Sprawa C‑623/17
Privacy International
przeciwko
Secretary of State for Foreign and Commonwealth Affairs i in
(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Investigatory Powers Tribunal)
Wyrok Trybunału (wielka izba) z dnia 6 października 2020 r.
Odesłanie prejudycjalne – Przetwarzanie danych osobowych w sektorze łączności elektronicznej – Dostawcy usług łączności elektronicznej – Uogólniona i niezróżnicowana transmisja danych o ruchu i danych o lokalizacji – Ochrona bezpieczeństwa narodowego – Dyrektywa 2002/58/WE – Zakres stosowania – Artykuł 1 ust. 3 i art. 3 – Poufność łączności elektronicznej – Ochrona – Artykuł 5 i art. 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 – Artykuł 4 ust. 2 TUE
1. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Zakres stosowania – Uregulowanie krajowe nakładające na dostawców usług łączności elektronicznej obowiązek transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji – Cel ochrony bezpieczeństwa narodowego– Objęcie zakresem stosowania
(art. 4 ust. 2 TUE; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 1 ust. 1 i 3, art. 3, art. 15 ust. 1)
(zob. pkt 35–39, 41–44, 46, 48, 49; pkt 1 sentencji)
2. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Uregulowanie krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji – Cel ochrony bezpieczeństwa narodowego – Niedopuszczalność
(art. 4 ust. 2 TUE; Karta praw podstawowych Unii Europejskiej, art. 7, art. 8, art. 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 5 ust. 1, art. 15 ust. 1)
(zob. pkt 55–62, 65–82; pkt 2 sentencji)
Streszczenie
Trybunał Sprawiedliwości potwierdza, że prawo Unii stoi na przeszkodzie uregulowaniu krajowemu nakładającemu na dostawcę usług elektronicznych, w celu zwalczania przestępstw w ogólności lub ochrony bezpieczeństwa narodowego, uogólnione i niezróżnicowane transmitowanie lub zatrzymywanie danych o ruchu lub danych o lokalizacji
Natomiast w sytuacjach gdy państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia, państwo to może odstąpić od obowiązku zapewnienia poufności danych dotyczących łączności elektronicznej poprzez zobowiązanie, środkami ustawodawczymi, do uogólnionego i niezróżnicowanego zatrzymywania tych danych na okres ograniczony do tego, co ściśle niezbędne, lecz z możliwością przedłużenia w przypadku utrzymywania się zagrożenia. Jeżeli chodzi o zwalczanie poważnej przestępczości i zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego, państwo członkowskie może również przewidzieć ukierunkowane zatrzymywanie wspomnianych danych, jak również ich szybkie zatrzymywanie. Takiej ingerencji w prawa podstawowe powinny towarzyszyć skuteczne i kontrolowane przez sąd lub niezależny organ administracyjny gwarancje. Państwo członkowskie może również przystąpić do uogólnionego i niezróżnicowanego zatrzymywania adresów IP przypisanych do źródła połączenia, jeżeli czas tego zatrzymania jest ograniczony do tego, co ściśle niezbędne, lub też przystąpić do uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej, w tym ostatnim przypadku bez ograniczenia tego szczególnym terminem.
W ostatnich latach Trybunał Sprawiedliwości w licznych wyrokach wypowiadał się na temat zatrzymywania danych osobowych i dostępu do ich w dziedzinie komunikacji elektronicznej(1). Orzecznictwo to, w szczególności wyrok Tele2 Sverige i Watson i in., w którym stwierdzono między innymi, że państwa członkowskie nie mogą nakładać na dostawców usług łączności elektronicznej obowiązku uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji, wzbudziło zaniepokojenie niektórych państw członkowskich, obawiających się pozbawienia ich instrumentu koniecznego do ochrony bezpieczeństwa narodowego i do zwalczania przestępczości.
To na tym tle do Investigatory Powers Tribunal (sądu ds. uprawnień dochodzeniowych, Zjednoczone Królestwo) (Privacy International, C‑623/17), Conseil d’État (rady stanu, Francja) (La Quadrature du Net i in., sprawy połączone C‑511/18 i C‑512/18), a także Cour constitutionnelle (trybunału konstytucyjnego, Belgia) (Ordre des barreaux francophones et germanophone i in., C‑520/18) wpłynęły sprawy dotyczące zgodności z prawem uregulowań przyjętych przez niektóre państwa członkowskie, przewidujących w szczególności zobowiązanie dostawców usług elektronicznych do transmitowania organowi publicznemu lub do zatrzymywania w sposób uogólniony i niezróżnicowany danych użytkowników dotyczących ruchu i lokalizacji.
W dwóch wyrokach wydanych w dniu 6 października 2020 r. w składzie wielkiej izby Trybunał orzekł przede wszystkim, że dyrektywa „o prywatności i łączności elektronicznej” ma zastosowanie do uregulowań krajowych nakładających na dostawców usług łączności elektronicznej, do celów ochrony bezpieczeństwa narodowego i zwalczania przestępczości, obowiązek przetwarzania danych osobowych, takiego jak ich transmitowanie organom publicznym lub ich zatrzymywanie. Ponadto, potwierdzając stanowisko zawarte w wyroku Tele2 Sverige i Watson i in. w kwestii nieproporcjonalnego charakteru uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji, Trybunał przedstawił uściślenia dotyczące zwłaszcza zakresu uprawnień, jakie dyrektywa ta przyznaje państwom członkowskim w dziedzinie zatrzymywania takich w ww. celach.
Przede wszystkim Trybunał zatroszczył się o rozwianie wątpliwości co do możliwości stosowania dyrektywy „o prywatności i łączności elektronicznej” w ramach omawianych spraw. Liczne państwa członkowskie, które przedłożyły Trybunałowi uwagi na piśmie, wyraziły w tej kwestii odmienne stanowisko. Podnosiły one w szczególności, że dyrektywa ta nie ma zastosowania do uregulowań krajowych rozpatrywanych w sprawach w postępowaniach głównych, ponieważ celem tych uregulowań jest ochrona bezpieczeństwa narodowego, które należy jedynie do ich kompetencji, o czym świadczyć ma zwłaszcza art. 4 ust. 2 zdanie trzecie TUE. Trybunał uważa jednak, że uregulowania krajowe nakładające na dostawców usług łączności elektronicznej obowiązek zatrzymywania danych o ruchu i danych o lokalizacji lub też transmitowania w tym celu owych danych służbom wywiadu i bezpieczeństwa są objęte zakresem zastosowania dyrektywy.
Następnie Trybunał przypomniał, że dyrektywa „o prywatności i łączności elektronicznej”(2) nie pozwala na to, by odstępstwo od zasadniczego obowiązku zapewnienia poufności łączności elektronicznej i danych z nią związanych oraz od zakazu przechowywania tych danych stało się regułą. Oznacza to, że dyrektywa ta zezwala państwom członkowskim na przyjmowanie – między innymi do celów bezpieczeństwa narodowego - środków ustawodawczych mających na celu ograniczenie praw i obowiązków przewidzianych w tej dyrektywie, zwłaszcza obowiązku zapewnienia poufności łączności elektronicznej i danych o ruchu(3), wyłącznie z poszanowaniem ogólnych zasad prawa Unii, wśród których figuruje zasada proporcjonalności, oraz praw podstawowych gwarantowanych w karcie(4).
W tym kontekście Trybunał po pierwsze stwierdził, w sprawie Privacy International, że dyrektywa „o prywatności i łączności elektronicznej” w związku z kartą stoi na przeszkodzie na przeszkodzie uregulowaniu krajowemu nakładającemu na dostawców usług łączności elektronicznej, do celów ochrony bezpieczeństwa narodowego, obowiązku uogólnionego i niezróżnicowanego transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji. Po drugie, w sprawach połączonych La Quadrature du Net i in., jak również w sprawie Ordre des barreaux francophones et germanophone i in., Trybunał orzekł, że ta sama dyrektywa stoi na przeszkodzie środkom ustawodawczym nakładającym na dostawców usług łączności elektronicznej obowiązek prewencyjnego, uogólnionego i niezróżnicowanego, zatrzymywania danych o ruchu i danych o lokalizacji. Wspomniane obowiązki transmisji i uogólnionego i niezróżnicowanego zatrzymywania takich danych stanowią szczególnie poważne ingerencje w prawa podstawowe gwarantowane kartą mimo braku związku zachowania osób, których danych to dotyczy, z celem rozpatrywanego uregulowania. Analogicznie wykładni art. 23 ust. 1 ogólnego rozporządzenia o ochronie danych(5) w świetle karty Trybunał dokonał w ten sposób, że stoi on na przeszkodzie środkom ustawodawczym nakładającym na dostawców dostępu do usług internetowej komunikacji publicznej i na dostawców usług hostingowych obowiązek uogólnionego i niezróżnicowanego zatrzymywania między innymi danych osobowych dotyczących tych usług.
Trybunał stwierdził natomiast, że w sytuacjach, gdy dane państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia, „dyrektywa o prywatności i łączności elektronicznej” w związku z kartą nie stoi na przeszkodzie nakazaniu dostawcom usług łączności elektronicznej zatrzymywania w sposób uogólniony i niezróżnicowany danych o ruchu i danych o lokalizacji. W tym kontekście Trybunał sprecyzował, że decyzja o wydaniu takiego nakazu, wydana na określony czas ograniczony do tego, co ściśle niezbędne, powinna podlegać skutecznej kontroli sądu lub niezależnego organu administracyjnego, którego decyzja wywiera wiążący skutek, w celu weryfikacji występowania jednej z takich sytuacji oraz poszanowania przewidzianych warunków i gwarancji. W takich warunkach rzeczona dyrektywa nie stoi na przeszkodzie również zautomatyzowanej analizie danych, w szczególności danych o ruchu i o lokalizacji, ogółu użytkowników środków łączności elektronicznej.
Trybunał dodał, że dyrektywa „o prywatności i łączności elektronicznej” w związku z kartą nie stoi na przeszkodzie środkom ustawodawczym zezwalającym na ukierunkowane zatrzymywanie na określony czas ograniczony do tego, co ściśle niezbędne, danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego. Podobnie dyrektywa ta nie stoi na przeszkodzie takim środkom przewidującym uogólnione i niezróżnicowane zatrzymywanie adresów IP przypisanych do źródła połączenia, jeżeli czas tego zatrzymania jest ograniczony do tego, co ściśle niezbędne, ani środkom przewidującym uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej; w tym ostatnim przypadku państwa członkowskie nie mają obowiązku ograniczenia zatrzymania w czasie. Ponadto wspomniana dyrektywa nie stoi na przeszkodzie środkowi ustawodawczemu umożliwiającemu szybkie zatrzymanie danych, którymi dysponują dostawcy usług, jeżeli pojawią się sytuacje, w których zaistnieje konieczność zatrzymania tych danych poza ustawowymi terminami zatrzymywania danych do celów wyjaśnienia poważnych przestępstw lub naruszeń bezpieczeństwa narodowego, jeżeli te przestępstwa lub naruszenia zostały już stwierdzone lub ich istnienie można racjonalnie podejrzewać.
Ponadto Trybunał orzekł, że dyrektywa „o prywatności i łączności elektronicznej” w związku z kartą nie stoi na przeszkodzie uregulowaniu krajowemu nakładającemu na dostawców usług łączności elektronicznej obowiązek gromadzenia w czasie rzeczywistym między innymi danych o ruchu i danych o lokalizacji, jeżeli to gromadzenie ogranicza się do osób, co do których istnieje ważny powód, by podejrzewać, że są one zaangażowane w taki lub inny sposób w działalność terrorystyczną, oraz podlega uprzedniej kontroli przeprowadzanej albo przez sąd, albo przez niezależny organ administracyjny, którego decyzja ma skutek wiążący, przy czym ten sąd lub ten organ upewni się, że zezwolenie na takie gromadzenie w czasie rzeczywistym zostało wydane jedynie w granicach tego, co jest ściśle niezbędne. W przypadkach pilnych kontrola powinna nastąpić w krótkim czasie.
Wreszcie Trybunał zajął się kwestią pozostawienia w mocy skutków uregulowania krajowego uznanego za niezgodne z prawem Unii. W tej kwestii Trybunał orzekł, że sąd krajowy nie może zastosować przepisu prawa krajowego, który upoważnia go do ograniczenia w czasie skutków stwierdzenia przez niego niezgodności z prawem uregulowania krajowego nakładającego na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji, uznanego za niezgodne z dyrektywą „o prywatności i łączności elektronicznej” w związku z kartą.
Mimo to, w celu udzielenia sądowi krajowemu użytecznej odpowiedzi, Trybunał przypomniał, że dopuszczalność i ocena dowodów uzyskanych w wyniku sprzecznego z prawem Unii zatrzymania danych w ramach postępowania karnego wszczętego przeciwko osobom podejrzanym o popełnienie poważnych przestępstw podlegają, w obecnym stanie prawa Unii, wyłącznie prawu krajowemu. Trybunał uściślił jednak, że dyrektywa „o prywatności i łączności elektronicznej” interpretowana w świetle zasady skuteczności, wymaga, by w ramach postępowania karnego wszczętego przeciwko osobom podejrzanym o popełnienie przestępstwa krajowy sąd karny nie uwzględnił dowodów uzyskanych w drodze uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji niezgodnego z prawem Unii, jeżeli osoby te nie są w stanie skutecznie ustosunkować się do tych dowodów.