Ideiglenes változat
MACIEJ SZPUNAR
FŐTANÁCSNOK INDÍTVÁNYA
Az ismertetés napja: 2023. szeptember 28.(1)
C‑470/21. sz. ügy
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
kontra
Premier ministre,
Ministère de la Culture
(a Conseil d’État [államtanács, Franciaország] által benyújtott előzetes döntéshozatal iránti kérelem)
„Előzetes döntéshozatal – Az elektronikus hírközlési ágazatban a személyes adatok kezelése és a magánélet védelme – 2002/58/EK irányelv – A 15. cikk (1) bekezdése – A tagállamok bizonyos jogok és kötelezettségek terjedelmének korlátozására vonatkozó lehetősége – Bíróság vagy kötelező erejű hatáskörrel rendelkező, független közigazgatási szerv általi előzetes felülvizsgálatra vonatkozó kötelezettség – Az IP‑címnek megfelelő, személyazonosságra vonatkozó adatok”
I. Bevezetés
1. A nagytanácsnak a Bíróság eljárási szabályzata 60. cikkének (3) bekezdése alapján előterjesztett kérelmére a Bíróság 2023. március 7‑én úgy határozott, hogy a jelen ügyet a teljes ülés elé utalja.
2. A Bíróság (teljes ülés) 2023. március 23‑i végzésével úgy határozott, hogy az eljárás szóbeli szakaszát újra megnyitja, és felhívja az Európai Unió Bírósága alapokmányának 23. cikkében említett érdekelt feleket, az Európai Adatvédelmi Biztost (EDPS) és az Európai Uniós Kiberbiztonsági Ügynökséget (ENISA), hogy újabb tárgyaláson vegyenek részt.
3. 2022. október 27‑én, az eljárás szóbeli szakaszának lezárása előtt nyújtottam be ezen ügyben az első indítványomat. Ez az új indítvány tehát lehetőséget nyújt számomra arra, hogy bővebben kifejtsem az ebben az ügyben előadott érvelésem bizonyos elemeit, amely ügy a személyes adatok tárolásával és a személyes adatokhoz való hozzáféréssel kapcsolatos kulcsfontosságú kérdéseket érint.
II. Jogi háttér
A. Az uniós jog
4. A 2002/58/EK irányelv(2) (2), (6), (7), (11), (22), (26) és (30) preambulumbekezdése a következőképpen szól:
„(2) Ennek az irányelvnek a célja az alapvető jogok tiszteletben tartása, és ez az irányelv figyelembe veszi különösen az Európai Unió alapjogi chartájában [(a továbbiakban: Charta)] elismert elveket. Ennek az irányelvnek célja különösen az említett [C]harta 7. és 8. cikkében megállapított jogok teljes tiszteletben tartásának biztosítása.
[…]
(6) Az Internet felborítja a hagyományos piaci struktúrákat azáltal, hogy közös, világméretű infrastruktúrát biztosít az elektronikus hírközlési szolgáltatások széles körének szolgáltatásához. Az Interneten keresztül nyilvánosan elérhető elektronikus hírközlési szolgáltatások új lehetőségeket jelentenek a felhasználók számára, de egyben új veszélyeket is rejtenek személyes adataik és a magánélet tiszteletben tartásához való joguk vonatkozásában.
(7) A nyilvános hírközlő hálózatok esetében különös törvényi, rendeleti és műszaki rendelkezéseket kell megállapítani a természetes személyek alapvető jogainak és szabadságainak, valamint a jogi személyek jogos érdekeinek védelme érdekében, különösen az előfizetői és felhasználói adatok automatikus tárolását és feldolgozását [helyesen: kezelését] szolgáló növekvő kapacitásra tekintettel.
[…]
(11) A [95/46/EK(3)] irányelvhez hasonlóan, ez az irányelv nem szól a közösségi jog által nem szabályozott tevékenységekkel kapcsolatos alapvető jogok és szabadságok védelmének kérdéseiről. Ezáltal nem borítja fel a meglévő egyensúlyt az egyén magánélet tiszteletben tartásához való joga és a tagállamok azon lehetősége között, hogy a közbiztonság védelme, a nemzetvédelem, a nemzetbiztonság (beleértve a nemzetbiztonsági ügyekkel kapcsolatos tevékenységek tekintetében az állam gazdasági prosperitását), valamint a büntetőjogi szankciók végrehajtásának érdekében szükséges, az ezen irányelv 15. cikkének (1) bekezdésében említett intézkedéseket meghozzák. Következésképpen ez az irányelv nem érinti a tagállamok azon lehetőségét, hogy jogszerűen megfigyeljék az elektronikus közléseket, vagy – ha bármely említett cél érdekében szükséges – olyan egyéb intézkedéseket hozzanak, amelyek összhangban vannak az [1950. november 4‑én Rómában aláírt] emberi jogok és alapvető szabadságok védelméről szóló európai egyezménynek az Emberi Jogok Európai Bírósága által hozott határozatok szerint értelmezett szövegével. Az ilyen intézkedéseknek megfelelőnek, a tervezett céllal szigorúan arányosnak és egy demokratikus társadalomban szükségesnek kell lenniük, továbbá az ilyen intézkedésekre az Emberi jogok és alapvető szabadságok védelméről szóló európai egyezménnyel összhangban megfelelő garanciáknak kell vonatkozniuk.
[…]
(22) A közléseknek és az azokhoz kapcsolódó forgalmi adatoknak a felhasználókon kívüli személyek által történő vagy a felhasználók hozzájárulása nélkül történő tárolására vonatkozó tilalomnak nem célja, hogy ezeknek az adatoknak bármilyen automatikus, közbenső és átmeneti tárolását tiltsa, amennyiben az ilyen tárolásra kizárólag az elektronikus hírközlő hálózaton keresztül történő továbbítás céljával kerül sor, továbbá feltéve, hogy az adatot csak a továbbításhoz és a forgalomirányításhoz szükséges ideig tárolják, valamint a tárolás ideje alatt a bizalmas kezelés mindvégig garantált. […]
[…]
(26) Az elektronikus hírközlő hálózatokon kezelt, a csatlakozás létrejöttéhez és az adattovábbításhoz szükséges, előfizetőkre vonatkozó adatok természetes személyek magánéletére vonatkozó információkat tartalmaznak, és érintik azoknak a levéltitokhoz való jogát, illetve a jogi személyek jogos érdekeit. Az ilyen adatokat kizárólag a szolgáltatásnyújtáshoz szükséges mértékig lehet tárolni, a számlázás és az összekapcsolási díjak megfizetése céljából, és a tárolás csak korlátozott ideig tarthat. [Ezen adatok bármely további kezelése] kizárólag akkor engedélyezhető, ha a nyilvánosan elérhető elektronikus hírközlési szolgáltatások szolgáltatója az előfizetőt pontosan és teljeskörűen tájékoztatta arról, hogy milyen további adatfeldolgozást [helyesen: adatkezelést] kíván végezni, valamint arról, hogy az előfizetőnek joga van az ilyen adatfeldolgozáshoz [helyesen: adatkezeléshez] való hozzájárulást megtagadni és a hozzájárulását visszavonni, továbbá e tájékoztatás alapján az előfizető az adatfeldolgozáshoz [helyesen: adatkezeléshez] hozzájárult. […]
[…]
(30) Az elektronikus hírközlő hálózatok és elektronikus hírközlési szolgáltatások rendszereit úgy kell megtervezni, hogy a szükséges személyes adatok mennyisége szigorúan a minimálisra korlátozott legyen. […]”
5. Ezen irányelv „Fogalom‑meghatározások” című 2. cikke értelmében:
„[…]
Szintén alkalmazni kell a következő fogalom‑meghatározásokat:
a) »felhasználó«: a nyilvánosan elérhető elektronikus hírközlési szolgáltatást magáncéllal vagy üzleti céllal használó minden természetes személy, aki nem feltétlenül előfizetője az adott szolgáltatásnak;
b) »forgalmi adat«: egy közlésnek az elektronikus hírközlő hálózaton keresztül történő továbbítása vagy erre vonatkozó számlázás céljából kezelt minden adat;
c) »helymeghatározó adat«: egy nyilvánosan elérhető elektronikus hírközlési szolgáltatás felhasználója végberendezésének földrajzi helyzetét jelző, az elektronikus hírközlő hálózatban vagy elektronikus hírközlési szolgáltatás keretében kezelt minden adat;
d) »közlés«: valamely nyilvánosan elérhető elektronikus hírközlési szolgáltatás révén megvalósított adatcsere vagy ‑továbbítás véges számú felek között. Ez nem foglalja magában az elektronikus hírközlő hálózaton keresztül műsorterjesztési szolgáltatás részeként a nyilvánosságnak továbbított adatokat, kivéve, ha az adat az azt átvevő, azonosítható előfizetőhöz vagy felhasználóhoz kapcsolható.
[…]”
6. Az említett irányelv „Az érintett szolgáltatások” című 3. cikkének (1) bekezdésében a következőképpen rendelkezik:
„Ezt az irányelvet a Közösségben a nyilvánosan elérhető hírközlési szolgáltatások nyilvános hírközlő hálózaton – az adatgyűjtést és az azonosító eszközöket támogató nyilvános hírközlő hálózatokat is beleértve – történő nyújtásával összefüggő személyes adatok kezelésére kell alkalmazni.”
7. Ugyanezen irányelvnek „A közlések titkossága” címet viselő 5. cikke a következőképpen rendelkezik:
„(1) A tagállamok nemzeti jogszabályok révén biztosítják a nyilvános hírközlő hálózatok és a nyilvánosan elérhető elektronikus hírközlési szolgáltatások segítségével történő közlések és az azokra vonatkozó forgalmi adatok titkosságát. Különösen megtiltják a közlések és az azokra vonatkozó forgalmi adatok felhasználókon kívüli személyek által történő, az érintett felhasználó hozzájárulása nélküli meghallgatását, lehallgatását, tárolását vagy más módon történő elfogását vagy megfigyelését, kivéve, ha az ilyen személy a 15. cikk (1) bekezdésével összhangban jogszerűen jár el. Ez a bekezdés nem akadályozza a közlés továbbításához szükséges műszaki tárolást, a bizalmas adatkezelés elvének sérelme nélkül.
[…]
(3) A tagállamok gondoskodnak arról, hogy egy előfizető vagy felhasználó végberendezésében történő adattárolás, illetve az ott tárolt adatokhoz való hozzáférés csak azzal a feltétellel legyen megengedett, ha az érintett előfizető vagy felhasználó a [95/46] irányelvvel összhangban történő – többek között az adatkezelés céljairól szóló – egyértelmű és teljes körű tájékoztatás alapján ehhez előzetes hozzájárulását adta. Ez a rendelkezés nem akadályozza az olyan műszaki tárolást, illetve műszaki hozzáférést, amelynek kizárólagos célja az elektronikus hírközlő hálózaton keresztül történő közléstovábbítás, vagy amelyre az előfizető vagy felhasználó által kifejezetten kért, az információs társadalommal összefüggő szolgáltatás nyújtásához a szolgáltatónak feltétlenül szüksége van.”
8. A 2002/58 irányelv „Forgalmi adatok” című 6. cikke értelmében:
„(1) E cikk (2), (3) és (5) bekezdésének, valamint a 15. cikk (1) bekezdésének sérelme nélkül, az előfizetőkre és felhasználókra vonatkozó, a nyilvános hírközlő hálózat vagy nyilvánosan elérhető elektronikus hírközlési szolgáltatás nyújtója által feldolgozott [helyesen: kezelt] és tárolt forgalmi adatokat törölni kell, vagy anonimmé kell tenni, ha a közlés továbbításához ezek már nem szükségesek.
(2) Az előfizetői számlázás és az összekapcsolási díjak megállapítása céljából szükséges forgalmi adatok kezelhetők. Az ilyen adatkezelés kizárólag annak az időszaknak a végéig megengedett, ameddig a számla jogszerűen megtámadható, illetve a kifizetés követelhető.
[…]”
9. Ezen irányelv „A [95/46] irányelv egyes rendelkezéseinek alkalmazása” című 15. cikkének (1) bekezdésében kimondja:
„A tagállamok jogszabályi intézkedéseket fogadhatnak el az ezen irányelv 5. és 6. cikkében, 8. cikkének (1), (2), (3) és (4) bekezdésében, valamint 9. cikkében előírt jogok és kötelezettségek hatályának korlátozására vonatkozóan, ha az ilyen jellegű korlátozás – a [95/46] irányelv 13. cikkének (1) bekezdésében említettek szerint – egy demokratikus társadalomban szükséges, megfelelő és arányos intézkedésnek minősül a nemzetbiztonság (vagyis az állam biztonsága), a nemzetvédelem és a közbiztonság védelme érdekében, valamint a bűncselekmények, illetve az elektronikus hírközlési rendszer jogosulatlan használata megelőzésének, kivizsgálásának, felderítésének és üldözésének a biztosítása érdekében. E célból a tagállamok többek között jogszabályi intézkedéseket fogadhatnak el az adatoknak az e bekezdésben megállapított indokok alapján korlátozott ideig történő visszatartására [helyesen: megőrzésére] vonatkozóan. Az e bekezdésben említett valamennyi intézkedésnek összhangban kell lennie a közösségi jog általános elveivel, beleértve az Európai Unióról szóló szerződés 6. cikkének (1) és (2) bekezdésében említetteket.”
B. A francia jog
1. A code de la propriété intellectuelle (a szellemi tulajdonról szóló törvénykönyv)
10. A szellemi tulajdonról szóló törvénykönyv (a továbbiakban: CPI) alapeljárásra alkalmazandó változatának L. 331‑12. cikke előírja:
„Az Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (a művek internetes terjesztésével és a jogok védelmével foglalkozó főhatóság, Franciaország; a továbbiakban: Hadopi) független hatóság.”
11. A CPI L. 331‑13. cikke előírja:
„A [Hadopi] gondoskodik:
[…]
(2) Az [elektronikus hírközlő hálózatokon megtalálható, szerzői vagy szomszédos joggal védett művek és teljesítmények] védelméről az e jogokat érintő, – a nyilvános online hírközlési szolgáltatások nyújtására használt elektronikus hírközlő hálózatokon – elkövetett jogsértésekkel szemben; […]”
12. Ezen törvénykönyv L. 331‑15. cikke szerint:
„A [Hadopi] egy kollégiumból és egy jogvédő bizottságból áll. […]
[…]
A kollégium és a jogvédő bizottság tagjai hatáskörük gyakorlása során semmilyen hatóságtól nem kaphatnak utasítást.”
13. Az említett törvénykönyv L. 331‑17. cikke kimondja:
„A jogvédő bizottság feladata az L. 331‑25. cikkben előírt intézkedések megtétele.”
14. Ugyanezen törvénykönyv L. 331‑21. cikke szerint:
„A jogvédő bizottság hatáskörének gyakorlása céljából a [Hadopi] rendelkezésére állnak a [Hadopi] elnök[e] által a Conseil d’État (államtanács, Franciaország) véleményének kikérését követően hozott rendeletben meghatározott feltételek szerint felhatalmazott, felesketett köztisztviselők. […]
A jogvédő bizottság tagjai és az első bekezdésben említett tisztviselők kapják kézhez az L. 331‑24. cikkben megállapított módon az említett bizottsághoz címzett beadványokat. Elvégzik a tények vizsgálatát.
Az eljárás céljából bármilyen dokumentumot beszerezhetnek, adathordozótól függetlenül, beleértve code des postes et des communications électroniques (a postáról és az elektronikus hírközlésről szóló törvénykönyv) L. 34‑1. cikke szerinti elektronikus hírközlési szolgáltatók és a loi no 2004–575 du 21 juin 2004 pour la confiance dans l’économie numérique (a digitális gazdaságba vetett bizalomról szóló, 2004. június 21‑i 2004–575. sz. törvény) 6. cikke I. bekezdésének 1. és 2. pontjában említett szolgáltatók által megőrzött és kezelt adatokat.
Az előző bekezdésben említett dokumentumok másolatát is beszerezhetik.
Többek között az elektronikus hírközlési szolgáltatóktól beszerezhetik annak az előfizetőnek a személyazonosságát, postai címét, e‑mail címét és telefonszámát, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését védett művek vagy teljesítmények többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából a jogosultak engedélye nélkül használták […], amennyiben ilyen engedély szükséges.”
15. A CPI L. 331‑24. cikke előírja:
„A jogvédő bizottság az alábbi szervezetek által kijelölt, felesketett és meghatalmazott tisztviselők […] beadványai alapján jár el:
– a szabályszerűen létrehozott hivatásos jogvédő szervezetek;
– közös jogkezelő szervezetek;
– Centre national du cinéma et de l'image animée (nemzeti film‑ és mozgókép intézet, Franciaország).
A jogvédő bizottság az ügyész által hozzá eljuttatott információk alapján is eljárhat.
Nem kezdeményezhető előtte eljárás hat hónapnál régebben felmerült tények alapján.”
16. E törvénykönyvnek az úgynevezett „fokozatos válaszadási” eljárást szabályozó L. 331‑25. cikke szerint:
„Ha olyan tények jutnak a jogvédő bizottság tudomására, amelyek valószínűsíthetően a [CPI] L. 336‑3. cikkében meghatározott kötelezettség megszegését jelentik, […] ajánlást küldhet az előfizetőnek […], amelyben emlékezteti őt az L. 336‑3. cikk rendelkezéseire, felszólítja az ott meghatározott kötelezettség betartására, és figyelmezteti az L. 335‑7. és az L. 335‑7‑1. cikk alapján kiszabható szankciókra. Ez az ajánlás az előfizető számára egyben tájékoztatást nyújt az online kulturális tartalmak jogszerű szolgáltatásáról, a L. 336‑3. cikkben meghatározott kötelezettség megsértését megelőző biztonsági intézkedésekről, valamint a szerzői és szomszédos jogokat figyelmen kívül hagyó gyakorlatoknak a művészeti alkotótevékenység fennmaradását és a kulturális ágazat gazdasági helyzetét érintő veszélyeiről.
Amennyiben az első bekezdésben említett ajánlástól számított hat hónapon belül ismételten olyan tények merülnek fel, amelyek az L. 336‑3. cikkben meghatározott kötelezettség megsértését valószínűsítik, a bizottság elektronikus úton új ajánlást küldhet, amely az előző ajánlással megegyező információkat tartalmazza […]. Az ajánlást tértivevényes levéllel vagy bármely más, az ajánlás átadásának időpontját igazoló módon kell elküldeni.
Az e cikk alapján megfogalmazott ajánlásokban fel kell tüntetni azt a napot és időpontot, amikor az L. 336‑3. cikkben meghatározott kötelezettség megsértését valószínűsítő tényeket észlelték. Az ajánlások azonban nem tartalmazhatják a jogsértéssel érintett védett művek vagy teljesítmények tartalmát. Meg kell bennük jelölni azokat a telefonos, postai és elektronikus elérhetőségeket, amelyeken a címzett – ha kívánja – a jogvédő bizottságnál észrevételeket tehet, és – ha kifejezetten kéri – részleteket kaphat a feltételezett jogsértéssel érintett védett művek vagy teljesítmények tartalmáról.”
17. A törvénykönyv L. 331‑29. cikke kimondja:
„A [Hadopi] jogosult az ezen alszakasz szerinti eljárás tárgyát képező személyekre vonatkozó személyes adatok automatizált kezelésére.
Ezen adatkezelés célja az ebben az alszakaszban előírt intézkedéseknek, az összes kapcsolódó eljárási aktusnak, valamint a hivatásos jogvédő szervezetek és a közös jogkezelő szervek bírósági eljárás esetleges kezdeményezéséről való tájékoztatásával kapcsolatos eljárásoknak, valamint az L. 335‑7. cikk ötödik bekezdésében előírt értesítéseknek a jogvédő bizottság általi végrehajtása.
E cikk alkalmazásának részletes szabályait […] rendelet állapítja meg. A rendelet egyebek mellett a következőket határozza meg:
– a rögzített adatok kategóriái és megőrzési idejük;
– az ilyen adatok fogadására jogosult címzettek, különösen azok a személyek, akiknek feladata a nyilvános online hírközlési szolgáltatásokhoz való hozzáférés biztosítása;
– azok a feltételek, amelyek mellett az érdekelt személyek gyakorolhatják a rájuk vonatkozó adatokhoz való hozzáférés jogát a [Hadopinál] […]”
18. Ugyanezen törvénykönyv R. 331–37. cikke előírja:
„Az elektronikus hírközlési szolgáltatók […] és a szolgáltatók […], amennyiben szükséges, kötelesek – az L. 331‑29. cikkben említett, személyes adatok automatizált kezelésére szolgáló összeköttetés útján vagy a személyes adatok integritását és biztonságát biztosító adathordozó használatával – [a Décret n° 2010–236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331‑29 du code de la propriété intellectuelle dénommé »Système de gestion des mesures pour la protection des œuvres sur internet« (a szellemi tulajdonról szóló törvénykönyv L. 331‑29. cikke által engedélyezett, »Az internetes művek védelmét szolgáló intézkedések irányítási rendszere« néven ismert, a személyes adatok automatizált kezeléséről szóló, 2010. március 5‑i 2010–236. sz. rendelet, a továbbiakban: 2010. március 5‑i rendelet)(4)] mellékletének 2. pontjában említett személyes adatokat és információkat […] attól számított nyolc napon belül közölni, hogy a jogvédő bizottság továbbította annak az előfizetőnek az azonosításához szükséges technikai adatokat, akinek a nyilvános online hírközlési szolgáltatásokhoz való hozzáférését a jogtulajdonosok engedélye nélkül a védett művek vagy teljesítmények többszörözésére, megjelenítésére, hozzáférhetővé tételére vagy nyilvánossághoz közvetítésére használták.
[…]”
19. A CPI R. 335–5. cikke előírja:
„I.– Ötödik osztályú szabálysértések esetén előírt pénzbírsággal büntetendő súlyos gondatlanságnak minősül, ha a nyilvános online hírközlési szolgáltatásokhoz hozzáféréssel rendelkező személy jogos ok nélkül elköveti az alábbiakat, amennyiben a II. pontban meghatározott feltételek fennállnak:
1. Vagy nem hozott létre olyan eszközt, amely biztonságossá teszi ezt a hozzáférést;
2. Vagy nem járt el kellő gondossággal ezen eszközök alkalmazása során.
II.– Az I. pont rendelkezései csak akkor alkalmazhatók, ha a következő két feltétel teljesül:
1. Az L. 331‑25. cikk értelmében és az e cikkben előírt módon a hozzáférés jogosultjának a jogvédő bizottság azt ajánlotta, hogy a hozzáférés biztonságossá tételére olyan eszközt alkalmazzon, amely megakadályozza a hozzáférésnek a szerzői jog vagy szomszédos jog által védett művek vagy teljesítmények többszörözése, megjelenítése, hozzáférhetővé tétele vagy nyilvánossághoz közvetítése céljából, a jogosultak engedélye nélkül történő ismételt használatát […], amennyiben ilyen engedély szükséges;
2. A fenti ajánlás megtételét követő évben az ilyen hozzáférést ismét a II. pont 1. alpontjában említett célokra használják.”
20. E törvénykönyv L. 336‑3. cikke kimondja:
„A nyilvános online hírközlési szolgáltatásokhoz való hozzáférés jogosultja köteles biztosítani, hogy ezt a hozzáférést ne használják fel a szerzői jog vagy szomszédos jog által védett műveknek vagy teljesítményeknek a jogosultak engedélye nélkül történő többszörözésére, megjelenítésére, hozzáférhetővé tételére vagy nyilvánossághoz közvetítésére […], amennyiben ilyen engedély szükséges.
Az első bekezdésben meghatározott kötelezettségnek a hozzáférés jogosultja részéről történő elmulasztása nem vonja maga után az érintett személy büntetőjogi felelősségé.t […]”
2. A 2010. március 5‑i rendelet
21. A 2010. március 5‑i rendelet 1. cikke az alapügy tényállására alkalmazandó változatában a következőképpen rendelkezik:
„»Az internetes művek védelmét szolgáló intézkedések irányítási rendszere« megnevezésű adatkezelés célja az alábbiaknak a [Hadopi] jogvédő bizottsága által történő végrehajtása:
1. A [CPI] törvényi részének III. könyvében (III. cím, I. fejezet, 3. szakasz, 3. alszakasz) és ugyanezen törvénykönyv rendeleti részének III. könyvében (III. cím, I. fejezet, 2. szakasz, 2. alszakasz) előírt intézkedések;
2. Az ugyanezen törvénykönyv L. 335‑2., L. 335‑3., L. 335‑4. és R. 335–5. cikke szerinti bűncselekményeknek minősíthető tények alapján az ügyészség előtti eljárások megindítása, valamint a hivatásos jogvédő szervezeteknek és a közös jogkezelő szerveknek ezen eljárásokról való tájékoztatása;
[…]”
22. E rendelet 4. cikke kimondja:
„I.– A [Hadopi] elnöke által a [CPI] L. 331‑21. cikke alapján felhatalmazott, felesketett köztisztviselők, és az 1. cikkben említett jogvédő bizottság tagjai közvetlen hozzáféréssel rendelkeznek az e rendelet mellékletében említett személyes adatokhoz és információkhoz.
II.– A rendelet mellékletének 2. pontjában említett elektronikus hírközlési szolgáltatók és szolgáltatók tájékoztatást kapnak:
– az előfizető azonosításához szükséges műszaki adatokról;
– a [CPI] L. 331‑25. cikkében előírt ajánlásokról azzal a céllal, hogy azokat elektronikus úton megküldjék előfizetőiknek;
– az ügyész által a jogvédő bizottság tudomására hozott, a nyilvános online hírközlési szolgáltatáshoz való hozzáférés felfüggesztésére vonatkozó további szankciók végrehajtásához szükséges információkról.
III– A hivatásos jogvédő szervezetek és a közös jogkezelő szervek tájékoztatást kapnak arról, ha az ügyész előtt eljárást kezdeményeztek.
IV.– Az igazságügyi hatóságok tájékoztatást kapnak az [IPC] L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331–37, R. 331–38 és R. 335–5. cikke szerinti szabálysértéseket valószínűleg megvalósító tényállásokat megállapító jelentésekről.
A felfüggesztett büntetés végrehajtásáról tájékoztatni kell az automatizált bűnügyi nyilvántartást.”
23. A 2010. március 5‑i rendelet melléklete előírja:
„»Az internetes művek védelmét szolgáló intézkedések irányítási rendszere« néven ismert adatkezelés során rögzített személyes adatok és információk a következők:
1. A szabályszerűen létrehozott hivatásos jogvédő szervezetektől, a közös jogkezelő szervektől, a nemzeti film‑ és animációs művészeti központtól és az ügyészségtől származó személyes adatok és információk:
A [CPI] L. 336‑3. cikkében meghatározott kötelezettség megsértését valószínűsítő tények vonatkozásában:
A tények napja és időpontja;
Az érintett előfizetők IP‑címe;
A használt peer‑to‑peer protokoll;
Az előfizető által használt álnév;
A tények által érintett védett művekre vagy teljesítményekre vonatkozó információk;
A fájl neve az előfizető számítógépén (ha van ilyen);
Az az internetszolgáltató, amelynél a hozzáférésre előfizettek, vagy amely az IP technikai erőforrását biztosította.
[…]
2. Az előfizetőre vonatkozó azon személyes adatok és információk, amelyeket az elektronikus hírközlési szolgáltatók […] és szolgáltatók […] gyűjtöttek össze:
Családnév, utónevek;
Postacím és e‑mail címek;
Telefonos elérhetőségek;
Az előfizető telefonkészülékének helye;
Az internet‑hozzáférési szolgáltatást nyújtó szolgáltató, aki az 1. pontban említett, azon hozzáférést biztosító szolgáltató technikai erőforrásait használja, akivel az előfizető szerződést kötött; ügyiratszám;
a nyilvános online hírközlési szolgáltatáshoz való hozzáférés felfüggesztésének kezdete.
[…]”
3. Le code des postes et des communications électroniques (postai és elektronikushírközlési törvénykönyv)
24. A loi no 2021–998 du 30 juillet 2021 (2021. július 30‑i 2021–998. sz. törvény)(5) 17. cikkével módosított, postai és elektronikus hírközlési törvénykönyv (a továbbiakban: CPCE) L. 34‑1. cikke II bis bekezdésében előírja:
„[A]z elektronikus hírközlési szolgáltatók kötelesek megőrizni:
1. Büntetőeljárás, a közbiztonságot fenyegető veszélyek megelőzése és a nemzetbiztonság védelme céljából a felhasználó személyazonosságára vonatkozó információkat, a szerződés érvényességének lejártától számított ötéves időtartam végéig;
2. A jelen II bis bekezdés 1. pontjában meghatározott célokból a felhasználó által a szerződés megkötésekor vagy a fiók létrehozásakor megadott egyéb információkat, valamint a fizetéssel kapcsolatos információkat a szerződés érvényességének lejártától vagy a fiók megszüntetésétől számított egyéves időtartam végéig;
3. A súlyos bűncselekmények és a bűnözés elleni küzdelem, a közbiztonságot fenyegető súlyos veszélyek megelőzése és a nemzetbiztonság védelme céljából a csatlakozás forrásának azonosítását lehetővé tevő műszaki adatokat vagy a használt végberendezéssel kapcsolatos adatokat a csatlakozástól vagy a végberendezés használatától számított egyéves időtartam végéig.”
III. A Bíróság előtti eljárás
25. Az Európai Unió Bírósága alapokmányának 23. cikkében említett, az érdekelt feleknek címzett felhívásra az alapeljárás felperesei, a francia, a dán, az észt, az ír, a holland, a finn és a svéd kormány, valamint az Európai Bizottság válaszolt a Bíróság írásbeli kérdéseire.
26. A finn kormány kivételével ugyanezen felek, valamint a cseh, a spanyol, a ciprusi, a lett és a norvég kormány, az európai adatvédelmi biztos és az Európai Uniós Kiberbiztonsági Ügynökség részt vett a 2023. május 15‑én tartott tárgyaláson.
IV. Elemzés
27. Az első indítványomban az előzetes döntéshozatalra előterjesztett kérdések elemzése során azt javasoltam, hogy a Bíróság állapítsa meg, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az olyan nemzeti szabályozás, amely lehetővé teszi a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős közigazgatási hatóság – mint a Hadopi(6) –részére az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzését és az azokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja az említett címek azon jogosultjait, akik valószínűsíthetően felelősek az említett jogsértésekért, és adott esetben intézkedéseket hozhasson velük szemben, anélkül hogy e hozzáférést bíróság vagy független közigazgatási szerv előzetesen felülvizsgálná, feltéve, hogy ezek az adatok jelentik az egyetlen olyan nyomozati eszközt, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték.
28. A jelen indítványban a korábbi elemzésem egyes elemeinek és a 2023. május 15‑i tárgyaláson megvitatott kérdéseknek a részletezésére törekszem azon okok ismertetése céljából, amelyek miatt fenntartom mind az előzetes döntéshozatalra előterjesztett kérdésekre javasolt válaszomat, mind az ahhoz vezető érvelést.(7)
29. Konkrétabban bemutatom, hogy az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzésének és az azokhoz való hozzáférésnek az elkövetők azonosítása céljából történő, előzetes felülvizsgálat nélküli engedélyezése abban az esetben, ha ezek az adatok jelentik az egyetlen olyan nyomozati eszközt, amely lehetővé teszi az azonosítást, megfelel azoknak a követelményeknek, amelyeket a Bíróság a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott intézkedések vizsgálata során meghatározott (B. szakasz).
30. Ennek során hangsúlyozom, hogy ez a megoldás nem a Bíróság által a Tele2 Sverige és Watson és társai ítélet(8) valamint a La Quadrature du Net és társai ítélet(9) óta kialakított, az alapvető jogokat védő kötelező ítélkezési gyakorlattól való eltérést, hanem a Bíróság által lefektetett elvekkel összhangban álló szükséges fejlődést jelenti. Ez a különbségtétel nem pusztán szemantikai jellegű. Az általam javasolt megoldásnak nem az a célja, hogy megkérdőjelezze a meglévő ítélkezési gyakorlatot, hanem az, hogy bizonyos pragmatizmus nevében lehetővé tegye annak különleges és rendkívül szűken körülírt körülmények közötti kiigazítását (C. szakasz).
31. Az egyértelműség érdekében, és mivel a tárgyaláson elhangzott viták azt mutatták, hogy e tekintetben pontosításra van szükség, elemzésemet a Hadopi által működtetett fokozatos válaszadási mechanizmus működésének felidézésével kezdem (A. szakasz).
A. A Hadopi által működtetett fokozatos válaszadási mechanizmus
32. A Hadopi a szerzői és szomszédos jogoknak az e jogok tekintetében az interneten elkövetetett jogsértésekkel szembeni védelméért felelős közigazgatási hatóság. E célból bevezették az úgynevezett „fokozatos válaszadási mechanizmust”, amelynek végrehajtásával a Hadopi jogvédelmi bizottságát bízták meg.
33. E bizottság elé az ügyeket a jogtulajdonosok szervezetei terjesztik, amelyeken belül a ministre de la Culture (kulturális miniszter) által felesketett és meghatalmazott tisztviselők a peer‑to‑peer hálózatokon gyűjtik azon internetfelhasználók IP‑címeit, akik a műveket a jogtulajdonosok engedélye nélkül teszik hozzáférhetővé a nyilvánosság számára. Ezt követően hivatalos jelentések készülnek. Ezek többek között az említett szerzői jogi jogsértések elkövetéséhez használt internet‑hozzáférés IP‑címét, a megállapított jogsértés dátumát és időpontját, valamint a szóban forgó mű címét tartalmazzák, és azokat továbbítják a Hadopi jogvédelmi bizottságának. E tekintetben hangsúlyozni kell, hogy – amint azt az európai adatvédelmi biztos is megjegyezte – a személyes adatoknak a jogtulajdonos szervezeteken belül működő tisztviselők általi kezelése a francia adatvédelmi felügyeleti hatóság, a Commission nationale de l’informatique et des libertés (CNIL) (adatvédelmi hatóság, Franciaország) engedélyéhez kötött.(10)
34. A jegyzőkönyvek kézhezvételét, és annak automatikus ellenőrzését követően, hogy e jegyzőkönyvek tartalmazzák‑e az összes szükséges adatot, a Hadopi jogvédelmi bizottsága az elektronikus hírközlési szolgáltatóktól beszerezheti a szerzőijogsértés elkövetéséhez használt előfizetés tulajdonosának személyazonosságára, postai címére, e‑mail címére és telefonos elérhetőségére vonatkozó adatokat.
35. A Hadopi ezután „ajánlást” küldhet az érintett személynek, amelyben tájékoztatja arról, hogy az internet‑hozzáférését szerzői jogot sértő módon használták, és felszólítja a szerzői vagy szomszédos jog által védett művek interneten történő tiszteletben tartására vonatkozó gondossági kötelezettség megszegésével gyanúsított személyt arra, hogy tegyen eleget e kötelezettségének. Más szóval az ajánlás címzettje az internet‑hozzáférés jogosultja, aki valójában eltérhet attól a személytől, aki a szerzői jogot megsértve hozzáférhetővé tette a művet. Amennyiben másodszor is megállapítják az ugyanezen internet‑hozzáférés révén történő jogsértést, egy második ajánlás is küldhető. További ismétlődések esetén a Hadopi jogvédelmi bizottsága úgy dönthet, hogy az ügyben büntetőeljárás lefolytatása céljából az ügyészséghez fordul. E tekintetben – amint arra a francia kormány az eredeti észrevételeiben rámutatott – a Hadopi fokozatos válaszadási mechanizmusért felelős tisztviselői a Hadopi elnöke által felesketett és felhatalmazott személyek, akiket szakmai titoktartás köt, és kizárólag ők azok, akik a Hadopin belül hozzáférhetnek az e mechanizmus keretében kezelt személyes adatokhoz.
36. E tekintetben meg kell jegyeznem, hogy a Hadopi számára gyűjtött és továbbított adatok nem a peer‑to‑peer hálózatok olyan felhasználóira vonatkoznak, akik csupán letöltik ezeket a tartalmakat,(11) hanem kizárólag azokra, akik a jogsértő tartalmat hozzáférhetővé tették, azaz feltöltötték.
37. Szemléltetésképpen: 2021‑ben a Hadopi közel négymillió bejelentést kapott a jogtulajdonos szervezetektől, 210 595 első ajánlást és 53 564 második ajánlást adott ki, és 1484 ügyet utalt az ügyészség elé.
38. Ezt követően bemutatom, hogy egy ilyen mechanizmus, amelynek előfeltétele az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok tárolása és az azokhoz való hozzáférés, véleményem szerint mennyiben felel meg a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott nemzeti intézkedésekre vonatkozó ítélkezési gyakorlatból eredő követelményeknek.
B. A Bíróságnak a 2002/58 irányelv 15. cikke (1) bekezdésének értelmezésére vonatkozó ítélkezési gyakorlatából eredő követelményeknek való megfelelés
39. Miután az első indítványomban már felidéztem a Bíróságnak a csatlakozási forráshoz hozzárendelt IP‑címek megőrzésével és az azokhoz való hozzáféréssel kapcsolatos ítélkezési gyakorlatát,(12) a jelen indítványban arra fogok összpontosítani, ami véleményem szerint az említett ítélkezési gyakorlat lényegét képezi, nevezetesen egyrészt az arányosság követelményére, másrészt pedig az említett adatokhoz való hozzáférés tekintetében a bíróság vagy egy független közigazgatási hatóság általi előzetes felülvizsgálat esetleges szükségességére.
1. A kérdéses intézkedés arányosságáról
40. Annak megállapítása érdekében, hogy az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzésére vagy az azokhoz való hozzáférésre vonatkozó intézkedés összeegyeztethető‑e az uniós joggal, – amint azt a Bíróság többször is hangsúlyozza – különböző jogos érdekeket és jogokat kell összeegyeztetni, amelyek egyrészt a magánélet védelméhez és a személyes adatok védelméhez fűződő,(13) a Charta 7. és 8. cikke által garantált jogok, másrészt a Charta 3., 4., 6. és 7. cikkében foglalt, másokat megillető jogok és szabadságok védelme.(14) Hozzátenném, hogy az általam vizsgált ügyben a magánélet védelméhez és a személyes adatok védelméhez való jogot össze kell egyeztetni a Charta 17. cikkében foglalt tulajdonhoz való joggal is, mivel a fokozatos válaszadási mechanizmus végső soron a szerzői és szomszédos jogok védelmét célozza.
41. E tekintetben a Bíróság megállapítja, hogy ez a 2002/58 irányelv 15. cikkének (1) bekezdése szerinti összeegyeztetés lehetővé teszi a tagállamok számára, hogy a titkosság elve alóli eltérést biztosító intézkedést fogadjanak el, ha az „egy demokratikus társadalomban szükséges, megfelelő és arányos” (kiemelés tőlem). Ezen irányelv (11) preambulumbekezdése pontosítja, hogy az ilyen jellegű intézkedésnek a tervezett céllal „szigorúan” arányosnak kell lennie(15)
42. A Bíróság egyébként a 2002/58 irányelv 15. cikke (1) bekezdésének értelmezésével kapcsolatos érvelése során mindvégig hivatkozik az arányosság elvére is, és így azt a személyes adatok megőrzésére vagy a személyes adatokhoz való hozzáférésre vonatkozó, e rendelkezés alapján hozott nemzeti intézkedések felülvizsgálatának alapkövévé teszi.
43. Ezen érvelés tüzetesebb átolvasása során kiderül, hogy az arányosság elve a 2002/58 irányelv 15. cikkének (1) bekezdésével összefüggésben különböző szempontokat tartalmaz, amelyek egyrészt a forgalmi adatok megőrzése vagy az azokhoz való hozzáférés által az alapvető jogokba való beavatkozás súlyosságára, másrészt pedig a szóban forgó intézkedés szükségességére vonatkoznak.
44. Ami az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok Hadopi általi megőrzését és az azokhoz való hozzáférését illeti, úgy vélem, hogy mind a beavatkozás súlyosságának, mind pedig ezen adatok nélkülözhetetlen jellegének arra kell késztetnie a Bíróságot, hogy módosítsa a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott nemzeti intézkedés arányosságának vizsgálatát.
a) Az alapvető jogokba való beavatkozás viszonylagos súlyossága
45. A Bíróság állandó ítélkezési gyakorlatából következik, hogy az arányosság elvének megfelelően a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott intézkedéssel elérni kívánt cél jelentőségének kapcsolatban kell állnia az abból eredő beavatkozás súlyosságával.(16)
46. Konkrétabban, a Bíróság úgy ítélte meg, hogy – amint azt első indítványomban is hangsúlyoztam – a súlyos beavatkozást a bűncselekmények megelőzésével, kivizsgálásával, felderítésével és üldözésével kapcsolatban csupán a szintén „súlyosnak” minősítendő bűncselekmények elleni harcra irányuló cél igazolhatja.(17)
47. Az IP‑címeket illetően a Bíróság rámutat arra, hogy bár a többi forgalmi adatnál kevésbé érzékenyek, tárolásuk és elemzésük mégis az alapvető jogok súlyos megsértését jelenti, mivel az internethasználó böngészési útvonalának kimerítő nyomon követésére használhatók, és ebből következően lehetővé teszik ez utóbbi részletes profiljának megállapítását, és pontos következtetések levonását a felhasználó magánéletére vonatkozóan.(18)
48. Az alapügyben az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok tárolásának és az azokhoz való hozzáférésnek a célja a szerzői és szomszédos jogok megsértése elleni küzdelem. Márpedig véleményem szerint egyértelmű, hogy ez a küzdelem nem tartozhat a súlyos bűncselekmények elleni küzdelem körébe, még akkor sem, ha e jogsértések tömeges jellegűek.(19) A szóban forgó intézkedés által az alapvető jogokba való beavatkozás súlyossága és az általa követett cél között tehát eltérés állt fenn.
49. Az első indítványomban a Bíróság ítélkezési gyakorlatával összhangban úgy véltem, hogy a Hadopinak az IP‑címnek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférése az alapvető jogokba való súlyos beavatkozásnak minősül. Bár azt is megállapítom, hogy az ilyen adatok megőrzését és az azokhoz való hozzáférést a jelen ügyben mégis engedélyezni kell, a tárgyalást követően számos további pontosítást kell tennem.
50. A fokozatos válaszadási mechanizmus lehetővé teszi a Hadopi számára, hogy összekapcsolja azon személyek jogtulajdonosi szervezetek által közölt IP‑címét, akiket azzal gyanúsítanak, hogy internet‑hozzáférésüket a szerzői jogoknak az említett személy személyazonossága felhasználásával peer‑to‑peer hálózaton történő megsértésére használták fel, és a szerzői jog megsértésével feltöltött fájl kivonatát. Amint arra a Bizottság és az európai adatvédelmi biztos a tárgyaláson rámutatott, bár az ilyen bizonyítékok minden bizonnyal több információt nyújtanak, mint az állítólagos jogsértő személyazonossága, nem vezetnek túl pontos következtetésekhez az adott személy magánéletére vonatkozóan. Ugyanis, amint azt az első indítványomban kifejtettem,(20) ez csak valamely tartalom egyszeri megtekintésének felfedéséről szól, amely önmagában véve nem teszi lehetővé az azt végző személy részletes profiljának megállapítását.
51. Ez annál is inkább így van, mivel először is a Hadopival közölt IP‑címek túlnyomó többsége úgynevezett „dinamikus” IP‑cím, amelyek természetüknél fogva változnak, és csak egyetlen időpontban, a szóban forgó tartalom rendelkezésre bocsátásával egy időben felelnek meg egy pontos személyazonosságnak. Ezért kizárják a kimerítő nyomon követést.
52. Ezután hangsúlyoznom kell, hogy véleményem szerint az alapvető jogok internetes védelme nem igazolhatja azt, hogy nem lehet kizárólag az IP‑címre, a mű tartalmára és a művet szerzői jogot sértő módon hozzáférhetővé tevő személy személyazonosságára vonatkozó adatokhoz hozzáférni, hanem kizárólag azt, hogy az ilyen adatok tárolását és az azokhoz való hozzáférést biztosítékokkal kell körülbástyázni. A való világgal való analógia e tekintetben beszédesnek tűnik számomra: egy lopás elkövetésével gyanúsított személy nem hivatkozhat a magánélet védelméhez való jogára annak érdekében, hogy az e bűncselekmény üldözésével megbízott személyek ne szerezzenek tudomást az ellopott tartalomról. Ezzel szemben e személy jogosan hivatkozhat alapvető jogaira annak érdekében, hogy az eljárás során megakadályozza az állítólagos jogsértés minősítéséhez szükségesnél szélesebb körű adatokhoz való hozzáférést.
53. Végül megjegyzem, hogy a felperesek állításával ellentétben úgy tűnik, hogy a fokozatos válaszadási mechanizmus nem foglalja magában a peer‑to‑peer hálózatok felhasználóinak általános felügyeletét. Ugyanis nem arról van szó, hogy egy adott hálózaton végzett összes tevékenységüket ellenőrzik annak megállapítása érdekében, hogy szerzői jogot sértő művet tettek‑e hozzáférhetővé, hanem arról, hogy egy jogsértőként azonosított fájl alapján meg kell határozni annak az internet‑hozzáférésnek a jogosultját, amelyről az internethasználó a művet hozzáférhetővé tette. Hasonlóképpen, amint azt az európai adatvédelmi biztos a tárgyaláson hangsúlyozta, nem a peer‑to‑peer hálózatok valamennyi felhasználója, csupán a jogsértő fájlokat feltöltő személyek tevékenységének ellenőrzéséről van szó, az ilyen fájlok feltöltése egyébként kevésbé világít rá az egyén magánéletére vonatkozó elemekre, mivel kizárólag annak lehetővé tételét szolgálja, hogy ezen internetfelhasználók később más fájlokat tölthessenek le.
54. Ilyen körülmények között úgy vélem, hogy azok az okok, amelyek miatt a Bíróság az IP‑címek megőrzését és az azokhoz való hozzáférést az alapvető jogokba való súlyos beavatkozásnak tekintette, nem vonatkoznak egy olyan fokozatos válaszadási mechanizmusra, mint amilyet a Hadopi működtet. Ebből következik, hogy az arányosság elvének vizsgálata során az ilyen megőrzéssel és hozzáféréssel járó beavatkozás súlyosságát némileg árnyalni kell.
55. Más szóval, úgy vélem, hogy a Bíróságnak az IP‑címek megőrzése és az azokhoz való hozzáférés által az alapvető jogokba való beavatkozás súlyosságára vonatkozó ítélkezési gyakorlatát nem úgy kell értelmezni, hogy az ilyen beavatkozás mindig súlyos, hanem úgy, hogy csak akkor súlyos, ha az IP‑címek az internethasználó böngészési útvonalának kimerítő nyomon követéséhez és a magánéletére vonatkozó rendkívül pontos következtetések levonásához vezethetnek.
56. Mivel az alapügyben szereplőhöz hasonló helyzetben ez nem áll fenn, ebből következik, hogy a szerzői jogot sértő tartalmak rendelkezésre bocsátására használt IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzésével és az azokhoz való hozzáféréssel járó beavatkozást olyan céllal kell igazolni, amely a súlyos bűncselekményeknél tágabb körű bűnözés elleni küzdelemre irányul.
57. Azt a pontosítást teszem továbbá, hogy az alapügyben szereplőhöz hasonló helyzetben az alapvető jogokba való, az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzésével és az azokhoz való hozzáféréssel járó beavatkozást nem súlyosbítja az a tény, hogy a jogsértő tartalom hozzáférhetővé tételéhez használt internet‑hozzáférés jogosultja nem feltétlenül az a személy, aki ezt a tartalmat hozzáférhetővé tette, így a Hadopi által tett ajánlás azt eredményezheti, hogy a jogosult számára felfedik azt a tartalmat, amelyhez egy harmadik személynek hozzáférése lehetett. Egyrészt emlékeztetek arra, hogy a Hadopi által vizsgált bűncselekmény az annak biztosítására vonatkozó kötelezettség elmulasztása, hogy a hozzáférést ne használják fel a szerzői jogokat sértő tartalom hozzáférhetővé tételére. Ezért a bűncselekmény minősítését lehetővé tevő információkat továbbítani szükséges a feltételezett elkövető részére. Másrészt, amint azt már kifejtettem, úgy vélem, hogy a szóban forgó műre vonatkozó információk nem teszik lehetővé pontos következtetések levonását az azt rendelkezésre bocsátó személy magánéletére vonatkozóan. Ezen információknak az internetkapcsolat jogosultja részére való esetleges megküldése tehát nem lépi túl a szóban forgó szerzőijogsértés üldözésének lehetővé tételéhez szükséges mértéket.
b) A szóban forgó adatoknak a bűncselekmény felderítése és üldözése tekintetében fennálló nélkülözhetetlen jellege
58. Az olyan forgalmi adatoknak, mint az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok, a megőrzésére és az azokhoz való hozzáférésre vonatkozó, a 2002/58 irányelv 15. cikkének (1) bekezdése alapján hozott intézkedés arányosságának biztosítása érdekében a Bíróság ítélkezési gyakorlata szerint az ezen intézkedés által okozott beavatkozásnak a kitűzött cél eléréséhez szigorúan szükséges mértékre kell korlátozódnia.(21) Úgy tűnik, hogy az alapügyben szóban forgó intézkedés tekintetében pontosan ez a helyzet.
59. Amint azt az első indítványomban hangsúlyoztam,(22) a Bíróság saját ítélkezési gyakorlatából következik, hogy a kizárólag online elkövetett olyan jogsértés esetén, mint amilyen a peer‑to‑peer hálózaton történő szerzői jogi jogsértés, az IP‑cím lehet az egyetlen olyan nyomozati eszköz, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték.(23) Ebből véleményem szerint az következik, hogy az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatoknak az online elkövetett szerzői jogi jogsértések felderítése és üldözése céljából történő megőrzése és az azokhoz való hozzáférés az ítélkezési gyakorlatnak megfelelően szigorúan szükséges a kitűzött cél eléréséhez.
60. A személyes adatok védelmére vonatkozó minden követelmény kétségtelenül a vizsgálati hatáskörök korlátozását feltételezi. Ez magából az ellentétes érdekek összeegyeztetésének elvéből következik, és mint ilyen, nem vitatható. Mindazonáltal, ha az IP‑cím az egyetlen eszköz a szellemitulajdonjog online megsértésével gyanúsított személy azonosítására, akkor ez a helyzet eltér a büntetőeljárások többségétől, amelyekkel kapcsolatban a Bíróság megjegyzi, hogy „meg kell állapítani, hogy a […] hatékonysága általában nem egyetlen nyomozati eszköztől, hanem az összes olyan nyomozati eszköztől függ, amellyel az illetékes nemzeti hatóságok e célból rendelkeznek”(24). Annak elfogadása, hogy az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzése és az azokhoz való hozzáférés az alapügyben szereplőhöz hasonló helyzetben nem lehetséges, a forgalmi adatok védelmét biztosító intézkedésekkel ellentétben nem a nyomozati hatáskörök puszta korlátozásához vezetne, hanem ahhoz, hogy a nemzeti hatóságokat megfosztanák bizonyos bűncselekmények felderítésének és üldözésének egyetlen eszközétől.
61. Más szóval, a 2002/58 irányelv 15. cikke (1) bekezdésének általam javasolt értelmezése szerint nem arról van szó, hogy az ilyen intézkedés szükségességének vizsgálata révén olyan adatok megőrzése és az azokhoz való hozzáférés válik lehetővé, amelyek csupán megkönnyítik a bűncselekmények felderítését és üldözését olyan esetben, amikor e bűncselekmények más, akár kevésbé hatékony eszközökkel is felderíthetők és üldözhetők. Ezzel szemben az ilyen adatok megőrzésének és az azokhoz való hozzáférésnek abban az esetben való lehetővé tételéről van szó, amikor ezek a bűncselekmény elkövetésével gyanúsított személy azonosításához elengedhetetlenek, akivel szemben ezek nélkül nem lehetne büntetőeljárást indítani, mivel a szóban forgó adatok az internetfelhasználó azonosításának egyetlen eszközei, mivel a bűncselekményt kizárólag online követik el.
62. Véleményem szerint ilyen értelmezés szükséges, hacsak nem fogadjuk el, hogy számos bűncselekmény soha nem üldözhető.(25)
63. A fentiekből következik, hogy álláspontom szerint az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatoknak az elektronikus hírközlési szolgáltatók általi tárolását és a közigazgatási hatóság számára ezen adatokhoz való hozzáférést lehetővé tevő nemzeti szabályozás teljes mértékben arányos az elérni kívánt céllal, azaz a szerzői és szomszédos jogok interneten történő megsértésének üldözésével, amennyiben az alapvető jogokba való beavatkozás korlátozottan súlyos, és amennyiben ezek az adatok az egyetlen olyan nyomozati eszközt jelentik, amely lehetővé teszi annak a személynek az azonosítását, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték.
64. Ezért úgy vélem, hogy a 2002/58 irányelv 15. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az ilyen szabályozás.
2. A megfelelő anyagi jogi és eljárásjogi biztosítékok meglétéről
65. Ami az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférést illeti, a Bíróság ítélkezési gyakorlatából következik, hogy önmagában az intézkedés szigorú arányossága nem elegendő ahhoz, hogy összeegyeztethető legyen a 2002/58 irányelv 15. cikkének (1) bekezdésével.
66. A Bíróság ugyanis úgy ítélte meg, hogy annak biztosítása érdekében, hogy a forgalmi és helymeghatározási adatokhoz való hozzáférés a feltétlenül szükséges mértékre korlátozódjon, alapvető fontosságú, hogy ez a hozzáférés olyan bíróság vagy független közigazgatási szerv által végzett előzetes felülvizsgálat tárgyát képezze, amely minden ehhez szükséges hatáskörrel rendelkezik, és minden szükséges garanciát megad a szóban forgó különböző érdekek és jogok összehangolásának biztosítása érdekében.(26)
67. Az ítélkezési gyakorlat szigorú olvasata tehát arra a következtetésre vezetne, hogy a Hadopinak a szerzői jogok interneten történő megsértésével gyanúsított személyek IP‑címeknek megfelelő, személyazonosságra vonatkozó adataihoz való hozzáférését olyan előzetes felülvizsgálatnak kell alávetni, amely a jelenlegi fokozatos válaszadási mechanizmusból hiányzik.
68. Ugyanakkor úgy vélem, hogy – amint arra az ír kormány a tárgyaláson hivatkozott, és amint azt az első indítványomban előadtam – a bíróság vagy független közigazgatási szerv általi előzetes felülvizsgálat követelménye nem szisztematikus követelmény, hanem a szóban forgó intézkedés átfogóbb elemzésétől függ, figyelembe véve mind az általa megvalósított beavatkozás súlyosságát, mind az általa előírt biztosítékokat.
69. Hangsúlyozom ugyanis, hogy minden olyan ítéletben, amelyben a bíróság vagy egy független közigazgatási szerv általi előzetes felülvizsgálat követelményét megállapították, olyan nemzeti szabályokról volt szó, amelyek a felhasználóknak az összes elektronikus hírközlő eszközzel,(27) de legalábbis a vezetékestelefon‑ és mobiltelefon‑szolgáltatással(28) kapcsolatos valamennyi forgalmi és helymeghatározó adatához való hozzáférést lehetővé tette.
70. Ebből arra következtetek, hogy az ilyen előzetes felülvizsgálat követelménye vonatkozásában a szóban forgó esetekben az említett beavatkozás súlyossága szolgál iránymutatásul. Amint azt a Bíróság kiemelte, olyan adatokról van szó, amelyek „ténylegesen pontos, sőt igen pontos következtetések levonását tehetik lehetővé […]a személyek magánélete vonatkozásában, […] így például a napi szokások, az állandó vagy ideiglenes tartózkodási helyek, a napi vagy egyéb helyváltoztatások, a gyakorolt tevékenységek, e személyek társadalmi kapcsolatai és az általuk látogatott társadalmi közegek tekintetében”(29). Ráadásul olyan személyek adatairól van szó, akiket más valószínűsítő körülmények alapján már azonosítottak és bűncselekmény elkövetésével gyanúsítottak. A szóban forgó adatok tehát az érintett felhasználót érintő adatok körének kiterjesztésével a vele szemben folytatott eljárás megerősítését tették lehetővé.
71. Ami azonban az alapügyben szóban forgó szabályozást illeti, és amint azt már hangsúlyoztam, a személyazonosságra vonatkozó adatok és az IP‑cím összekapcsolása által megvalósított beavatkozás sokkal kevésbé súlyos, mint az egy személy összes forgalmi és helymeghatározási adatához való hozzáférésből eredő beavatkozás, amennyiben ez az összekapcsolás nem nyújt olyan információt, amely pontos következtetéseket tenne lehetővé az érintett személy magánéletére vonatkozóan.
72. Továbbá, amint arra az első indítványomban rámutattam,(30) ezek az adatok csak azokra a személyekre vonatkoznak, akik az IP‑címnek a jogtulajdonos szervezetek által megállapított, szerzői jogokat sértő használata objektív megállapítását követően olyan cselekményeket követtek el, amelyek alkalmasak arra, hogy megsértsék a CPI L.336‑3. cikkében előírt gondossági kötelezettséget. Az adatokat előzetesen nem azonosítják más módon, mivel az IP‑címeknek a személyazonosságra vonatkozó adatokkal való összekapcsolása az egyetlen eszköz az érintett azonosítására. Az ezen adatokhoz való hozzáférés tehát nem azt teszi lehetővé, mint a Bíróság által korábban eldöntött ügyek esetében, hogy a más bizonyítékok alapján már gyanúsított személyek tevékenységéről további és pontos információkat szerezzenek, hanem csupán az IP‑cím hozzáférhetővé tételét, amely egyébként érdektelen lenne. Ilyen körülmények között a Hadopi számára hozzáférhető adatok de facto korlátozottak.
73. Véleményem szerint alapvető különbség van a bűncselekmény elkövetésével gyanúsított személyre vonatkozó személyes adatokhoz a bűnösség bizonyítása érdekében való hozzáférés, valamint a már megállapított bűncselekmény elkövetője személyazonossága felfedésének lehetővé tétele között.
74. Ez véleményem szerint annál is inkább így van, mivel az IP‑címek peer‑to‑peer hálózatokon történő gyűjtése kizárólag ezekre az adatokra korlátozódó előzetes engedélyhez kötött, így a Hadopi nem rendelkezik korlátlan mennyiségű adattal a szerzői jogok interneten történő megsértésével gyanúsított internetfelhasználókról.(31)
75. Következésképpen a bíróság vagy a független közigazgatási szerv általi előzetes felülvizsgálat követelményének alapjául szolgáló logika nem alkalmazható az olyan fokozatos válaszadási mechanizmus esetében, mint amilyen az alapügy tárgyát képezi, így e követelmény nem tűnik számomra szükségesnek annak biztosítása érdekében, hogy az e mechanizmus által az alapvető jogokba való beavatkozás a feltétlenül szükséges mértékre korlátozódjon.
76. A fentiekből következik, hogy egy olyan nemzeti szabályozás, amely lehetővé teszi, hogy egy olyan független közigazgatási hatóság, mint a Hadopi, az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatokat tároljon és azokhoz hozzáférjen a szerzői jogok megsértésével gyanúsítottak azonosítása érdekében, anélkül, hogy e hozzáférést bíróság vagy független közigazgatási szerv előzetes felülvizsgálata alá vonná, végső soron megfelel a Bíróság ítélkezési gyakorlatában lefektetett elveknek, amennyiben ezek az adatok jelentik az egyetlen eszközt azon személy azonosítására, akihez az IP‑címet a jogsértés elkövetésének időpontjában rendelték, így a 2002/58 irányelv 15. cikkének (1) bekezdését úgy kell értelmezni, hogy azzal nem ellentétes az ilyen szabályozás.
77. Az alapügyre vonatkozó e sajátos megfontolásokon túlmenően néhány általánosabb megjegyzést kell tennem a Bíróság ítélkezési gyakorlata ilyen irányú fejlesztésének szükségességéről.
C. Az ítélkezési gyakorlat szükséges, de korlátozott fejlődése
78. Több érv is szól amellett, hogy a Bíróságnak az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatokhoz hasonló adatok megőrzésével és az azokhoz való hozzáféréssel kapcsolatos ítélkezési gyakorlatát finomítani kell.
79. Először is, amint azt már említettem,(32) az alapügyben szóban forgó helyzetben az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megszerzése az egyetlen olyan nyomozati eszköz, amely lehetővé teszi annak a személynek az azonosítását, akihez ezt az IP‑címet a szóban forgó jogsértés elkövetésének időpontjában rendelték.
80. Ebből szükségszerűen következik, hogy ha a Bíróság úgy ítélné meg, hogy a 2002/58 irányelv 15. cikkének (1) bekezdésével mégis ellentétes ezen adatok megőrzése és az adatokhoz való hozzáférés, akkor a nemzeti hatóságokat ténylegesen megfosztanák az azonosítás ezen egyetlen eszközétől, és ugyanígy a szóban forgó bűncselekmény elkövetői ellen sem lehetne büntetőeljárást indítani.(33) Ez arra indított, hogy első indítványomban felvetettem annak lehetőségét, hogy fennáll e bűncselekmény rendszerszintű büntetlenségének lehetősége.(34)
81. A rendszerszintű büntetlenség veszélye nem korlátozódik a peer‑to‑peer hálózatokon elkövetett szerzői jogi jogsértésekre, hanem – amint arra a cseh kormány a tárgyaláson hivatkozott – kiterjed minden, kizárólag online elkövetett jogsértésre.
82. Az olyan jogsértések vonatkozásában ugyanis, amelyeknek az elkövetői csak az IP‑címük útján azonosíthatók, soha sem lehet eljárást lefolytatni, és az e cselekményeket szankcionáló jogszabályszövegek sem alkalmazhatók, ha megállapítást nyer, hogy mind az adatok tárolása, mind azok hozzáférhetővé tétele ellentétes az uniós joggal.
83. E tekintetben megjegyzem, hogy – amint azt az alapeljárás felperesei kifejtették – kétségtelen, hogy elméletileg más eszközök is lehetővé tehetik bizonyos, kizárólag online elkövetett bűncselekmények elkövetőinek azonosítását. Így a felperesek többek között a közösségi hálózatokon használt azonosítóra és a felhasználó fiókjához, e‑mail címéhez, telefonszámához vagy a magánéletének bármely, az adott személy által nyilvánosságra hozott eleméhez kapcsolódó adatokra hivatkoznak. Ahhoz azonban, hogy az ilyen adatokat egy személy személyazonosságához lehessen kapcsolni, alapos nyomozásra van szükség, amely során az internethasználó online tevékenységét vizsgálják. Úgy vélem tehát, hogy az ilyen vizsgálati eszközök – a puszta IP‑címektől eltérően – rendkívül pontos következtetések levonását teszik lehetővé a magánszemélyek magánéletére vonatkozóan, így az ilyen adatok megőrzése és az azokhoz való hozzáférés ebben az értelemben ellentétes lenne a 2002/58 irányelv 15. cikkének (1) bekezdésével.
84. Ilyen körülmények között az internetfelhasználó IP‑címének megfelelő, személyazonosságra vonatkozó adatokhoz való hozzáférés valóban nem az egyetlen olyan elméleti nyomozati eszköz, amely lehetővé teszi az e címmel a bűncselekmény elkövetésekor rendelkező személy azonosítását, de ez az egyetlen olyan eszköz, amely lehetővé teszi az olyan büntetőeljárást, amely a legkevesebb beavatkozást jelenti e személy alapvető jogaiba, és következésképpen hozzájárul az általános büntetlenség elkerüléséhez.
85. Másodszor, még egyszer hangsúlyozom, hogy egy ilyen megoldás által véleményem szerint összeegyeztethetővé válna a Bíróság ítélkezési gyakorlatában fennálló, – általam az első indítványomban(35) és az M. I. C. M.‑ügyre vonatkozó indítványomban(36) azonosított – bizonyos feszültség forrását jelentő két irányvonal, vagyis egyrészt az adatok megőrzésére és az azokhoz való hozzáférésre vonatkozó ítélkezési gyakorlat, másrészt pedig a csatlakozási forráshoz hozzárendelt IP‑címeknek a szellemitulajdon‑jogok védelmére irányuló keresetek keretében történő közlésével kapcsolatos ítélkezési gyakorlat.
86. Harmadszor, bár a Bíróságnak a Tele2 ítélet és a La Quadrature du Net és társai ítélet óta kialakult ítélkezési gyakorlata üdvözlendő, mivel lehetővé tette az elektronikus hírközlési szolgáltatások felhasználóit megillető alapvető jogok védelmét szolgáló keretrendszer kialakítását, mégis bizonyos mértékben kazuisztikus jellegű. Az előtte folyamatban lévő ügyek során a Bíróság ugyanis fokozatosan finomította ítélkezési gyakorlatát, ami lehetővé tette számára, hogy a 2002/58 irányelv 15. cikkének (1) bekezdése fényében megvizsgáljon különböző nemzeti jogszabályokat. Mindazonáltal a Bíróság számára lehetetlen, hogy gyakorlatilag minden olyan intézkedést előre lásson, amelyet e rendelkezés fényében elemezni lehetne. Egyébként ezt támasztja alá a Tele2 ítélet óta a Bírósághoz érkezett előzetes döntéshozatal iránti kérelmek(37) száma, ami véleményem szerint arról tanúskodik, hogy a nemzeti bíróságoknak milyen nehézséget okozhat a Bíróság ítélkezési gyakorlatában meghatározott elveknek a szóban forgó ítéleteket kiváltó helyzetektől eltérő helyzetekre történő alkalmazása.(38)
87. Ebből következően úgy látom, hogy bizonyos fokú rugalmasságra van szükség, amennyiben olyan intézkedések tekintetében kérik a Bíróság vizsgálatát, amelyeket a korábbi ítéletekben nem lehetett előre látni, mint például az olyan bűncselekményekre irányuló szabályozások, amelyekre vonatkozóan csak akkor lehet eljárni, ha az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrizhetőek, és hozzáférhetővé tehetők, és amelyekkel a Bíróságnak eddig még nem kellett foglalkoznia.
88. Nem arról van tehát szó, hogy –a dán kormány érvelésének megfelelően – a Bíróság ítélkezési gyakorlatát újra kell vizsgálni, hanem az annak alapjául szolgáló elvek alapján – rendkívül korlátozott körülmények között – árnyaltabb megoldás elfogadásáról.
89. A 2002/58 irányelv 15. cikke (1) bekezdésének általam javasolt értelmezése csak olyan bűncselekmények üldözése tekintetében teszi lehetővé IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok megőrzését és az azokhoz való hozzáférést, amelyek elkövetőit ezen adatok hiányában nem lehetne azonosítani. Ez az értelmezés tehát kizárólag az interneten elkövetett bűncselekményekre irányul, és nem kérdőjelezi meg az ítélkezési gyakorlatban a szélesebb körű adatok megőrzésére és az azokhoz való hozzáférésre, valamint az egyéb célok elérésére vonatkozóan kialakított megoldásokat.
V. Végkövetkeztetés
90. A fenti megfontolások összességére tekintettel azt javaslom a Bíróságnak, hogy a Conseil d’État (államtanács, Franciaország) által előzetes döntéshozatalra előterjesztett kérdéseket a következőképpen válaszolja meg:
A 2009. november 25‑i 2009/136/EK európai parlamenti és tanácsi irányelvvel módosított, az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról [helyesen: a személyes adatok kezeléséről] és a magánélet védelméről („Elektronikus hírközlési adatvédelmi irányelv”) szóló 2002. július 12‑i 2002/58/EK európai parlamenti és tanácsi irányelv 15. cikkének (1) bekezdését az Európai Unió Alapjogi Chartájának 7., 8. és 11. cikkével, valamint 52. cikkének (1) bekezdésével összefüggésben
a következőképpen kell értelmezni:
azzal nem ellentétes egy olyan nemzeti szabályozás, amely kizárólag az IP‑címeknek megfelelő, személyazonosságra vonatkozó adatok vonatkozásában lehetővé teszi ezen adatok hírközlési szolgáltatók általi megőrzését és a szerzői és szomszédos jogoknak az interneten elkövetett jogsértésekkel szembeni védelméért felelős közigazgatási hatóság részére az azokhoz való hozzáférést annak érdekében, hogy e hatóság azonosítani tudja az említett címek azon jogosultjait, akik valószínűsíthetően felelősek az említett jogsértésekért, és adott esetben intézkedéseket hozhasson velük szemben, anélkül hogy e hozzáférést bíróság vagy független közigazgatási szerv előzetesen felülvizsgálná, feltéve, hogy ezek az adatok jelentik az egyetlen olyan nyomozati eszközt, amely lehetővé teszi azon személyek azonosítását, akikhez az IP‑címet a jogsértés elkövetésének időpontjában rendelték.