TIESAS SPRIEDUMS (plēnums)
2024. gada 30. aprīlī (*)
Satura rādītājs
Atbilstošās tiesību normas
Savienības tiesības
Personas datu aizsardzības vispārīgais regulējums
– Direktīva 95/46/EK
– VDAR
Nozarēm specifiskais personas datu aizsardzības regulējums
– Direktīva 2002/58
– Direktīva (ES) 2016/680
Intelektuālā īpašuma tiesību aizsardzības regulējums
Francijas tiesības
CPI
Dekrēts Nr. 2010-236
Pasta un elektronisko komunikāciju kodekss
Pamatlieta un prejudiciālie jautājumi
Par prejudiciālajiem jautājumiem
Ievadapsvērumi
Vai publiskas iestādes piekļuve IP adresei piesaistītiem personas identitātes datiem, kurus elektronisko komunikāciju pakalpojumu sniedzēji glabā, lai cīnītos pret tiešsaistē izdarītiem intelektuālā īpašuma tiesību pārkāpumiem, ir attaisnojama saskaņā ar Direktīvas 2002/58 15. panta 1. punktu
Par prasībām attiecībā uz personas identitātes datu un tām piesaistīto IP adrešu glabāšanu, ko veic elektronisko komunikāciju pakalpojumu sniedzēji
Par prasībām attiecībā uz piekļuvi elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem IP adresei piesaistītajiem personas identitātes datiem
Par prasību, ka pirms publiskas iestādes piekļuves IP adresei piesaistītajiem personas identitātes datiem ir jāveic pārbaude tiesā vai neatkarīgā administratīvā iestādē
Par prasībām saistībā ar materiāltiesiskajiem un procesuālajiem nosacījumiem, kā arī ar garantijām pret ļaunprātīgas izmantošanas riskiem un pret jebkādu nelikumīgu piekļuvi šiem datiem un šo datu nelikumīgu izmantošanu, kurām ir pakārtojama publiskas iestādes piekļuve IP adresei piesaistītajiem personas identitātes datiem
Par tiesāšanās izdevumiem
Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko komunikāciju nozarē – Direktīva 2002/58 EK – Elektronisko komunikāciju konfidencialitāte – Aizsardzība – 5. pants un 15. panta 1. punkts – Eiropas Savienības Pamattiesību harta – 7. un 8. pants un 52. panta 1. punkts – Valsts tiesību akti, kuru mērķis ir ar publiskas iestādes rīcību apkarot internetā izdarītus intelektuālā īpašuma tiesību pārkāpumus – Tā sauktā “pakāpeniskās reakcijas” procedūra – Darbībām, ar kurām tiek izdarīti autortiesību vai blakustiesību pārkāpumi, izmantoto IP adrešu augšupēja ievākšana, ko veic tiesību īpašnieku organizācijas – Valsts autortiesību un blakustiesību aizsardzības iestādes lejupēja piekļuve personas identitātes datiem, kas piesaistīti šīm IP adresēm, kuras glabā elektronisko komunikāciju pakalpojumu sniedzēji – Automatizēta apstrāde – Prasība pēc iepriekšējas pārbaudes, ko veic vai nu tiesa, vai neatkarīga administratīva iestāde – Materiāltiesiskās un procesuālās garantijas – Garantijas pret ļaunprātīgas izmantošanas riskiem, kā arī pret jebkādu nelikumīgu piekļuvi šiem datiem un to nelikumīgu izmantošanu
Lietā C‑470/21
par lūgumu sniegt prejudiciālu nolēmumu atbilstoši LESD 267. pantam, ko Conseil d’État (Valsts padome, Francija) iesniegusi ar 2021. gada 5. jūlija lēmumu un kas Tiesā reģistrēts 2021. gada 30. jūlijā, tiesvedībā
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
pret
Premier ministre,
Ministre de la Culture,
TIESA (plēnums)
šādā sastāvā: Tiesas priekšsēdētājs K. Lēnartss [K. Lenaerts], priekšsēdētāja vietnieks L. Bejs Larsens [L. Bay Larsen], palātu priekšsēdētāji A. Arabadžijevs [A. Arabadjiev], A. Prehala [A. Prechal] (referente), K. Jirimēe [K. Jürimäe], K. Likurgs [C. Lycourgos], J. Regans [E. Regan], T. fon Danvics [T. von Danwitz], F. Biltšens [F. Biltgen], N. Pisarra [N. Piçarra] un Z. Čehi [Z. Csehi], tiesneši M. Ilešičs [M. Ilešič], Ž. K. Bonišo [J.‑C. Bonichot], S. Rodins [S. Rodin], P. Dž. Švīrebs [P. G. Xuereb], L. S. Rosi [L. S. Rossi], I. Jarukaitis [I. Jarukaitis], A. Kumins [A. Kumin], N. Jēskinens [N. Jääskinen], N. Vāls [N. Wahl], I. Ziemele, J. Pasers [J. Passer], D. Gracijs [D. Gratsias], M. L. Arasteja Saūna [M. L. Arastey Sahún] un M. Gavalecs [M. Gavalec],
ģenerāladvokāts: M. Špunars [M. Szpunar],
sekretāres: V. Džakobo [V. Giacobbo] un M. Krauzenbeka [M. Krausenböck], administratores,
ņemot vērā rakstveida procesu un 2022. gada 5. jūlija tiesas sēdi,
ņemot vērā apsvērumus, ko snieguši:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net un French Data Network vārdā – A. Fitzjean Ó Cobhthaigh, advokāts,
– Francijas valdības vārdā – A. Daniel, A.‑L. Desjonquères un J. Illouz, pārstāvji,
– Dānijas valdības vārdā – J. F. Kronborg un V. Pasternak Jørgensen, pārstāves,
– Igaunijas valdības vārdā – M. Kriisa, pārstāve,
– Somijas valdības vārdā – H. Leppo, pārstāve,
– Zviedrijas valdības vārdā – H. Shev, pārstāve,
– Norvēģijas valdības vārdā – F. Bergsjø, S.‑E. Dahl, J. T. Kaasin un P. Wennerås, pārstāvji,
– Eiropas Komisijas vārdā – S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal un F. Wilman, pārstāvji,
noklausījusies ģenerāladvokāta secinājumus 2022. gada 27. oktobra tiesas sēdē,
ņemot vērā 2023. gada 23. marta rīkojumu par mutvārdu procesa atkārtotu sākšanu un pēc 2023. gada 15. maija tiesas sēdes,
ņemot vērā apsvērumus, ko snieguši:
– La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net un French Data Network vārdā – A. Fitzjean Ó Cobhthaigh, advokāts,
– Francijas valdības vārdā – R. Bénard, J. Illouz un T. Stéhelin, pārstāvji,
– Čehijas valdības vārdā – T. Suchá un J. Vláčil, pārstāvji,
– Dānijas valdības vārdā – J. F. Kronborg un C. A.‑S. Maertens, pārstāves,
– Igaunijas valdības vārdā – M. Kriisa, pārstāve,
– Īrijas vārdā – M. Browne, Chief State Solicitor, A. Joyce un D. O’Reilly, pārstāvji, kam palīdz D. Fennelly, BL,
– Spānijas valdības vārdā – A. Gavela Llopis, pārstāve,
– Kipras valdības vārdā – I. Neophytou, pārstāve,
– Latvijas valdības vārdā – J. Davidoviča un K. Pommere, pārstāves,
– Nīderlandes valdības vārdā – E. M. M. Besselink, M. K. Bultermann un A. Hanje, pārstāves,
– Somijas valdības vārdā – A. Laine un H. Leppo, pārstāves,
– Zviedrijas valdības vārdā – F.‑D. Göransson un H. Shev, pārstāves,
– Norvēģijas valdības vārdā – S.‑E. Dahl un P. Wennerås, pārstāvji,
– Eiropas Komisijas vārdā – S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal un F. Wilman, pārstāvji,
– Eiropas Datu aizsardzības uzraudzītāja vārdā – V. Bernardo, C.‑A. Marnier, D. Nardi un M. Pollmann, pārstāvji,
– Eiropas Savienības Kiberdrošības aģentūras vārdā – A. Bourka, pārstāve,
noklausījusies ģenerāladvokāta secinājumus 2023. gada 28. septembra tiesas sēdē,
pasludina šo spriedumu.
Spriedums
1 Lūgums sniegt prejudiciālu nolēmumu ir par to, kā interpretēt Eiropas Parlamenta un Padomes Direktīvu 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju) (OV 2002, L 201, 37. lpp.), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvu 2009/136/EK (OV 2009, L 337, 11. lpp.) (turpmāk tekstā – “Direktīva 2002/58”), lasot to Eiropas Savienības Pamattiesību hartas (turpmāk tekstā – “Harta”) gaismā.
2 Šis lūgums ir iesniegts saistībā ar tiesvedību starp apvienībām La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net un French Data Network, no vienas puses, un Premier ministre (premjerministrs, Francija) un ministre de la Culture (kultūras ministrs, Francija), no otras puses, par to, vai ir likumīgs décret n o 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé «Système de gestion des mesures pour la protection des œuvres sur internet» (2010. gada 5. marta Dekrēts Nr. 2010‑236 par personas datu automatizētu apstrādi, kas ir atļauta ar Intelektuālā īpašuma kodeksa L. 331‑29. pantu un saukta par “Vadības sistēmu pasākumiem darbu aizsardzībai internetā”) (2010. gada 7. marta JORF Nr. 56, teksts Nr. 19), redakcijā ar grozījumiem, kas izdarīti ar décret n o 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (2017. gada 6. maija Dekrēts Nr. 2017‑924 par autortiesību un blakustiesību pārvaldību, ko veic tiesību pārvaldījuma organizācija, un ar ko groza Intelektuālā īpašuma kodeksu) (2017. gada 10. maija JORF Nr. 109, teksts Nr. 176) (turpmāk tekstā – “Dekrēts Nr. 2010‑236”).
Atbilstošās tiesību normas
Savienības tiesības
Personas datu aizsardzības vispārīgais regulējums
– Direktīva 95/46/EK
3 Eiropas Parlamenta un Padomes Direktīvas 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV 1995, L 281, 31. lpp.) II nodaļas II iedaļā “Kritēriji datu apstrādes atzīšanai par likumīgu” ietvertais 7. pants bija formulēts šādi:
“Dalībvalstis paredz to, ka personas datus var apstrādāt tikai, ja:
[..]
f) [..] apstrāde vajadzīga personas datu apstrādātāja vai trešo personu, kurām dati tiek atklāti, likumīgo interešu ievērošanai, izņemot, ja šīs intereses ignorē, ņemot vērā datu subjekta pamattiesību un brīvību intereses, kurām nepieciešama aizsardzība saskaņā ar 1. panta 1. punktu.”
4 Minētās direktīvas 13. panta 1. punkts noteica:
“Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu 6. panta 1. punktā, 10. pantā, 11. panta 1. punktā, 12. pantā un 21. pantā paredzēto pienākumu un tiesību jomu, ja šāds ierobežojums ir nepieciešams aizsargpasākums:
[..]
g) datu subjekta aizsardzībai vai citu personu tiesību un brīvību aizsardzībai.”
– VDAR
5 Eiropas Parlamenta un Padomes Regulas (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK (Vispārīgā datu aizsardzības regula) (OV 2016, L 119, 1. lpp., turpmāk tekstā – “VDAR”) 2. panta “Materiālā darbības joma” 1. un 2. punkts noteic:
“1. Šo regulu piemēro personas datu apstrādei, kas pilnībā vai daļēji veikta ar automatizētiem līdzekļiem, un tādu personas datu apstrādei, kuri veido daļu no kartotēkas vai ir paredzēti, lai veidotu daļu no kartotēkas, ja apstrādi neveic ar automatizētiem līdzekļiem.
2. Šo regulu nepiemēro personas datu apstrādei:
[..]
d) ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.”
6 VDAR 4. pants “Definīcijas” noteic:
“Šajā regulā:
1) “personas dati” ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu (“datu subjekts”); [..]
2) “apstrāde” ir jebkura ar personas datiem vai personas datu kopumiem veikta darbība vai darbību kopums, ko veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, izpaušana, nosūtot, izplatot vai citādi darot tos pieejamus, saskaņošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;
[..].”
7 Šīs regulas 6. panta “Apstrādes likumīgums” 1. punkts noteic:
“Apstrāde ir likumīga tikai tādā apmērā un tikai tad, ja ir piemērojams vismaz viens no turpmāk minētajiem pamatojumiem:
[..]
f) apstrāde ir vajadzīga pārziņa vai trešās personas leģitīmo interešu ievērošanai, izņemot, ja datu subjekta intereses vai pamattiesības un pamatbrīvības, kurām nepieciešama personas datu aizsardzība, ir svarīgākas par šādām interesēm [..]
Pirmās daļas f) apakšpunktu nepiemēro apstrādei, ko veic publiskas iestādes, pildot savus uzdevumus.”
8 Minētās regulas 9. panta “Īpašu kategoriju personas datu apstrāde” 2. punkta e) un f) apakšpunktā ir paredzēts, ka aizliegums apstrādāt noteikta veida personas datus, kuros tostarp ir ietverti dati par fiziskas personas dzimumdzīvi vai seksuālo orientāciju, nav piemērojams, ja apstrāde attiecas uz personas datiem, kurus datu subjekts apzināti ir publiskojis, vai ir vajadzīga tostarp, lai celtu, īstenotu vai aizstāvētu likumīgas prasības.
9 VDAR 23. panta “Ierobežojumi” 1. punkts noteic:
“Saskaņā ar Savienības vai dalībvalsts tiesību aktiem, kas piemērojami datu pārzinim vai apstrādātājam, ar leģislatīvu pasākumu var ierobežot to pienākumu un tiesību darbības jomu, kas paredzēti 12.–22. pantā un 34. pantā, kā arī 5. pantā, ciktāl tā noteikumi atbilst 12.–22. pantā paredzētajām tiesībām un pienākumiem, – ja ar šādu ierobežojumu tiek ievērota pamattiesību un pamatbrīvību būtība un tas demokrātiskā sabiedrībā ir nepieciešams un samērīgs, lai garantētu:
[..]
i) datu subjekta aizsardzību vai citu personu tiesību un brīvību aizsardzību;
j) civilprasību izpildi.”
Nozarēm specifiskais personas datu aizsardzības regulējums
– Direktīva 2002/58
10 Direktīvas 2002/58 2., 6., 7., 11., 26. un 30. apsvērumā ir teikts:
“(2) Šī direktīva respektē pamattiesības un ievēro principus, kas jo īpaši ir atzīti [Hartā]. Šī direktīva jo īpaši nodrošina pilnībā tiesības, kas izklāstītas minētās hartas 7. un 8. pantā.
[..]
(6) Internets maina tradicionālās tirgus struktūras, nodrošinot kopēju, globālu infrastruktūru plaša elektronisko komunikāciju pakalpojumu klāsta piedāvājumam. Publiski pieejami elektronisko telekomunikāciju pakalpojumi internetā atklāj jaunas iespējas lietotājiem, taču rada jaunu risku to personas datiem un privātajai dzīvei.
(7) Attiecībā uz publisko komunikāciju tīklu jāizstrādā īpaši normatīvi un tehniskie noteikumi, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības, kā arī juridisku personu likumīgās intereses, jo īpaši ņemot vērā arvien lielāku jaudu abonentu un lietotāju datu automatizētai glabāšanai un apstrādei.
[..]
(11) Tāpat kā Direktīva [95/46], arī šī direktīva neattiecas uz pamattiesību un pamatbrīvību aizsardzības jautājumiem, kas saistīti ar darbībām, kuras neregulē Kopienas tiesību akti. Tāpēc tā nemaina esošo līdzsvaru starp fizisku personu tiesībām uz privāto dzīvi un iespēju dalībvalstīm pieņemt šīs direktīvas 15. panta 1. punktā minētos pasākumus, kas nepieciešami sabiedrības drošībai, aizsardzībai, valsts drošībai (tostarp valsts ekonomisko labklājību, ja darbības attiecas uz valsts drošības jautājumiem) un krimināltiesību aktu piemērošanai. Tādējādi šī direktīva neietekmē dalībvalstu iespēju veikt komunikāciju likumīgu pārtraukšanu vai pieņemt citus pasākumus, ja tie nepieciešami jebkuram no šiem nolūkiem un ir saskaņā ar [Romā 1950. gada 4. novembrī parakstīto] Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju, kā skaidrots Eiropas Cilvēktiesību tiesas nolēmumos. Šādiem pasākumiem jābūt atbilstošiem, stingri samērīgiem ar paredzēto nolūku un nepieciešamiem demokrātiskā sabiedrībā, un tiem jāatbilst attiecīgajiem drošības pasākumiem saskaņā ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju.
[..]
(26) Tādi dati, kas attiecas uz abonentiem un ir apstrādāti elektronisko komunikāciju tīklos, lai izveidotu savienojumu un pārraidītu informāciju, iekļauj informāciju par fizisku personu privāto dzīvi un attiecas uz tiesībām ievērot [skar tiesības uz viņu korespondences neaizskaramību, kā arī] juridisku personu likumīgās intereses. Šādus datus drīkst uzglabāt tikai tādā apmērā, cik vajadzīgs, lai sniegtu pakalpojumu ar nolūku sagatavot rēķinus un veikt norēķinus par starpsavienojumiem, un tos glabā ierobežotu laiku. Jebkuru tālāku šādu datu apstrādi [..] var atļaut tikai tad, ja abonents ir tam piekritis, pamatojoties uz publiski pieejamu komunikāciju pakalpojumu sniedzēja dotu precīzu un pilnīgu informāciju par tādas tālākas apstrādes veidiem, ko tas nodomājis veikt, un par abonenta tiesībām nesniegt vai atsaukt savu piekrišanu šādai apstrādei. [..]
[..]
(30) Sistēmas elektronisko komunikāciju tīklu nodrošināšanai un pakalpojumu sniegšanai jāveido tā, lai ierobežotu nepieciešamo personas datu apjomu līdz stingri noteiktam minimumam. [..]”
11 Saskaņā ar Direktīvas 2002/58 2. pantu “Definīcijas”:
“[..]
Piemēro arī šādas definīcijas:
a) “lietotājs” ir jebkura fiziska persona, kas izmanto publiski pieejamu elektronisko komunikāciju pakalpojumu personīgiem vai uzņēmējdarbības mērķiem, ne vienmēr būdama šā pakalpojuma abonents;
b) “informācija par datu plūsmu” ir jebkuri dati, kas apstrādāti ar nolūku pārsūtīt komunikāciju elektronisko komunikāciju tīklā vai ar nolūku sagatavot rēķinu;
c) “atrašanās vietas dati” ir jebkuri dati, kuri apstrādāti elektronisko komunikāciju tīklā vai kurus apstrādā elektronisko komunikāciju pakalpojuma sniedzējs, norādot publiski pieejamu elektronisko komunikāciju pakalpojuma lietotāja gala iekārtas ģeogrāfisko atrašanās vietu;
[..].”
12 Šīs direktīvas 3. pants “Attiecīgie pakalpojumi” noteic:
“Šī direktīva attiecas uz personas datu apstrādi saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu publiskos komunikāciju tīklos Kopienā, tostarp publiskos komunikāciju tīklos, kuros var izmantot datu vākšanas un identifikācijas ierīces.”
13 Saskaņā ar minētās direktīvas 5. pantu “Komunikāciju konfidencialitāte”:
“1. Dalībvalstis nodrošina komunikāciju un saistītās informācijas par datu plūsmu konfidencialitāti ar publisko komunikāciju tīkla un publiski pieejamu elektronisko komunikāciju pakalpojumiem, ievērojot valsts tiesību aktus. Īpaši tās aizliedz komunikāciju un saistītās informācijas par datu plūsmu noklausīšanos, ierakstīšanu, uzglabāšanu vai cita veida aizturēšanu [pārtveršanu] vai pārraudzību personām, kas nav lietotāji, bez attiecīgo lietotāju piekrišanas, izņemot gadījumus, kad to darīt ir ar likumu atļauts saskaņā ar 15. panta 1. punktu. Šis punkts neliedz tehnisko uzglabāšanu, kas nepieciešama komunikāciju pārsūtīšanai, neierobežojot konfidencialitātes principu.
[..]
3. Dalībvalstis nodrošina, ka informācijas uzglabāšana abonenta vai lietotāja gala iekārtā vai piekļuves iegūšana šādā iekārtā jau uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu un saskaņā ar Direktīvu [95/46] nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku. [..]”
14 Šīs pašas direktīvas 6. pants “Informācija par datu plūsmu” noteic:
“1. Informācija par datu plūsmu, kas attiecas uz abonentiem un lietotājiem un ko publisko komunikāciju tīkla pakalpojumu sniedzējs vai publiski pieejamu elektronisko komunikāciju pakalpojuma sniedzējs apstrādā vai uzglabā, ir jādzēš vai jāpadara anonīma, kad tā vairs nav nepieciešama komunikāciju pārraidīšanai, neierobežojot šā panta 2., 3. un 5. [punktu] un 15. panta 1. punktu.
2. Var apstrādāt informāciju par datu plūsmu, kas nepieciešama, lai abonentam sagatavotu rēķinu un veiktu norēķinus par starpsavienojumiem. Šāda apstrāde ir pieļaujama tikai tik ilgi, kamēr nav beidzies termiņš, kura laikā var likumīgi apstrīdēt rēķinu vai saņemt maksājumu.
3. Elektronisko komunikāciju pakalpojumu tirdzniecības nolūkā vai pievienotās vērtības pakalpojumu sniegšanas nolūkā publiski pieejamu elektronisko komunikāciju pakalpojuma sniedzējs var apstrādāt 1. punktā minēto informāciju līdz līmenim un tik ilgi, cik nepieciešams šādiem pakalpojumiem vai tirdzniecībai, ja abonents vai lietotājs, uz kuru šī informācija attiecas, pirms tam ir devis savu piekrišanu. Lietotājiem vai abonentiem dod iespēju jebkurā laikā atsaukt savu piekrišanu informācijas par datu plūsmu apstrādei.
[..]
5. Informācijas par datu plūsmu apstrāde, saskaņā ar 1., 2., 3. un 4. punktu, ir jāierobežo līdz personām, kas darbojas ar pilnvaru no publisko komunikāciju tīklu pakalpojumu sniedzējiem un tādu publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzējiem, kas apstrādā rēķinu sagatavošanas vai datu plūsmas pārvaldi, klientu pieprasījumus, pārkāpumu noteikšanu, elektronisko komunikāciju pakalpojumu tirdzniecību vai pievienotās vērtības pakalpojumu sniegšanu, un tā jāierobežo līdz līmenim, kas nepieciešams šādu darbību veikšanai.”
15 Šīs Direktīvas 2002/58 15. pants “Direktīvas [95/46] dažu noteikumu piemērošana” noteic:
“1. Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu šīs direktīvas 5. un 6. pantā, 8. panta 1., 2., 3. un 4. punktā un 9. pantā minēto tiesību un pienākumu darbības jomu, ja šādi ierobežojumi ir vajadzīgi saskaņā ar nepieciešamiem, atbilstīgiem un samērīgiem pasākumiem demokrātiskā sabiedrībā, lai garantētu valsts drošību, aizsardzību, sabiedrības drošību un kriminālpārkāpumu [noziedzīgu nodarījumu] vai elektroniskās komunikāciju sistēmas nevēlamas izmantošanas novēršanu, izmeklēšanu, noteikšanu [atklāšanu] un kriminālvajāšanu, kā noteikts Direktīvas [95/46] 13. panta 1. punktā. Tālab dalībvalstis, cita starpā, var pieņemt tiesību aktus, paredzot datu saglabāšanu ierobežotā laikposmā, kas pamatots ar šajā punktā noteiktajiem iemesliem. Visi šajā punktā minētie pasākumi ir saskaņā ar Kopienas tiesību aktu vispārējiem principiem, tostarp tie[m], kas minēti [LES] 6. panta 1. un 2. punktā.
[..]
2. Direktīvas [95/46] III nodaļas noteikumus par tiesiskās aizsardzības līdzekļiem, atbildību un sankcijām piemēro, ņemot vērā valsts noteikumus, kas pieņemti saskaņā ar šo direktīvu, un ņemot vērā individuālās tiesības, kuras izriet no šīs direktīvas.
[..]”
– Direktīva (ES) 2016/680
16 Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi, ko veic kompetentās iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem vai izpildītu kriminālsodus, un par šādu datu brīvu apriti, ar ko atceļ Padomes Pamatlēmumu 2008/977/TI (OV 2016, L 119, 89. lpp.), 1. panta “Priekšmets un mērķi” 1. punkts noteic:
“Šajā direktīvā ir paredzēti noteikumi par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.”
17 Minētās direktīvas 3. pants “Definīcijas” noteic:
“Šajā direktīvā:
[..]
7. “kompetentā iestāde” ir:
a) jebkura publiska iestāde, kuras kompetencē ir novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst; vai
b) jebkura cita struktūra vai vienība, kam dalībvalsts tiesībās uzticēts īstenot publisku varu un publiskas pilnvaras ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vai saukt pie atbildības par tiem, vai izpildīt kriminālsodus, tostarp pasargāt no draudiem sabiedriskajai drošībai un tos novērst;
[..].”
Intelektuālā īpašuma tiesību aizsardzības regulējums
18 Eiropas Parlamenta un Padomes Direktīvas 2004/48/EK (2004. gada 29. aprīlis) par intelektuālā īpašuma tiesību piemērošanu (OV 2004, L 157, 45. lpp.) 8. pants “Tiesības uz informāciju” noteic:
“1. Dalībvalstis nodrošina, ka kompetentās tiesu iestādes tās tiesvedības sakarā, kas attiecas uz intelektuālā īpašuma tiesību pārkāpumu, un, atbildot uz pamatotu un samērīgu prasību, var pieprasīt, lai informāciju par to preču vai pakalpojumu izcelsmi un izplatīšanas tīkliem, ar kurām pārkāpj intelektuālā īpašuma tiesības, sniedz pārkāpējs un/vai cita persona:
2. Šā panta 1. punktā minētā informācija ietver:
a) attiecīgo preču vai pakalpojumu producentu, ražotāju, izplatītāju, piegādātāju un citu bijušo turētāju vārdus vai nosaukumus un adreses, kā arī paredzētos vairumtirgotājus un mazumtirgotājus;
[..]
3. Šā panta 1. un 2. punktu piemēro, neskarot citas tiesību normas, kas:
a) piešķir tiesību īpašniekam tiesības saņemt plašāku informāciju;
b) reglamentē tās informācijas izmantošanu civilajā tiesvedībā vai kriminālprocesā, kura iegūta saskaņā ar šo pantu;
c) reglamentē atbildību par tiesību uz informāciju ļaunprātīgu izmantošanu;
d) paredz iespēju atteikties sniegt informāciju, kas piespiestu 1. punktā minēto personu atzīt, ka tā vai tās tuvi radinieki ir ņēmuši dalību intelektuālā īpašuma tiesību pārkāpumā; vai
e) reglamentē informācijas avotu vai personas datu apstrādes konfidencialitātes aizsardzību [informācijas avotu konfidencialitātes aizsardzību vai personas datu apstrādi].”
Francijas tiesības
CPI
19 Code de la propriété intellectuelle (Intelektuālā īpašuma kodekss), redakcijā, kas bija spēkā prasītāju pamatlietā apstrīdētā lēmuma pieņemšanas datumā (turpmāk tekstā – “CPI”), L. 331‑12. pants noteic:
“Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [(Augstā iestāde darbu izplatīšanai un tiesību aizsardzībai internetā; turpmāk tekstā – “Hadopi”)] ir neatkarīga publiska iestāde. [..]”
20 Šā kodeksa L. 331‑13. pants noteic:
“[Hadopi] pilda:
1° uzdevumu veicināt ar autortiesībām vai blakustiesībām aizsargātu darbu un priekšmetu likumīga piedāvājuma attīstību un uzraudzīt darbu un priekšmetu likumīgu un nelikumīgu izmantošanu elektronisko komunikāciju tīklos, ko izmanto publisku tiešsaistes komunikāciju pakalpojumu sniegšanai;
2° uzdevumu aizsargāt šos darbus un priekšmetus pret šo tiesību pārkāpumiem elektronisko komunikāciju tīklos, ko izmanto publisku tiešsaistes komunikāciju pakalpojumu sniegšanai;
[..].”
21 Saskaņā ar minētā kodeksa L. 331‑15. pantu:
“[Hadopi] veido kolēģija un tiesību aizsardzības komisija. [..]
[..]
Īstenojot savas pilnvaras, kolēģijas un tiesību aizsardzības komisijas locekļi nesaņem norādījumus no nevienas iestādes.”
22 Šā paša kodeksa L. 331‑17. panta pirmā daļa noteic:
“Tiesību aizsardzības komisija ir atbildīga par L. 331‑25. pantā paredzēto pasākumu veikšanu.”
23 Saskaņā ar CPI L. 331‑21. pantu:
“Tiesību aizsardzības komisijas pienākumu izpildes vajadzībām [Hadopi] nodarbina zvērinātas valsts amatpersonas, kurām [tās] priekšsēdētājs ir piešķīris pilnvaras atbilstoši Conseil d’État [(Valsts padome)] dekrēta nosacījumiem. [..]
Tiesību aizsardzības komisijas locekļiem un pirmajā daļā minētajām amatpersonām nosūta minētajai komisijai adresētos pieteikumus atbilstoši L. 331‑24. pantā paredzētajiem nosacījumiem. Šie locekļi un amatpersonas veic faktu pārbaudi.
Procedūras vajadzībām viņiem ir tiesības iegūt visus dokumentus neatkarīgi no informācijas nesēja, ieskaitot informāciju, ko uzglabā un apstrādā elektronisko komunikāciju tīklu uzņēmumi saskaņā ar Code des postes et des communications électroniques [(Pasta un elektronisko komunikāciju kodekss)] L. 34‑1. pantu un pakalpojumu sniedzēji, kas ir minēti loi n.º 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(2004. gada 21. jūnija Likums Nr. 2004‑575 par uzticēšanās veicināšanu digitālajā ekonomikā)] 6. panta I sadaļas 1. un 2. punktā.
Viņi var saņemt arī iepriekšējā daļā minēto dokumentu kopijas.
Viņi tostarp no elektronisko komunikāciju operatoriem var pieprasīt tāda abonenta identitātes datus, pasta adresi, elektronisko adresi un tālruņa numurus, kura piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem ir tikusi izmantota, lai reproducētu, attēlotu, publiskotu vai izziņotu sabiedrībai aizsargātus darbus vai priekšmetus bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.”
24 Šā kodeksa L. 331‑24. pants noteic:
“Tiesību aizsardzības komisija izskata pieteikumus, ko iesniegušas zvērinātas un apstiprinātas amatpersonas [..], kuras ieceļ:
– likumā paredzētajā kārtībā izveidotas profesionālās tiesību aizsardzības organizācijas;
– kolektīvā pārvaldījuma organizācijas;
– Centre national du cinéma et de l’image animée [(Nacionālais kino un animācijas centrs)].
Tiesību aizsardzības komisija drīkst rīkoties, pamatojoties arī uz informāciju, ko tai nosūtījusi Prokuratūra.
Tā neizskata pieteikumus par faktiem, kas norisinājušies vairāk nekā pirms sešiem mēnešiem.”
25 Saskaņā ar minētā kodeksa L. 331‑25. pantu, kas reglamentē tā saukto “pakāpeniskās reakcijas” procedūru:
“Ja tiek iesniegts pieteikums par nodarījumiem, kas var būt kvalificējami kā [CPI] L. 336‑3. pantā noteiktā pienākuma neizpilde, tiesību aizsardzības komisija var nosūtīt abonentam [..] ieteikumu, atgādinot viņam L. 336‑3. pantā paredzētos noteikumus, liekot ievērot viņam uzlikto pienākumu un brīdinot par sodiem, kas piemērojami saskaņā ar L. 335‑7. un L. 335‑7‑1. pantu. Šajā ieteikumā iekļauj arī informāciju abonentam par kultūras satura likumīgu piedāvājumu tiešsaistē, par L. 336‑3. pantā noteikto pienākumu neizpildes novēršanai pieejamo drošības līdzekļu esamību, kā arī par to, kā darbības, ar kurām netiek ievērotas autortiesības un blakustiesības, apdraud māksliniecisko jaunradi un kultūras nozares ekonomiku.
Ja sešu mēnešu laikā no šā panta pirmajā daļā minētā ieteikuma nosūtīšanas tiek atkārtoti veikti nodarījumi, kas kvalificējami kā L. 336‑3. pantā noteiktā pienākumu neizpilde, komisija var elektroniski nosūtīt atkārtotu ieteikumu, sniedzot tādu pašu informāciju kā iepriekšējā ieteikumā [..]. Šim ieteikumam tā pievieno vēstuli, ko izsniedz pret parakstu vai izmantojot jebkuru citu līdzekli, lai pierādītu šā ieteikuma saņemšanas datumu.
Ieteikumos, kas izdoti, pamatojoties uz šo pantu, norāda datumu un laiku, kurā tika konstatēti nodarījumi, kas ir kvalificējami kā L. 336‑3. pantā noteikto pienākumu neizpilde. Tajos turpretim neizpauž to darbu un priekšmetu saturu, uz kuriem attiecas šo pienākumu neizpilde. Tajos norāda tālruņa numurus, pasta un elektroniskās adreses, uz kurām to adresāts, ja viņš to vēlas, var paziņot vai nosūtīt apsvērumus tiesību aizsardzības komisijai un, ja viņš tieši iesniedz pieprasījumu, var saņemt precizējumus par to aizsargāto darbu vai priekšmetu saturu, uz kuriem attiecas viņam pārmestā pienākumu neizpilde.”
26 CPI L. 331‑29. pants noteic:
“[Hadopi] ir atļauts izveidot sistēmu tādu personas datu automatizētai apstrādei, kuri attiecas uz personām, kurām piemēro šajā apakšiedaļā minēto procedūru.
Šī apstrāde ir veicama tālab, lai tiesību aizsardzības komisija varētu veikt šajā apakšiedaļā paredzētos pasākumus, visas ar šiem pasākumiem saistītās procesuālās darbības, kā arī procedūras profesionālās tiesību aizsardzības organizāciju un kolektīvā pārvaldījuma organizāciju informēšanai par iespējamo vēršanos tiesā, kā arī par L. 335‑7. panta piektajā daļā paredzētajiem paziņojumiem.
Šā panta piemērošanas kārtība ir noteikta [..] dekrētā. Tajā tostarp precizē:
– reģistrēto datu kategorijas un to glabāšanas ilgumu;
– adresātus, kuri ir tiesīgi saņemt šos datus, tostarp personas, kas piedāvā piekļuvi publiskiem tiešsaistes komunikāciju pakalpojumiem;
– nosacījumus, atbilstoši kuriem ieinteresētās personas var [Hadopi] īstenot savas tiesības piekļūt saviem datiem [..].”
27 Šā kodeksa L. 335‑2. panta pirmajā un otrajā daļā ir precizēts:
“Jebkura rakstu, skaņdarbu, zīmējumu, gleznu vai jebkādu citu vai citu pilnībā vai daļēji iespiestu vai iegravētu darbu publiskošana, neievērojot normatīvos aktus, kas attiecas uz autoru īpašumtiesībām, ir to nelikumīga izmantošana, un jebkura nelikumīga izmantošana ir noziedzīgs nodarījums.
Par Francijā vai ārvalstīs publicēto darbu nelikumīgu izmantošanu Francijā soda ar brīvības atņemšanu uz [laiku līdz] trim gadiem un naudas sodu [līdz] 300 000 EUR.”
28 Minētā kodeksa L. 335‑4. panta pirmā daļa noteic:
“Par jebkuru izpildījuma, fonogrammas, videoieraksta, programmas vai preses publikācijas fiksēšanu, reproducēšanu, izziņošanu vai publiskošanu par maksu vai bez maksas vai pārraidīšanu bez vajadzīgās izpildītāja, fonogrammu vai videoierakstu producenta, audiovizuālo komunikāciju uzņēmuma, preses izdevēja vai preses aģentūras atļaujas soda ar brīvības atņemšanu uz [laiku līdz] trim gadiem un naudas sodu [līdz] 300 000 EUR.”
29 CPI L. 335‑7. pantā ir paredzēti noteikumi par to, kā personām, kas ir vainīgas tostarp šā kodeksa L. 335‑2. un L. 335‑4. pantā minēto noziedzīgo nodarījumu izdarīšanā, tiek piemērots papildsods – piekļuves publiskiem tiešsaistes komunikāciju pakalpojumiem apturēšana uz laiku līdz vienam gadam.
30 Minētā kodeksa L. 335‑7‑1. panta pirmā daļa ir formulēta šādi:
“Attiecībā uz šajā kodeksā paredzētajiem piektās kategorijas kriminālpārkāpumiem, ja tas paredzēts normatīvajos aktos, L. 335‑7. pantā noteikto papildsodu var tādā pašā kārtībā piemērot rupjas neuzmanības gadījumā personai, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem un kurai tiesību aizsardzības komisija saskaņā ar L. 331‑25. pantu iepriekš ar vēstuli, kas nodota pret parakstu, vai ar kādu citu līdzekli, kas ļauj apliecināt izsniegšanas datumu, ir nosūtījusi ieteikumu, aicinot to sarūpēt līdzekli savas internetpiekļuves kontrolei.”
31 Saskaņā ar šā paša kodeksa L. 336‑3 pantu:
“Personai, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem, ir jārūpējas, lai šī piekļuve netiktu izmantota ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.
Par šā panta pirmajā daļā noteiktā pienākuma neizpildi persona, kurai ir piekļuve, pie kriminālatbildības nav saucama [..].”
32 CPI R. 331‑37. panta pirmā daļa noteic:
“Elektronisko komunikāciju operatori [..] un [..] pakalpojumu sniedzēji, izmantojot starpsavienojumu ar L. 331‑29. pantā minēto automatizēto personas datu apstrādes sistēmu vai izmantojot uzticamības un drošības prasībām atbilstošu ierakstīšanas ierīci, nosūta personas datus un informāciju, kas minēta [Dekrēta Nr. 2010‑236] 2. punktā, [..] astoņu dienu laikā pēc tam, kad tiesību aizsardzības komisija ir pārsūtījusi tehniskos datus, kas nepieciešami, lai identificētu abonentu, kura piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem ir tikusi izmantota ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez [..] tiesību īpašnieku atļaujas, ja šāda atļauja ir jāsaņem.”
33 Saskaņā ar šā kodeksa R. 331‑40. pantu:
“Ja viena gada laikā pēc L. 335‑7‑1. panta pirmajā daļā minētā ieteikuma iesniegšanas tiesību aizsardzības komisija tiek informēta par jauniem faktiem, kas varētu būt kvalificējami kā rupja neuzmanība R. 335‑5. panta izpratnē, tā ar vēstuli, kas nosūtīta pret parakstu, informē abonentu, ka par šiem faktiem var iespējami tikt veikta kriminālvajāšana. Šajā vēstulē ieinteresētā persona tiek aicināta piecpadsmit dienu laikā iesniegt savus apsvērumus. Tajā ir precizēts, ka šajā pašā termiņā šī ieinteresētā persona var lūgt uzklausīšanu saskaņā ar L. 331‑21‑1. pantu un ka viņai ir tiesības uz advokāta palīdzību. Tajā šai personai tiek lūgts arī norādīt savus ģimenes izdevumus un iztikas līdzekļus.
Komisija var ieinteresēto personu uzaicināt uz uzklausīšanu pēc savas ierosmes. Uzaicinājuma vēstulē tiek norādīts, ka šai personai ir tiesības uz advokāta palīdzību.”
34 CPI L. 335‑5. pants noteic:
“I. – Rupja neuzmanība, par kuru persona ir sodāma ar naudas sodu par piektās kategorijas kriminālpārkāpumiem, ir tad, ja persona, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem, bez leģitīma iemesla un apstākļos, kad ir izpildīti II daļā paredzētie nosacījumi:
1° vai nu nav sarūpējusi līdzekli šīs piekļuves kontrolei;
2° vai šā līdzekļa lietošanā rīkojusies nevērīgi.
II. – Šā panta I punktā minētie noteikumi ir piemērojami tikai tad, ja ir izpildīti šādi divi nosacījumi:
1° Atbilstoši L. 331‑25. pantam un minētajā pantā paredzētajā veidā personai, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem, tiesību aizsardzības komisija ir ieteikusi sarūpēt līdzekli savas piekļuves kontrolei, lai novērstu šīs piekļuves atkārtotu izmantošanu ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.
2° Nākamajā gadā pēc šā ieteikuma nosūtīšanas šī piekļuve tiek atkārtoti izmantota šīs II daļas 1. punktā minētajiem mērķiem.”
35 Kopš 2022. gada 1. janvāra saskaņā ar loi n o 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (2021. gada 25. oktobra Likums Nr. 2021‑1382 par piekļuves kultūras darbiem regulējumu un aizsardzību digitālajā laikmetā (2021. gada 26. oktobra JORF Nr. 250, teksts Nr. 2) Hadopi tika apvienota ar Conseil supérieur de l’audiovisuel (Audiovizuālās nozares uzraudzības padome – “CSA”), kas ir cita neatkarīga publiska iestāde, izveidojot Autorité de régulation de la communication audiovisuelle et numérique (Audiovizuālās un digitālās komunikācijas regulatīvā iestāde – “ARCOM”).
36 Tomēr šā sprieduma 25. punktā minētā pakāpeniskā reakcijas procedūra būtībā palikusi nemainīga, pat ja turpmāk to īsteno vairs nevis Hadopi tiesību aizsardzības komisija, kuras sastāvā bija trīs locekļi, kurus iecēla attiecīgi Conseil d’État (Valsts padome), Cour des comptes (Revīzijas palāta) un Cour de cassation (Kasācijas tiesa), bet gan divi ARCOM kolēģijas locekļi, no kuriem vienu ieceļ Conseil d’État un otru – Cour de cassation.
Dekrēts Nr. 2010-236
37 Dekrēta Nr. 2010‑236, kas pieņemts, pamatojoties tostarp uz CPI L. 331‑29. pantu, 1. pants noteic:
“Personas datu apstrādes ar nosaukumu “Vadības sistēma pasākumiem darbu aizsardzībai internetā” mērķis ir ļaut [Hadopi] tiesību aizsardzības komisijai:
1° veikt pasākumus, kas paredzēti [CPI] leģislatīvās daļas III grāmatā (III daļas I nodaļas 3. iedaļas 3. apakšiedaļa) un šā kodeksa regulatīvās daļas III grāmatā (III daļas I nodaļas 2. iedaļas 2. apakšiedaļa);
2° nodot Prokuratūrai lietas par nodarījumiem, kas ir iespējami kvalificējami kā šā kodeksa L. 335‑2., L. 335‑3., L. 335‑4. un R. 335‑5. pantā paredzētie noziedzīgie nodarījumi, kā arī par šo nodošanu informēt profesionālās tiesību aizsardzības organizācijas un kolektīvā pārvaldījuma organizācijas;
[..].”
38 Šā dekrēta 4. pants noteic:
“I. – Tieša piekļuve šā dekrēta pielikumā minētajiem personas datiem un informācijai ir zvērinātajām valsts amatpersonām, kuras ir pilnvarojis [Hadopi] priekšsēdētājs saskaņā ar [CPI] L. 331‑21. pantu, kā arī šā dekrēta 1. pantā minētās tiesību aizsardzības komisijas locekļiem.
II. – Elektronisko komunikāciju operatori un pakalpojumu sniedzēji, kas minēti šā dekrēta pielikuma 2. punktā, saņem:
– abonenta identifikācijai nepieciešamos tehniskos datus;
– ieteikumus, kas paredzēti [CPI] L. 331‑25. pantā, lai tos elektroniski nosūtītu saviem abonentiem;
– informāciju, ar kuru tiesību aizsardzības komisiju ir iepazīstinājusi Prokuratūra un kas vajadzīga tam, lai piemērotu papildsodus, kas izpaužas kā piekļuves publiskiem tiešsaistes komunikāciju pakalpojumiem apturēšana.
III. – Profesionālās tiesību aizsardzības organizācijas un kolektīvās pārvaldības organizācijas saņem informāciju par lietas nodošanu Prokuratūrai.
IV. – Tiesu iestādes saņem protokolus, kuros konstatēti nodarījumi, kas iespējami ir kvalificējami kā [CPI] L. 335‑2., L. 335‑3., L. 335‑4., L. 335‑7., R. 331‑37., R. 331‑38. un R. 335‑5. pantā paredzētie noziedzīgie nodarījumi.
Automatizētajā sodu reģistrā iekļauj informāciju par piekļuves apturēšanas soda izpildi.”
39 Minētā dekrēta pielikums noteic:
“Veicot apstrādi, kas tiek saukta par “Vadības sistēmu pasākumiem darbu aizsardzībai internetā”, reģistrē šādus personas datus un informāciju:
1° Personas datus un informāciju, ko likumā paredzētajā kārtībā izveidotas profesionālās tiesību aizsardzības organizācijas, kolektīvā pārvaldījuma organizācijas, Centre national du cinéma et de l’image animé, kā arī Prokuratūra sniedz:
saistībā ar nodarījumiem, kas iespējami ir kvalificējami kā [CPI] L. 336‑3. pantā noteikto pienākumu neizpilde:
nodarījuma datums un laiks;
attiecīgā abonenta IP adrese;
izmantotais vienādranga protokols;
abonenta izmantotais pseidonīms;
informācija par aizsargātajiem darbiem vai priekšmetiem, uz kuriem attiecas minētie nodarījumi;
(attiecīgā gadījumā) datnes nosaukums abonenta ierīcē;
pakalpojumu sniedzējs, kas sniedz internetpiekļuves abonēšanas pakalpojumu vai kurš nodrošināja tehnisko IP resursu.
[..]
2° Personas datus un informāciju par abonentu, ko ievākuši elektronisko komunikāciju operatori [..] un pakalpojumu sniedzēji [..]:
uzvārds, vārds(-i);
pasta adrese un elektroniskā pasta adreses;
tālruņa numuri;
abonenta tālruņa ierīces adrese;
internetpiekļuves pakalpojumu sniedzējs, kas izmanto 1. punktā minētā piekļuves pakalpojumu sniedzēja tehniskos resursus, ar ko abonents noslēdzis līgumu; lietas numurs;
datums, kurā apturēta piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem.
[..]”
Pasta un elektronisko komunikāciju kodekss
40 Code des postes un des communications électroniques (Pasta un elektronisko komunikāciju kodekss) L. 34‑1. panta II bis daļa noteic:
“Elektronisko komunikāciju operatoriem ir pienākums saglabāt:
1° kriminālprocesu, sabiedrības drošības apdraudējumu novēršanas un valsts drošības aizsardzības vajadzībām: informāciju par lietotāja personas identitāti – piecus gadus pēc viņa līguma beigām;
2° tiem pašiem mērķiem, kas minēti šīs II bis daļas 1. apakšpunktā: citu informāciju, ko sniedzis lietotājs līguma noslēgšanas vai konta izveides brīdī, kā arī maksājumu informāciju – vienu gadu pēc viņa līguma darbības beigām vai konta slēgšanas;
3° smagas noziedzības, nopietnu sabiedrības drošības apdraudējumu novēršanas un valsts drošības aizsardzības vajadzībām: tehniskos datus, kas ļauj identificēt savienojuma avotu, vai datus par izmantotajām galaiekārtām – līdz vienam gadam pēc savienojuma vai galaiekārtu lietošanas.”
Pamatlieta un prejudiciālie jautājumi
41 Tā kā premjerministrs (Francija) bija netieši noraidījis viņu lūgumu atcelt Dekrētu Nr. 2010‑236, prasītājas pamatlietā ar 2019. gada 12. augusta prasības pieteikumu vērsās Conseil d’État (Valsts padome, Francija) ar prasību atcelt šo netieši izteikto noraidošo lēmumu. Tās būtībā norādīja, ka CPI L. 331‑21. panta trešā līdz piektā daļa, kas ietilpst šā dekrēta juridiskajā pamatā, pirmkārt, ir pretrunā Francijas Konstitūcijā nostiprinātajām tiesībām uz privātās dzīves neaizskaramību un, otrkārt, tajā nav ievērotas Savienības tiesības, it īpaši Direktīvas 2002/58 15. pants, kā arī Hartas 7., 8., 11. un 52. pants.
42 Attiecībā uz prasības daļu par apgalvoto Konstitūcijas pārkāpumu Conseil d’État (Valsts padome) vērsās Conseil constitutionnel (Konstitucionālā padome, Francija) ar prioritāru jautājumu par atbilstību konstitūcijai.
43 Ar 2020. gada 20. maija Lēmumu Nr. 2020‑841 QPC La Quadrature du Net u.c. (Tiesības nosūtīt informāciju Hadopi) Conseil constitutionnel (Konstitucionālā padome) atzina, ka CPI L. 331‑21. panta trešā un ceturtā daļa ir pretrunā Konstitūcijai, bet atzina par tai atbilstošu minētā panta piekto daļu, izņemot tajā ietverto vārdu “tostarp”.
44 Attiecībā uz prasības daļu par apgalvoto Savienības tiesību pārkāpumu prasītājas pamatlietā apgalvoja konkrēti, ka Dekrēts Nr. 2010‑236 un tiesību normas, kas veido tā juridisko pamatu, ļauj nesamērīgi piekļūt savienojuma datiem par internetā izdarītiem tādiem autortiesību pārkāpumiem, kas nav smagi, neparedzot vajadzību tiesai vai iestādei, kuras neatkarība un objektivitāte ir garantēta, veikt iepriekšēju pārbaudi. Konkrēti, šie noziedzīgie nodarījumi neesot kvalificējami kā “smagi noziegumi” 2016. gada 21. decembra sprieduma Tele2 Sverige un Watson u.c. (C‑203/15 un C‑698/15, EU:C:2016:970) izpratnē.
45 Šajā ziņā Conseil d’État (Valsts padome) atgādina, pirmkārt, ka 2020. gada 6. oktobra spriedumā La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791) Tiesa ir nospriedusi, ka Direktīvas 2002/58 15. panta 1. punktam, lasot to Hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā, nav pretrunā tādi ar leģislatīvi pasākumi, kas valsts drošības aizsardzības, noziedzības apkarošanas un sabiedrības drošības aizsardzības nolūkos paredz elektronisko komunikāciju līdzekļu lietotāju personas identitātes datu visaptverošu un nediferencētu glabāšanu. Tādējādi elektronisko komunikāciju līdzekļu lietotāju identitātes datu gadījumā šāda glabāšana bez konkrēta termiņa esot iespējama noziedzīgu nodarījumu novēršanas, izmeklēšanas, atklāšanas un kriminālvajāšanas mērķiem vispārīgi. Direktīvai 2002/58 neesot pretrunā arī piekļuve šiem datiem šādos nolūkos.
46 Iesniedzējtiesa no tā secina, ka saistībā ar piekļuvi elektronisko komunikāciju līdzekļu lietotāju personas identitātes datiem prasītāju pamatlietā izvirzītais pamats par to, ka Dekrēts Nr. 2010‑236 esot prettiesisks tāpēc, ka tas ir pieņemts saistībā ar nesmagu pārkāpumu apkarošanu, ir jānoraida.
47 Otrkārt, tā atgādina, ka 2016. gada 21. decembra spriedumā Tele2 Sverige un Watson u.c. (C‑203/15 un C‑698/15, EU:C:2016:970) Tiesa ir tostarp nospriedusi, ka Direktīvas 2002/58 15. panta 1. punkts, lasot to Hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā, ir jāinterpretē tādējādi, ka tam pretrunā ir valsts tiesiskais regulējums, kas reglamentē informācijas par datu plūsmu un atrašanās vietas datu aizsardzību un drošību, konkrēti – kompetento publisko iestāžu piekļuvi glabātajiem datiem, nepakārtojot šo piekļuvi iepriekšējai tiesas vai neatkarīgas administratīvas iestādes veiktai pārbaudei.
48 Konkrētāk, iesniedzējtiesa atsaucas uz minētā sprieduma 120. punktu, kurā Tiesa ir precizējusi, ka ir būtiski, lai šāda piekļuve saglabātajiem datiem principā, izņemot pienācīgi pamatotus steidzamības gadījumus, būtu pakārtota prasībai par iepriekšēju pārbaudi, ko veic vai nu tiesa, vai neatkarīga administratīva iestāde, un ka šīs tiesas vai šīs iestādes lēmums tiek pieņemts pēc tam, kad šīs iestādes iesniegušas pamatotu pieteikumu tostarp saistībā ar noziedzīga nodarījuma novēršanu, atklāšanu vai kriminālvajāšanas procedūrām.
49 Šo prasību Tiesa esot atgādinājusi 2020. gada 6. oktobra spriedumā La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791) saistībā ar izlūkdienestu veikto savienojuma datu vākšanu reāllaikā, kā arī 2021. gada 2. marta spriedumā Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi) (C‑746/18, EU:C:2021:152) saistībā ar publisko iestāžu piekļuvi savienojuma datiem.
50 Iesniedzējtiesa arī norāda, ka Hadopi kopš savas izveides 2009. gadā ir nosūtījusi abonentiem vairāk nekā 12,7 miljonus ieteikumu saskaņā ar CPI L. 331‑25. pantā paredzēto pakāpeniskās reakcijas procedūru, tostarp 827 791 ieteikumu tikai 2019. gadā vien. Šā apstākļa dēļ Hadopi tiesību aizsardzības komisijas amatpersonām katru gadu ir bijis jāievāc ievērojams apjoms attiecīgo lietotāju personas identitātes datu. Tā uzskata, ka šo ieteikumu apjoma dēļ gadījumā, ja šī vākšana tiktu pakārtota iepriekšējai pārbaudei, minēto ieteikumu nosūtīšana varētu kļūt neiespējama.
51 Šajos apstākļos Conseil d’État (Valsts padome) nolēma apturēt tiesvedību un uzdot Tiesai šādus prejudiciālus jautājumus:
“1) Vai konkrētai IP adresei piesaistītie personas identitātes dati ir piederīgi informācijai par datu plūsmu vai atrašanās vietas datiem, uz ko principā attiecas pienākums veikt iepriekšēju pārbaudi tiesā vai neatkarīgā administratīvā iestādē, kuras lēmumam ir saistoša iedarbība?
2) Vai – ja uz pirmo jautājumu tiktu atbildēts apstiprinoši un, ņemot vērā, ka lietotāju personas identitātes dati, t.sk. par viņu kontaktinformāciju, ir ne visai sensitīvi – Direktīva [2002/58], lasot to [Hartas] gaismā, ir jāinterpretē tādējādi, ka tai ir pretrunā valsts tiesiskais regulējums, kurā ir paredzēts, ka šos lietotāju IP adresei piesaistītos datus administratīva iestāde vāc bez iepriekšējas pārbaudes tiesā vai neatkarīgā administratīvā iestādē, kuras lēmumam ir saistoša iedarbība?
3) Vai – ja uz otro jautājumu tiktu atbildēts apstiprinoši un, ņemot vērā, ka personas identitātes dati ir ne visai sensitīvi, kā arī apstākli, ka vākt var vienīgi šos datus un vienīgi nolūkā novērst valsts tiesiskajā regulējumā konkrēti, izsmeļoši un ierobežojoši noteiktu pienākumu pārkāpumus, un apstākli, ka sistemātiska tiesas vai neatkarīgas administratīvās iestādes, kuras lēmumam ir saistoša iedarbība, veikta pārbaude attiecībā uz piekļuvi ikviena lietotāja datiem apdraudētu sabiedriskā pakalpojuma uzdevumu, kas ir uzticēts administratīvajai iestādei, kura pati ir neatkarīga un kura veic šo datu vākšanu – Direktīvai [2002/58] ir pretrunā tas, ka šādu pārbaudi veic saskaņā ar tādu piemērotu kārtību kā automatizēta pārbaude, kas vajadzības gadījumā notiek tāda iestādes iekšējā dienesta uzraudzībā, kas atbilst neatkarības un objektivitātes garantijām attiecībā uz amatpersonām, kuru pienākumos ir veikt šo vākšanu?”
Par prejudiciālajiem jautājumiem
52 Ar saviem trim prejudiciālajiem jautājumiem, kuri jāizskata kopā, iesniedzējtiesa būtībā jautā, vai Direktīvas 2002/58 15. panta 1. punkts, lasot to Hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā, ir jāinterpretē tādējādi, ka tam ir pretrunā tāds valsts tiesiskais regulējums, ar kuru publiskajai iestādei, kas ir atbildīga par autortiesību un blakustiesību aizsardzību pret internetā izdarītiem šo tiesību pārkāpumiem, ir atļauts piekļūt publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem personas identitātes datiem, kas piesaistīti tiesību īpašnieku organizāciju iepriekš ievāktām IP adresēm, tālab, lai šī publiskā iestāde varētu identificēt šo adrešu – kas izmantotas darbībām, kuras iespējami kvalificējamas kā šādi pārkāpumi – īpašniekus un vajadzības gadījumā attiecībā uz viņiem veikt pasākumus, un šī piekļuve nav pakārtota prasībai par iepriekšēju pārbaudi, ko veic tiesa vai neatkarīga administratīva iestāde.
Ievadapsvērumi
53 Pamatlietā runa ir par divām atšķirīgām un secīgām personas datu apstrādes darbībām, kas tiek veiktas saistībā ar darbību, ko veic Hadopi, kas ir neatkarīga publiskā iestāde, kuras uzdevums saskaņā ar CPI L. 331‑13. pantu tostarp ir aizsargāt ar autortiesībām vai blakustiesībām aizsargātus darbus un priekšmetus pret šo tiesību pārkāpumiem, kas izdarīti elektronisko komunikāciju tīklos, ko izmanto publisko tiešsaistes komunikāciju pakalpojumu sniegšanai.
54 Pirmā apstrāde, ko augšupēji veic tiesību pārņēmēju organizāciju zvērinātas un apstiprinātas amatpersonas, notiek divos posmos. Vispirms vienādranga tīklos tiek vāktas IP adreses, kas šķiet esam izmantotas darbībām, kas iespējami kvalificējamas kā autortiesību vai blakustiesību pārkāpums. Pēc tam viss personas datu un informācijas kopums tiek nodots Hadopi rīcībā protokolu formā. Šie dati saskaņā ar Dekrēta Nr. 2010‑236 pielikuma 1. punktā ietverto sarakstu ir nodarījuma datums un laiks, attiecīgo abonentu IP adrese, izmantotais vienādranga protokols, abonenta izmantotais pseidonīms, informācija par aizsargātajiem darbiem vai priekšmetiem, uz kuriem attiecas minētie nodarījumi, (attiecīgā gadījumā) datnes nosaukums abonenta ierīcē un internetpiekļuves pakalpojumu sniedzējs, kas sniedz internetpiekļuves abonēšanas pakalpojumu vai kurš nodrošināja tehnisko IP resursu.
55 Otrā apstrāde, ko pēc Hadopi pieprasījuma lejupēji veic internetpiekļuves pakalpojumu sniedzēji, arī notiek divos posmos. Vispirms iepriekš savāktās IP adreses tiek sasaistītas ar šo adrešu īpašniekiem. Pēc tam visu ar šiem īpašniekiem saistīto personas datu un galvenokārt ar viņu personas identitāti saistītās informācijas kopums tiek nodots šai publiskajai iestādei. Šie dati saskaņā ar Dekrēta Nr. 2010-236 pielikuma 2. punktā ietverto sarakstu būtībā ir abonenta uzvārds vārds(-i), pasta adrese un elektroniskā pasta adreses, tālruņa numuri, kā arī abonenta tālruņa ierīces adrese.
56 Šajā pēdējā ziņā CPI L. 331‑21. panta piektā daļa, redakcijā, kas izriet no šā sprieduma 43. punktā minētā Conseil constitutionnel (Konstitucionālā padome) lēmuma, noteic, ka Hadopi tiesību aizsardzības komisijas locekļi un šīs iestādes zvērinātās valsts amatpersonas, kuras ir pilnvarojis tās priekšsēdētājs, var pieprasīt no elektronisko komunikāciju operatoriem tāda abonenta identitātes datus, pasta adresi, elektronisko adresi un tālruņa numurus, kura piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem ir tikusi izmantota, lai reproducētu, attēlotu, publiskotu vai izziņotu sabiedrībai aizsargātus darbus vai priekšmetus bez attiecīgo tiesību īpašnieku atļaujas.
57 Šo dažādo personas datu apstrādes darbību mērķis ir ļaut Hadopi attiecībā uz šādi identificētajiem IP adrešu īpašniekiem veikt pasākumus, kas paredzēti t.s. “pakāpeniskās reakcijas” administratīvajā procesā, ko reglamentē CPI L. 331‑25. pants. Šie pasākumi ir šādi: vispirms tiek nosūtīti “ieteikumi”, kas līdzinās brīdinājumiem; pēc tam – gadījumā, ja lieta tiek izskatīta Hadopi tiesību aizsardzības komisijā – viena gada laikā pēc otrā ieteikuma nosūtīšanas par faktiem, kas varētu būt kvalificējami kā konstatētās pienākumu neizpildes atkārtojums, abonentam sniedz CPI R. 331‑40. pantā paredzēto informāciju par to, ka šie fakti ir kvalificējami kā CPI R. 335‑5. pantā noteiktais t.s. “rupjas neuzmanības” nodarījums, kas ir kriminālpārkāpums, par kura izdarīšanu soda ar naudas sodu līdz 1500 EUR un recidīva gadījumā 3000 EUR; visbeidzot, pēc apspriešanās notiek vēršanās prokuratūrā ar faktiem, kas iespējami kvalificējami kā šāds kriminālpārkāpums vai, attiecīgā gadījumā, intelektuālā īpašuma tiesību pārkāpums, kas paredzēts CPI L. 335‑2. pantā vai šā kodeksa L. 335‑4. pantā, par ko soda ar brīvības atņemšanu uz [laiku līdz] trim gadiem un naudas sodu [līdz] 300 000 EUR.
58 Taču iesniedzējtiesas uzdotie jautājumi attiecas tikai uz šā sprieduma 55. punktā aprakstīto lejupējo apstrādi, nevis uz augšupējo apstrādi, kuras būtiskās iezīmes ir izklāstītas šā paša sprieduma 54. punktā.
59 Tomēr jānorāda, ka, ja iepriekšēja IP adrešu vākšana, ko veic attiecīgās tiesību īpašnieku organizācijas, būtu pretrunā Savienības tiesībām, šīm tiesībām būtu pretrunā arī šo datu izmantošana, elektronisko komunikāciju pakalpojumu sniedzējiem vēlāk sasaistot minētās adreses ar šo adrešu īpašnieku identitātes datiem.
60 Šajā kontekstā vispirms jāatgādina, ka saskaņā ar Tiesas judikatūru IP adreses ir gan informācija par datu plūsmu Direktīvas 2002/58 izpratnē, gan personas dati VDAR izpratnē (šajā nozīmē skat. spriedumu, 2021. gada 17. jūnijs, M.I.C.M., C‑597/19, EU:C:2021:492, 102. un 113. punkts, kā arī tajos minētā judikatūra).
61 Tomēr publisku un visiem redzamu IP adrešu vākšana, ko veic tiesību īpašnieku organizāciju pārstāvji, neietilpst Direktīvas 2002/58 piemērošanas jomā, jo šāda apstrāde acīmredzami netiek veikta “saistībā ar [..] elektronisko komunikāciju pakalpojumu sniegšanu” šīs direktīvas 3. panta izpratnē.
62 Šāda atļautā IP adrešu ievākšana, ko Commission nationale de l’informatique et des libertés (CNIL) (Valsts informātikas un brīvību komisija, Francija) – kā izriet no Tiesā iesniegtajiem lietas materiāliem – ar zināmiem kvantitatīviem ierobežojumiem un pakārtoti zināmiem nosacījumiem veic tālab, lai tās nodotu Hadopi iespējamai izmantošanai turpmākos administratīvos procesos vai tiesvedībās cīņā pret autortiesības vai blakustiesības pārkāpjošām darbībām, turpretim ir “apstrāde” VDAR 4. panta 2. punkta izpratnē, kuras likumīgums ir atkarīgs no tā, vai ir izpildīti šīs regulas 6. panta 1. punkta pirmās daļas f) apakšpunktā minētie nosacījumi, ievērojot Tiesas judikatūru, kas izriet tostarp no 2021. gada 17. jūnija sprieduma M.I.C.M. (C‑597/19, EU:C:2021:492, 102. un 103. punkts), kā arī 2023. gada 4. jūlija sprieduma Meta Platforms u.c. (Vispārīgie sociālā tīkla lietošanas noteikumi) (C‑252/21, EU:C:2023:537, 106.–112. punkts un tajos minētā judikatūra).
63 Savukārt šā sprieduma 55. punktā aprakstītā lejupējā apstrāde ietilpst Direktīvas 2002/58 piemērošanas jomā, jo tā tiek veikta “saistībā ar [..] elektronisko komunikāciju pakalpojumu sniegšanu” šīs direktīvas 3. panta izpratnē, ciktāl attiecīgie dati ir iegūti no elektronisko komunikāciju pakalpojumu sniedzējiem saskaņā ar CPI L. 331‑21. pantu.
Vai publiskas iestādes piekļuve IP adresei piesaistītiem personas identitātes datiem, kurus elektronisko komunikāciju pakalpojumu sniedzēji glabā, lai cīnītos pret tiešsaistē izdarītiem intelektuālā īpašuma tiesību pārkāpumiem, ir attaisnojama saskaņā ar Direktīvas 2002/58 15. panta 1. punktu
64 Ņemot vērā iepriekš izklāstītos ievadapsvērumus, rodas jautājums, vai – kā vaicā iesniedzējtiesa – Hartas 7., 8. un 11. pantā nostiprināto pamattiesību ierobežojums, ko ietver tādas publiskas iestādes kā Hadopi piekļuve personas identitātes datiem, kas piesaistīti tās rīcībā jau esošai IP adresei, var tikt attaisnota saskaņā ar Direktīvas 2002/58 15. panta 1. punktu.
65 Piekļuvi šādiem personas datiem var piešķirt tikai tad, ja tie tiek glabāti saskaņā ar Direktīvu 2002/58 (šajā nozīmē skat. spriedumu, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 29. punkts).
Par prasībām attiecībā uz personas identitātes datu un tām piesaistīto IP adrešu glabāšanu, ko veic elektronisko komunikāciju pakalpojumu sniedzēji
66 Direktīvas 2002/58 15. panta 1. punktā dalībvalstīm ir ļauts ieviest izņēmumus no šīs direktīvas 5. panta 1. punktā noteiktā principiālā pienākuma nodrošināt personas datu konfidencialitāti, kā arī ar to saistītajiem pienākumiem, kas tostarp minēti šīs pašas direktīvas 6. un 9. pantā, ja šāds ierobežojums ir nepieciešams, piemērots un samērīgs pasākums demokrātiskā sabiedrībā, lai garantētu valsts drošību, aizsardzību, sabiedrības drošību vai kriminālpārkāpumu vai elektroniskās komunikāciju sistēmas nevēlamas izmantošanas novēršanu, izmeklēšanu, atklāšanu un kriminālvajāšanu par to. Šim nolūkam dalībvalstis tostarp var pieņemt leģislatīvus pasākumus, kas paredz datu glabāšanu ierobežotā laikposmā, ja to pamato kāds no šiem iemesliem. Tomēr tiesības atkāpties no Direktīvas 2002/58 5., 6. un 9. pantā paredzētajām tiesībām un pienākumiem nevar pamatot to, ka atkāpe no principiālā pienākuma – nodrošināt elektronisko komunikāciju un ar tām saistīto datu konfidencialitāti un konkrēti no šīs direktīvas 5. pantā noteiktā aizlieguma glabāt šos datus – kļūst par kārtulu (spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 110. un 111. punkts).
67 Tādējādi leģislatīvam pasākumam, kas pieņemts atbilstoši šai normai, patiešām un stingri ir jāatbilst kādam no iepriekšējā punktā minētajiem mērķiem, jo to uzskaitījums Direktīvas 2002/58 15. panta 1. punkta pirmajā teikumā ir izsmeļošs, un jāatbilst Savienības tiesību vispārējiem principiem, tostarp samērīguma principam, un Hartā garantētajām pamattiesībām. Šajā ziņā Tiesa jau ir nospriedusi, ka dalībvalsts tiesiskajā regulējumā noteiktais pienākums elektronisko komunikāciju pakalpojumu sniedzējiem glabāt informāciju par datu plūsmu, lai vajadzības gadījumā to padarītu pieejamu kompetentajām publiskajām iestādēm, izraisa jautājumus ne tikai par Hartas 7. un 8. panta ievērošanu, kuri attiecīgi ir saistīti ar privātās dzīves, kā arī ar personas datu aizsardzību, bet arī par Hartas 11. pantā garantēto vārda brīvību (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 112. un 113. punkts).
68 Tātad, interpretējot Direktīvas 2002/58 15. panta 1. punktu, ir jāņem vērā gan Hartas 7. pantā garantēto tiesību uz privātās dzīves neaizskaramību, gan arī tās 8. pantā garantēto tiesību uz personas datu aizsardzību nozīmīgums, kāds tas izriet no Tiesas judikatūras, kā arī vārda brīvības nozīmīgums – šīs pamattiesības, kas garantētas Hartas 11. pantā, veido vienu no demokrātiskas un plurālistiskas sabiedrības būtiskajiem pamatiem, kas ir starp tām vērtībām, uz kurām pamatojoties saskaņā ar LES 2. pantu ir dibināta Savienība (spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 114. punkts, kā arī tajā minētā judikatūra).
69 Šajā ziņā jāuzsver, ka pati informācijas par datu plūsmu un atrašanās vietas datu saglabāšana, pirmkārt, ir atkāpe no Direktīvas 2002/58 5. panta 1. punktā paredzētā aizlieguma jebkurai personai, kas nav lietotājs, glabāt šos datus, un, otrkārt, iejaukšanās Hartas 7. un 8. pantā garantētajās pamattiesībās uz privātās dzīves neaizskaramību un personas datu aizsardzību, un nav nozīmes tam, vai attiecīgajai informācijai par privāto dzīvi ir vai nav sensitīvs raksturs un vai ieinteresētajām personām ir vai nav radītas neērtības šīs iejaukšanās dēļ. Tāpat nav nozīmes tam, vai saglabātie dati vēlāk tiek vai netiek izmantoti, jo piekļuve šādiem datiem neatkarīgi no tā, kā tie tiek izmantoti vēlāk, ir atsevišķa iejaukšanās iepriekšējā punktā minētajās pamattiesībās (spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 115. un 116. punkts).
70 Tomēr, ciktāl Direktīvas 2002/58 15. panta 1. punkts dalībvalstīm ļauj ieviest noteiktas atkāpes, kā atgādināts šā sprieduma 66. punktā, šī norma atspoguļo apstākli, ka Hartas 7., 8. un 11. pantā ietvertās tiesības nav uztveramas kā absolūtas prerogatīvas, bet gan jāaplūko saistībā ar to funkciju sabiedrībā. Proti, kā izriet no Hartas 52. panta 1. punkta, tā pieļauj, ka šādām tiesībām var tikt noteikti izmantošanas ierobežojumi, ciktāl šie ierobežojumi ir paredzēti tiesību aktos, ar tiem tiek respektēta šo tiesību būtība un, ievērojot samērīguma principu, tie ir nepieciešami un patiešām atbilst vispārējo interešu mērķiem, ko atzinusi Savienība, vai vajadzībai aizsargāt citu personu tiesības un brīvības (spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 120. un 121. punkts).
71 Šajā gadījumā jānorāda, ka, lai gan formāli Hadopi ir atļauts piekļūt tikai personas identitātes datiem, kas piesaistīti IP adresei, šīs piekļuves īpatnība ir tāda, ka, lai to varētu nodrošināt, attiecīgajiem elektronisko komunikāciju pakalpojumu sniedzējiem vispirms ir jāsasaista šī IP adrese ar tās īpašnieka personas identitātes datiem. Tātad minētajai piekļuvei noteikti vajadzīgs, lai pakalpojumu sniedzēju rīcībā būtu IP adreses, kā arī šo adrešu īpašnieku identitātes dati.
72 Turklāt šī publiskā iestāde vēlas iegūt piekļuvi šiem datiem vienīgi ar mērķi identificēt autortiesības vai blakustiesības iespējami pārkāpjošām darbībām izmantotas IP adreses īpašnieku, jo tas aizsargātus darbus ir nelikumīgi darījis internetā pieejamus, lai citas personas tos lejupielādētu. Šādos apstākļos personas identitātes dati jāuzskata par cieši saistītiem gan ar IP adresi, gan ar Hadopi rīcībā esošo informāciju par internetā publiskoto darbu.
73 Taču šo īpašo kontekstu nevar neņemt vērā, pārbaudot, vai personas datu glabāšanas pasākums iespējami ir attaisnojams saskaņā ar Direktīvas 2002/58 15. panta 1. punktu, to interpretējot Hartas 7., 8. un 11. panta gaismā (pēc analoģijas skat. ECT spriedumu, 2018. gada 24. aprīlis, Benedik pret Slovēniju, CE:ECHR:2018:0424JUD006235714, 109. punkts).
74 Līdz ar to, ņemot vērā prasības, kas IP adrešu glabāšanas jomā izriet no minētā 15. panta 1. punkta, to interpretējot Hartas 7., 8. un 11. panta gaismā, jāizvērtē, vai iejaukšanās nupat minētajos Hartas pantos garantētajās pamattiesībās, ko rada publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzēju veikta tādu datu glabāšana, kuriem Hadopi ir piekļuves tiesības, iespējami ir attaisnojama.
75 Šajā kontekstā jānorāda, ka saskaņā ar Tiesas judikatūru, lai gan, kā atgādināts šā sprieduma 60. punktā, IP adreses ir informācija par datu plūsmu Direktīvas 2002/58 izpratnē, šīs adreses atšķiras no citām informācijas par datu plūsmu kategorijām, kā arī no atrašanās vietas datiem.
76 Šajā ziņā Tiesa ir norādījusi, ka IP adreses tiek radītas, nebūdamas saistītas ar noteiktu komunikāciju, un galvenokārt ir paredzētas, lai ar elektronisko komunikāciju pakalpojumu sniedzēju starpniecību identificētu personu, kurai pieder galaiekārta, no kuras tiek veikta komunikācija ar interneta starpniecību. Tādējādi elektroniskā pasta, kā arī interneta telefonijas jomā, ciktāl tiek glabātas vienīgi komunikācijas avota, nevis adresāta IP adreses, šīs adreses pašas par sevi neatklāj nekādu informāciju par trešām personām, kuras ir sazinājušās ar personu, kura ir iniciējusi komunikāciju. Tāpēc šīs kategorijas dati ir mazāk sensitīvi nekā cita informācija par datu plūsmu (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 152. punkts).
77 2020. gada 6. oktobra sprieduma La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791) 156. punktā Tiesa patiešām ir nospriedusi, ka, lai arī ir konstatēts, ka IP adreses ir mazāk sensitīvas, kad tās kalpo tikai un vienīgi tālab, lai identificētu elektronisko komunikāciju pakalpojumu lietotāju, Direktīvas 2002/58 15. panta 1. punktam tik un tā ir pretrunā, ka visaptveroša un nediferencēta vienīgi to IP adrešu glabāšana, kas ir piešķirtas savienojuma avotam, tiek veikta citiem mērķiem, kas nav smagu noziegumu apkarošana, nopietnu draudu sabiedrības drošībai novēršana vai valsts drošības aizsardzība. Tomēr pie šī secinājuma Tiesa ir nonākusi, skaidri balstīdamās uz to, cik smagu iejaukšanos Hartas 7., 8. un 11. pantā nostiprinātajās pamattiesībās var izraisīt šāda IP adrešu glabāšana.
78 Proti, tā paša sprieduma 153. punktā Tiesa uzskatīja, ka, tā kā IP adreses – konkrēti tad, kad tās tiek izmantotas, lai veiktu “izsmeļošu interneta lietotāja navigācijas maršruta” un līdz ar to tā darbību tiešsaistē “izsekošanu” – var ļaut noteikt šā lietotāja “detalizētu profilu”, šādai izsekošanai vajadzīgā minēto IP adrešu glabāšana un analīze ir nopietna iejaukšanās Hartas 7. un 8. pantā nostiprinātajās datu subjekta pamattiesībās un var arī atturēt elektronisko komunikāciju līdzekļu lietotājus izmantot Hartas 11. pantā garantēto vārda brīvību.
79 Tomēr jāuzsver, ka visa – pat iespējami plaša – kādas personas noteiktā laikposmā izmantoto statisko un dinamisko IP adrešu kopuma visaptveroša un nediferencēta glabāšana ne vienmēr ir smaga iejaukšanās Hartas 7., 8. un 11. pantā garantētajās pamattiesībās.
80 Šajā ziņā visupirms jāteic, ka lietas, kurās tika pasludināts 2020. gada 6. oktobra spriedums La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791), attiecās uz valstu tiesiskajiem regulējumiem, kuros bija noteikts pienākums glabāt visus datus, kas nepieciešami, lai noteiktu komunikācijas datumu, laiku, ilgumu un veidu, identificētu izmantoto komunikācijas aprīkojumu, kā arī noteiktu galaiekārtu un komunikāciju atrašanās vietu, proti, datus, kuros tostarp ietilpst lietotāja vārds un adrese, zvanītāja un adresāta tālruņa numuri, kā arī IP adrese interneta pakalpojumiem. Turklāt divās no šīm lietām ir redzams, ka attiecīgie valsts tiesiskie regulējumi attiecās arī uz datiem par elektronisko komunikāciju pārraidīšanu tīklos, kas ļauj arī identificēt tiešsaistē aplūkotās informācijas raksturu (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 82. un 83. punkts).
81 Tātad, veicot IP adrešu glabāšanu saskaņā ar šādiem valstu tiesiskajiem regulējumiem, ņemot vērā citus datus, kuri saskaņā ar tiem bija jāglabā, kā arī iespēju kombinēt šos dažādos datus, bija iespējams izdarīt precīzus secinājumus par attiecīgo datu subjektu privāto dzīvi un tādējādi izraisīt smagu iejaukšanos pamattiesībās, kas nostiprinātas Hartas 7. un 8. pantā attiecībā uz šo personu privātās dzīves un personas datu aizsardzību, kā arī šīs Hartas 11. pantā – attiecībā uz viņu vārda brīvību.
82 Turpretim elektronisko komunikāciju pakalpojumu sniedzējiem atbilstoši Direktīvas 2002/58 15. panta 1. punktam pieņemtā leģislatīvā pasākumā noteiktais pienākums nodrošināt IP adrešu visaptverošu un nediferencētu glabāšanu iespējami ir attaisnojams ar mērķi apkarot noziedzīgus nodarījumus vispārīgi, ja ir faktiski izslēgts, ka šī glabāšana var izraisīt smagu iejaukšanos datu subjekta privātajā dzīvē tādēļ, ka par šo subjektu ir iespējams izdarīt precīzus secinājumus, tostarp sasaistot šīs IP adreses ar informācijas par datu plūsmu vai atrašanās vietas datu kopumu, kuru arī glabā šie pakalpojumu sniedzēji.
83 Līdz ar to dalībvalstij, kura vēlas noteikt elektronisko komunikāciju pakalpojumu sniedzējiem pienākumu visaptveroši un nediferencēti glabāt IP adreses, lai sasniegtu mērķi, kas saistīts ar noziedzīgu nodarījumu apkarošanu vispārīgi, ir jānodrošina, ka šo datu glabāšanas kārtība ir tāda, kas garantē, ka tiek izslēgta jebkāda minēto IP adrešu kombinēšana ar citiem saskaņā ar Direktīvu 2002/58 glabātajiem datiem, kā rezultātā būtu iespējams izdarīt precīzus secinājumus par to personu privāto dzīvi, kuru dati šādi tiek glabāti.
84 Lai nodrošinātu, ka tiek izslēgta tādu datu kombinēšana, kas ļautu izdarīt precīzus secinājumus par datu subjekta privāto dzīvi, glabāšanas kārtībai jāaptver šīs glabāšanas strukturēšana, kas būtībā jāorganizē tā, lai nodrošinātu dažādo glabāto datu kategoriju faktisku izolētību.
85 Šajā ziņā dalībvalstij, kas ir paredzējusi elektronisko komunikāciju pakalpojumu sniedzējiem noteikt pienākumu visaptveroši un nediferencēti glabāt IP adreses, lai sasniegtu mērķi, kas saistīts ar noziedzīgu nodarījumu apkarošanu vispārīgi, savos tiesību aktos jāparedz skaidri un precīzi noteikumi par minēto glabāšanas kārtību, jo šai kārtībai ir jāatbilst stingrām prasībām. Tomēr Tiesa par šo kārtību var sniegt skaidrojumus.
86 Pirmām kārtām, iepriekšējā punktā minētajiem valsts noteikumiem ir jānodrošina, ka katra datu kategorija, tostarp personas identitātes dati un IP adreses, tiek glabāta pilnīgi nošķirti no citām glabāto datu kategorijām.
87 Otrām kārtām, šiem noteikumiem jānodrošina, ka tehniskā ziņā dažādas glabāto datu kategorijas, it īpaši personas identitātes dati, IP adreses, dažāda cita informācija par datu plūsmu, kas nav IP adreses, un dažādi atrašanās vietas dati tiek savstarpēji patiešām izolēti, izmantojot drošu un uzticamu datoraprīkojumu.
88 Trešām kārtām, ciktāl minētajos noteikumos ir paredzēta iespēja sasaistīt šādi glabātās IP adreses ar datu subjekta identitāti, ievērojot prasības, kas izriet no Direktīvas 2002/58 15. panta 1. punkta, lasot to Hartas 7., 8. un 11. panta gaismā, šie noteikumi drīkst šādu sasaistīšanu atļaut tikai tad, ja tiek izmantots efektīvs tehnoloģisks process, kas nerada šaubas par šo datu kategoriju striktas izolētības efektivitāti.
89 Ceturtām kārtām, šīs striktās izolētības uzticamība ir regulāri jāpārbauda citai publiskai iestādei, kas nav tā, kura vēlas iegūt piekļuvi elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem personas datiem.
90 Ciktāl piemērojamajos valsts tiesību aktos ir paredzētas šādas stingras prasības attiecībā uz elektronisko komunikāciju pakalpojumu sniedzēju glabāto IP adrešu un citu datu visaptverošas un nediferencētas glabāšanas kārtību, no šīs IP adrešu glabāšanas izrietošā iejaukšanās pašas minētās glabāšanas strukturālās organizācijas dēļ nav kvalificējama kā “smaga”.
91 Proti, gadījumā, ja šāds normatīvais regulējums ir ieviests, šādi noteiktā IP adrešu glabāšanas kārtība izslēdz iespēju, ka šie dati varētu tikt kombinēti ar citiem saskaņā ar Direktīvu 2002/58 glabātajiem datiem, kas ļautu izdarīt precīzus secinājumus par datu subjekta privāto dzīvi.
92 Līdz ar to, ja ir šā sprieduma 86.–89. punktā izklāstītajām prasībām atbilstošs normatīvais regulējums, kas garantē, ka nekāda datu kombinācija neļaus izdarīt precīzus secinājumus par datu subjekta privāto dzīvi, Direktīvas 2002/58 15. panta 1. punktam, lasot to Hartas 7., 8. un 11. panta gaismā, nav pretrunā, ka attiecīgā dalībvalsts uzliek pienākumu visaptveroši un nediferencēti glabāt IP adreses nolūkā apkarot noziedzīgus nodarījumus vispārīgi.
93 Visbeidzot, šādam normatīvajam regulējumam – kā izriet no 2020. gada 6. oktobra sprieduma La Quadrature du Net u.c. (C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791) 168. punkta – jāparedz glabāšanas ilgums, kas aprobežojas tikai ar tam absolūti nepieciešamo, un ar skaidriem un precīziem noteikumiem jānodrošina, ka attiecīgo datu glabāšana notiek atbilstoši tai paredzētajiem materiāltiesiskajiem un procesuālajiem nosacījumiem un ka datu subjektiem ir efektīvas garantijas pret ļaunprātīgas izmantošanas riskiem, kā arī pret jebkādu nelikumīgu piekļuvi šiem datiem un šo datu nelikumīgu izmantošanu.
94 Iesniedzējtiesai jāpārbauda, vai pamatlietā aplūkotajā valsts tiesiskajā regulējumā ir ievērotas šā sprieduma 85.–93. punktā atgādinātās prasības.
Par prasībām attiecībā uz piekļuvi elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem IP adresei piesaistītajiem personas identitātes datiem
95 No Tiesas judikatūras izriet, ka noziedzīgu nodarījumu apkarošanas jomā vienīgi smagu noziegumu apkarošana vai nopietnu valsts drošības apdraudējumu novēršana var attaisnot tādu smagu iejaukšanos Hartas 7. un 8. pantā nostiprinātajās pamattiesībās, kuru izraisa publisko iestāžu piekļuve visai informācijai par datu plūsmu vai atrašanās vietas datiem, kas var sniegt ziņas par saziņu, ko lietotājs veicis ar elektronisko komunikāciju līdzekļiem, vai tā izmantoto galiekārtu atrašanās vietu un ļauj izdarīt precīzus secinājumus par attiecīgo personu privāto dzīvi, savukārt citi faktori saistībā ar piekļuves samērīgumu, piemēram, tas, uz cik ilgu laikposmu attiecas dati, kuriem tiek lūgta piekļuve, nevar radīt tādas sekas, ka vispārējs noziegumu izmeklēšanas, atklāšanas un kriminālvajāšanas par tiem mērķis varētu attaisnot šādu piekļuvi (spriedums, 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 35. punkts).
96 Savukārt, ja iejaukšanās Hartas 7. un 8. pantā nostiprinātajās pamattiesībās, kuru izraisa publisko iestāžu piekļuve elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem personas identitātes datiem apstākļos, kad šie dati nevar tikt sasaistīti ar informāciju par veiktajām komunikācijām, nav būtiska, jo, tos aplūkojot kopumā, šie dati neļauj izdarīt precīzus secinājumus par to personu privāto dzīvi, kuru dati tiek skarti, minētā piekļuve ir attaisnojama ar mērķi novērst, izmeklēt, atklāt noziedzīgus nodarījumus vispārīgi un veikt kriminālvajāšanu par tiem (šajā nozīmē skat. spriedumu, 2018. gada 2. oktobris, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 54., 57. un 60. punkts).
97 Tāpat jāpiebilst, ka saskaņā ar Tiesas pastāvīgajā judikatūrā nostiprināto principu piekļuve informācijai par datu plūsmu un atrašanās vietas datiem saskaņā ar Direktīvas 2002/58 15. panta 1. punktu ir attaisnojama tikai ar vispārējo interešu mērķi, kura dēļ elektronisko komunikāciju pakalpojumu sniedzējiem ir ticis uzdots veikt šādu glabāšanu, ja vien šī piekļuve nav attaisnojama ar vēl svarīgāku vispārējo interešu mērķi. No šā principa tostarp izriet, ka šāda piekļuve noziedzīgu nodarījumu vispārīgas apkarošanas mērķiem nekādā gadījumā nevar tikt piešķirta, ja minēto datu glabāšana ir attaisnojama ar smagu noziegumu apkarošanas vai a fortiori valsts drošības aizsardzības mērķi (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 166. punkts).
98 Turpretim šāds noziedzīgu nodarījumu vispārīgas apkarošanas mērķis ļauj attaisnot to, ka tiek piešķirta piekļuve informācijai par datu plūsmu un atrašanās vietas datiem, kas tika saglabāti un tādējādi glabāti tādā apjomā un tik ilgi, cik nepieciešams pakalpojumu tirdzniecībai, rēķinu sagatavošanai un pievienotās vērtības pakalpojumu sniegšanai, kā to atļauj Direktīvas 2002/58 6. pants (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 108. un 167. punkts).
99 Šajā gadījumā, pirmām kārtām, no pamatlietā aplūkotā valsts tiesiskā regulējuma izriet, ka Hadopi nav piekļuves “visai informācijai par datu plūsmu vai atrašanās vietas datiem” šā sprieduma 95. punktā atgādinātās judikatūras izpratnē, un tāpēc tā principā nevar izdarīt precīzus secinājumus par datu subjektu privāto dzīvi. Savukārt piekļuve, kas neļauj izdarīt šādus secinājumus, nav smaga iejaukšanās Hartas 7. un 8. pantā garantētajās pamattiesībās.
100 Proti, saskaņā ar šo tiesisko regulējumu, kā paskaidro Francijas valdība, šai publiskajai iestādei piešķirtā piekļuve stingri aprobežojas ar noteiktiem IP adreses īpašnieka personas identitātes datiem un ir atļauta tikai tālab, lai varētu identificēt šo īpašnieku, kurš tiek turēts aizdomās par to, ka tas ir veicis darbību, ar kuru tiek pārkāptas autortiesības vai blakustiesības, jo tas aizsargātus darbus ir nelikumīgi darījis pieejamus internetā, lai citas personas tos lejupielādētu. Šī piekļuve ir vērsta uz to, lai vajadzības gadījumā attiecībā uz šo īpašnieku tiktu veikts kāds no pakāpeniskās reakcijas procedūras ietvaros paredzētajiem audzinošajiem vai represīvajiem pasākumiem, proti, pirmā un otrā ieteikuma nosūtīšana, pēc tam vēstules nosūtīšana, kurā ir paziņots, ka šī darbība iespējami ir kvalificējama kā rupjas neuzmanības kriminālpārkāpums, un visbeidzot – vēršanās prokuratūrā, lai veiktu kriminālvajāšanu par šo kriminālpārkāpumu vai noziedzīgu nodarījumu intelektuālā īpašuma tiesību pārkāpumu jomā.
101 Vēl ir nepieciešams, lai minētajā valsts tiesiskajā regulējumā būtu paredzēti skaidri un precīzi noteikumi, lai nodrošinātu, ka saskaņā ar Direktīvu 2002/58 glabātās IP adreses var tikt izmantotas tikai un vienīgi tālab, lai identificētu personu, kurai ir piešķirta noteikta IP adrese, taču izslēdzot tādu izmantošanu, kas ļauj ar vienas vai vairāku šo adrešu palīdzību uzraudzīt šīs personas darbību tiešsaistē. Ja IP adrese šādi tiek izmantota vienīgi tālab, lai identificētu tās īpašnieku īpašā administratīvajā procesā, kā rezultātā var tikt uzsākta viņa kriminālvajāšana, nevis nolūkā, piemēram, atklāt šā īpašnieka kontaktinformāciju vai atrašanās vietu, šai adresei tikai un vienīgi šādā nolūkā tiek piekļūts kā personas identitātes datiem, nevis kā informācijai par datu plūsmu.
102 Turklāt no šā sprieduma 97. punktā atgādinātajā pastāvīgajā judikatūrā nostiprinātā principa izriet, ka tāda piekļuve kā tā, kas ir Hadopi saskaņā ar pamatlietā aplūkoto valsts tiesisko regulējumu, ja tās mērķis ir apkarot noziedzīgus nodarījumus vispārīgi, var tikt attaisnota tikai tad, ja tā attiecas uz IP adresēm, kuras elektronisko komunikāciju pakalpojumu sniedzējiem ir jāglabā šā paša mērķa sasniegšanai, nevis tālab, lai sasniegtu tādu svarīgāku mērķi kā smagu noziegumu apkarošana, tomēr neskarot piekļuvi, kas ir attaisnojama ar šādu mērķi apkarot noziedzīgus nodarījumus vispārīgi situācijā, kad tā attiecas uz IP adresēm, kas saglabātas un tātad glabātas saskaņā ar Direktīvas 2002/58 6. pantā paredzētajiem nosacījumiem.
103 Turklāt, kā izriet no šā sprieduma 85.–92. punkta, IP adrešu glabāšana, kas, balstoties uz leģislatīvu pasākumu Direktīvas 2002/58 15. panta 1. punkta izpratnē, veikta tālab, lai vispārīgi apkarotu noziedzīgus nodarījumus, var būt attaisnojama, ja attiecīgajā normatīvajā regulējumā noteiktā šādas glabāšanas kārtība atbilst virknei prasību, kuru mērķis būtībā ir nodrošināt dažādu glabāto datu kategoriju faktisku izolētību tā, lai faktiski tiktu izslēgta dažādām kategorijām piederīgu datu kombinēšanas iespēja. Proti, ja elektronisko komunikāciju pakalpojumu sniedzējiem šāda glabāšanas kārtība ir jāievēro, tad visaptveroša un nediferencēta IP adrešu glabāšana nerada smagu iejaukšanos šo adrešu īpašnieku privātajā dzīvē, jo šie dati neļauj izdarīt precīzus secinājumus par viņu privāto dzīvi.
104 Līdz ar to, ņemot vērā šā sprieduma 95.–97. punktā atgādināto judikatūru, gadījumā, ja šāds normatīvais regulējums ir ieviests, piekļuve IP adresēm, kas glabātas nolūkā apkarot noziedzīgus nodarījumus vispārīgi, var būt attaisnojama saskaņā ar Direktīvas 2002/58 15. panta 1. punktu, ja šī piekļuve ir atļauta tikai tālab, lai identificētu personu, kas tiek turēta aizdomās par iesaistīšanos šādos noziedzīgos nodarījumos.
105 Turklāt atļaut tādai publiskai iestādei kā Hadopi piekļūt personas identitātes datiem – kas piesaistīti publiskai IP adresei, kuru tai ir nosūtījušas tiesību īpašnieku organizācijas vienīgi nolūkā identificēt personu, kurai pieder šī adrese, kas izmantota darbībām, kuras tiek veiktas tiešsaistē un kuras iespējami aizskar autortiesības vai blakustiesības – tālab, lai šai personai piemērotu kādu no pakāpeniskās reakcijas procedūrā paredzētajiem pasākumiem, atbilst Tiesas judikatūrai par “tiesībām uz informāciju”, kas Direktīvas 2004/48 8. pantā paredzētas prasības par intelektuālā īpašuma tiesību pārkāpumu kontekstā (šajā nozīmē skat. spriedumu, 2008. gada 29. janvāris, Promusicae, C‑275/06, EU:C:2008:54, 47. un nākamie punkti).
106 Proti, šajā judikatūrā Tiesa, lai arī uzsvērdama, ka Direktīvā 2004/48 paredzēto pasākumu piemērošana nevar ietekmēt ne VDAR, ne Direktīvu 2002/58, ir nospriedusi, ka Direktīvas 2004/48 8. panta 3. punkts, skatot to kopsakarā ar Direktīvas 2002/58 15. panta 1. punktu un Direktīvas 95/46 7. panta f) punktu, neliedz dalībvalstīm noteikt elektronisko komunikāciju pakalpojumu sniedzējiem pienākumu nodot privātpersonām personas datus, lai civillietu tiesās varētu ierosināt tiesvedību par autortiesību pārkāpumiem, taču tas arī nenosaka, ka šīm valstīm būtu obligāti jāparedz šāds pienākums (šajā nozīmē skat. spriedumu, 2021. gada 17. jūnijs, M.I.C.M., C‑597/19, EU:C:2021:492, 124. un 125. punkts, kā arī tajos minētā judikatūra).
107 Tomēr, otrām kārtām, lai konkrēti novērtētu, cik lielā mērā publiskas iestādes piekļuve personas datiem rada iejaukšanos privātajā dzīvē, nevar neņemt vērā konteksta, kādā šī piekļuve notiek, īpatnības un it īpaši visu šai iestādei saskaņā ar piemērojamo valsts tiesisko regulējumu paziņoto datu un informācijas kopumu, tostarp jau esošos datus un informāciju, kas atklāj komunikāciju saturu (pēc analoģijas skat. ECT spriedumu, 2018. gada 24. aprīlis, Benedik pret Slovēniju, CE:ECHR:2018:0424JUD006235714, 109. punkts).
108 Tādējādi šajā gadījumā, veicot minēto vērtējumu, jāņem vērā, ka, pirms Hadopi piekļūst attiecīgajiem personas identitātes datiem, tās rīcībā ir tostarp “informācija par aizsargātajiem darbiem vai priekšmetiem, uz kuriem attiecas minētie nodarījumi”, un “(attiecīgā gadījumā) datnes nosaukums abonenta ierīcē”, ko tā jau saņēmusi no tiesību īpašnieku organizācijām saskaņā ar Dekrēta Nr. 2010‑236 pielikuma 1. punktu.
109 No Tiesas rīcībā esošajiem lietas materiāliem – ja vien iesniedzējtiesas veicamajā pārbaudē neizrādās citādi – izriet, ka informācija par attiecīgo darbu, kas ir ierakstīta protokolā, kura saturs ir noteikts CNIL 2010. gada 10. jūnija apspriedēs, būtībā aprobežojas galvenokārt ar attiecīgā darba nosaukumu, kā arī fragmentu, ko dēvē par “chunk”, kas izpaužas kā burtciparu virkne, nevis darba audio vai video ieraksts.
110 Šajā ziņā vispārīgi patiešām nevar izslēgt, ka publiskā iestāde, piekļūstot ierobežotam skaitam IP adreses īpašnieka identitātes datu, ko tai ir paziņojis elektronisko komunikāciju pakalpojumu sniedzējs tikai tālab, lai identificētu šo īpašnieku gadījumā, ja šī adrese ir tikusi izmantota darbībām, ar kurām iespējami pārkāptas autortiesības vai blakustiesības, apstākļos, kad šī piekļuve notiek apvienojumā ar tādas – lai arī cik ierobežotas – informācijas par internetā nelikumīgi publiskota darba saturu, kuru tai iepriekš nodevušas tiesību īpašnieku organizācijas, analīzi, šī publiskā iestāde var iespējami uzzināt par kādiem šā īpašnieka privātās dzīves aspektiem, tostarp par sensitīvu informāciju, piemēram, seksuālo orientāciju, politiskajiem uzskatiem, reliģisko, filozofisko, sociālo vai citu pārliecību, kā arī veselības stāvokli, lai gan šādiem datiem turklāt ir īpaša aizsardzība Savienības tiesībās.
111 Tomēr šajā gadījumā, ņemot vērā Hadopi rīcībā esošo ierobežotā apjomā esošo datu un informācijas raksturu, tikai netipiskās situācijās šie dati un informācija varētu atklāt iespējami sensitīvu informāciju par attiecīgās personas privātās dzīves aspektiem, kas, skatīta kopā, varētu ļaut šai publiskajai iestādei izdarīt precīzus secinājumus par šīs personas privāto dzīvi, piemēram, izveidojot tās detalizētu profilu.
112 Tā tas it īpaši varētu būt tādas personas gadījumā, kuras IP adrese ir tikusi izmantota autortiesības vai blakustiesības pārkāpjošām darbībām vienādranga tīklos atkārtoti vai pat lielā apmērā saistībā ar konkrēta veida aizsargātajiem darbiem, kuri var tikt sagrupēti pēc to nosaukumos esošajiem vārdiem, kas var atklāt iespējami sensitīvu informāciju par šīs personas privātās dzīves aspektiem.
113 Tomēr dažādi faktori liecina, ka šajā gadījumā iejaukšanās tādas personas, kura tiek turēta aizdomās par autortiesības vai blakustiesības pārkāpjošas darbības veikšanu, privātajā dzīvē, kuru pieļauj tāds tiesiskais regulējums kā pamatlietā aplūkotais, var arī nebūt ļoti augstas smaguma pakāpes. Vispirms saskaņā ar šādu tiesisko regulējumu Hadopi piekļuve attiecīgajiem personas datiem ir rezervēta ierobežotam skaitam šīs publiskās iestādes, kas turklāt ir neatkarīga struktūra saskaņā ar CPI L. 331‑12. pantu, pilnvarotajām un zvērinātajām amatpersonām. Turklāt šīs piekļuves vienīgais mērķis ir identificēt personu, kas tiek turēta aizdomās par to, ka tā ir veikusi autortiesības vai blakustiesības pārkāpjošu darbību, ja tiek konstatēts, ka aizsargāts darbs ir ticis nelikumīgi publiskots, izmantojot viņas piekļuvi internetam. Visbeidzot, Hadopi piekļuve attiecīgajiem personas datiem stingri aprobežojas ar šim nolūkam nepieciešamajiem datiem (pēc analoģijas skat. ECT spriedumu, 2019. gada 17. oktobris, López Ribalda u.c. pret Spāniju, CE:ECHR:2019:1017JUD000187413, 126. un 127. punkts).
114 Vēl viens faktors – kas šķiet izrietam no Tiesas rīcībā esošajiem lietas materiāliem, taču iesniedzējtiesai vēl jāpārbauda –, kurš spēj vēl vairāk samazināt minētās Hadopi piekļuves izraisītās iejaukšanās pamattiesībās uz privātās dzīves un personas datu aizsardzību pakāpi, attiecas uz faktu, ka saskaņā ar piemērojamo valsts tiesisko regulējumu Hadopi amatpersonām, kurām ir piekļuve attiecīgajiem datiem un informācijai, ir pienākums ievērot konfidencialitāti, kas tām aizliedz izpaust šos datus un informāciju jebkādā veidā, izņemot vēršanos prokuratūrā, un izmantot šos datus un informāciju citiem mērķiem, nevis tālab, lai identificētu IP adreses īpašnieku, kas turēts aizdomās par to, ka tas ir veicis autortiesības vai blakustiesības pārkāpjošu darbību, nolūkā viņam piemērot kādu no pakāpeniskās reakcijas procedūras ietvaros paredzētajiem pasākumiem (pēc analoģijas skat. ECT spriedumu, 2009. gada 17. decembris, Gardel pret Franciju, CE:ECHR:2009:1217JUD001642805, 70. punkts).
115 Tādējādi, ciktāl valsts tiesiskais regulējums atbilst šā sprieduma 101. punktā atgādinātajiem nosacījumiem, IP adreses, kas darītas zināmas tādai publiskai iestādei kā Hadopi, neļauj izsekot to īpašnieka tīklklejošanai, un tas liek piekrist konstatējumam, ka iejaukšanās, ko izraisa šīs iestādes piekļuve pamatlietā aplūkotajiem identifikācijas datiem, nav kvalificējama kā smaga.
116 Trešām kārtām, jāatgādina, ka, veicot attiecīgo tiesību un interešu nepieciešamo salāgošanu atbilstoši Direktīvas 2002/58 15. panta 1. punkta pirmajā teikumā izvirzītajai samērīguma prasībai, lai arī vārda brīvība un personas datu konfidencialitāte ir primārās rūpes un lai arī ir jānodrošina, ka tiek ievērots telekomunikāciju un interneta pakalpojumu lietotāju privātums un vārda brīvība, šīs pamattiesības tomēr nav absolūtas. Proti, samērojot attiecīgās tiesības un intereses, šīm tiesībām un interesēm dažkārt ir jāpiekāpjas citām pamattiesībām un tādiem vispārējo interešu apsvērumiem kā sabiedriskās kārtības aizsardzība un noziedzīgu nodarījumu novēršana vai citu personu tiesību un brīvību aizsardzība. Tā tas konkrēti ir gadījumā, kad prioritāte, kas piešķirta minētajām primārajām rūpēm, var traucēt kriminālizmeklēšanas efektivitātei, tostarp padarot neiespējamu vai pārmērīgi apgrūtinot noziedzīga nodarījuma izdarītāja faktisku identificēšanu un viņa sodīšanu (pēc analoģijas skat. ECT spriedumu, 2009. gada 2. marts, K.U. pret Somiju, CE:ECHR:2008:1202JUD000287202, 49. punkts).
117 Šajā kontekstā pienācīgi jāņem vērā – kā Tiesa jau nospriedusi –, ka tiešsaistē izdarītu noziedzīgu nodarījumu gadījumā IP adrese var būt vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personu, kurai šī adrese bija piešķirta noziedzīgā nodarījuma izdarīšanas brīdī (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 154. punkts).
118 Šis apstāklis apstiprina – kā 2023. gada 28. septembra secinājumu 59. punktā būtībā uzsvēris arī ģenerāladvokāts –, ka šo adrešu glabāšana un piekļuve tām saistībā ar cīņu pret tādiem tiešsaistē izdarītiem noziedzīgiem nodarījumiem kā tie, ar kuriem tiek pārkāptas autortiesības vai blakustiesības, ir stingri nepieciešamas, lai sasniegtu izvirzīto mērķi, un tādējādi atbilst samērīguma prasībai, kas noteikta Direktīvas 2002/58 15. panta 1. punktā, lasot to šīs direktīvas 11. apsvēruma, kā arī Hartas 52. panta 2. punkta gaismā.
119 Turklāt – kā 2022. gada 27. oktobra secinājumu 78.–80. punktā, kā arī 2023. gada 28. septembra secinājumu 80. un 81. punktā būtībā uzsvēris ģenerāladvokāts – šādas piekļuves nepieļaušana radītu reālu sistēmiskas nesodāmības risku ne tikai attiecībā uz noziedzīgiem nodarījumiem, ar kuriem tiek pārkāptas autortiesības vai blakustiesības, bet arī par cita veida noziedzīgiem nodarījumiem, kas izdarīti tiešsaistē vai kuru izdarīšanu vai sagatavošanu internetam raksturīgās iezīmes atvieglo. Savukārt šāda riska esamība ir nozīmīgs apstāklis, kas ņemams vērā, kad, samērojot dažādas esošās tiesības un intereses, tiek novērtēts, vai iejaukšanās Hartas 7., 8. un 11. pantā garantētajās tiesībās ir pasākums, kas ir samērīgs ar mērķi apkarot noziedzīgus nodarījumus.
120 Tādas publiskas iestādes kā Hadopi piekļuve personas identitātes datiem, kas piesaistīti IP adresei, no kuras ir izdarīts noziedzīgs nodarījums tiešsaistē, ne vienmēr ir vienīgais iespējamais izmeklēšanas līdzeklis, lai identificētu personu, kura bija šīs adreses īpašniece šā noziedzīgā nodarījuma izdarīšanas brīdī. Proti, šāda identifikācija varētu arī a priori būt iespējama, pārbaudot visas attiecīgās personas darbības tiešsaistē, it īpaši analizējot “pēdas”, ko tā būtu varējusi atstāt sociālajos tīklos, piemēram, šajos tīklos izmantoto identifikatoru vai savu kontaktinformāciju.
121 Tomēr, kā 2023. gada 28. septembra secinājumu 83. punktā norādījis ģenerāladvokāts, šāda izmeklēšanas līdzekļa izraisītā iejaukšanās būtu jo īpaši radikāla, jo tā varētu atklāt precīzu informāciju par datu subjektu privāto dzīvi. Tādējādi tas šiem subjektiem izraisītu smagāku iejaukšanos viņu Hartas 7., 8. un 11. pantā garantētajās tiesībās nekā tā, kas izriet no tāda tiesiskā regulējuma kā pamatlietā aplūkotais.
122 No iepriekš izklāstītā izriet, ka Direktīvas 2002/58 15. panta 1. punkts, lasot to Hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā, ir jāinterpretē tādējādi, ka tam principā nav pretrunā tāds valsts tiesiskais regulējums, kurā publiskai iestādei, kas atbild par autortiesību un blakustiesību aizsardzību pret internetā izdarītiem šo tiesību pārkāpumiem, ir ļauts piekļūt personas identitātes datiem, kuri ir piesaistīti IP adresēm, ko iepriekš ir ievākušas tiesību īpašnieku organizācijas un ko elektronisko komunikāciju pakalpojumu sniedzēji glabā nošķirti un faktiski izolēti, tikai tālab, lai šī iestāde varētu identificēt šo adrešu īpašniekus, par kuriem ir aizdomas, ka tie ir atbildīgi par šādiem pārkāpumiem, un vajadzības gadījumā attiecībā uz viņiem varētu veikt pasākumus. Šādā gadījumā piemērojamajā valsts tiesiskajā regulējumā ir jāaizliedz amatpersonām, kurām ir šāda piekļuve, pirmkārt, jebkādā veidā izpaust informāciju par šo īpašnieku apmeklēto datņu saturu, izņemot vienīgi tālab, lai vērstos prokuratūrā, otrkārt, veikt jebkādu šo īpašnieku tīklklejošanas izsekošanu un, treškārt, izmantot šīs IP adreses citiem mērķiem, nevis šo pasākumu veikšanai.
Par prasību, ka pirms publiskas iestādes piekļuves IP adresei piesaistītajiem personas identitātes datiem ir jāveic pārbaude tiesā vai neatkarīgā administratīvā iestādē
123 Tomēr rodas jautājums, vai publiskas iestādes piekļuve IP adresei piesaistītajiem personas identitātes datiem ir arī jāpakārto iepriekšējai pārbaudei, ko veic tiesa vai neatkarīga administratīva iestāde.
124 Šajā ziņā, lai praksē nodrošinātu, ka pilnībā tiek ievēroti nosacījumi, kas dalībvalstīm ir jāparedz, lai nodrošinātu, ka piekļuve tiek ierobežota ar absolūti nepieciešamo, Tiesa ir nospriedusi, ka ir “būtiski”, ka kompetento publisko iestāžu piekļuve saglabātajiem datiem ir pakārtota iepriekšējai pārbaudei, ko veic tiesa vai neatkarīga administratīva iestāde (šajā nozīmē skat. spriedumus, 2016. gada 21. decembris, Tele2 Sverige un Watson u.c., C‑203/15 un C‑698/15, EU:C:2016:970, 120. punkts; 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 189. punkts; 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 51. punkts, kā arī 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 106. punkts).
125 Šai iepriekšējai pārbaudei, pirmkārt, ir nepieciešams, lai tiesai vai iestādei, kurai tā ir jāveic, būtu visas pilnvaras un lai tā sniegtu visas nepieciešamās garantijas, lai nodrošinātu dažādo attiecīgo leģitīmo interešu un tiesību salāgošanu. Runājot konkrētāk par kriminālizmeklēšanu, šādai pārbaudei ir vajadzīgs, lai šī tiesa vai iestāde spētu nodrošināt taisnīgu līdzsvaru starp leģitīmajām interesēm, kas saistītas ar izmeklēšanas vajadzībām saistībā ar cīņu pret noziedzību, no vienas puses, un personu, kuru datiem tiek piekļūts, pamattiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, no otras puses (spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 107. punkts, kā arī tajā minētā judikatūra).
126 Otrkārt, ja pārbaudi veic nevis tiesa, bet gan neatkarīga administratīva iestāde, šai iestādei ir jāpiemīt tādam statusam, kas tai savu uzdevumu izpildē ļauj rīkoties objektīvi, un tālab tā nedrīkst būt pakļauta jebkādai ārējai ietekmei. Tādējādi neatkarības prasība, kam ir jāatbilst iestādei, kurai ir jāveic iepriekšējā pārbaude, nozīmē, ka tai jābūt nepiederīgai tai iestādei, kas lūdz piekļuvi datiem, lai tā spētu īstenot šo pārbaudi objektīvi un neatkarīgi no jebkādas ārējas ietekmes. Konkrēti krimināltiesību jomā neatkarības prasība nozīmē, ka iestāde, kas ir atbildīga par šo iepriekšējo pārbaudi, pirmkārt, nav iesaistīta attiecīgajā pirmstiesas kriminālizmeklēšanā un, otrkārt, tai attiecībā pret kriminālprocesa dalībniekiem ir jābūt neitrālai (spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 108. punkts, kā arī tajā minētā judikatūra).
127 Treškārt, neatkarīgajai pārbaudei, kas prasīta Direktīvas 2002/58 15. panta 1. punktā, ir jānotiek pirms jebkādas piekļuves attiecīgajiem datiem, izņemot pienācīgi pamatotus steidzamības gadījumus, kuros minētā pārbaude ir jāveic pēc iespējas ātri. Proti, ar šādu vēlāku pārbaudi nevarētu sasniegt iepriekšējas pārbaudes mērķi, kas ir nepieļaut piekļuvi attiecīgajiem datiem apmērā, kurš pārsniedz stingri nepieciešamā robežas (spriedums, 2022. gada 5. aprīlis, Commissioner of An Garda Síochána u.c., C‑140/20, EU:C:2022:258, 110. punkts).
128 Tomēr, lai gan, kā izriet no šā sprieduma 119. punktā atgādinātās judikatūras, Tiesa ir nospriedusi, ka ir “būtiski”, ka kompetento publisko iestāžu piekļuve informācijai par datu plūsmu un atrašanās vietas datiem ir pakārtota iepriekšējai tiesas vai neatkarīgas administratīvas iestādes veiktai pārbaudei, šī judikatūra ir attīstījusies tādu valsts pasākumu kontekstā, kas, lai sasniegtu ar smagu noziegumu apkarošanu saistītu mērķi, ļauj vispārīgi piekļūt visam glabātajam informācijas par datu plūsmu un atrašanās vietas datu kopumam neatkarīgi no jebkādas, kaut arī netiešas, saiknes ar sasniedzamo mērķi, un kas tādējādi ietver smagu un pat “īpaši smagu” iejaukšanos attiecīgajās pamattiesībās.
129 Turpretī, kad runa bija par nosacījumiem, ar kādiem piekļuve personas identitātes datiem varēja būt attaisnojama, ņemot vērā Direktīvas 2002/58 15. panta 1. punktu, lasot to Hartas 7., 8. un 11. panta gaismā, Tiesa nav skaidri norādījusi uz prasību par šādu iepriekšēju pārbaudi (šajā nozīmē skat. spriedumus, 2018. gada 2. oktobris, Ministerio Fiscal, C‑207/16, EU:C:2018:788, 59., 60. un 62. punkts; 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 157. un 158. punkts, kā arī 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 34. punkts).
130 Savukārt no Tiesas judikatūras par samērīguma principu, kuru ievērot prasa Direktīvas 2002/58 15. panta 1. punkta pirmais teikums, konkrēti no judikatūras, saskaņā ar kuru iespēja dalībvalstīm attaisnot tostarp minētās direktīvas 5., 6. un 9. pantā paredzēto tiesību un pienākumu ierobežojumu ir jāizvērtē, izsverot tādas iejaukšanās smagumu, kuru izraisa šāds ierobežojums, un pārbaudot, vai vispārējo interešu mērķa nozīmīgums ir atbilstošs no šāda pasākuma izrietošās iejaukšanās smagumam (spriedums, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 131. punkts), izriet, ka tam, cik lielā mērā notiek iejaukšanās attiecīgajās pamattiesībās, kuru izraisa piekļuve attiecīgajiem personas datiem, kā arī tam, cik šie dati ir sensitīvi, ir arī jāatspoguļojas materiāltiesiskajās un procesuālajās garantijās, kurām šī piekļuve ir pakārtojama un kuru vidū ir arī prasība par iepriekšēju pārbaudi, ko veic tiesa vai neatkarīga administratīva iestāde.
131 Līdz ar to, ņemot vērā šo samērīguma principu, jāuzskata, ka prasība par iepriekšēju pārbaudi, ko veic tiesa vai neatkarīga administratīva iestāde, ir jāievēro tad, ja tāda valsts tiesiskā regulējuma kontekstā, kurā ir paredzēta publiskas iestādes piekļuve personas datiem, šī piekļuve rada risku, ka notiks smaga iejaukšanās datu subjekta pamattiesībās tādā ziņā, ka tā varētu ļaut šai publiskajai iestādei izdarīt precīzus secinājumus par šā subjekta privāto dzīvi un vajadzības gadījumā izveidot šā subjekta detalizētu profilu.
132 Šī iepriekšējas pārbaudes prasība turpretim nav piemērojama tad, ja iejaukšanās attiecīgajās pamattiesībās, ko izraisa publiskas iestādes piekļuve personas datiem, nav kvalificējama kā smaga.
133 Tā tas ir gadījumā, kad piekļuve elektronisko komunikāciju līdzekļu lietotāju personas identitātes datiem tiek veikta tikai ar mērķi identificēt attiecīgo lietotāju un bez iespējas šos datus sasaistīt ar informāciju par veikto komunikāciju, jo saskaņā ar Tiesas judikatūru iejaukšanās, ko rada šāda minēto datu apstrāde, principā nav kvalificējama kā smaga (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 157. un 158. punkts).
134 No tā izriet, ka gadījumā, ja ir ieviesta šā sprieduma 86.–89. punktā aprakstītā glabāšanas kārtība, publiskās iestādes piekļuve šādi glabātajām IP adresēm piesaistītajiem personas identitātes datiem principā nav pakārtota prasībai par tiesas vai neatkarīgas administratīvas iestādes veiktu iepriekšēju pārbaudi.
135 Tomēr, kā jau norādīts šā sprieduma 110. un 111. punktā, nav izslēdzams, ka netipiskos gadījumos ierobežotie dati un informācija, kas publiskās iestādes rīcībā nonāk tādā procedūrā kā pamatlietā aplūkotā pakāpeniskā reakcijas procedūra, var atklāt informāciju, kas iespējami var būt sensitīva, par datu subjekta privātās dzīves aspektiem, proti, informāciju, kas, kopumā ņemot, varētu ļaut šai publiskajai iestādei izdarīt precīzus secinājumus par šīs personas privāto dzīvi un vajadzības gadījumā izveidot tās detalizētu profilu.
136 Kā izriet no šā sprieduma 112. punkta, šāds privātās dzīves aizskāruma risks var rasties tostarp tad, ja persona veic autortiesības vai blakustiesības pārkāpjošas darbības vienādranga tīklos atkārtoti vai pat lielā apmērā saistībā ar konkrēta veida aizsargātajiem darbiem, kuri var tikt sagrupēti pēc to nosaukumos esošajiem vārdiem, kas var atklāt iespējami sensitīvu informāciju par šīs personas privāto dzīvi.
137 Tādējādi šajā gadījumā administratīvajā pakāpeniskās reakcijas procedūrā IP adreses īpašnieks var tikt īpaši pakļauts šādam privātās dzīves aizskāruma riskam, ja šī procedūra nonāk posmā, kurā Hadopi jālemj par to, vai vērsties vai nevērsties prokuratūrā, lai attiecībā uz šo īpašnieku veiktu kriminālvajāšanu par nodarījumiem, kas kvalificējami kā kriminālpārkāpums rupjas neuzmanības dēļ vai kriminālpārkāpums vai noziedzīgs nodarījums intelektuālā īpašuma tiesību pārkāpumu jomā.
138 Proti, priekšnosacījums iespējai šādi vērsties prokuratūrā ir tāds, ka IP adreses īpašniekam jau ir izsniegti divi ieteikumi un paziņojuma vēstule, ar kuru viņš tiek informēts par to, ka par viņa darbībām var tikt veikta kriminālvajāšana, un šie pasākumi liecina, ka Hadopi ik reizi ir bijusi piekļuve šā autortiesības vai blakustiesības pārkāpjošajai darbībai izmantotās IP adreses īpašnieka personas identitātes datiem, kā arī ar šo darbu saistītajai datnei, kurā būtībā ir šā darba nosaukums.
139 Nav izslēdzams, ka pakāpeniskās reakcijas administratīvās procedūras dažādajos posmos šādi iesniegtie dati, šīs procedūras virzības gaitā skatīti kopā, varētu atklāt saskanīgu un iespējami sensitīvu informāciju par attiecīgās personas privātās dzīves aspektiem, kas vajadzības gadījumā ļautu izveidot viņas profilu.
140 Tādējādi tiesību uz privātās dzīves neaizskaramību aizskāruma intensitāte var pieaugt līdz ar secīgā procesā balstītās pakāpeniskās reakcijas procedūras virzību dažādos tās posmos.
141 Šajā gadījumā Hadopi piekļuve visiem datu subjekta datiem, kas ievākti dažādos šīs procedūras posmos, var šo datu sasaistīšanas ceļā iespējami ļaut izdarīt precīzus secinājumus par šā subjekta privāto dzīvi. Tāpēc tādā procedūrā kā pamatlietā aplūkotā pakāpeniskās reakcijas procedūra valsts tiesiskajā regulējumā ir arī jāparedz, ka noteiktā šīs procedūras posmā tiesai vai neatkarīgai administratīvai iestādei ir jāveic iepriekšēja pārbaude, kas atbilst šā sprieduma 125.–127. punktā atgādinātajiem nosacījumiem, lai izslēgtu iespēju, ka notiek nesamērīga iejaukšanās datu subjekta pamattiesībās uz privātās dzīves un personas datu aizsardzību. Tas nozīmē, ka praksē šādai pārbaudei jānotiek, pirms Hadopi var IP adresei piesaistītos un no elektronisko komunikāciju pakalpojumu sniedzēja iegūtos personas, kurai jau ir izsniegti divi ieteikumi, identitātes datus sasaistīt ar datni, kas attiecas uz darbu, kas publiskots internetā tālab, lai citas personas to varētu lejupielādēt. Līdz ar to minētajai pārbaudei ir jānotiek pirms CPI R. 331‑40. pantā paredzētās paziņojuma vēstules nosūtīšanas, kurā ir konstatēts, ka šī persona ir iesaistījusies nodarījumos, kas iespējami kvalificējami kā kriminālpārkāpums rupjas neuzmanības dēļ. Tikai pēc tiesas vai neatkarīgas administratīvas iestādes iepriekšējas pārbaudes un saņēmusi šīs tiesas vai iestādes atļauju, Hadopi var nosūtīt šādu vēstuli un pēc tam vajadzības gadījumā vērsties prokuratūrā, lai uzsāktu kriminālvajāšanu par šo noziedzīgo nodarījumu.
142 Hadopi ir jābūt iespējai identificēt gadījumus, kuros attiecīgās IP adreses īpašnieks sasniedz šo šādas pakāpeniskās reakcijas procedūras trešo posmu. Līdz ar to šī procedūra ir jāorganizē un jāstrukturē tā, lai personas, kas ir atbildīgas par faktu pārbaudi Hadopi, automātiski nevarētu personas identitātes datus, kas piesaistīti IP adresēm, kuras iepriekš ievāktas internetā un iegūtas no elektronisko komunikāciju pakalpojumu sniedzējiem, sasaistīt ar datnēm, kurās ir informācija, kas ļauj uzzināt to aizsargāto darbu nosaukumus, kuru publiskošana internetā ir attaisnojusi šo datu ievākšanu.
143 Tādējādi šī pakāpeniskās reakcijas trešā posma vajadzībām veicamā sasaistīšana ir jāaptur, ja minēto personas identitātes datu vākšana apstākļos, kad autortiesības vai blakustiesības pārkāpjoša darbība ir iespējami atkārtota otrreiz, padara piemērojamu šā sprieduma 141. punktā aprakstīto prasību par tiesas vai neatkarīgas administratīvās iestādes veicamu iepriekšēju pārbaudi.
144 Turklāt tas, ka šā sprieduma 141.–143. punktā izklāstītā prasība par iepriekšēju pārbaudi ir attiecināma tikai uz minētās pakāpeniskās reakcijas procedūras trešo posmu un nav piemērojama šīs procedūras iepriekšējiem posmiem, arī ļauj ņemt vērā argumentu, ka ir jānodrošina praktiskums šai procedūrai, kuru it īpaši tās posmos pirms iespējamās paziņojuma vēstules nosūtīšanas un attiecīgi – vēršanās prokuratūrā raksturo apstāklis, ka publiskās iestādes piekļuves pieteikumu skaits ir milzīgs, jo tikpat milzīgs ir arī tiesību īpašnieku organizāciju tai iesniegto protokolu skaits.
145 Vēl attiecībā uz šā sprieduma 141.–143. punktā minētās iepriekšējās pārbaudes priekšmetu no minētā sprieduma 95. un 96. punktā atgādinātās judikatūras izriet, ka gadījumos, kad attiecīgā persona tiek turēta aizdomās par to, ka tā ir izdarījusi CPI R. 335‑5. pantā definēto “rupjas neuzmanības” nodarījumu, kas ir piederīgs vispārīgiem noziedzīgiem nodarījumiem, tiesai vai neatkarīgajai administratīvai iestādei, kas ir atbildīga par šo pārbaudi, ir jāatsaka piekļuve, ja šī piekļuve ļautu to pieprasījušajai publiskajai iestādei izdarīt precīzus secinājumus par minētās personas privāto dzīvi.
146 Savukārt pat tāda piekļuve, kas sniedz iespēju izdarīt šādus precīzus secinājumus, būtu jāatļauj gadījumos, kad pierādījumi, kas darīti zināmi šai tiesai vai neatkarīgai administratīvai iestādei, pamato aizdomas, ka datu subjekts ir izdarījis CPI L. 335‑2. pantā vai šā kodeksa L. 335‑4. pantā paredzēto pārkāpumu, ņemot vērā, ka dalībvalsts var uzskatīt, ka šāds noziedzīgs nodarījums, ciktāl tas apdraud sabiedrības pamatintereses, ir pieskaitāms smagai noziedzībai.
147 Visbeidzot, attiecībā uz šīs iepriekšējās pārbaudes kārtību Francijas valdība uzskata, ka, ņemot vērā Hadopi piekļuves attiecīgajiem datiem īpašās iezīmes, it īpaši tās vērienīgumu, būtu pienācīgi, ka iepriekšēja pārbaude, ja tā tiktu prasīta, būtu pilnībā automatizēta. Proti, šādai gluži objektīvajai pārbaudei esot jābūt būtībā vērstai uz to, lai pārliecinātos, ka protokols, ar kuru notiek vēršanās Hadopi, ietver visu vajadzīgo informāciju un datus, bez vajadzības šai iestādei šo informāciju vai datus izvērtēt.
148 Tomēr iepriekšēja pārbaude nekādā gadījumā nedrīkst būt pilnībā automatizēta, jo, kā izriet no šā sprieduma 125. punktā atgādinātās judikatūras, kriminālizmeklēšanas gadījumā šādai pārbaudei katrā ziņā ir vajadzīgs, lai attiecīgā tiesa vai neatkarīgā administratīvā iestāde varētu nodrošināt taisnīgu līdzsvaru starp leģitīmajām interesēm, kas saistītas ar izmeklēšanas vajadzībām noziedzības apkarošanas jomā, no vienas puses, un to personu pamattiesībām uz privātās dzīves neaizskaramību un personas datu aizsardzību, kuru datus skar piekļuve, no otras puses.
149 Proti, šādai dažādo attiecīgo leģitīmo interešu un tiesību samērošanai ir vajadzīga fiziskas personas iesaistīšanās, kura ir vēl jo vairāk nepieciešama tāpēc, ka attiecīgās datu apstrādes automātiskums un plašais vēriens rada privātās dzīves aizskāruma riskus.
150 Turklāt ar pilnībā automatizētu pārbaudi principā nav iespējams nodrošināt, ka piekļuve nepārsniedz absolūti nepieciešamā robežas un ka personām, kuru personas dati tiek skarti, ir efektīvas garantijas pret ļaunprātīgas izmantošanas riskiem, kā arī pret jebkādu nelikumīgu piekļuvi šiem datiem un šo datu nelikumīgu izmantošanu.
151 Tādējādi, lai gan automatizētas pārbaudes var ļaut pārbaudīt noteiktu tiesību īpašnieku organizāciju protokolos ietverto informāciju, šādām pārbaudēm katrā ziņā ir jānotiek apvienojumā ar fizisku personu veiktām pārbaudēm, kuras pilnībā atbilst šā sprieduma 125.–127. punktā atgādinātajām prasībām.
Par prasībām saistībā ar materiāltiesiskajiem un procesuālajiem nosacījumiem, kā arī ar garantijām pret ļaunprātīgas izmantošanas riskiem un pret jebkādu nelikumīgu piekļuvi šiem datiem un šo datu nelikumīgu izmantošanu, kurām ir pakārtojama publiskas iestādes piekļuve IP adresei piesaistītajiem personas identitātes datiem
152 No Tiesas judikatūras izriet, ka piekļuve personas datiem var būt atbilstīga samērīguma prasībai, kas noteikta Direktīvas 2002/58 15. panta 1. punktā, tikai tad, ja leģislatīvajā pasākumā, kas to atļauj, ar skaidriem un precīziem noteikumiem ir paredzēts, ka minētā piekļuve ir pakārtota piemērojamo materiāltiesisko un procesuālo nosacījumu ievērošanai un ka datu subjektiem ir efektīvas garantijas pret ļaunprātīgas vai nelikumīgas piekļuves šiem datiem un šo datu ļaunprātīgas vai nelikumīgas izmantošanas riskiem (šajā nozīmē skat. spriedumu, 2020. gada 6. oktobris, La Quadrature du Net u.c., C‑511/18, C‑512/18 un C‑520/18, EU:C:2020:791, 132. un 173. punkts, kā arī 2021. gada 2. marts, Prokuratuur (Piekļuves elektronisko komunikāciju datiem nosacījumi), C‑746/18, EU:C:2021:152, 49. punkts un tajā minētā judikatūra).
153 Kā uzsvērusi Tiesa, šādu garantiju nepieciešamība ir vēl jo svarīgāka situācijā, kad personas dati tiek apstrādāti automātiski (spriedums, 2020. gada 16. jūlijs, Facebook Ireland un Schrems, C‑311/18, EU:C:2020:559, 176. punkts, kā arī tajā minētā judikatūra).
154 Šajā ziņā, atbildot uz jautājumu, ko Tiesa uzdeva 2022. gada 5. jūlija tiesas sēdes vajadzībām, Francijas valdība apstiprināja, kā tas turklāt ir norādīts CPI L. 331‑29. pantā, ka Hadopi piekļuve personas identitātes datiem pakāpeniskās reakcijas procedūras ietvaros balstās uz būtībā automatizētu datu apstrādi, kas ir izskaidrojama ar tiesību īpašnieku organizāciju konstatēto vienādranga tīklos izdarīto intelektuālā īpašuma tiesību pārkāpumu, par kuriem Hadopi tiek ziņots protokolu veidā, masveidīgumu.
155 It īpaši no Tiesas rīcībā esošajiem lietas materiāliem izriet, ka šīs datu apstrādes gaitā Hadopi amatpersonas – galvenokārt automatizēti un neizvērtējot attiecīgos faktus kā tādus – pārbauda, vai tai iesniegtajos protokolos ir ietverta visa Dekrēta Nr. 2010‑236 pielikuma 1. punktā minētā informācija un dati, it īpaši par nelikumīgās publiskošanas internetā faktiskajiem apstākļiem un tālab izmantotajām IP adresēm. Savukārt šādai apstrādei ir jānotiek apvienojumā ar fizisku personu veiktām pārbaudēm.
156 Tā kā šāda automatizētā apstrāde var ietvert zināmu skaitu kļūdaini pozitīvu rezultātu, kā arī it īpaši risku, ka trešās personas ļaunprātīgos vai nelikumīgos nolūkos prettiesiski izmantos potenciāli ļoti lielu skaitu personas datu, ir svarīgi, lai saskaņā ar leģislatīvo pasākumu publiskas iestādes izmantoto datu apstrādes sistēmu regulāri uzraudzītu ar šo iestādi nesaistīta neatkarīga struktūra, lai pārbaudītu sistēmas integritāti, tostarp to, vai tajā ir paredzētas efektīvas garantijas pret ļaunprātīgas izmantošanas riskiem, kā arī pret jebkādu nelikumīgu piekļuvi šiem datiem un šo datu nelikumīgu izmantošanu, kuras šai sistēmai jānodrošina, kā arī tās efektivitāti un uzticamību tādu pārkāpumu konstatēšanai, kas atkārtotības gadījumos kvalificējami kā rupja neuzmanība vai intelektuālā īpašuma tiesību pārkāpums.
157 Visbeidzot jāpiebilst, ka tādai publiskas iestādes veiktai personas datu apstrādei kā tā, kuru veic Hadopi pakāpeniskās reakcijas procedūras ietvaros, ir jāatbilst īpašajiem šo datu aizsardzības noteikumiem, kas paredzēti Direktīvā 2016/680, kuras mērķis saskaņā ar tās 1. pantu ir paredzēt noteikumus par fizisko personu aizsardzību attiecībā uz personas datu apstrādi, ko kompetentās iestādes veic, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.
158 Proti, šajā gadījumā, pat ja saskaņā ar piemērojamajām valsts tiesībām Hadopi nav pašai savu lēmumpieņemšanas pilnvaru, situācijā, kad tā apstrādā personas datus pakāpeniskās reakcijas procedūras ietvaros un veic tādus pasākumus kā ieteikuma nosūtīšana datu subjektam vai viņa informēšana par to, ka par attiecīgajiem nodarījumiem ir veicama kriminālvajāšana, Hadopi ir kvalificējama kā “publiska iestāde” Direktīvas 2016/680 3. panta izpratnē, kas iesaistīta noziedzīgu nodarījumu, proti, rupjas neuzmanības formā esoša kriminālpārkāpuma vai noziedzīga nodarījuma intelektuālā īpašuma pārkāpumu jomā, novēršanā un atklāšanā un tādējādi saskaņā ar šīs direktīvas 1. pantu ietilpst tās piemērošanas jomā.
159 Šajā ziņā Francijas valdība, atbildot uz Tiesas 2022. gada 5. jūlija tiesas sēdes vajadzībām uzdoto jautājumu, norādīja, ka, tā kā pasākumi, ko, īstenojot pakāpeniskās reakcijas procedūru, veic Hadopi, “pēc sava rakstura ir ar tiesvedību tieši saistīti pirmskriminālprocesuāli pasākumi” (“ayant un caractère pré‑pénal directement lié à la procédure judiciaire”), darbu aizsardzībai internetā veicamo pasākumu pārvaldības sistēma, ko īsteno Hadopi – kā izriet no iesniedzējtiesas judikatūras – ir piemērojamas valsts tiesību normas, ar kurām paredzēts transponēt Direktīvu 2016/680.
160 Šāda Hadopi veiktā datu apstrāde savukārt neietilpst VDAR piemērošanas jomā. Proti, VDAR 2. panta 2. punkta d) apakšpunkts noteic, ka šo regulu nepiemēro personas datu apstrādei, ko veic kompetentas iestādes, lai novērstu, izmeklētu, atklātu noziedzīgus nodarījumus vai sauktu pie atbildības par tiem, vai izpildītu kriminālsodus, tostarp lai pasargātu no draudiem sabiedriskajai drošībai un tos novērstu.
161 Kā 2022. gada 27. oktobra secinājumu 104. punktā norāda ģenerāladvokāts, tā kā Hadopi pakāpeniskās reakcijas procedūrā tādējādi ir jāievēro Direktīva 2016/680, šādā procedūrā iesaistītajām personām ir jāsaņem visas materiāltiesiskās un procesuālās garantijas, kas ietver tiesības piekļūt Hadopi apstrādātajiem personas datiem, panākt to labošanu un dzēšanu, kā arī iespēja iesniegt sūdzību neatkarīgai uzraudzības iestādei un vajadzības gadījumā izmantot tiesiskās aizsardzības līdzekļus saskaņā ar vispārējo tiesību nosacījumiem.
162 Šajā kontekstā no pamatlietā aplūkotajiem valsts tiesību aktiem izriet, ka pakāpeniskās reakcijas procedūrā, konkrēti – nosūtot otro ieteikumu un pēc tam informējot, ka konstatētie fakti var būt kvalificējami kā noziedzīgs nodarījums, šo paziņojumu adresātam ir noteiktas procesuālās garantijas, piemēram, tiesības iesniegt apsvērumus, tiesības saņemt precizējumus par tam pārmesto pārkāpumu, kā arī – attiecībā uz minēto paziņošanu – tiesības lūgt uzklausīšanu un izmantot advokāta palīdzību.
163 Katrā ziņā to, vai šajos valsts tiesību aktos ir paredzētas visas Direktīvā 2016/680 prasītās materiāltiesiskās un procesuālās garantijas, pārbauda iesniedzējtiesa.
164 Ņemot vērā visus iepriekš izklāstītos apsvērumus, uz trim prejudiciālajiem jautājumiem ir atbildams, ka Direktīvas 2002/58 15. panta 1. punkts, lasot to Hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā, ir jāinterpretē tādējādi, ka tam nav pretrunā tāds valsts tiesiskais regulējums, ar kuru publiskajai iestādei, kas ir atbildīga par autortiesību un blakustiesību aizsardzību pret internetā izdarītajiem šo tiesību pārkāpumiem, ir atļauts piekļūt publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem personas identitātes datiem, kas piesaistīti tiesību īpašnieku organizāciju iepriekš ievāktām IP adresēm, tālab, lai šī iestāde varētu identificēt šo adrešu – kas izmantotas darbībām, kuras iespējami kvalificējamas kā šādi pārkāpumi – īpašniekus un vajadzības gadījumā attiecībā uz viņiem veikt pasākumus, ja vien saskaņā ar šo tiesisko regulējumu
– šie dati tiek glabāti tādos apstākļos un ar tādiem tehniskiem līdzekļiem, kas nodrošina, ka tiek izslēgts, ka šī glabāšana ļauj izdarīt precīzus secinājumus par šo adrešu īpašnieku privāto dzīvi, piemēram, izveidojot viņu detalizētu profilu; un tas it īpaši var tikt panākts, nosakot elektronisko komunikāciju pakalpojumu sniedzējiem pienākumu glabāt dažādu kategoriju personas datus, piemēram, personas identitātes datus, IP adreses, kā arī informāciju par datu plūsmu un atrašanās vietas datus tā, lai tiktu garantēta šo dažādo datu kategoriju faktiska izolētība, kas glabāšanas posmā liedz jebkādu šo dažādo kategoriju datu kombinētu izmantošanu, un darot to uz laiku, kas nepārsniedz absolūti nepieciešamo;
– šīs publiskās iestādes piekļuve šādiem nošķirti un faktiski izolēti glabātiem datiem kalpo vienīgi tam, lai identificētu personu, kas tiek turēta aizdomās par noziedzīga nodarījuma izdarīšanu, un tiek nodrošinātas nepieciešamās garantijas, lai izslēgtu, ka, izņemot netipiskas situācijas, šī piekļuve varētu ļaut izdarīt precīzus secinājumus par IP adrešu īpašnieku privāto dzīvi, piemēram, izveidojot viņu detalizētu profilu; un tas it īpaši nozīmē, ka šīs iestādes amatpersonām, kurām ir atļauta šāda piekļuve, ir aizliegts izpaust informāciju par šo īpašnieku apmeklēto datņu saturu – izņemot vienīgi tad, ja tas tiek darīts, lai vērstos prokuratūrā –, izsekot šo īpašnieku tīklklejošanu un, vispārīgāk, izmantot šīs IP adreses kādam citam mērķim, kas nav šo adrešu īpašnieku identificēšana nolūkā attiecībā uz tiem iespējami veikt pasākumus;
– iespēja personām, kurām minētajā publiskajā iestādē ir jāpārbauda fakti, sasaistīt šādus datus ar datnēm, kurās ir informācija, kas ļauj uzzināt to aizsargāto darbu nosaukumu, kuru publiskošana internetā ir attaisnojusi tiesību īpašnieku organizāciju veikto IP adrešu ievākšanu, ir pakārtota – gadījumā, kad viena un tā pati persona atkārtoti veic darbību, ar kuru tiek pārkāptas autortiesības vai blakustiesības – tiesas vai neatkarīgas administratīvas iestādes veiktai pārbaudei, kas nevar būt pilnībā automatizēta un kurai jānotiek pirms šādas sasaistīšanas, jo šī sasaistīšana šādos gadījumos var ļaut izdarīt precīzus secinājumus par minētās personas, kuras IP adrese ir tikusi izmantota darbībām, ar kurām iespējami pārkāptas autortiesības vai blakustiesības, privāto dzīvi;
– publiskās iestādes izmantoto datu apstrādes sistēmu regulāri uzrauga ar minēto publisko iestādi nesaistīta neatkarīga struktūra, lai pārbaudītu sistēmas integritāti, tostarp to, vai tajā ir paredzētas efektīvas garantijas pret ļaunprātīgas vai nelikumīgas piekļuves šiem datiem un šo datu ļaunprātīgas vai nelikumīgas izmantošanas riskiem, kā arī tās efektivitāti un uzticamību iespējamo pārkāpumu konstatēšanai.
Par tiesāšanās izdevumiem
165 Attiecībā uz pamatlietas pusēm šī tiesvedība izriet no tiesvedības, kas notiek iesniedzējtiesā, tāpēc tā lemj par tiesāšanās izdevumiem. Izdevumi, kas radušies, iesniedzot apsvērumus Tiesai, un kas nav minēto pušu izdevumi, nav atlīdzināmi.
Ar šādu pamatojumu Tiesa (plēnums) nospriež:
Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), redakcijā ar grozījumiem, kas tajā izdarīti ar Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvu 2009/136/EK, 15. panta 1. punkts, lasot to Eiropas Savienības Pamattiesību hartas 7., 8. un 11. panta, kā arī 52. panta 1. punkta gaismā,
ir jāinterpretē tādējādi, ka
tam nav pretrunā tāds valsts tiesiskais regulējums, ar kuru publiskajai iestādei, kas ir atbildīga par autortiesību un blakustiesību aizsardzību pret internetā izdarītajiem šo tiesību pārkāpumiem, ir atļauts piekļūt publiski pieejamu elektronisko komunikāciju pakalpojumu sniedzēju glabātajiem personas identitātes datiem, kas piesaistīti tiesību īpašnieku organizāciju iepriekš ievāktām IP adresēm, tālab, lai šī iestāde varētu identificēt šo adrešu – kas izmantotas darbībām, kuras iespējami kvalificējamas kā šādi pārkāpumi – īpašniekus un vajadzības gadījumā attiecībā uz viņiem veikt pasākumus, ja vien saskaņā ar šo tiesisko regulējumu
– šie dati tiek glabāti tādos apstākļos un ar tādiem tehniskiem līdzekļiem, kas nodrošina, ka tiek izslēgts, ka šī glabāšana ļauj izdarīt precīzus secinājumus par šo adrešu īpašnieku privāto dzīvi, piemēram, izveidojot viņu detalizētu profilu; un tas it īpaši var tikt panākts, nosakot elektronisko komunikāciju pakalpojumu sniedzējiem pienākumu glabāt dažādu kategoriju personas datus, piemēram, personas identitātes datus, IP adreses, kā arī informāciju par datu plūsmu un atrašanās vietas datus tā, lai tiktu garantēta šo dažādo datu kategoriju faktiska izolētība, kas glabāšanas posmā liedz jebkādu šo dažādo kategoriju datu kombinētu izmantošanu, un darot to uz laiku, kas nepārsniedz absolūti nepieciešamo;
– šīs publiskās iestādes piekļuve šādiem nošķirti un faktiski izolēti glabātiem datiem kalpo vienīgi tam, lai identificētu personu, kas tiek turēta aizdomās par noziedzīga nodarījuma izdarīšanu, un tiek nodrošinātas nepieciešamās garantijas, lai izslēgtu, ka, izņemot netipiskas situācijas, šī piekļuve varētu ļaut izdarīt precīzus secinājumus par IP adrešu īpašnieku privāto dzīvi, piemēram, izveidojot viņu detalizētu profilu; un tas it īpaši nozīmē, ka šīs iestādes amatpersonām, kurām ir atļauta šāda piekļuve, ir aizliegts izpaust informāciju par šo īpašnieku apmeklēto datņu saturu – izņemot vienīgi tad, ja tas tiek darīts, lai vērstos prokuratūrā –, izsekot šo īpašnieku tīklklejošanu un, vispārīgāk, izmantot šīs IP adreses kādam citam mērķim, kas nav šo adrešu īpašnieku identificēšana nolūkā attiecībā uz tiem iespējami veikt pasākumus;
– iespēja personām, kurām minētajā publiskajā iestādē ir jāpārbauda fakti, sasaistīt šādus datus ar datnēm, kurās ir informācija, kas ļauj uzzināt to aizsargāto darbu nosaukumu, kuru publiskošana internetā ir attaisnojusi tiesību īpašnieku organizāciju veikto IP adrešu ievākšanu, ir pakārtota – gadījumā, kad viena un tā pati persona atkārtoti veic darbību, ar kuru tiek pārkāptas autortiesības vai blakustiesības – tiesas vai neatkarīgas administratīvas iestādes veiktai pārbaudei, kas nevar būt pilnībā automatizēta un kurai jānotiek pirms šādas sasaistīšanas, jo šī sasaistīšana šādos gadījumos var ļaut izdarīt precīzus secinājumus par minētās personas, kuras IP adrese ir tikusi izmantota darbībām, ar kurām iespējami pārkāptas autortiesības vai blakustiesības, privāto dzīvi;
– publiskās iestādes izmantoto datu apstrādes sistēmu regulāri uzrauga ar minēto publisko iestādi nesaistīta neatkarīga struktūra, lai pārbaudītu sistēmas integritāti, tostarp to, vai tajā ir paredzētas efektīvas garantijas pret ļaunprātīgas vai nelikumīgas piekļuves šiem datiem un šo datu ļaunprātīgas vai nelikumīgas izmantošanas riskiem, kā arī tās efektivitāti un uzticamību iespējamo pārkāpumu konstatēšanai.
[Paraksti]