ROZSUDEK SOUDNÍHO DVORA (pléna)
30. dubna 2024(*)
Obsah
Právní rámec
Unijní právo
Obecná právní úprava týkající se ochrany osobních údajů
– Směrnice 95/46/ES
– Nařízení GDPR
Odvětvová právní úprava týkající se ochrany osobních údajů
– Směrnice 2002/58
– Směrnice (EU) 2016/680
Právní úprava týkající se ochrany práv duševního vlastnictví
Francouzské právo
CPI
Nařízení č. 2010‑236
Code des postes et des communications électroniques (zákon o poštovních službách a elektronických komunikacích)
Spor v původním řízení a předběžné otázky
K předběžným otázkám
Úvodní poznámky
K existenci odůvodnění na základě čl. 15 odst. 1 směrnice 2002/58 přístupu orgánu veřejné moci k údajům o totožnosti odpovídajícím IP adrese, které jsou uchovávány poskytovateli služeb elektronických komunikací pro účely boje proti porušování autorských práv, k němuž dochází on-line
K požadavkům spojeným s uchováváním údajů o totožnosti a odpovídajících IP adres poskytovateli služeb elektronických komunikací
K požadavkům souvisejícím s přístupem k údajům o totožnosti odpovídajícím IP adrese uchovávaným poskytovateli služeb elektronických komunikací
K požadavku předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu před tím, než orgán veřejné moci získá přístup k údajům o totožnosti odpovídajícím IP adrese
K požadavkům spojeným s hmotněprávními a procesními podmínkami, se zárukami proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání, které se vztahují na přístup orgánu veřejné moci k údajům o totožnosti odpovídajícím IP adrese
K nákladům řízení
„Řízení o předběžné otázce – Zpracování osobních údajů a ochrana soukromí v odvětví elektronických komunikací – Směrnice 2002/58/ES – Důvěrnost elektronických komunikací – Ochrana – Článek 5 a čl. 15 odst. 1 – Listina základních práv Evropské unie – Články 7, 8 a 11 a čl. 52 odst. 1 – Vnitrostátní právní předpisy, jejichž cílem je boj proti porušováním autorských práv, k nimž dochází na internetu, prostřednictvím žaloby orgánu veřejné moci – Postup tzv. ‚odstupňované odpovědi‘ – Předchozí shromažďování IP adres používaných k činnostem porušujícím autorská práva nebo práva s nimi související organizacemi zastupujícími nositele práv – Následný přístup orgánu veřejné moci pověřeného ochranou autorských práv a práv s nimi souvisejících k údajům o totožnosti odpovídajícím těmto IP adresám uchovávaným poskytovateli služeb elektronických komunikací – Automatizované zpracování – Požadavek na předchozí přezkum ze strany soudu nebo nezávislého správního orgánu – Hmotněprávní a procesní podmínky – Záruky proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání“
Ve věci C‑470/21,
jejímž předmětem je žádost o rozhodnutí o předběžné otázce podaná na základě článku 267 SFEU rozhodnutím Conseil d’État (Státní rada, Francie) ze dne 5. července 2021, došlým Soudnímu dvoru dne 30. července 2021, v řízení
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
proti
Premier ministre,
Ministre de la Culture,
SOUDNÍ DVŮR (plénum),
ve složení: K. Lenaerts, předseda, L. Bay Larsen, místopředseda, A. Arabadžev, A. Prechal (zpravodajka), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra a Z. Csehi, předsedové senátů, M. Ilešič, J.-C. Bonichot, S. Rodin, P. G. Xuereb, L. S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M. L. Arastey Sahún a M. Gavalec, soudci,
generální advokát: M. Szpunar,
za soudní kancelář: V. Giacobbo a M. Krausenböck, radové,
s přihlédnutím k písemné části řízení a po jednání konaném dne 5. července 2022,
s ohledem na vyjádření, která předložili:
– za La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network: A. Fitzjean Ó Cobhthaigh, avocat,
– za francouzskou vládu: A. Daniel, A.-L. Desjonquères a J. Illouz, jako zmocněnci ,
– za dánskou vládu: J. F. Kronborg a V. Pasternak Jørgensen, jako zmocněnkyně,
– za estonskou vládu: M. Kriisa, jako zmocněnkyně,
– za finskou vládu: H. Leppo, jako zmocněnkyně,
– za švédskou vládu: H. Shev, jako zmocněnkyně,
– za norskou vládu: F. Bergsjø, S.-E. Dahl, J. T. Kaasin a P. Wennerås, jako zmocněnci,
– za Evropskou komisi: S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal a F. Wilman, jako zmocněnci,
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 27. října 2022,
s přihlédnutím k rozhodnutí o znovuzahájení ústní části řízení ze dne 23. března 2023 a po jednání konaném dne 15. května 2023,
s ohledem na vyjádření, která předložili:
– za La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network: A. Fitzjean Ó Cobhthaigh, avocat,
– za francouzskou vládu: R. Bénard, J. Illouz a T. Stéhelin, jako zmocněnci,
– za českou vládu: T. Suchá a J. Vláčil, jako zmocněnci,
– za dánskou vládu: J. F. Kronborg a C. A.-S. Maertens, jako zmocněnkyně,
– za estonskou vládu: M. Kriisa, jako zmocněnkyně,
– za Irsko: M. Browne, Chief State Solicitor, A. Joyce a D. O’Reilly, jako zmocněnci, ve spolupráci s: D. Fenelly, BL,
– za španělskou vládu: A. Gavela Llopis, jako zmocněnkyně,
– za kyperskou vládu: I. Neophytou, jako zmocněnkyně,
– za lotyšskou vládu: J. Davidoviča a K. Pommere, jako zmocněnkyně,
– za nizozemskou vládu: E. M. M. Besselink, M. K. Bultermann a A. Hanje, jako zmocněnkyně,
– za finskou vládu: A. Laine a H. Leppo, jako zmocněnkyně,
– za švédskou vládu: F.-D. Göransson a H. Shev, jako zmocněnkyně,
– za norskou vládu: S.-E. Dahl a P. Wennerås, jako zmocněnci,
– za Evropskou komisi: S. L. Kalėda, H. Kranenborg, P.-J. Loewenthal a F. Wilman, jako zmocněnci,
– za Evropského inspektora ochrany údajů: V. Bernardo, C.-A. Marnier, D. Nardi a M. Pollmann, jako zmocněnci,
– za Agenturu Evropské unie pro kybernetickou bezpečnost: A. Bourka, jako zmocněnkyně,
po vyslechnutí stanoviska generálního advokáta na jednání konaném dne 28. září 2023,
vydává tento
Rozsudek
1 Žádost o rozhodnutí o předběžné otázce se týká výkladu směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích) (Úř. věst. 2002, L 201, s. 37; Zvl. vyd. 13/29, s. 514), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009 (Úř. věst. 2009, L 337, s. 11) (dále jen „směrnice 2002/58“), ve spojení s Listinou základních práv Evropské unie (dále jen „Listina“).
2 Tato žádost byla předložena v rámci sporu mezi La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network, spolky, na straně jedné a Premier ministre (předseda vlády, Francie) a ministre de la Culture (ministr kultury, Francie) na straně druhé týkajícího se legality nařízení č. 2010-236 ze dne 5. března 2010 o automatizovaném zpracování osobních údajů povoleném článkem L. 331-29 zákona o duševním vlastnictví, s názvem „Systém pro správu opatření na ochranu děl na internetu“ (JORF č. 56 ze dne 7. března 2010, text č. 19), ve znění nařízení č. 2017-924 ze dne 6. května 2017 o správě autorských práv a práv s nimi souvisejících organizací pro správu práv a o změně zákona o duševním vlastnictví (JORF č. 109 ze dne 10. května 2017, text č. 176) (dále jen „nařízení č. 2010-236“).
Právní rámec
Unijní právo
Obecná právní úprava týkající se ochrany osobních údajů
– Směrnice 95/46/ES
3 Článek 7 směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Úř. věst. 1995, L 281, s. 31; Zvl. vyd. 13/15, s. 355), který je zahrnut v oddíle II, nadepsaném „Zásady pro oprávněné zpracování údajů“, kapitoly II této směrnice, zněl takto:
„Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud:
[...]
f) je nezbytné pro uskutečnění oprávněných zájmů správce nebo třetí osoby či osob, kterým jsou údaje sdělovány, za podmínky, že nepřevyšují zájem nebo základní práva a svobody subjektu údajů, které vyžadují ochranu podle čl. 1 odst. 1.“
4 Článek 13 odst. 1 uvedené směrnice stanovil:
„Členské státy mohou přijmout legislativní opatření s cílem omezit rozsah povinností a práv uvedených v čl. 6 odst. 1, v článku 10, v čl. 11 odst. 1 a v článcích 12 a 21, pokud toto omezení představuje opatření nezbytné pro zajištění:
[...]
g) ochrany subjektu údajů nebo práv a svobod druhých.“
– Nařízení GDPR
5 Článek 2 nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. 2016, L 119, s. 1, dále jen „nařízení GDPR“), nadepsaný „Věcná oblast působnosti“, v odstavcích 1 a 2 stanoví:
„1. Toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
2. Toto nařízení se nevztahuje na zpracování osobních údajů prováděné:
[...]
d) příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.“
6 Článek 4 nařízení GDPR, nadepsaný „Definice“, stanoví:
„Pro účely tohoto nařízení se rozumí:
1) ‚osobními údaji‘ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen ‚subjekt údajů‘);
2) ‚zpracováním‘ jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
[...]“
7 Článek 6 tohoto nařízení, nadepsaný „Zákonnost zpracování“, v odstavci 1 stanoví:
„Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
[...]
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů [...]
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.“
8 Článek 9 uvedeného nařízení, nadepsaný „Zpracování zvláštních kategorií osobních údajů“, v odst. 2 písm. e) a f) stanoví, že zákaz zpracování určitých druhů osobních údajů, které vypovídají zejména o sexuálním životě nebo sexuální orientaci fyzické osoby, se nepoužije, pokud se zpracování týká osobních údajů zjevně zveřejněných subjektem údajů nebo je nezbytné zejména pro určení, výkon nebo obhajobu právních nároků.
9 Článek 23 nařízení GDPR, nadepsaný „Omezení“, v odstavci 1 stanoví:
„Právo Unie nebo členského státu, které se na správce nebo zpracovatele vztahuje, může prostřednictvím legislativního opatření omezit rozsah povinností a práv uvedených v článcích 12 až 22 a v článku 34, jakož i v článku 5, v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jestliže takové omezení respektuje podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti s cílem zajistit:
[...]
i) ochranu subjektu údajů nebo práv a svobod druhých;
j) vymáhání občanskoprávních nároků.“
Odvětvová právní úprava týkající se ochrany osobních údajů
– Směrnice 2002/58
10 Body 2, 6, 7, 11, 26 a 30 odůvodnění směrnice 2002/58 uvádějí:
„(2) tato směrnice usiluje o respektování základních práv a zachovává zásady uznané zejména v [Listině]. Tato směrnice zejména usiluje o to, aby byla plně dodržována práva stanovená v článcích 7 a 8 uvedené listiny.
[...]
(6) internet převrací tradiční struktury trhu tím, že poskytuje společnou, obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí;
(7) v případě sítí veřejných komunikací je nutno přijmout zvláštní právní, regulační a technická ustanovení na ochranu základních práv a svobod fyzických osob a ochranu oprávněných zájmů právnických osob, zejména s ohledem na zvyšující se kapacitu automatického uchovávání a zpracování údajů týkajících se účastníků a uživatelů.
[...]
(11) tato směrnice, obdobně jako směrnice [95/46], se netýká ochrany základních práv a svobod ve vztahu k činnostem, které se neřídí právem Společenství. Proto tato směrnice nemění stávající rovnováhu mezi právem jednotlivce na soukromí a možností, aby členské státy přijaly opatření uvedená v čl. 15 odst. 1 této směrnice, která jsou nezbytná pro ochranu veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské prosperity státu, pokud jsou tyto činnosti spojeny s otázkami bezpečnosti státu) a pro prosazování trestního práva. Tato směrnice se tedy nedotýká možnosti členských států provádět zákonné zachycování elektronických sdělení nebo přijímat jiná opatření, je-li to nezbytné pro některý z těchto účelů a je-li to v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod [podepsanou v Římě dne 4. listopadu 1950], jak je vykládána v rozhodnutích Evropského soudu pro lidská práva. Tato opatření musí být vhodná, plně přiměřená vzhledem k zamýšlenému účelu a nezbytná v demokratické společnosti a musí být předmětem odpovídajících záruk v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod.
[...]
(26) údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu. Jakékoli další zpracování takových údajů [...] je přípustné pouze za předpokladu, že účastník s tímto souhlasil na základě přesných a úplných informací o druhu následného zamýšleného zpracování, které obdržel od poskytovatele veřejně dostupných služeb elektronických komunikací, spolu s informací o právu účastníka nedat takový souhlas nebo svůj souhlas k takovému zpracování vzít zpět. [...]
[...]
(30) systémy pro zajišťování sítí a služeb elektronických komunikací musí být navrženy tak, aby omezily na nutné minimum množství nezbytných osobních údajů. [...]“
11 Článek 2 směrnice 2002/58, nadepsaný „Definice“, stanoví:
„[...]
Použijí se rovněž tyto definice:
a) ‚uživatelem‘ se rozumí jakákoli fyzická osoba používající veřejně dostupnou službu elektronické komunikace pro soukromé či obchodní účely, přičemž není nezbytně nutné, aby byla účastníkem této služby;
b) ‚provozními údaji‘ se rozumějí jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování;
c) ‚lokalizačními údaji‘ se rozumějí jakékoli údaje zpracovávané v síti elektronických komunikací nebo službou elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací;
[...]“
12 Článek 3 této směrnice, nadepsaný „Dotčené služby“, stanoví:
„Tato směrnice se vztahuje na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích ve Společenství, včetně veřejných komunikačních sítí podporujících zařízení pro shromažďování a identifikaci údajů.“
13 Článek 5 uvedené směrnice, nadepsaný „Důvěrný charakter sdělení“, stanoví:
„1. Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1. Tento odstavec nebrání technickému uchovávání, které je nezbytné pro přenos sdělení, aniž by tím byla dotčena zásada důvěrnosti.
[...]
3. Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí [95/46], mimo jiné o účelu zpracování. [...]“
14 Článek 6 téže směrnice, nadepsaný „Provozní údaje“, stanoví:
„1. Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací, musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1.
2. Je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.
3. Pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou může poskytovatel veřejně dostupných služeb elektronických komunikací zpracovávat údaje uvedené v odstavci 1 pouze v rozsahu nezbytném a po dobu nezbytnou pro tyto služby nebo marketing, pokud k tomu dal předem souhlas účastník nebo uživatel, jehož se údaje týkají. Účastníci či uživatelé musí mít možnost kdykoliv svůj souhlas se zpracováním provozních údajů vzít zpět.
[...]
5. Zpracování provozních údajů podle odstavců 1, 2, 3 a 4 musí být omezeno na osoby, které jednají z pověření provozovatelů veřejných komunikačních sítí a poskytovatelů veřejně dostupných služeb elektronických komunikací, a které se zabývají účtováním nebo řízením provozu, požadavky zákazníků, odhalováním podvodů, marketingem služeb elektronických komunikací nebo poskytováním služeb s přidanou hodnotou, a musí být omezeno na rozsah, který je nezbytný pro účely těchto činností.“
15 Článek 15 směrnice 2002/58, nadepsaný „Použití některých ustanovení směrnice [95/46]“, stanoví:
„1. Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, vhodné a přiměřené opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice [95/46]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 [SEU].
[...]
2. Ustanovení směrnice [95/46], kapitoly III o soudním přezkumu, odpovědnosti a sankcích, se použijí s ohledem na vnitrostátní právní předpisy přijaté v souladu s touto směrnicí a s ohledem na práva jednotlivců vyplývající z této směrnice.
[...]“
– Směrnice (EU) 2016/680
16 Článek 1 směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (Úř. věst. 2016, L 119, s. 89), nadepsaný „Předmět a cíle“, v odstavci 1 stanoví:
„Tato směrnice stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.“
17 Článek 3 uvedené směrnice, nadepsaný „Definice“, stanoví:
„Pro účely této směrnice se rozumějí:
[...]
7. ‚příslušným orgánem‘:
a) jakýkoliv orgán veřejné moci příslušný k prevenci, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení; nebo
b) jakýkoliv jiný orgán nebo subjekt pověřený právem členského státu plnit veřejnou funkci a vykonávat veřejnou moc pro účely prevence, vyšetřování, odhalování či stíhání trestných činů či výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení;
[...]“
Právní úprava týkající se ochrany práv duševního vlastnictví
18 Článek 8 směrnice Evropského parlamentu a Rady 2004/48/ES ze dne 29. dubna 2004 o dodržování práv duševního vlastnictví (Úř. věst. 2004, L 157, s. 45; Zvl. vyd. 17/02, s. 32), nadepsaný „Právo na informace“, stanoví:
„1. Členské státy zajistí, aby v souvislosti s řízením o porušení práva duševního vlastnictví a na základě odůvodněné a přiměřené žádosti navrhovatele mohly příslušné soudní orgány nařídit, že informace o původu a distribučních sítích zboží či služeb, kterými je porušováno právo duševního vlastnictví, musí poskytnout porušovatel [...]
2. Informace uvedené v odstavci 1 případně obsahují:
a) jména a adresy výrobců, zpracovatelů, distributorů, dodavatelů a jiných předchozích držitelů zboží nebo služeb, stejně jako velkoobchodníků a maloobchodníků;
[...]
3. Odstavce 1 a 2 se použijí, aniž jsou dotčeny jiné právní předpisy, které:
a) přiznávají nositeli práv práva na získání úplnějších informací;
b) upravují použití informací poskytnutých na základě tohoto článku v občanskoprávním či trestním řízení;
c) upravují odpovědnost za zneužití práva na informace;
d) poskytují možnost odepřít poskytnutí informací, které by nutily osobu uvedenou v odstavci 1 přiznat svou účast nebo účast svého blízkého příbuzného na porušení práva duševního vlastnictví, nebo
e) upravují ochranu důvěrnosti informačních zdrojů nebo zpracování osobních údajů.“
Francouzské právo
CPI
19 Článek L. 331-12 code de la propriété intellectuelle (zákon o duševním vlastnictví), ve znění platném ke dni vydání rozhodnutí napadeného žalobci v původním řízení (dále jen „CPI“), stanoví:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Vysoký úřad pro šíření děl a ochranu práv na internetu (dále jen ‚Hadopi‘)] je nezávislý orgán veřejné moci. [...]“
20 Článek L. 331-13 tohoto zákona stanoví:
„Úřad [Hadopi] zajišťuje:
1° Úkol podporovat rozvoj legálních nabídek a monitorovat legální a protiprávní užívání děl a předmětů chráněných autorským právem nebo právem souvisejícím v sítích elektronických komunikací používaných pro poskytování veřejných komunikačních služeb on-line;
2° Úkol chránit tato díla a předměty před porušováním těchto práv, k nimž dochází v sítích elektronických komunikací používaných k poskytování veřejných komunikačních služeb on-line;
[...]“
21 Článek L. 331-15 uvedeného zákona stanoví:
„Úřad [Hadopi] se skládá z Rady a Komise pro ochranu práv. [...]
[...]
Členové Rady a Komise pro ochranu práv nepodléhají při výkonu svých pravomocí žádnému orgánu.“
22 Článek L. 331-17 první pododstavec téhož zákona stanoví:
„Komise pro ochranu práv přijímá opatření stanovená v článku L. 331-25.“
23 Článek L. 331-21 CPI stanoví:
„Pro účely výkonu pravomocí, které vykonává Komise pro ochranu práv, má úřad [Hadopi] k dispozici zaměstnance, kteří složili přísahu a jsou zmocněni [jeho] předsedou za podmínek stanovených nařízením Conseil d’État [Státní rada]. [...]
Členové Komise pro ochranu práv a zaměstnanci uvedení v prvním pododstavci přijímají podání zaslaná uvedené Komisi za podmínek stanovených v článku L. 331-24. Provádějí přezkum skutkových okolností.
Pro potřeby řízení mohou získat veškeré dokumenty, a to na jakémkoli nosiči, včetně údajů uchovávaných a zpracovávaných provozovateli elektronických komunikací na základě článku L. 34-1 code des postes et des communications électroniques [zákon o poštovních službách a elektronických komunikacích] a poskytovateli uvedenými v čl. 6 odst. I bodech 1 a 2 loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique [zákon č. 2004-575 ze dne 21. června 2004 o podpoře důvěry v digitální ekonomiku].
Mohou rovněž obdržet kopii dokumentů uvedených v předchozím pododstavci.
Zejména mohou od provozovatelů elektronických komunikací získat totožnost, poštovní adresu, e-mailovou adresu a telefonní kontaktní údaje účastníka, jehož přístup k veřejným komunikačním službám on-line byl použit pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování chráněných děl nebo předmětů veřejnosti bez souhlasu nositelů práv […], pokud je takový souhlas vyžadován.“
24 Článek L. 331-24 tohoto zákona stanoví:
„Komise pro ochranu práv jedná na základě podnětu přísežných zaměstnanců [...], které jmenují:
– řádně ustavené ochranné profesní organizace,
– kolektivní správci,
– Státní středisko filmové a animované tvorby.
Komise pro ochranu práv může jednat také na základě informací, které jí předá státní zástupce.
Komise se nemůže zabývat skutečnostmi, které nastaly před více než šesti měsíci.“
25 Článek L. 331-25 uvedeného zákona, upravující postup „odstupňované odpovědi“, stanoví:
„Pokud byly Komisi pro ochranu práv předloženy skutečnosti, které mohou představovat nesplnění povinnosti stanovené v článku L. 336-3 [CPI], může účastníkovi [...] zaslat doporučení, v němž mu připomene ustanovení článku L. 336-3, vyzve jej, aby splnil povinnost stanovenou v tomto článku, a upozorní jej na sankce, které mu hrozí podle článků L. 335-7 a L. 335-7-1. Toto doporučení rovněž obsahuje informace pro účastníka o legální nabídce kulturního obsahu on-line, o existenci bezpečnostních opatření, která mají zabránit neplnění povinnosti stanovené v článku L. 336-3, jakož i o nebezpečí, které praktiky porušující autorské právo a práva s ním související představují pro rozvoj umělecké tvorby a správu kulturního odvětví.
V případě, že do šesti měsíců od vydání doporučení uvedeného v prvním pododstavci dojde opětovně ke skutečnostem, které mohou představovat nesplnění povinnosti stanovené v článku L. 336-3, může Komise zaslat nové doporučení obsahující tytéž informace jako předchozí doporučení elektronickými prostředky [...]. K tomuto doporučení musí připojit dopis doručovaný proti podpisu nebo jakýmkoliv jiným způsobem umožňujícím prokázat datum doručení tohoto doporučení.
V doporučeních vydaných podle tohoto článku se uvede datum a čas, kdy byly zjištěny skutečnosti, které mohou představovat nesplnění povinnosti stanovené v článku L. 336-3. Nezveřejní se v nich však obsah chráněných děl nebo předmětů, kterých se toto nesplnění povinnosti týká. V doporučení se uvedou telefonní čísla a poštovní a elektronická adresa, kam může adresát případně podat Komisi pro ochranu práv vysvětlení, a pokud o to výslovně požádá, zjistit podrobnosti o obsahu chráněných děl nebo předmětů, jichž se týká nesplnění povinnosti, které je mu vytýkáno.“
26 Článek L. 331-29 CPI stanoví:
„Úřad [Hadopi] je oprávněn zavést automatizované zpracovávání osobních údajů osob, proti kterým je vedeno řízení podle tohoto pododdílu.
Účelem tohoto zpracování je provedení opatření stanovených v tomto pododdíle, všech souvisejících procesních úkonů a postupů za účelem informování ochranných profesních organizací a kolektivních správců o případném postoupení věci soudnímu orgánu, jakož i oznámení stanovených v pátém pododstavci článku L. 335-7 ze strany Komise pro ochranu práv.
Prováděcí předpisy k tomuto článku stanoví nařízení [...]. Nařízení stanoví zejména:
– kategorie zaznamenávaných údajů a dobu jejich uchovávání;
– příjemce, kteří jsou oprávněni obdržet tyto údaje, zejména osoby, jejichž činnost spočívá v poskytování přístupu k veřejným komunikačním službám on-line;
– podmínky, za nichž mohou dotyčné osoby uplatnit u úřadu [Hadopi] své právo na přístup k údajům, které se jich týkají [...]“
27 Článek L. 335-2 první a druhý pododstavec tohoto zákona stanoví:
„Jakékoli vydání písemností, hudební skladby, kresby, obrazu nebo jakéhokoliv jiného díla vytištěného nebo vyrytého zcela nebo zčásti v rozporu s právními a správními předpisy týkajícími se autorských práv je porušením práv a jakékoliv porušení práv je přečinem.
Za neoprávněné užití děl vydaných ve Francii nebo v zahraničí lze ve Francii uložit trest odnětí svobody na tři roky a peněžitý trest ve výši 300 000 eur.“
28 Článek L. 335-4 první pododstavec uvedeného zákona stanoví:
„Za jakýkoli záznam, rozmnožení, sdělování nebo zpřístupnění veřejnosti za úplatu nebo zdarma nebo jakékoli šíření televizního vysílání, zvukového záznamu, obrazového záznamu, pořadu nebo tiskové publikace, provedené bez souhlasu, je-li vyžadován, výkonného umělce, výrobce zvukových záznamů nebo videozáznamů, podniku audiovizuální komunikace, vydavatele tisku nebo tiskové agentury lze uložit trest odnětí svobody na tři roky a peněžitý trest ve výši 300 000 eur.“
29 Článek L. 335-7 CPI stanoví pravidla, podle nichž lze osobám, které se dopustily soudně trestných činů uvedených zejména v článcích L. 335-2 a L. 335-4 tohoto zákona, uložit vedlejší trest spočívající v pozastavení přístupu k veřejné komunikační službě on-line na dobu nejvýše jednoho roku.
30 Článek L. 335-7-1 první pododstavec uvedeného zákona zní následovně:
„Za přestupky páté třídy stanovené tímto zákonem, pokud tak stanoví předpisy, může být v případě hrubé nedbalosti uložen vedlejší trest definovaný v článku L. 335-7 stejným způsobem držiteli přístupu k veřejné komunikační službě on-line, kterému Komise pro ochranu práv podle článku L. 331-25 předtím zaslala prostřednictvím dopisu doručovaného proti podpisu nebo jakýmkoliv jiným způsobem umožňujícím prokázat datum doručení doporučení, v němž ho vyzvala, aby zavedl prostředky k zabezpečení svého přístupu k internetu.“
31 Článek L. 336-3 téhož zákona stanoví:
„Držitel přístupu k veřejným komunikačním službám on-line je povinen zajistit, aby tento přístup nebyl používán pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování veřejnosti děl nebo předmětů chráněných autorským právem nebo právem s ním souvisejícím bez souhlasu nositelů [...], pokud je takový souhlas vyžadován.
Nesplnění povinnosti stanovené v prvním pododstavci ze strany držitele přístupu nezakládá trestní odpovědnost dotyčné osoby [...]“
32 Článek R. 331-37 první pododstavec CPI stanoví:
„Provozovatelé elektronických komunikací [...] a poskytovatelé [...] jsou povinni sdělit osobní údaje a informace uvedené v bodě 2 přílohy nařízení [č. 2010-236] prostřednictvím propojení s automatizovaným zpracováním osobních údajů uvedeným v článku L. 331-29 nebo prostřednictvím záznamového média, které zajišťuje jejich integritu a bezpečnost, a to do osmi dnů od okamžiku, kdy jim Komise pro ochranu práv předá technické údaje nezbytné k identifikaci účastníka, jehož přístup k veřejným komunikačním službám on-line byl použit pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování chráněných děl nebo předmětů veřejnosti bez souhlasu nositelů práv [...], pokud je takový souhlas vyžadován.“
33 Článek L. 331-40 tohoto zákona stanoví:
„Pokud Komise pro ochranu práv obdrží do jednoho roku od doručení doporučení uvedeného v čl. L. 335-7-1 prvním pododstavci nové skutečnosti, které mohou představovat hrubou nedbalost ve smyslu článku R. 335-5, informuje účastníka dopisem doručovaným proti podpisu, že tyto skutečnosti mohou být předmětem trestního stíhání. V tomto dopise je dotyčná osoba vyzvána, aby do patnácti dnů předložila vysvětlení. V dopise se uvádí, že ve stejné lhůtě může požádat o to, aby mohla podat vysvětlení podle článku L. 331-21-1, a že má právo na pomoc právního zástupce. Rovněž je v něm dotyčná osoba vyzvána, aby upřesnila své rodinné výdaje a příjmy.
Komise může z vlastního podnětu vyzvat dotyčnou osobu k podání vysvětlení. V předvolání je uvedeno, že má právo na pomoc právního zástupce.“
34 Článek L. 335-5 CPI stanoví:
„I. – Níže uvedená jednání držitele přístupu k veřejným komunikačním službám on-line bez oprávněného důvodu jsou považována za hrubou nedbalost, za niž lze uložit pokutu stanovenou pro přestupky páté třídy, pokud jsou splněny podmínky stanovené v odstavci II:
1° nezavedení prostředku pro zabezpečení tohoto přístupu, nebo
2° nepostupování s náležitou péčí při zavedení takového prostředku.
II. – Ustanovení odstavce I se použijí pouze v případě, že jsou splněny tyto dvě podmínky:
1° držiteli přístupu bylo na základě článku L. 331-25 a způsobem v něm stanoveným doporučeno Komisí pro ochranu práv, aby zavedl prostředek k zabezpečení svého přístupu, který zabrání jeho opětovnému použití pro účely rozmnožování, zobrazování nebo zpřístupňování či sdělování veřejnosti děl nebo předmětů chráněných autorským právem nebo právem s ním souvisejícím bez souhlasu nositelů práv [...], pokud je takový souhlas vyžadován,
2° do jednoho roku od doručení tohoto doporučení došlo k opětovnému použití tohoto přístupu k účelům uvedeným v pododstavci 1° tohoto odstavce II.“
35 Od 1. ledna 2022 jsou na základě loi no 2021-1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (zákon č. 2021-1382 ze dne 25. října 2021 o regulaci a ochraně přístupu ke kulturním dílům v digitálním věku, JORF č. 250 ze dne 26. října 2021, text č. 2) úřad Hadopi a Conseil supérieur de l’audiovisuel (Nejvyšší rada pro audiovizuální vysílání, dále jen „CSA“), která je dalším nezávislým orgánem veřejné moci, sloučeny do Autorité de régulation de la communication audiovisuelle et numérique (Úřad pro regulaci audiovizuální a digitální komunikace, dále jen „ARCOM“).
36 Postup odstupňované odpovědi uvedený v bodě 25 tohoto rozsudku však zůstal v podstatě nezměněn, i když jej nadále provádí nikoli Komise pro ochranu práv úřadu Hadopi, která byla složena ze tří členů jmenovaných Conseil d’État (Státní rada), Cour des Comptes (Účetní dvůr) a Cour de Cassation (Kasační soud), nýbrž dva členové rady ARCOM, z nichž jeden je jmenován Conseil d’État (Státní rada) a druhý Cour de cassation (Kasační soud).
Nařízení č. 2010‑236
37 Nařízení č. 2010-236 přijaté zejména na základě článku L. 331-29 CPI v článku 1 stanoví:
„Účelem zpracování osobních údajů s názvem ‚Systém pro správu opatření na ochranu děl na internetu‘ je provádění následujících opatření ze strany Komise pro ochranu práv úřadu [Hadopi]:
1° opatření stanovená v knize III legislativní části zákona [CPI] (hlava III kapitola I oddíl 3 pododdíl 3) a v knize III prováděcí části téhož zákona (hlava III kapitola I oddíl 2 pododdíl 2),
2° podávání podnětů státnímu zástupci ohledně skutečností, které mohou představovat soudně trestné činy stanovené v článcích L. 335-2, L. 335-3, L. 335-4 a R. 335-5 téhož zákona, jakož i informování ochranných profesních organizací a kolektivních správců o těchto podnětech,
[...]“
38 Článek 4 tohoto nařízení stanoví:
„I. – Jmenovaní úředníci pověření předsedou úřadu [Hadopi] podle článku L. 331-21 [CPI] a členové Komise pro ochranu práv uvedené v článku 1 mají přímý přístup k osobním údajům a informacím uvedeným v příloze tohoto nařízení.
II. – Provozovatelé elektronických komunikací a poskytovatelé služeb uvedení v bodě 2° přílohy tohoto nařízení obdrží:
– technické údaje potřebné k identifikaci účastníka,
– doporučení stanovená v článku L. 331-25 [CPI] za účelem jejich zaslání svým účastníkům elektronickými prostředky,
– informace nezbytné pro výkon vedlejších trestů pozastavení přístupu k veřejné komunikační službě on-line, o nichž státní zástupce uvědomil Komisi pro ochranu práv.
III – Ochranné profesní organizace a kolektivní správci obdrží informace týkající se podnětu podaného ke státnímu zástupci.
IV – Soudní orgány obdrží protokol o zjištění skutků, které mohou představovat soudně trestné činy stanovené v článcích L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 a R. 335-5 [CPI].
Informace o výkonu trestu pozastavení přístupu je předána automatizovanému rejstříku trestů.“
39 Příloha uvedeného nařízení stanoví:
„Při zpracování údajů prostřednictvím ‚Systému pro správu opatření na ochranu děl na internetu‘ se zaznamenávají následující osobní údaje a informace:
1° osobní údaje a informace získané od řádně ustavených ochranných profesních organizací, kolektivních správců, Státního střediska filmové a animované tvorby a státního zástupce:
Pokud jde o jednání, které může představovat nesplnění povinnosti stanovené v článku L. 336-3 [CPI]:
datum a čas, kdy ke skutkům došlo,
IP adresa dotyčných účastníků,
použitý peer-to-peer protokol,
pseudonym používaný účastníkem,
informace o chráněných dílech nebo předmětech, kterých se skutky týkají,
název souboru uloženého v počítači účastníka (pokud existuje),
poskytovatel internetových služeb, u kterého byl přístup sjednán nebo který poskytl technický zdroj IP.
[...]
2° Osobní údaje a informace týkající se účastníka shromážděné od provozovatelů elektronických komunikací [...] a poskytovatelů služeb [...]:
příjmení, jména,
poštovní adresa a e-mailové adresy,
telefonní číslo,
adresa telefonního zařízení účastníka,
poskytovatel přístupu k internetu, který využívá technické prostředky poskytovatele internetových služeb uvedeného v bodě 1, s nímž účastník uzavřel smlouvu; číslo smlouvy,
datum začátku pozastavení přístupu k veřejné komunikační službě on-line.
[...]“
Code des postes et des communications électroniques (zákon o poštovních službách a elektronických komunikacích)
40 Článek L. 34-1 zákona o poštovních službách a elektronických komunikacích v odstavci IIa stanoví:
„Provozovatelé elektronických komunikací jsou povinni uchovávat:
1° pro účely trestního řízení, předcházení ohrožení veřejné bezpečnosti a zajištění bezpečnosti státu údaje o totožnosti uživatele, a to po dobu pěti let od skončení platnosti jeho smlouvy;
2° pro stejné účely, jaké jsou uvedeny v pododstavci 1 tohoto odstavce IIa, další informace poskytnuté uživatelem při přihlášení ke smlouvě nebo vytvoření účtu, jakož i informace týkající se plateb, a to po dobu jednoho roku od skončení platnosti jeho smlouvy nebo zrušení jeho účtu;
3° za účelem boje proti závažné trestné činnosti a organizovanému zločinu, předcházení závažnému ohrožení veřejné bezpečnosti a ochrany národní bezpečnosti, technické údaje umožňující identifikaci zdroje připojení nebo údaje týkající se použitého koncového zařízení, a to po dobu jednoho roku od připojení nebo použití koncového zařízení.“
Spor v původním řízení a předběžné otázky
41 Vzhledem k tomu, že francouzský předseda vlády implicitně zamítl jejich návrh znějící na zrušení nařízení č. 2010-236, podali žalobci v původním řízení podáním ze dne 12. srpna 2019 ke Conseil d’État (Státní rada, Francie) žalobu na neplatnost tohoto implicitního zamítavého rozhodnutí. Žalobci v původním řízení v podstatě tvrdili, že čl. L. 331-21 třetí až pátý pododstavec CPI, který je součástí právního základu tohoto nařízení, je v rozporu s právem na respektování soukromého života zakotveným francouzskou Ústavou a porušuje unijní právo, zejména článek 15 směrnice 2002/58 a články 7, 8, 11 a 52 Listiny.
42 Pokud jde o aspekt žaloby týkající se tvrzeného porušení Ústavy, Conseil d’État (Státní rada) položila Conseil constitutionnel (Ústavní rada, Francie) přednostní otázku ústavnosti.
43 Rozhodnutím č. 2020-841 QPC ze dne 20. května 2020, La Quadrature du Net a další [Právo na komunikaci s Hadopi], Conseil constitutionnel (Ústavní rada) prohlásila, že třetí a čtvrtý pododstavec článku L. 331-21 CPI jsou v rozporu s Ústavou, avšak pátý pododstavec uvedeného článku s výjimkou v něm uvedeného slova „zejména“ prohlásila za slučitelný s Ústavou.
44 Pokud jde o aspekt žaloby týkající se tvrzeného porušení unijního práva, žalobci v původním řízení zejména uvedli, že nařízení č. 2010-236 a ustanovení, která tvoří jeho právní základ, umožňují nepřiměřený přístup k údajům o připojení v případě soudně trestných činů souvisejících s autorskými právy spáchaných na internetu, které nejsou závažné, bez předchozího přezkumu ze strany soudu nebo orgánu poskytujícího záruky nezávislosti a nestrannosti. Konkrétně tvrdili, že tyto soudně trestné činy nespadají pod „závažnou trestnou činnost“, na kterou se vztahuje rozsudek ze dne 21. prosince 2016, Tele2 Sverige a Watson a další (C‑203/15 a C‑698/15, EU:C:2016:970).
45 Conseil d’État (Státní rada) v tomto ohledu připomíná, že Soudní dvůr v rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791) mimo jiné rozhodl, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny nebrání legislativním opatřením, která za účelem zajištění národní bezpečnosti, boje proti trestné činnosti a zajištění veřejné bezpečnosti stanoví plošné a nerozlišující uchovávání údajů o totožnosti uživatelů prostředků elektronické komunikace. Pokud jde tedy o údaje o totožnosti uživatelů prostředků elektronické komunikace, takové uchovávání je podle Conseil d’État (Státní rada) možné bez bližšího časového omezení pro účely vyšetřování, odhalování a stíhání soudně trestných činů obecně. Přístupu k těmto údajům pro tyto účely nebrání podle Conseil d’État (Státní rada) ani směrnice 2002/58.
46 Předkládající soud z toho vyvozuje, že pokud jde o přístup k údajům o totožnosti uživatelů prostředků elektronické komunikace, žalobní důvod žalobců v původním řízení vycházející z toho, že nařízení č. 2010-236 je protiprávní, jelikož bylo přijato v rámci boje proti méně závažným soudně trestným činům, musí být zamítnut.
47 Předkládající soud připomíná, že v rozsudku ze dne 21. prosince 2016, Tele2 Sverige a Watson a další (C‑203/15 a C‑698/15, EU:C:2016:970), Soudní dvůr mimo jiné rozhodl, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě upravující ochranu a bezpečnost provozních a lokalizačních údajů, zvláště přístup příslušných vnitrostátních orgánů k uchovávaným údajům, aniž uvedený přístup podléhá předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu.
48 Předkládající soud odkazuje konkrétně na bod 120 uvedeného rozsudku, v němž Soudní dvůr upřesnil, že je podstatné, aby takový přístup k uchovávaným údajům v zásadě podléhal, s výjimkou řádně odůvodněných naléhavých případů, požadavku na předchozí přezkum ze strany soudu nebo nezávislého správního orgánu a aby tento soud nebo orgán rozhodoval na základě odůvodněné žádosti těchto orgánů podané zejména v rámci postupů pro předcházení, odhalování nebo stíhání trestných činů.
49 Soudní dvůr tento požadavek připomněl v rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), pokud jde o shromažďování údajů o připojení v reálném čase zpravodajskými službami, jakož i v rozsudku ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci) (C‑746/18, EU:C:2021:152), co se týče přístupu vnitrostátních orgánů k údajům o připojení.
50 Předkládající soud poukazuje i na to, že od svého vzniku v roce 2009 zaslal úřad Hadopi v rámci postupu odstupňované odpovědi upraveného v článku L. 331-25 CPI účastníkům více než 12,7 milionu doporučení, z toho 827 791 pouze v roce 2019. Z této okolnosti podle jeho názoru vyplývá, že zaměstnanci Komise pro ochranu práv úřadu Hadopi museli nutně každý rok shromáždit značné množství údajů týkajících se totožnosti dotyčných uživatelů. Předkládající soud má za to, že s ohledem na objem těchto doporučení by podmínění tohoto shromažďování předchozím přezkumem mohlo znemožnit provádění uvedených doporučení.
51 Za těchto podmínek se Conseil d’État (Státní rada) rozhodla přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Patří údaje o totožnosti odpovídající IP adrese mezi provozní a lokalizační údaje, na které se v zásadě vztahuje povinnost předchozího přezkumu soudem nebo nezávislým správním orgánem s donucovací pravomocí?
2) V případě kladné odpovědi na první otázku a s ohledem na nízkou citlivost údajů o totožnosti uživatelů, včetně jejich kontaktních údajů, musí být směrnice [2002/58] ve spojení s [Listinou] vykládána v tom smyslu, že brání vnitrostátní právní úpravě, která stanoví shromažďování těchto údajů odpovídajících IP adrese uživatelů správním orgánem bez předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu s donucovací pravomocí?
3) V případě kladné odpovědi na druhou otázku a s ohledem na nízkou citlivost údajů o totožnosti, na okolnost, že mohou být shromažďovány pouze tyto údaje, a to pouze pro potřeby předcházení nesplnění povinností přesně, taxativně a restriktivně vymezených vnitrostátním právem, a na okolnost, že systematický přezkum přístupu k údajům každého uživatele ze strany soudu nebo nezávislého správního orgánu s donucovací pravomocí by mohl ohrozit plnění úkolu veřejné služby svěřeného správnímu orgánu, který je sám nezávislý a provádí toto shromažďování, brání směrnice [2002/58] tomu, aby tento přezkum byl prováděn podle upravených postupů, jako je automatizovaná kontrola, případně pod dohledem interního oddělení orgánu poskytujícího záruky nezávislosti a nestrannosti ve vztahu k zaměstnancům pověřeným tímto shromažďováním?“
K předběžným otázkám
52 Podstatou tří předběžných otázek předkládajícího soudu, které je třeba zkoumat společně, je, zda čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která orgánu veřejné moci pověřenému ochranou autorských práv a práv s nimi souvisejících proti porušováním těchto práv, k nimž dochází na internetu, povoluje přístup k údajům uchovávaným poskytovateli veřejně dostupných služeb elektronických komunikací, které se týkají totožnosti osob a odpovídají IP adresám předem shromážděným organizacemi zastupujícími nositele práv, aby tento orgán veřejné moci mohl zjistit totožnost držitele takových IP adres používaných pro činnosti, které mohou představovat taková porušení, a případně vůči nim mohl přijmout opatření, aniž by byl tento přístup podmíněn předchozím přezkumem ze strany soudu nebo nezávislého správního orgánu.
Úvodní poznámky
53 Ve věci v původním řízení se jedná o dvě odlišná a na sebe navazující zpracování osobních údajů, k nimž dochází v rámci činností úřadu Hadopi, nezávislého orgánu veřejné moci, jehož úkolem je podle článku L. 331-13 CPI mimo jiné ochrana děl a předmětů chráněných autorským právem nebo právem s ním souvisejícím před porušováními těchto práv, k nimž dochází v sítích elektronických komunikací používaných k poskytování veřejných komunikačních služeb on-line.
54 Předběžné zpracování, které jako první krok provádějí přísežní a pověření zaměstnanci organizací zastupujících nositele práv, probíhá ve dvou fázích. V první fázi jsou na peer-to-peer sítích shromažďovány IP adresy, jež jsou podle všeho používány pro činnosti, které mohou představovat porušení autorského práva nebo práva s ním souvisejícího. Ve druhé fázi tohoto zpracování je úřadu Hadopi zpřístupněn soubor osobních údajů a informací v podobě protokolů. Těmito údaji jsou podle seznamu uvedeného v bodě 1 přílohy nařízení č. 2010-236 datum a čas, kdy ke skutkům došlo, IP adresa dotčených účastníků, použitý peer-to-peer protokol, pseudonym používaný účastníkem, informace o chráněných dílech nebo předmětech, kterých se skutky týkají, název souboru uloženého v počítači účastníka (pokud existuje) a poskytovatel internetových služeb, u kterého byl přístup sjednán nebo který poskytl technický zdroj IP.
55 Následné zpracování, které jako druhý krok provádí poskytovatelé internetového připojení na žádost úřadu Hadopi, probíhá rovněž ve dvou fázích. V první fázi jsou předtím shromážděné IP adresy porovnány s držiteli těchto adres. Ve druhé fázi je tomuto orgánu veřejné moci zpřístupněn soubor osobních údajů a informací o uvedených držitelích, které se týkají především jejich totožnosti. Těmito údaji jsou podle seznamu uvedeného v bodě 2° přílohy nařízení č. 2010-236 především příjmení a jména, poštovní adresa a e-mailové adresy, telefonní údaje, jakož i adresa telefonního zařízení účastníka.
56 V tomto ohledu článek L. 331-21 CPI v pátém pododstavci, ve znění vyplývajícím z rozhodnutí Conseil constitutionnel (Ústavní rada) uvedeného v bodě 43 tohoto rozsudku, stanoví, že členové Komise pro ochranu práv úřadu Hadopi a přísežní zaměstnanci tohoto oránu zmocnění jeho předsedou mohou od operátorů elektronických komunikací získat totožnost, poštovní adresu, e-mailovou adresu a telefonní údaje účastníka, jehož přístup k veřejným komunikačním službám on-line byl použit k rozmnožování, zobrazování, zpřístupňování nebo sdělování chráněných děl nebo jiných předmětů veřejnosti bez svolení nositelů práv, pokud je takový souhlas vyžadován.
57 Cílem těchto jednotlivých zpracování osobních údajů je umožnit úřadu Hadopi, aby přijal vůči takto identifikovaným držitelům IP adres opatření stanovená v rámci správního postupu zvaného „odstupňovaná odpověď“ upraveného v článku L. 331-25 CPI. Těmito opatřeními je zaprvé zaslání „doporučení“, která jsou obdobou varování, zadruhé v případě, že je Komisi pro ochranu práv úřadu Hadopi předložena věc ve lhůtě jednoho roku od zaslání druhého doporučení kvůli skutkům, které mohou představovat opakování zjištěného nesplnění povinnosti, zaslání informace upravené v článku R. 331-40 CPI účastníkovi o tom, že skutky mohou představovat soudně trestný čin tzv. „hrubé nedbalosti“ definovaný v článku R. 335-5 CPI, tedy přestupek, za který lze uložit peněžitý trest do výše 1 500 eur a v případě opakovaného jednání 3 000 eur, a zatřetí po projednání předložení věci státnímu zastupitelství, kterým je informováno o skutcích, jež mohou představovat takový přestupek, nebo případně trestný čin porušení autorských práv podle článku L. 335-2 CPI nebo článku L. 335-4 tohoto zákona, za který lze uložit trest odnětí svobody v délce tří let a peněžitý trest ve výši 300 000 eur.
58 Otázky, které klade předkládající soud, se však týkají pouze následného zpracování popsaného v bodě 55 tohoto rozsudku, a nikoli předběžného zpracování, jehož základní charakteristické rysy byly popsány v bodě 54 tohoto rozsudku.
59 Je však třeba uvést, že pokud by předběžné shromažďování IP adres dotyčnými organizacemi zastupujícími nositele práv bylo v rozporu s unijním právem, pak by unijní právo bránilo i použití těchto údajů v rámci následného zpracování poskytovateli služeb elektronických komunikací spočívajícího v porovnání uvedených adres s údaji o totožnosti držitelů těchto adres.
60 V této souvislosti je třeba bez dalšího připomenout, že podle judikatury Soudního dvora jsou IP adresy jak provozními údaji pro účely směrnice 2002/58, tak osobními údaji pro účely nařízení GDPR (v tomto smyslu viz rozsudek ze dne 17. června 2021, M. I. C. M., C‑597/19, EU:C:2021:492, body 102 a 113 a citovaná judikatura).
61 Shromažďování veřejně přístupných a všem viditelných IP adres zaměstnanci organizací zastupujících nositele práv však nespadá do působnosti směrnice 2002/58, neboť k takovému zpracování zjevně nedochází „ve spojení s poskytováním [...] služeb elektronických komunikací“ ve smyslu článku 3 této směrnice.
62 Naproti tomu takové shromažďování IP adres, které, jak vyplývá ze spisu, jež má Soudní dvůr k dispozici, je v rámci určitých množstevních limitů a za určitých podmínek povoleno Commission nationale de l’informatique et des libertés (Národní komise pro informatiku a svobody, Francie, dále jen „CNIL“) za účelem jejich předání úřadu Hadopi pro účely jejich případného použití v následném správním postupu nebo soudním řízení, jejichž cílem je boj proti činnostem porušujícím autorská práva a práva s nimi související, představuje „zpracování“ ve smyslu čl. 4 bodu 2 nařízení GDPR, jehož přípustnost závisí na podmínkách stanovených v čl. 6 odst. 1 prvním pododstavci písm. f) tohoto nařízení ve spojení s judikaturou Soudního dvora zakotvenou zejména v rozsudcích ze dne 17. června 2021, M. I. C. M. (C‑597/19, EU:C:2021:492, body 102 a 103), jakož i ze dne 4. července 2023, Meta Platforms a další (Všeobecné podmínky používání sociální sítě) (C‑252/21, EU:C:2023:537, body 106 až 112 a citovaná judikatura).
63 Pokud jde o následné zpracování popsané v bodě 55 tohoto rozsudku, toto zpracování spadá do působnosti směrnice 2002/58, neboť k němu dochází „ve spojení s poskytováním [...] služeb elektronických komunikací“ ve smyslu článku 3 této směrnice za předpokladu, že jsou dotčené údaje získány od poskytovatelů služeb elektronických komunikací v souladu s článkem L. 331-21 CPI.
K existenci odůvodnění na základě čl. 15 odst. 1 směrnice 2002/58 přístupu orgánu veřejné moci k údajům o totožnosti odpovídajícím IP adrese, které jsou uchovávány poskytovateli služeb elektronických komunikací pro účely boje proti porušování autorských práv, k němuž dochází on-line
64 S ohledem na výše uvedené úvodní poznámky vyvstává otázka, zda, jak se táže předkládající soud, omezení základních práv zakotvených v článcích 7, 8 a 11 Listiny, které s sebou nese přístup takového orgánu veřejné moci, jako je úřad Hadopi, k údajům o totožnosti odpovídajícím IP adrese, kterou již má k dispozici, může být odůvodněno na základě čl. 15 odst. 1 směrnice 2002/58.
65 Přístup k takovým osobním údajům lze přitom poskytnout pouze za předpokladu, že tyto údaje byly uchovávány v souladu se směrnicí 2002/58 [v tomto smyslu viz rozsudek ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci), C‑746/18, EU:C:2021:152, bod 29].
K požadavkům spojeným s uchováváním údajů o totožnosti a odpovídajících IP adres poskytovateli služeb elektronických komunikací
66 Článek 15 odst. 1 směrnice 2002/58 umožňuje členským státům zavést výjimky ze základní povinnosti zakotvené v čl. 5 odst. 1 této směrnice, a sice z povinnosti zaručit důvěrnost osobních údajů, a z navazujících povinností stanovených zejména v článcích 6 a 9 uvedené směrnice, pokud takové omezení představuje v demokratické společnosti nezbytné, vhodné a přiměřené opatření pro zajištění národní bezpečnosti, obrany a veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření stanovící uchovávání údajů po omezenou dobu na základě některého z těchto důvodů. Možností odchýlit se od práv a povinností stanovených v článcích 5, 6 a 9 směrnice 2002/58 ovšem nemůže být odůvodněno, aby se výjimka ze základní povinnosti zajistit důvěrný charakter elektronických sdělení a s nimi souvisejících údajů, a zejména ze zákazu uchovávat tyto údaje výslovně stanoveného v článku 5 této směrnice, stala pravidlem (rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 110 a 111).
67 Legislativní opatření přijaté na základě tohoto ustanovení tedy musí skutečně a striktně odpovídat jednomu z cílů uvedených v předchozím bodě, přičemž jejich výčet v čl. 15 odst. 1 první větě směrnice 2002/58 je taxativní, a musí dodržovat obecné zásady unijního práva, mezi něž patří zásada proporcionality, a základní práva zaručená Listinou. V tomto ohledu Soudní dvůr již rozhodl, že povinnost uložená poskytovatelům služeb elektronických komunikací členským státem prostřednictvím vnitrostátního právního předpisu a spočívající v uchovávání provozních údajů pro účely jejich případného zpřístupnění příslušným vnitrostátním orgánům vyvolává otázky, jež se týkají dodržování nejen článku 7 Listiny, týkajícího se ochrany soukromého života, a článku 8 Listiny, týkajícího se ochrany osobních údajů, nýbrž i článku 11 Listiny, který se týká svobody projevu (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 112 a 113).
68 Při výkladu čl. 15 odst. 1 směrnice 2002/58 je třeba zohlednit nejen význam práva na respektování soukromého života zaručeného článkem 7 Listiny a práva na ochranu osobních údajů zaručeného článkem 8 Listiny, jak vyplývá z judikatury Soudního dvora, ale i práva na svobodu projevu, neboť toto základní právo zaručené v článku 11 Listiny je jedním ze základních pilířů demokratické a pluralitní společnosti a je součástí hodnot, na kterých je podle článku 2 SEU založena Unie (rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 114 a citovaná judikatura).
69 V tomto ohledu je třeba zdůraznit, že uchovávání provozních a lokalizačních údajů představuje samo o sobě jednak výjimku ze zákazu uchovávat tyto údaje uloženého jakékoli jiné osobě než uživatelům, který je stanoven v čl. 5 odst. 1 směrnice 2002/58, a jednak zásah do základních práv na respektování soukromého života a na ochranu osobních údajů zakotvených v článcích 7 a 8 Listiny bez ohledu na to, zda informace o soukromém životě představují citlivé údaje nebo zda dotyčné osoby utrpěly z důvodu tohoto zásahu případné nepříznivé následky. Není ani rozhodné, zda uchovávané údaje jsou či nejsou následně využity, jelikož přístup k takovým údajům představuje bez ohledu na jejich následné využití odlišný zásah do základních práv uvedených v předchozím bodě (rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 115 a 116).
70 Článek 15 odst. 1 směrnice 2002/58 ovšem tím, že umožňuje členským státům zavést určité výjimky, jak bylo připomenuto v bodě 66 tohoto rozsudku, odráží skutečnost, že se práva zakotvená v článcích 7, 8 a 11 Listiny neprojevují jako absolutní výsady, ale musí být nahlížena ve vztahu k jejich společenské funkci. Jak totiž vyplývá z čl. 52 odst. 1 Listiny, Listina připouští omezení výkonu těchto práv za předpokladu, že jsou tato omezení stanovena zákonem, respektují podstatu uvedených práv a při dodržení zásady proporcionality jsou nezbytná a skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého (rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 120 a 121).
71 V projednávané věci je třeba poukázat na to, že ačkoli je úřad Hadopi formálně oprávněn mít přístup pouze k údajům o totožnosti odpovídajícím IP adrese, tento přístup vykazuje tu zvláštnost, že vyžaduje, aby dotyční poskytovatelé služeb elektronických komunikací předtím porovnali IP adresu s údaji o totožnosti jejího držitele. Uvedený přístup tedy nutně předpokládá, že poskytovatelé mají k dispozici jak IP adresy, tak údaje o totožnosti jejich držitelů.
72 Kromě toho žádá uvedený orgán veřejné moci o přístup k těmto údajům pouze za účelem zjištění totožnosti držitele IP adresy, která byla použita pro činnosti, jež mohou porušovat autorská práva nebo práva s nimi související, neboť protiprávně zpřístupnil chráněná díla na internetu k jejich stažení jinými osobami. Za těchto podmínek je třeba údaje o totožnosti považovat za úzce související jak s IP adresou, tak s informacemi o díle zpřístupněném na internetu, které má úřad Hadopi k dispozici.
73 Takovou konkrétní souvislost přitom nelze přehlížet v rámci přezkumu případného odůvodnění opatření spočívajícího v uchovávání osobních údajů podle čl. 15 odst. 1 směrnice 2002/58 vykládaného ve světle článků 7, 8 a 11 Listiny (obdobně viz rozsudek ESLP ze dne 24. dubna 2018, Benedik v. Slovinsko, CE:ECHR:2018:0424JUD006235714, bod 109).
74 Případné odůvodnění zásahu do základních práv zakotvených v článcích 7, 8 a 11 Listiny, který zahrnuje uchovávání údajů, k nimž má právo přístupu úřad Hadopi, ze strany poskytovatelů veřejně dostupných služeb elektronických komunikací, je proto třeba zkoumat právě s ohledem na požadavky vyplývající, pokud jde o uchovávání IP adres, z uvedeného čl. 15 odst. 1 vykládaného ve světle článků 7, 8 a 11 Listiny.
75 V této souvislosti je třeba poznamenat, že podle judikatury Soudního dvora platí, jak bylo připomenuto v bodě 60 tohoto rozsudku, že IP adresy představují provozní údaje ve smyslu směrnice 2002/58, avšak tyto adresy se liší od jiných kategorií provozních údajů a od lokalizačních údajů.
76 V tomto ohledu Soudní dvůr uvedl, že IP adresy jsou generovány bez spojitosti s určitým sdělením a slouží především k tomu, aby byla prostřednictvím poskytovatelů služeb elektronických komunikací zjištěna totožnost držitele koncového zařízení, z něhož probíhá komunikace po internetu. Pokud jsou tedy v oblasti elektronické pošty a telefonování po internetu uchovávány pouze IP adresy zdroje komunikace, a nikoli adresy jejího adresáta, tyto adresy jako takové neodhalují žádnou informaci o třetích osobách, které byly v kontaktu s osobou, jež je původcem komunikace. Tato kategorie údajů je tedy méně citlivá než ostatní provozní údaje (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 152).
77 Je pravda, že v bodě 156 rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), Soudní dvůr rozhodl, že navzdory závěru, že IP adresy jsou méně citlivé údaje, pokud slouží výlučně ke zjištění totožnosti uživatele služby elektronických komunikací, brání čl. 15 odst. 1 směrnice 2002/58 tomu, aby bylo plošné a nerozlišující uchovávání pouze IP adres přidělených zdroji připojení používáno k jiným cílům, než je boj proti závažné trestné činnosti, předcházení závažnému ohrožení veřejné bezpečnosti nebo ochrana národní bezpečnosti. Soudní dvůr se však při svém závěru výslovně opíral o závažnost zásahu do základních práv zakotvených v článcích 7, 8 a 11 Listiny, který takové uchovávání IP adres může představovat.
78 Soudní dvůr měl totiž v bodě 153 uvedeného rozsudku za to, že vzhledem k tomu, že IP adresy mohou při použití zejména k provedení „úplného sledování postupu prohlížení uživatelem internetu“, a v důsledku toho i jeho on-line činnosti, umožnit vytvořit jeho „podrobný profil“, uchovávání a analýza uvedených IP adres, které takové sledování vyžaduje, představují závažné zásahy do základních práv subjektu údajů zakotvených v článcích 7 a 8 Listiny, které mohou mít i odrazující účinky na výkon svobody projevu uživatelů prostředků elektronické komunikace zaručené v článku 11 Listiny.
79 Je však třeba zdůraznit, že jakékoli plošné a nerozlišující uchovávání souboru, byť i velkého, statických a dynamických IP adres používaných osobou v určitém období nepředstavuje nutně závažný zásah do základních práv zaručených v článcích 7, 8 a 11 Listiny.
80 V tomto ohledu je třeba nejprve uvést, že věci, ve kterých byl vydán rozsudek ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), se týkaly vnitrostátních právních úprav, které zahrnovaly povinnost uchovávat soubor údajů nezbytných k určení dne, hodiny, doby trvání a druhu komunikace, určení použitého komunikačního zařízení a lokalizaci koncových zařízení a komunikací, údajů, mezi něž patří zejména jméno a adresa uživatele, telefonní čísla volajícího a volaného, jakož i IP adresa u internetových služeb. Navíc ve dvou z těchto věcí se dotčené vnitrostátní právní úpravy podle všeho vztahují i na údaje týkající se přenosu elektronických komunikací sítěmi, které rovněž umožňují identifikovat povahu informací vyhledaných on-line (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 82 a 83).
81 Uchovávání IP adres prováděné podle takových vnitrostátních právních předpisů bylo tedy takové, že s ohledem na ostatní údaje, které tyto předpisy ukládaly uchovávat, a na možnost kombinovat tyto jednotlivé údaje, umožňovalo vyvozovat přesné závěry o soukromém životě osob, jejichž údaje byly dotčeny, a v důsledku toho vedlo k závažnému zásahu do základních práv zakotvených v článku 7 Listiny týkajícího se ochrany soukromého života a článku 8 Listiny týkajícího se ochrany osobních údajů těchto osob, jakož i v článku 11 této Listiny týkajícího se svobody projevu těchto osob.
82 Naproti tomu povinnost zajistit plošné a nerozlišující uchovávání IP adres uložená poskytovatelům služeb elektronických komunikací legislativním opatřením podle čl. 15 odst. 1 směrnice 2002/58 může být případně odůvodněna cílem boje proti soudně trestným činům obecně, je-li skutečně vyloučeno, že by takové uchovávání mohlo způsobit závažné zásahy do soukromého života dotyčné osoby z důvodu možnosti vyvodit o ní přesné závěry zejména prostřednictvím propojení těchto IP adres se souborem provozních nebo lokalizačních údajů, které by tito poskytovatelé rovněž uchovávali.
83 Členský stát, který hodlá poskytovatelům služeb elektronických komunikací uložit povinnost plošného a nerozlišujícího uchovávání IP adres za účelem dosažení cíle souvisejícího s bojem proti soudně trestným činům obecně, se tudíž musí ujistit, že způsoby uchovávání těchto údajů mohou zaručit, že je vyloučeno jakékoli kombinování uvedených IP adres s ostatními uchovávanými údaji, jak vyplývá ze směrnice 2002/58, které by umožnilo vyvodit přesné závěry o soukromém životě osob, jejichž údaje jsou takto uchovávány.
84 Za účelem zajištění, že bude vyloučeno takové kombinování údajů umožňující vyvodit přesné závěry o soukromém životě dotyčné osoby, se musí způsoby uchovávání týkat samotné struktury uchovávání, která musí být v podstatě uspořádána tak, aby zaručovala skutečně úplné oddělení jednotlivých kategorií uchovávaných údajů.
85 V tomto ohledu je zajisté na členském státu, který hodlá uložit poskytovatelům služeb elektronických komunikací povinnost plošného a nerozlišujícího uchovávání IP adres za účelem dosažení cíle souvisejícího s bojem proti soudně trestným činům obecně, aby ve svých právních předpisech stanovil jasná a přesná pravidla pro uvedené způsoby uchovávání, přičemž takové způsoby musí odpovídat přísným požadavkům. Soudní dvůr však může poskytnout zpřesnění týkající se těchto způsobů uchovávání.
86 Na prvním místě musí vnitrostátní pravidla uvedená v předchozím bodě zajistit, aby každá kategorie údajů, včetně údajů o totožnosti a IP adresy, byla uchovávána zcela odděleně od ostatních kategorií uchovávaných údajů.
87 Na druhém místě tato pravidla musí zajistit, aby z technického hlediska oddělení jednotlivých kategorií uchovávaných údajů, zejména údajů týkajících se totožnosti, IP adres, jednotlivých provozních údajů jiných než IP adres a jednotlivých lokalizačních údajů bylo skutečně úplné, a to prostřednictvím zabezpečeného a spolehlivého počítačového mechanismu.
88 Na třetím místě, vzhledem k tomu, že uvedená pravidla stanoví možnost propojení uchovávaných IP adres s totožností subjektu údajů v souladu s požadavky vyplývajícími z čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 Listiny, musí takové propojení umožnit pouze za použití účinného technického postupu, který nezpochybňuje účinnost úplného oddělení těchto kategorií údajů.
89 Na čtvrtém místě musí být spolehlivost tohoto úplného oddělení pravidelně kontrolována jiným orgánem veřejné moci, než je orgán, který usiluje o přístup k osobním údajům uchovávaným poskytovateli služeb elektronických komunikací.
90 Za předpokladu, že jsou v použitelné vnitrostátní právní úpravě stanoveny takové přísné požadavky týkající se způsobů plošného a nerozlišujícího uchovávání IP adres a dalších údajů uchovávaných poskytovateli služeb elektronických komunikací, zásah způsobený tímto uchováváním IP adres nelze z důvodu samotné struktury uvedeného uchovávání kvalifikovat jako „závažný“.
91 V případě přijetí takové právní úpravy totiž takto předepsané způsoby uchování IP adres vylučují možnost, že by tyto údaje mohly být kombinovány s dalšími údaji uchovávanými v souladu se směrnicí 2002/58, což by umožňovalo vyvozovat přesné závěry o soukromém životě subjektu údajů.
92 Proto, je-li zavedena právní úprava, která splňuje požadavky uvedené v bodech 86 až 89 tohoto rozsudku, která zaručuje, že žádná kombinace údajů neumožní vyvodit přesné závěry o soukromém životě subjektu údajů, nebrání čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 Listiny tomu, aby dotyčný členský stát uložil povinnost plošného a nerozlišujícího uchovávání IP adres pro účely boje proti soudně trestným činům obecně.
93 V poslední řadě taková právní úprava, jak vyplývá z bodu 168 rozsudku ze dne 6. října 2020, La Quadrature du Net a další (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), musí stanovit dobu uchovávání omezenou na to, co je nezbytně nutné, a prostřednictvím jasných a přesných pravidel zajistit, aby se uchovávání dotčených údajů vázalo na dodržení příslušných hmotněprávních a procesních podmínek a aby subjekty údajů měly k dispozici účinné záruky proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání.
94 Je na předkládajícím soudu, aby ověřil, zda vnitrostátní právní úprava dotčená ve věci v původním řízení splňuje požadavky připomenuté v bodech 85 až 93 tohoto rozsudku.
K požadavkům souvisejícím s přístupem k údajům o totožnosti odpovídajícím IP adrese uchovávaným poskytovateli služeb elektronických komunikací
95 Z judikatury Soudního dvora vyplývá, že v oblasti boje proti soudně trestným činům závažný zásah do základních práv zakotvených v článcích 7 a 8 Listiny, který s sebou nese přístup orgánů veřejné moci k souboru provozních nebo lokalizačních údajů, z nichž mohou vyplynout informace o komunikaci uživatele prostředku elektronické komunikace nebo o umístění koncových zařízení, která tento uživatel používá, a z nichž lze vyvodit přesné závěry o soukromém životě subjektů údajů, mohou odůvodnit pouze cíle spočívající v boji proti závažné trestné činnosti nebo předcházení závažnému ohrožení veřejné bezpečnosti, přičemž další faktory související s přiměřeností žádosti o přístup, jako je délka období, ve vztahu k němuž je přístup k takovým údajům požadován, nemohou zapříčinit, aby bylo možné takový přístup odůvodnit cílem prevence, vyšetřování, odhalování a stíhání soudně trestných činů obecně [rozsudek ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci), C‑746/18, EU:C:2021:152, bod 35].
96 Naproti tomu, pokud zásah do základních práv zakotvených v článcích 7 a 8 Listiny, který s sebou nese přístup orgánů veřejné moci k údajům o totožnosti uchovávaným poskytovateli služeb elektronických komunikací, aniž by tyto údaje mohly být spojeny s informacemi o uskutečněných komunikacích, není závažný, jelikož tyto údaje jako celek neumožňují vyvodit přesné závěry o soukromém životě osob, jejichž údaje jsou dotčeny, může být uvedený přístup odůvodněn cílem spočívajícím v prevenci, vyšetřování, odhalování a stíhání soudně trestných činů obecně (v tom to smyslu viz rozsudek ze dne 2. října 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, body 54, 57 a 60).
97 Je třeba rovněž dodat, že podle zásady zakotvené v ustálené judikatuře Soudního dvora může být přístup k provozním a lokalizačním údajům podle čl. 15 odst. 1 směrnice 2002/58 odůvodněn pouze cílem obecného zájmu, pro který bylo poskytovatelům služeb elektronických komunikací uloženo jejich uchovávání, ledaže je tento přístup odůvodněn cílem obecného zájmu většího významu. Z této zásady zejména vyplývá, že takový přístup pro účely boje proti soudně trestným činům obecně nelze v žádném případě poskytnout, pokud bylo uchovávání uvedených údajů odůvodněno cílem boje proti závažné trestné činnosti nebo a fortiori zajištění národní bezpečnosti (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 166).
98 Naproti tomu takový cíl boje proti soudně trestným činům obecně umožňuje odůvodnit poskytnutí přístupu k provozním a lokalizačním údajům, které byly uloženy, a tedy uchovávány v rozsahu a po dobu, jež jsou nezbytné pro účely marketingu těchto služeb, účtování a poskytovaní služeb s přidanou hodnotou, jak to umožňuje článek 6 směrnice 2002/58 (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 108 a 167).
99 V projednávané věci na prvním místě z vnitrostátní právní úpravy dotčené ve věci v původním řízení vyplývá, že úřad Hadopi nemá přístup k „souboru provozních nebo lokalizačních údajů“ ve smyslu judikatury připomenuté v bodě 95 tohoto rozsudku, takže v zásadě nemůže vyvodit přesné závěry o soukromém životě subjektů údajů. Přístup, který neumožňuje vyvodit takové závěry, přitom nepředstavuje závažný zásah do základních práv zaručených v článcích 7 a 8 Listiny.
100 Podle uvedené právní úpravy a vysvětlení, které v tomto ohledu poskytla francouzská vláda, je totiž přístup poskytnutý tomuto orgánu veřejné moci striktně omezen na určité údaje týkající se totožnosti držitele IP adresy a je povolen pouze za tím účelem, aby bylo možné zjistit totožnost tohoto držitele podezřelého z činnosti porušující autorská práva nebo práva s nimi související, jelikož na internetu protiprávně zpřístupnil chráněná díla za účelem jejich stažení jinými osobami. Účelem tohoto přístupu je případně přijmout vůči tomuto držiteli jedno z výchovných nebo represivních opatření stanovených v rámci postupu odstupňované odpovědi, a sice zaslání prvního a druhého doporučení, poté dopisu oznamujícího držiteli, že tato činnost může představovat soudně trestný čin hrubé nedbalosti, a nakonec předložení věci státnímu zastupitelství za účelem stíhání tohoto přestupku nebo trestného činu porušení autorských práv.
101 Je ještě třeba, aby uvedená vnitrostátní právní úprava stanovila jasná a přesná pravidla, která zajistí, že IP adresy uchovávané podle směrnice 2002/58 mohou být použity pouze k zjištění totožnosti osoby, které byla konkrétní IP adresa přidělena, a zároveň vyloučí použití, které by umožnilo sledovat prostřednictvím jedné nebo více z těchto adres činnost dotyčné osoby on-line. Pokud je tedy IP adresa použita pouze pro účely zjištění totožnosti jejího držitele v rámci konkrétního správního postupu, který může vést k trestnímu řízení proti tomuto držiteli, a nikoliv pro účely například identifikace kontaktů nebo místa pobytu tohoto držitele, týká se přístup k této adrese za tímto jediným účelem uvedené adresy jakožto údaje o totožnosti, a nikoliv jako provozního údaje.
102 Navíc ze zásady zakotvené ustálenou judikaturou připomenutou v bodě 97 tohoto rozsudku vyplývá, že takový přístup, jaký má úřad Hadopi na základě vnitrostátní právní úpravy dotčené ve věci v původním řízení, může být vzhledem k tomu, že sleduje cíl spočívající v boji proti soudně trestným činům obecně, odůvodněn pouze tehdy, pokud se týká IP adres, které musí poskytovatelé služeb elektronických komunikací uchovávat pro účely tohoto cíle, a nikoli pro účely cíle většího významu, jako je boj proti závažné trestné činnosti, avšak přístup odůvodněný takovým cílem boje proti soudně trestným činům obecně v případě, že se týká IP adres uchovávaných, a tedy ukládaných za podmínek stanovených v článku 6 směrnice 2002/58, nemůže být dotčen.
103 Kromě toho, jak vyplývá z bodů 85 až 92 tohoto rozsudku, uchovávání IP adres, které se opírá o legislativní opatření podle čl. 15 odst. 1 směrnice 2002/58 pro účely cíle spočívajícího v boji proti soudně trestným činům obecně, může být odůvodněno, pokud způsoby tohoto uchovávání zavedené dotčenou právní úpravou odpovídají souboru požadavků, jejichž cílem je v podstatě zajistit skutečně úplné oddělení jednotlivých kategorií uchovávaných údajů, takže zkombinování údajů náležejících do jednotlivých kategorií je opravdu vyloučeno. V případě, že takové způsoby uchovávání jsou poskytovatelům služeb elektronických komunikací uloženy, nepředstavuje totiž plošné a nerozlišující uchovávání IP adres závažný zásah do soukromí jejich držitelů, neboť z těchto údajů nelze vyvodit přesné závěry o jejich soukromém životě.
104 S ohledem na judikaturu připomenutou v bodech 95 až 97 tohoto rozsudku tudíž může být v případě, že je taková právní úprava zavedena, přístup k uchovávaným IP adresám pro účely cíle spočívajícího v boji proti soudně trestným činům obecně odůvodněn s ohledem na čl. 15 odst. 1 směrnice 2002/58, je-li tento přístup povolen pouze za účelem zjištění totožnosti osoby podezřelé ze zapojení do takových soudně trestných činů.
105 Umožnit takovému orgánu veřejné moci, jako je úřad Hadopi, aby měl přístup k údajům o totožnosti odpovídajícím veřejné IP adrese, jež mu byla předána organizacemi zastupujícími nositele práv pouze za účelem zjištění totožnosti držitele této adresy používané pro činnosti, k nimž došlo on-line a které mohou porušovat autorská práva nebo práva s nimi související, za účelem toho, aby vůči tomuto držiteli bylo uplatněno některé z opatření stanovených v rámci postupu odstupňované odpovědi, je ostatně v souladu s judikaturou Soudního dvora týkající se „práva na informace“ v souvislosti s řízením o porušení práva duševního vlastnictví, jak je stanoveno v článku 8 směrnice 2004/48 (v tomto smyslu viz rozsudek ze dne 29. ledna 2008, Promusicae, C‑275/06, EU:C:2008:54, body 47 a následující).
106 V rámci této judikatury totiž Soudní dvůr zdůraznil, že použitím opatření stanovených ve směrnici 2004/48 nemůže být dotčeno nařízení GDPR ani směrnice 2002/58, a rozhodl, že čl. 8 odst. 3 směrnice 2004/48 ve spojení s čl. 15 odst. 1 směrnice 2002/58 a čl. 7 písm. f) směrnice 95/46 nebrání tomu, aby členské státy stanovily poskytovatelům služeb elektronických komunikací povinnost předávání osobních údajů osobám soukromého práva za účelem postihu porušení autorského práva před civilními soudy, ale ani těmto státům neukládá, aby takovou povinnost stanovily (v tomto smyslu viz rozsudek ze dne 17. června 2021, M. I. C. M., C‑597/19, EU:C:2021:492, body 124 a 125, jakož i citovaná judikatura).
107 Na druhém místě však pro účely konkrétního posouzení míry zásahu do soukromého života, který představuje přístup orgánu veřejné moci k osobním údajům, nelze pominout specifické rysy kontextu, v němž k tomuto přístupu dochází, a zvláště všechny údaje a informace sdělené tomuto orgánu na základě použitelné vnitrostátní právní úpravy, včetně již existujících údajů a informací, které odhalují obsah (obdobně viz rozsudek ESLP ze dne 24. dubna 2018, Benedik v. Slovinsko, CE:ECHR:2018:0424JUD006235714, bod 109).
108 V projednávané věci je pro účely uvedeného posouzení třeba zohlednit skutečnost, že úřad Hadopi před přístupem k dotčeným údajům o totožnosti, který je mu povolen, obdrží od organizací zastupujících nositele práv mimo jiné „informace o chráněných dílech nebo předmětech, kterých se skutky týkají“, a „případně“ „název souboru uloženého v počítači účastníka“, v souladu s bodem 1 přílohy nařízení č. 2010-236.
109 Ze spisu, který má Soudní dvůr k dispozici, s výhradou ověření předkládajícím soudem vyplývá, že informace o dotčeném díle, jak jsou zaznamenány v protokolu, jehož obsah je upraven podle rozhodnutí CNIL ze dne 10. června 2010, se v podstatě omezují na název dotčeného díla a výňatek známý jako „chunk“, který má podobu alfanumerické posloupnosti znaků, a nikoli zvukového nebo obrazového záznamu tohoto díla.
110 V tomto ohledu zajisté nelze obecně vyloučit, že přístup orgánu veřejné moci k omezenému počtu údajů o totožnosti držitele IP adresy, která mu byla sdělena poskytovatelem služeb elektronických komunikací pouze za účelem zjištění totožnosti tohoto držitele v případě, že tato adresa byla použita pro činnosti, které mohou porušovat autorská práva nebo práva s nimi související, je-li spojen s analýzou informací, byť omezených, o obsahu díla protiprávně zpřístupněného na internetu, které mu byly předtím předány organizacemi zastupujícími nositele práv, může tomuto orgánu veřejné moci poskytnout informace o určitých aspektech soukromého života uvedeného držitele, včetně citlivých informací, jako jsou sexuální orientace, politické názory, náboženské, filozofické, společenské nebo jiné přesvědčení, jakož i zdravotní stav, přičemž takové údaje požívají kromě toho v unijním právu zvláštní ochrany.
111 V projednávané věci s ohledem na povahu omezených údajů a informací, které má úřad Hadopi k dispozici, by však tyto údaje a informace mohly pouze v atypických situacích odhalit informace, případně citlivé informace, o aspektech soukromého života dotyčné osoby, které by společně mohly tomuto orgánu veřejné moci umožnit vyvodit přesné závěry o soukromém životě této osoby například vytvořením jejího podrobného profilu.
112 Tak by tomu mohlo být zejména v případě osoby, jejíž IP adresa byla použita pro činnosti porušující autorská práva nebo práva s nimi související na peer-to-peer sítích opakovaně, či dokonce ve velkém rozsahu, v souvislosti s chráněnými díly určitých druhů, která mohou být seskupena na základě slov v jejich názvu, jež jsou s to odhalit informace, případně citlivé informace, o aspektech jejího soukromého života.
113 Různé skutečnosti však umožňují mít za to, že v projednávané věci zásah do soukromí osoby podezřelé z účasti na činnosti porušující autorská práva nebo práva s nimi související, který je povolen takovou právní úpravou, jako je právní úprava dotčená ve věci v původním řízení, není nutně velmi závažný. Předně v souladu s takovou právní úpravou je přístup úřadu Hadopi k dotčeným osobním údajům vyhrazen pouze pro omezený počet přísežných a pověřených zaměstnanců tohoto orgánu veřejné moci, orgánu, který má ostatně nezávislé postavení v souladu s článkem L. 331-12 CPI. Dále jediným cílem tohoto přístupu je zjištění totožnosti osoby podezřelé z činnosti porušující autorská práva nebo práva s nimi související, pokud bylo zjištěno, že chráněné dílo bylo protiprávně zpřístupněno prostřednictvím jejího internetového připojení. Konečně přístup úřadu Hadopi k dotčeným osobním údajům je striktně omezen na údaje nezbytné k tomuto účelu (obdobně viz rozsudek ESLP ze dne 17. října 2019, López Ribalda a další v. Španělsko, CE:ECHR:2019:1017JUD000187413, body 126 a 127).
114 Další faktor, který může ještě více snížit míru zásahu do základních práv na ochranu soukromého života a osobních údajů vyplývajícího z uvedeného přístupu úřadu Hadopi, která s výhradou ověření předkládajícím soudem podle všeho plyne ze spisu, který má Soudní dvůr k dispozici, se týká skutečnosti, že podle použitelné vnitrostátní právní úpravy jsou zaměstnanci úřadu Hadopi, kteří mají přístup k dotyčným údajům a informacím, povinni zachovávat důvěrnost, což jim zakazuje zpřístupnit tyto údaje a informace v jakékoli formě, s výjimkou případů, kdy je věc předložena státnímu zastupitelství, a použít je k jiným účelům, než je zjištění totožnosti držitele IP adresy podezřelého z činnosti porušující autorské právo nebo právo s ním související, aby mu bylo uloženo jedno z opatření stanovených v rámci postupu odstupňované odpovědi (obdobně viz rozsudek ESLP ze dne 17. prosince 2009, Gardel v. Francie, CE:ECHR:2009:1217JUD001642805, bod 70).
115 Pokud tedy vnitrostátní právní úprava splňuje podmínky připomenuté v bodě 101 tohoto rozsudku, IP adresy sdělené takovému orgánu veřejné moci, jako je úřad Hadopi, neumožňují sledovat postup prohlížení internetu jejich držitelem, což spíše potvrzuje konstatování, že zásah, který představuje přístup tohoto orgánu k identifikačním údajům dotčeným ve věci v původním řízení, nelze kvalifikovat jako závažný.
116 Na třetím místě je třeba připomenout, že pro účely nezbytného sladění dotčených práv a zájmů, které ukládá požadavek přiměřenosti stanovený v čl. 15 odst. 1 první větě směrnice 2002/58, i když svoboda projevu a důvěrnost osobních údajů jsou prvořadými zájmy a i když uživatelé telekomunikací a internetových služeb musí mít záruku, že jejich soukromí a svoboda projevu budou respektovány, tato základní práva nejsou absolutní. Při vyvažování dotčených práv a zájmů musí tato základní práva totiž někdy ustoupit jiným základním právům nebo požadavkům obecného zájmu, jako je obrana veřejného pořádku a předcházení soudně trestným činům nebo ochrana práv a svobod jiných. Tak je tomu zejména v případě, kdy převaha přiznaná uvedeným prvořadým zájmům může narušit účinnost trestního vyšetřování zejména tím, že znemožňuje nebo nadměrně ztěžuje účinné zjištění totožnosti pachatele soudně trestného činu a uložení sankce tomuto pachateli (obdobně viz rozsudek ESLP ze dne 2. března 2009, K. U. v. Finsko, CE:ECHR:2008:1202JUD000287202, bod 49).
117 V této souvislosti je třeba náležitě zohlednit skutečnost, jak již Soudní dvůr rozhodl, že přístup k IP adresám může být, pokud jde o soudně trestné činy spáchané on-line, jediným vyšetřovacím prostředkem umožňujícím skutečné zjištění totožnosti osoby, které byla tato adresa přidělena v okamžiku spáchání soudně trestného činu (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 154).
118 Tato okolnost směřuje k prokázání toho, jak v podstatě zdůraznil i generální advokát v bodě 59 svého stanoviska ze dne 28. září 2023, že, pokud jde o boj proti takovým soudně trestným činům, jako jsou činy porušující autorská práva nebo práva s nimi související páchané on-line, jsou uchovávání těchto adres a přístup k nim nezbytně nutné k dosažení sledovaného cíle, a splňují tedy požadavek přiměřenosti, který ukládá čl. 15 odst. 1 směrnice 2002/58 ve spojení s bodem 11 odůvodnění této směrnice a s čl. 52 odst. 2 Listiny.
119 Jak v podstatě zdůraznil generální advokát v bodech 78 až 80 svého stanoviska ze dne 27. října 2022 a v bodech 80 a 81 svého stanoviska ze dne 28. září 2023, neumožnění takového přístupu by ostatně znamenalo reálné riziko systémové beztrestnosti nejen soudně trestných činů porušujících autorská práva nebo práva s nimi související, ale také jiných druhů soudně trestných činů páchaných on-line nebo takových činů, jejichž spáchání či přípravu usnadňují specifické vlastnosti internetu. Existence takového rizika přitom představuje relevantní okolnost pro účely posouzení v rámci vyvažování různých dotčených práv a zájmů, zda je zásah do práv zaručených v článcích 7, 8 a 11 Listiny přiměřeným opatřením s ohledem na cíl boje proti soudně trestným činům.
120 Je pravda, že přístup takového orgánu veřejné moci, jako je úřad Hadopi, k údajům o totožnosti odpovídajícím IP adrese, ze které byl spáchán soudně trestný čin on-line, není nutně jediným možným prostředkem vyšetřování k zjištění totožnosti osoby, která byla držitelem této adresy v okamžiku spáchání takového trestného činu. Taková identifikace by totiž mohla být a priori možná i na základě prozkoumání všech on-line činností subjektu údajů, zejména analýzou „stop“, které tento subjekt mohl zanechat na sociálních sítích, jako je uživatelské jméno používané na těchto sítích nebo jeho kontaktní údaje.
121 Jak však uvedl generální advokát v bodě 83 svého stanoviska ze dne 28. září 2023, takový prostředek vyšetřování by byl obzvláště invazivní, neboť by mohl odhalit přesné informace o soukromém životě subjektů údajů. Takový prostředek by pro tyto osoby znamenal závažnější zásah do práv zaručených v článcích 7, 8 a 11 Listiny, než vyplývá z takové právní úpravy, jako je právní úprava dotčená ve věci v původním řízení.
122 Z výše uvedeného vyplývá, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že v zásadě nebrání vnitrostátní právní úpravě, která umožňuje přístup orgánu veřejné moci pověřeného ochranou autorských práv a práv s nimi souvisejících proti porušováním těchto práv, k nimž dochází na internetu, k údajům o totožnosti odpovídajícím IP adresám, které byly předem shromážděny organizacemi zastupujícími nositele práv a uchovány poskytovateli služeb elektronických komunikací odděleně a skutečně samostatně, pouze proto, aby tento orgán mohl zjistit totožnost držitelů těchto adres, kteří jsou podezřelí z toho, že se dopustili těchto porušení, a případně vůči nim mohl přijmout opatření. V takovém případě musí použitelná vnitrostátní právní úprava stanovit, že zaměstnanci, kteří mají takový přístup, mají zakázáno zaprvé jakoukoli formou sdělovat informace o obsahu souborů, do nichž tito držitelé nahlíželi, s výjimkou jediného účelu, kterým je postoupení věci státnímu zastupitelství, zadruhé sledovat postup prohlížení internetu těmito držiteli a zatřetí používat tyto IP adresy k jiným účelům než k přijetí uvedených opatření.
K požadavku předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu před tím, než orgán veřejné moci získá přístup k údajům o totožnosti odpovídajícím IP adrese
123 Vyvstává však otázka, zda přístup orgánu veřejné moci k údajům o totožnosti odpovídajícím IP adrese musí kromě toho podléhat předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu.
124 V tomto ohledu Soudní dvůr rozhodl, že k tomu, aby bylo v praxi zaručeno plné dodržování podmínek, které jsou členské státy povinny stanovit k zajištění toho, aby byl přístup omezen na to, co je nezbytně nutné, je „zásadní“, aby přístup příslušných vnitrostátních orgánů k provozním a lokalizačním údajům podléhal předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu [v tomto smyslu viz rozsudky ze dne 21. prosince 2016, Tele2 Sverige a Watson a další, C‑203/15 a C‑698/15, EU:C:2016:970, bod 120; ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 189; ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům týkajícím se elektronických komunikací), C‑746/18, EU:C:2021:152, bod 51, jakož i ze dne 5. dubna 2022, Commissioner of An Garda Síochána a další, C‑140/20, EU:C:2022:258, bod 106].
125 Tento předchozí přezkum vyžaduje zaprvé, aby soud nebo nezávislý správní orgán, který jej má provádět, měl všechny pravomoci a vykazoval všechny záruky nezbytné pro sladění jednotlivých oprávněných zájmů a dotčených práv. Pokud jde konkrétně o vyšetřování, takový přezkum vyžaduje, aby tento soud nebo orgán byly s to zajistit spravedlivou rovnováhu mezi legitimními zájmy souvisejícími s potřebami vyšetřování v rámci boje proti trestné činnosti na jedné straně a základními právy na respektování soukromého života a na ochranu osobních údajů osob, jichž se přístup dotýká, na straně druhé (rozsudek ze dne 5. dubna 2022, Commissioner of An Garda Síochána a další, C‑140/20, EU:C:2022:258, bod 107, jakož i citovaná judikatura).
126 Zadruhé, neprovádí-li tento přezkum soud, nýbrž nezávislý správní orgán, tento orgán musí mít postavení, které mu umožňuje jednat při plnění svých povinností objektivně a nestranně, a za tímto účelem musí být zcela mimo dosah jakýchkoli vnějších vlivů. Z požadavku nezávislosti, který musí splňovat orgán pověřený výkonem předchozího přezkumu, plyne, že tento orgán musí být ve vztahu k orgánu, který žádá o přístup k údajům, třetím subjektem, aby byl prvně uvedený orgán s to tento přezkum vykonat objektivně a nestranně zcela mimo dosah jakýchkoliv vnějších vlivů. V oblasti trestního práva požadavek nezávislosti konkrétně znamená, že orgán pověřený tímto předchozím přezkumem nesmí být zapojen do dotčeného vyšetřování a musí mít vůči účastníkům trestního řízení neutrální postavení (rozsudek ze dne 5. dubna 2022, Commissioner of An Garda Síochána a další, C‑140/20, EU:C:2022:258, bod 108, jakož i citovaná judikatura).
127 Zatřetí k nezávislému přezkumu vyžadovanému podle čl. 15 odst. 1 směrnice 2002/58 musí dojít před jakýmkoli přístupem k dotyčným údajům, s výjimkou řádně odůvodněných naléhavých případů, přičemž v takové situaci musí být přezkum proveden v co nejkratší době. Následný přezkum by totiž neumožňoval naplnit cíl předchozího přezkumu, kterým je zabránit povolení přístupu k dotčeným údajům, který překračuje meze toho, co je nezbytně nutné [rozsudek ze dne 5. dubna 2022, Commissioner of An Garda Síochána a další, C‑140/20, EU:C:2022:258, bod 110].
128 Jak vyplývá z judikatury připomenuté v bodě 124 tohoto rozsudku, Soudní dvůr sice rozhodl, že je „zásadní“, aby přístup příslušných vnitrostátních orgánů k provozním a lokalizačním údajům podléhal předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu, tato judikatura se však rozvinula v kontextu vnitrostátních opatření, která pro účely cíle souvisejícího s bojem proti závažné trestné činnosti umožňovala obecný přístup ke všem uchovávaným provozním a lokalizačním údajům bez ohledu na to, zda existovala jakákoliv souvislost, byť jen nepřímá, se sledovaným cílem, a uvedená opatření zahrnovala závažné, a dokonce „zvláště závažné“ zásahy do dotčených základních práv.
129 Naproti tomu v případě, kdy se jednalo o podmínky, za kterých může být přístup k údajům o totožnosti odůvodněn s ohledem na čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 Listiny, Soudní dvůr výslovně nezmínil požadavek takového předběžného přezkumu [v tomto smyslu viz rozsudky ze dne 2. října 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, body 59, 60 a 62; ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 157 a 158, jakož i ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci), C‑746/18, EU:C:2021:152, bod 34].
130 Z judikatury Soudního dvora týkající se zásady proporcionality, jejíž dodržení ukládá čl. 15 odst. 1 první věta směrnice 2002/58, a zejména z judikatury, podle níž musí být možnost členských států odůvodnit omezení práv a povinností stanovených mimo jiné v článcích 5, 6 a 9 této směrnice posuzována z hlediska závažnosti zásahu do základních práv zakotvených v článcích 7, 8 a 11 Listiny, který takové omezení představuje, a musí být ověřeno, že význam cíle obecného zájmu sledovaného tímto omezením je úměrný závažnosti zásahu (rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 131), přitom vyplývá, že míra zásahu do dotčených základních práv, který představuje přístup k dotčeným osobním údajům, jakož i míra citlivosti těchto údajů musí mít rovněž vliv na hmotněprávní a procesní záruky, které musí tento přístup doprovázet, mezi něž patří požadavek předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu.
131 S ohledem na uvedenou zásadu proporcionality je tudíž třeba mít za to, že požadavek předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu je závazný, pokud v kontextu vnitrostátní právní úpravy, která stanoví přístup orgánu veřejné moci k osobním údajům, s sebou tento přístup nese riziko závažného zásahu do základních práv subjektu údajů v tom smyslu, že by mohl tomuto orgánu veřejné moci umožnit vyvodit přesné závěry o soukromém životě tohoto subjektu a případně vytvořit jeho podrobný profil.
132 Naopak uvedený požadavek předběžného přezkumu se neuplatní, pokud zásah do dotčených základních práv, který s sebou nese přístup orgánu veřejné moci k osobním údajům, nelze kvalifikovat jako závažný.
133 Tak je tomu v případě přístupu k údajům o totožnosti uživatelů prostředků elektronické komunikace pouze za účelem identifikace dotyčného uživatele, aniž by tyto údaje mohly být spojeny s informacemi o uskutečněných komunikacích, neboť podle judikatury Soudního dvora zásah, který představuje takové zpracování uvedených údajů, nemůže být v zásadě kvalifikován jako závažný (v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 157 a 158).
134 Z toho vyplývá, že je-li zaveden takový mechanismus uchovávání, jaký je popsán v bodech 86 až 89 tohoto rozsudku, přístup orgánu veřejné moci k údajům o totožnosti odpovídajícím takto uchovávaným IP adresám v zásadě nepodléhá požadavku na předchozí přezkum ze strany soudu nebo nezávislého správního orgánu.
135 Jak již však bylo uvedeno v bodech 110 a 111 tohoto rozsudku, nelze vyloučit, že v atypických situacích mohou omezené údaje a informace poskytnuté orgánu veřejné moci v rámci takového řízení, jako je postup odstupňované odpovědi dotčený ve věci v původním řízení, odhalit informace, případně citlivé informace, o aspektech soukromého života subjektu údajů, které by jako celek mohly tomuto orgánu veřejné moci umožnit vyvodit přesné závěry o soukromém životě tohoto subjektu a případně vytvořit jeho podrobný profil.
136 Jak vyplývá z bodu 112 tohoto rozsudku, takové nebezpečí pro soukromý život může nastat zejména v případě, že osoba opakovaně, či dokonce ve velkém rozsahu vykonává činnosti porušující autorská práva nebo práva s nimi související na peer-to-peer sítích v souvislosti s chráněnými díly určitého druhu, která lze seskupit na základě slov v jejich názvu, a odhaluje tak informace, případně citlivé informace, o svém soukromém životě.
137 V projednávané věci v rámci správního postupu odstupňované odpovědi může být držitel IP adresy zvláště vystaven takovému ohrožení soukromí v případě, že se toto řízení dostane do fáze, v níž má úřad Hadopi rozhodnout o předložení věci státnímu zastupitelství, či nikoli za účelem stíhání tohoto držitele pro skutky, které lze kvalifikovat jako přestupek z hrubé nedbalosti nebo trestný čin porušení autorských práv.
138 Takové předložení věci totiž předpokládá, že uvedenému držiteli IP adresy již byla zaslána dvě doporučení a jeden dopis obsahující oznámení, kterým byl informován o tom, že jeho činnost může být trestně stíhána, což jsou opatření, z nichž vyplývá, že úřad Hadopi měl pokaždé přístup k údajům o totožnosti uvedeného držitele, jehož IP adresa byla použita pro činnosti porušující autorská práva nebo práva s nimi související, jakož i k souboru týkajícímu se tohoto díla, který obsahuje v podstatě jeho název.
139 Nelze přitom vyloučit, že takto poskytnuté údaje mohou v souhrnu a v průběhu správního postupu odstupňované odpovědi v různých fázích tohoto řízení odhalit shodné a případně citlivé informace o aspektech soukromého života subjektu údajů, které případně umožňují vytvořit jeho profil.
140 Intenzita zásahu do práva na respektování soukromého života se může zvyšovat s tím, jak postup odstupňované odpovědi, který je postupným procesem, prochází jednotlivými fázemi, z nichž se skládá.
141 V projednávané věci může přístup úřadu Hadopi ke všem údajům týkajícím se subjektu údajů, které byly shromážděny v jednotlivých fázích tohoto postupu, prostřednictvím propojení těchto údajů umožnit, aby byly vyvozeny přesné závěry o soukromém životě tohoto subjektu údajů. V rámci takového řízení, jako je postup odstupňované odpovědi dotčený ve věci v původním řízení, musí tudíž vnitrostátní právní úprava rovněž stanovit v určité fázi uvedeného řízení předchozí přezkum ze strany soudu nebo nezávislého správního orgánu, který splňuje podmínky připomenuté v bodech 125 až 127 tohoto rozsudku, aby se vyloučila rizika nepřiměřených zásahů do základních práv na ochranu soukromého života a osobních údajů subjektu údajů. To znamená, že v praxi musí být takový přezkum proveden předtím, než úřad Hadopi může spojit údaje o totožnosti osoby odpovídající IP adrese, které byly získány od poskytovatele služeb elektronických komunikací, přičemž této osobě již byla zaslána dvě doporučení, se souborem týkajícím se díla zpřístupněného na internetu k jeho stažení jinými osobami. K uvedenému přezkumu tudíž musí dojít před případným zasláním dopisu obsahujícího oznámení uvedeného v článku R-331-40 CPI, v němž se konstatuje, že se tato osoba dopustila skutků, které mohou představovat soudně trestný čin hrubé nedbalosti. Až po takovém předchozím přezkumu ze strany soudu nebo nezávislého správního orgánu a jeho povolení může úřad Hadopi zaslat takový dopis a poté se případně obrátit na státní zastupitelství za účelem stíhání tohoto soudně trestného činu.
142 Je třeba umožnit, aby úřad Hadopi identifikoval případy, ve kterých držitel dotčené IP adresy dosáhne této třetí fáze takového postupu odstupňované odpovědi. Tento postup tudíž musí být organizován a strukturován tak, aby údaje o totožnosti osoby odpovídající IP adresám, které byly předtím shromážděny na internetu, získaným od poskytovatelů služeb elektronických komunikací, nemohly být osobami pověřenými posuzováním skutečností u úřadu Hadopi automaticky spojeny se soubory obsahujícími informace umožňující zjistit názvy chráněných děl, jejichž zpřístupnění na internetu odůvodnilo toto shromažďování údajů.
143 Takové propojení údajů pro účely třetí fáze postupu odstupňované odpovědi tak musí být pozastaveno v případě, že shromažďování uvedených údajů o totožnosti, které odpovídá případu, kdy byla činnost porušující autorská práva nebo práva s nimi související případně zopakována podruhé, vede k požadavku na předchozí přezkum ze strany soudu nebo nezávislého správního orgánu popsanému v bodě 141 tohoto rozsudku.
144 Kromě toho úprava požadavku na předběžný přezkum uvedený v bodech 141 až 143 tohoto rozsudku takovým způsobem, že se omezuje na třetí fázi postupu odstupňované odpovědi a nepoužije se na jeho předchozí fáze, umožňuje rovněž zohlednit argument, podle kterého je třeba zachovat proveditelnost tohoto postupu, jež se vyznačuje, zejména ve fázích před případným odesláním dopisu s oznámením a případným předložením věci státnímu zastupitelství, značným počtem žádostí o přístup ze strany orgánu veřejné moci, které vyplývají z rovněž velkého počtu protokolů, které mu byly předloženy organizacemi zastupujícími nositele práv.
145 Pokud jde dále o předmět předběžného přezkumu uvedeného v bodech 141 až 143 tohoto rozsudku, z judikatury připomenuté v bodech 95 a 96 uvedeného rozsudku vyplývá, že v případech, kdy je subjekt údajů podezřelý ze spáchání soudně trestného činu „hrubé nedbalosti“ definovaného v článku R. 335-5 CPI, který se týká soudně trestných činů obecně, musí soud nebo nezávislý správní orgán pověřený tímto přezkumem přístup odepřít, pokud by tento přezkum umožnil orgánu veřejné moci, který o něj požádal, vyvodit přesné závěry o soukromém životě uvedeného subjektu údajů.
146 Naproti tomu i přístup umožňující vyvodit takové přesné závěry by měl být povolen v případech, kdy skutečnosti, o nichž se tento soud nebo nezávislý správní orgán dozvěděl, zakládají podezření, že se subjekt údajů dopustil trestného činu porušení autorských práv uvedeného v článku L. 335-2 CPI nebo v článku L. 335-4 tohoto zákona, vzhledem k tomu, že členský stát může mít za to, že takový čin, pokud se dotýká základního zájmu společnosti, spadá do oblasti závažné trestné činnosti.
147 Konečně, pokud jde o bližší podrobnosti tohoto předběžného přezkumu, francouzská vláda má za to, že s ohledem na zvláštní charakteristické rysy přístupu úřadu Hadopi k dotčeným údajům, zejména na jeho četnost, je vhodné, aby byl předběžný přezkum, pokud je vyžadován, zcela automatizován. Podle francouzské vlády je totiž účelem takového přezkumu, který je čistě objektivní povahy, v podstatě ověřit, zda protokol úřadu Hadopi o postoupení věci obsahuje všechny požadované informace a údaje, aniž by tento úřad musel tyto informace a údaje jakkoli hodnotit.
148 Předchozí přezkum však nemůže být v žádném případě zcela automatizován, neboť jak vyplývá z judikatury připomenuté v bodě 125 tohoto rozsudku, pokud jde o trestní vyšetřování, takový přezkum v každém případě vyžaduje, aby soud nebo dotyčný nezávislý správní orgán byl s to zajistit spravedlivou rovnováhu mezi oprávněnými zájmy souvisejícími s potřebami vyšetřování v rámci boje proti trestné činnosti na jedné straně a základními právy na respektování soukromého života a na ochranu osobních údajů osob, jichž se přístup dotýká, na straně druhé.
149 Takové vyvážení jednotlivých oprávněných zájmů a dotčených práv totiž vyžaduje zásah fyzické osoby, a to tím spíše, pokud automatická povaha a obrovský rozsah dotčeného zpracování údajů s sebou nesou rizika pro soukromí.
150 Mimoto zcela automatizovaný přezkum nemůže v zásadě zajistit, aby přístup nepřekročil meze toho, co je nezbytně nutné, a aby osoby, o jejichž osobní údaje se jedná, měly účinné záruky proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání.
151 I když automatizované přezkumy mohou umožnit ověření určitých informací obsažených v protokolech organizací zastupujících nositele práv, takové přezkumy musí v každém případě jít ruku v ruce s přezkumy prováděnými fyzickými osobami, které zcela splňují požadavky připomenuté v bodech 125 až 127 tohoto rozsudku.
K požadavkům spojeným s hmotněprávními a procesními podmínkami, se zárukami proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání, které se vztahují na přístup orgánu veřejné moci k údajům o totožnosti odpovídajícím IP adrese
152 Z judikatury Soudního dvora vyplývá, že přístup k osobním údajům může být v souladu s požadavkem přiměřenosti, který ukládá čl. 15 odst. 1 směrnice 2002/58 pouze tehdy, pokud legislativní opatření, které jej povoluje, stanoví jasnými a přesnými pravidly, že uvedený přístup je podmíněn dodržením příslušných hmotněprávních a procesních podmínek a že subjekty údajů mají k dispozici účinné záruky proti rizikům zneužívajícího nebo neoprávněného přístupu a zneužívajícího nebo neoprávněného použití těchto údajů [v tomto smyslu viz rozsudek ze dne 6. října 2020, La Quadrature du Net a další, C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 132 a 173, jakož i ze dne 2. března 2021, Prokuratuur (Podmínky přístupu k údajům o elektronické komunikaci), C‑746/18, EU:C:2021:152, bod 49 a citovaná judikatura].
153 Jak zdůraznil Soudní dvůr, potřeba takových záruk je o to významnější v případě, kdy jsou osobní údaje zpracovávány automaticky (rozsudek ze dne 16. července 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 176 a citovaná judikatura).
154 V tomto ohledu francouzská vláda v odpovědi na otázku položenou Soudním dvorem pro účely jednání konaného dne 5. července 2022 potvrdila, jak ostatně uvádí článek L. 331-29 CPI, že přístup úřadu Hadopi k údajům o totožnosti v rámci postupu odstupňované odpovědi vychází v podstatě z automatizovaného zpracování údajů, které lze vysvětlit značným počtem porušení práv zjištěných na peer-to-peer sítích organizacemi zastupujícími nositele práv, což jsou zjištění, která jsou úřadu Hadopi předávána formou protokolů.
155 Ze spisu, který má Soudní dvůr k dispozici, zvláště vyplývá, že při tomto zpracování údajů zaměstnanci úřadu Hadopi v podstatě automaticky a bez posouzení dotčených skutečností jako takových ověří, zda protokoly, které mu byly předloženy, obsahují všechny informace a údaje uvedené v bodě 1 přílohy nařízení č. 2010-236, zejména příslušné skutky související s protiprávním zpřístupněním na internetu a IP adresy použité za tímto účelem. Takové zacházení přitom musí jít ruku v ruce s přezkumy prováděnými fyzickými osobami.
156 Vzhledem k tomu, že takové automatizované zpracování může zahrnovat určitý počet falešně pozitivních případů a zejména riziko, že potenciálně velmi vysoký počet osobních údajů může být zneužit třetími osobami k protiprávním nebo neoprávněným účelům, je třeba, aby byl systém zpracování údajů používaný orgánem veřejné moci na základě legislativního opatření pravidelně kontrolován nezávislým subjektem, který má ve vztahu k tomuto orgánu postavení třetí strany, s cílem ověřit integritu systému, včetně ověření účinných záruk proti riziku zneužití a proti jakémukoliv neoprávněnému přístupu k těmto údajům a jejich protiprávnímu využívání, přičemž tyto záruky musí tento systém zajistit, jakož i jeho účinnosti a spolehlivosti při odhalování nesplnění povinností, které kdyby se opakovalo, by bylo možné kvalifikovat jako hrubou nedbalost nebo porušení práv.
157 Konečně je třeba dodat, že takové zpracování osobních údajů prováděné orgánem veřejné moci, jako je zpracování prováděné úřadem Hadopi v rámci postupu odstupňované odpovědi, musí dodržovat zvláštní pravidla ochrany těchto údajů stanovená ve směrnici 2016/680, jejichž cílem je podle jejího článku 1 stanovit pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány pro účely prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
158 I když totiž v projednávané věci nemá úřad Hadopi podle použitelného vnitrostátního práva vlastní rozhodovací pravomoci, musí být, pokud zpracovává v rámci postupu odstupňované odpovědi osobní údaje a přijímá taková opatření, jako je doporučení nebo informování subjektu údajů o tom, že dotčené skutky mohou být trestně stíhány, považován za „orgán veřejné moci“ ve smyslu článku 3 směrnice 2016/680, který se účastní prevence a odhalování soudně trestných činů, a sice přestupků z hrubé nedbalosti nebo trestných činů porušení autorských práv, a spadá tedy do oblasti působnosti této směrnice v souladu s jejím článkem 1.
159 V tomto ohledu francouzská vláda v odpovědi na otázku položenou Soudním dvorem pro účely jednání konaného dne 5. července 2022 uvedla, že vzhledem k tomu, že opatření přijatá úřadem Hadopi v rámci provádění postupu odstupňované odpovědi „mají předtrestní povahu přímo spojenou se soudním řízením“, systém správy opatření na ochranu děl na internetu zavedený úřadem Hadopi podléhá, jak vyplývá z judikatury předkládajícího soudu, vnitrostátním právním předpisům provádějícím směrnici 2016/680.
160 Naproti tomu takové zpracování údajů ze strany úřadu Hadopi nespadá do působnosti nařízení GDPR. V tomto ohledu čl. 2 odst. 2 písm. d) nařízení GDPR stanoví, že se toto nařízení nevztahuje na zpracování osobních údajů prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.
161 Jak uvedl generální advokát v bodě 104 svého stanoviska ze dne 27. října 2022, vzhledem k tomu, že úřad Hadopi musí v rámci postupu odstupňované odpovědi dodržovat směrnici 2016/680, musí mít osoby zapojené do takového postupu všechny hmotněprávní a procesní záruky zahrnující právo na přístup k osobním údajům zpracovávaným úřadem Hadopi, jejich opravu a výmaz, jakož i možnost podat stížnost k nezávislému dozorovému úřadu a následně případně opravný prostředek k soudu za podmínek stanovených obecným právem.
162 V této souvislosti z vnitrostátních právních předpisů dotčených ve věci v původním řízení vyplývá, že v rámci postupu odstupňované odpovědi, konkrétně během zaslání druhého doporučení a následného dopisu s oznámením o tom, že zjištěné skutky mohou být kvalifikovány jako soudně trestný čin, požívá adresát této komunikace určitých procesních záruk, jako je právo vyjádřit se, právo na upřesnění nesplnění povinnosti, které je mu vytýkáno, jakož i právo požádat o možnost podat vysvětlení a být zastoupen právním zástupcem, pokud jde o uvedený dopis s oznámením.
163 V každém případě je na předkládajícím soudu, aby ověřil, zda uvedené vnitrostátní právní předpisy upravují všechny hmotněprávní a procesní záruky, které stanoví směrnice 2016/680.
164 S ohledem na všechny výše uvedené úvahy je třeba na všechny tři předběžné otázky odpovědět tak, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která orgánu veřejné moci pověřenému ochranou autorských práv a práv s nimi souvisejících proti porušováním těchto práv, k nimž dochází na internetu, povoluje přístup k údajům o totožnosti odpovídajícím IP adresám uchovávaným poskytovateli veřejně dostupných služeb elektronických komunikací, které předem shromáždily organizace zastupující nositele práv, aby tento orgán mohl zjistit totožnost držitelů těchto IP adres používaných pro činnosti, které mohou představovat taková porušení, a případně vůči nim přijmout opatření za podmínky, že podle této právní úpravy
– jsou tyto údaje uchovávány za podmínek a podle technických postupů, které zajišťují, že uchovávání nemůže umožnit vyvození přesných závěrů o soukromém životě těchto držitelů, například vytvořením jejich podrobného profilu, čehož lze zvláště dosáhnout stanovením povinnosti poskytovatelům služeb elektronických komunikací uchovávat jednotlivé kategorie osobních údajů, jako jsou údaje o totožnosti, IP adresy a provozní a lokalizační údaje, tak, aby bylo zajištěno skutečně úplné oddělení těchto jednotlivých kategorií údajů a aby se ve fázi uchovávání údajů zabránilo jakémukoli kombinovanému použití těchto jednotlivých kategorií údajů, a to po dobu ne delší, než je nezbytně nutné;
– slouží přístup tohoto orgánu veřejné moci k těmto odděleně a skutečně samostatně uchovávaným údajům výhradně k zjištění totožnosti osoby podezřelé ze spáchání soudně trestného činu a je spojen s nezbytnými zárukami, které vylučují, že tento přístup může, s výjimkou atypických situací, umožnit vyvození přesných závěrů o soukromém životě držitelů IP adres, například vytvořením jejich podrobného profilu, což zvláště znamená, že zaměstnanci tohoto orgánu, kteří jsou oprávněni k takovému přístupu, mají zakázáno jakoukoli formou sdělovat informace o obsahu souborů, do nichž tito držitelé nahlížejí, s výjimkou jediného účelu, kterým je předání věci státnímu zastupitelství, sledovat postup prohlížení internetu těmito držiteli a obecně používat tyto IP adresy k jinému účelu než ke zjištění totožnosti jejich držitelů za účelem přijetí případných opatření proti nim;
– možnost osob pověřených prověřováním skutečností v rámci uvedeného orgánu veřejné moci propojovat tyto údaje se soubory obsahujícími informace umožňující identifikaci názvu chráněných děl, jejichž zpřístupnění na internetu odůvodnilo shromažďování IP adres organizacemi zastupujícími nositele práv, podléhá v případech, že stejná osoba provádí činnost porušující autorská práva nebo práva s nimi související opakovaně, přezkumu ze strany soudu nebo nezávislého správního orgánu, přičemž takový přezkum nemůže být zcela automatizovaný a musí být proveden před takovým propojením, neboť takové propojení může v takových případech umožnit vyvození přesných závěrů o soukromém životě uvedené osoby, jejíž IP adresa byla použita k činnostem, které mohou porušovat autorská práva nebo práva s nimi související;
– je systém zpracování údajů používaný orgánem veřejné moci pravidelně kontrolován nezávislým subjektem, který má ve vztahu k tomuto orgánu postavení třetí strany, s cílem ověřit integritu systému, včetně ověření účinných záruk proti rizikům zneužívajícího nebo neoprávněného přístupu k těmto údajům a jejich zneužívajícího nebo neoprávněného použití, jakož i jeho účinnosti a spolehlivosti při odhalování případných neplnění povinností.
K nákladům řízení
165 Vzhledem k tomu, že řízení má, pokud jde o účastníky původního řízení, povahu incidenčního řízení ve vztahu ke sporu probíhajícímu před předkládajícím soudem, je k rozhodnutí o nákladech řízení příslušný uvedený soud. Výdaje vzniklé předložením jiných vyjádření Soudnímu dvoru než vyjádření uvedených účastníků řízení se nenahrazují.
Z těchto důvodů Soudní dvůr (plénum) rozhodl takto:
Článek 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), ve znění směrnice Evropského parlamentu a Rady 2009/136/ES ze dne 25. listopadu 2009, ve spojení s články 7, 8 a 11, jakož i čl. 52 odst. 1 Listiny základních práv Evropské unie,
musí být vykládán v tom smyslu, že
nebrání vnitrostátní právní úpravě, která orgánu veřejné moci pověřenému ochranou autorských práv a práv s nimi souvisejících proti porušováním těchto práv, k nimž dochází na internetu, povoluje přístup k údajům o totožnosti odpovídajícím IP adresám uchovávaným poskytovateli veřejně dostupných služeb elektronických komunikací, které předem shromáždily organizace zastupující nositele práv, aby tento orgán mohl zjistit totožnost držitelů těchto IP adres používaných pro činnosti, které mohou představovat taková porušení, a případně vůči nim přijmout opatření za podmínky, že podle této právní úpravy
– jsou tyto údaje uchovávány za podmínek a podle technických postupů, které zajišťují, že uchovávání nemůže umožnit vyvození přesných závěrů o soukromém životě těchto držitelů, například vytvořením jejich podrobného profilu, čehož lze zvláště dosáhnout stanovením povinnosti poskytovatelům služeb elektronických komunikací uchovávat jednotlivé kategorie osobních údajů, jako jsou údaje o totožnosti, IP adresy a provozní a lokalizační údaje, tak, aby bylo zajištěno skutečně úplné oddělení těchto jednotlivých kategorií údajů a aby se ve fázi uchovávání údajů zabránilo jakémukoli kombinovanému použití těchto jednotlivých kategorií údajů, a to po dobu ne delší, než je nezbytně nutné;
– slouží přístup tohoto orgánu veřejné moci k těmto odděleně a skutečně samostatně uchovávaným údajům výhradně k zjištění totožnosti osoby podezřelé ze spáchání soudně trestného činu a je spojen s nezbytnými zárukami, které vylučují, že tento přístup může, s výjimkou atypických situací, umožnit vyvození přesných závěrů o soukromém životě držitelů IP adres, například vytvořením jejich podrobného profilu, což zvláště znamená, že zaměstnanci tohoto orgánu, kteří jsou oprávněni k takovému přístupu, mají zakázáno jakoukoli formou sdělovat informace o obsahu souborů, do nichž tito držitelé nahlížejí, s výjimkou jediného účelu, kterým je předání věci státnímu zastupitelství, sledovat postup prohlížení internetu těmito držiteli a obecněji používat tyto IP adresy k jinému účelu než ke zjištění totožnosti jejich držitelů za účelem přijetí případných opatření proti nim;
– možnost osob pověřených prověřováním skutečností v rámci uvedeného orgánu veřejné moci propojovat tyto údaje se soubory obsahujícími informace umožňující identifikaci názvu chráněných děl, jejichž zpřístupnění na internetu odůvodnilo shromažďování IP adres organizacemi zastupujícími nositele práv, podléhá v případech, že stejná osoba provádí činnost porušující autorská práva nebo práva s nimi související opakovaně, přezkumu ze strany soudu nebo nezávislého správního orgánu, přičemž takový přezkum nemůže být zcela automatizovaný a musí být proveden před takovým propojením, neboť takové propojení může v takových případech umožnit vyvození přesných závěrů o soukromém životě uvedené osoby, jejíž IP adresa byla použita k činnostem, které mohou porušovat autorská práva nebo práva s nimi související;
– je systém zpracování údajů používaný orgánem veřejné moci pravidelně kontrolován nezávislým subjektem, který má ve vztahu k tomuto orgánu postavení třetí strany, s cílem ověřit integritu systému, včetně ověření účinných záruk proti rizikům zneužívajícího nebo neoprávněného přístupu k těmto údajům a jejich zneužívajícího nebo neoprávněného použití, jakož i jeho účinnosti a spolehlivosti při odhalování případných neplnění povinností.
Podpisy