunikácií, ako zdôraznili Open Rights Group a Privacy International, Law Society of England and Wales, ako aj nedávno vydaná správa Úradu vysokého komisára Organizácie Spojených národov pre ľudské práva.(86) Ako predovšetkým ukazujú vyššie uvedené príklady, „metaúdaje“ umožňujú takmer okamžitý súpis všetkého obyvateľstva, čo neumožňuje obsah týchto komunikácií.
260. Dodávam, že riziká zneužitia či nezákonného prístupu k uchovávaným údajom nie sú len teoretické. Riziko zneužitia prístupu zo strany príslušných orgánov treba dať do súvislosti s veľmi vysokým počtom žiadostí o prístup uvedeným v pripomienkach predložených Súdnemu dvoru. V kontexte švédskeho režimu Tele2 Sverige uviedla, že dostáva približne 10 000 žiadostí o prístup mesačne, pričom toto číslo nezahŕňa žiadosti o prístup prijaté inými poskytovateľmi pôsobiacimi na švédskom území. Pokiaľ ide o režim Spojeného kráľovstva, pán Watson citoval mnohé údaje z oficiálnej správy, podľa ktorých bolo len v roku 2014 zaznamenaných 517 236 povolení a 55 346 neodkladných ústnych povolení. Na druhej strane je riziko nezákonného prístupu zo strany akejkoľvek osoby nerozlučne spojené so samotnou existenciou databáz uchovávaných na dátových nosičoch.(87)
261. Podľa môjho názoru je na vnútroštátnych súdoch, aby na základe judikatúry pripomenutej v bode 247 týchto návrhov posúdili, či nevýhody spojené so všeobecnou povinnosťou uchovávať údaje, ktorej sa týkajú spory vo veciach samých, nie sú v demokratickej spoločnosti neúmerné sledovaným cieľom. V rámci tohto posúdenia budú tieto súdy musieť porovnať riziká a výhody spojené s takouto povinnosťou, čiže:
– na jednej strane výhody spojené s tým, že sa orgánom zodpovedným za boj proti závažným trestným činom poskytne obmedzená možnosť čítať minulosť(88), a
– na druhej strane závažné riziká, ktoré v demokratickej spoločnosti plynú z možnosti zmapovať súkromný život jednotlivca a urobiť súpis všetkého obyvateľstva.
262. Toto posúdenie sa musí uskutočniť so zreteľom na všetky relevantné vlastnosti vnútroštátnych režimov, o aké ide v sporoch vo veciach samých. V tejto súvislosti zdôrazňujem, že kogentné záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku DRI sú len minimálne záruky, ktoré majú obmedziť zásah do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty na to najnevyhnutnejšie. Z tohto dôvodu nie je vylúčené, že vnútroštátny režim, ktorý poskytuje všetky tieto záruky, bude treba považovať za neprimeraný v demokratickej spoločnosti z dôvodu nerovnováhy medzi závažnými rizikami spojenými s touto všeobecnou povinnosťou v demokratickej spoločnosti a výhodami, ktoré z nej vyplývajú v boji proti závažným trestným činom.
VI – Návrh
263. Vzhľadom na vyššie uvedené navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položili Kammarrätten i Stockholm (Odvolací správny súd Štokholm, Švédsko) a Court of Appeal (England & Wales) (Civil Division) [Odvolací súd (Anglicko a Wales) (občianskoprávne kolégium), Spojené kráľovstvo] takto:
Článok 15 ods. 1 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002 týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), zmenenej a doplnenej smernicou Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009, ako aj články 7 a 8 a článok 52 ods. 1 Charty základných práv Európskej únie sa majú vykladať v tom zmysle, že nebránia tomu, aby členský štát uložil poskytovateľom služieb elektronických komunikácií povinnosť uchovávať všetky údaje týkajúce sa komunikácií uskutočnených užívateľmi ich služieb za predpokladu, že sú splnené všetky nasledujúce podmienky, čo prináleží overiť vnútroštátnym súdom, a to z hľadiska všetkých relevantných vlastností vnútroštátnych režimov, o ktoré ide v sporoch vo veciach samých:
– táto povinnosť a záruky, ktoré ju sprevádzajú, musia byť stanovené legislatívnymi alebo vykonávacími opatreniami, ktoré sú prístupné, predvídateľné a poskytujú primeranú ochranu proti svojvôli,
– táto povinnosť a záruky, ktoré ju sprevádzajú, musia rešpektovať podstatu práv uznaných v článkoch 7 a 8 Charty základných práv,
– táto povinnosť musí byť prísne nevyhnutná na boj proti závažným trestným činom, čo znamená, že neexistuje žiadne iné opatrenie alebo kombinácia opatrení, ktoré by mohli byť rovnako účinné v boji proti závažným trestným činom a zároveň by menej zasahovali do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty základných práv,
– túto povinnosť musia sprevádzať všetky záruky uvedené Súdnym dvorom v bodoch 60 až 68 rozsudku z 8. apríla 2014 Digital Rights Ireland a i. (C‑293/12 a C‑594/12, EU:C:2014:238), ktoré sa týkajú prístupu k údajom, doby ich uchovávania, ako aj ochrany a bezpečnosti údajov, s cieľom obmedziť zásah do práv zakotvených v smernici 2002/58 a článkoch 7 a 8 Charty základných práv na to najnevyhnutnejšie a
– táto povinnosť musí byť v demokratickej spoločnosti primeraná vo vzťahu k cieľu boja proti závažným trestným činom, čo znamená, že vážne riziká spojené s touto povinnosťou v demokratickej spoločnosti nesmú byť neprimerané vo vzťahu k výhodám, ktoré z nej vyplývajú v boji proti závažným trestným činom.