OPINIA RZECZNIKA GENERALNEGO
MANUELA CAMPOSA SÁNCHEZA-BORDONY
przedstawiona w dniu 18 listopada 2021 r.(1)
Sprawy połączone C‑793/19 i C‑794/19
Bundesrepublik Deutschland
przeciwko
SpaceNet AG (C‑793/19)
Telekom Deutschland GmbH (C‑794/19)
[wnioski o wydanie orzeczenia w trybie prejudycjalnym złożone przez Bundesverwaltungsgericht (federalny sąd administracyjny, Niemcy)]
Pytanie prejudycjalne – Telekomunikacja – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58/WE – Artykuł 15 ust. 1 – Artykuł 4 ust. 2 TUE – Karta praw podstawowych Unii Europejskiej – Artykuły 6, 7, 8, 11 i art. 52 ust. 1 – Uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu i danych dotyczących połączeń w celu ścigania poważnych przestępstw lub zapobiegania konkretnemu zagrożeniu dla bezpieczeństwa narodowego
1. Niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym, z którymi łączy się wniosek leżący u podstaw sprawy C‑140/20(2), są kolejnym przejawem obaw, jakie w niektórych państwach członkowskich wzbudziło orzecznictwo Trybunału Sprawiedliwości w sprawie zatrzymywania i dostępu do danych osobowych generowanych w sektorze łączności elektronicznej.
2. W moich opiniach w sprawach połączonych C‑511/18 i C‑512/18, La Quadrature du Net i in.(3) oraz w sprawie C‑520/18, Ordre des barreaux francophones et germanophone i in.(4) za najważniejsze w dotychczasowym orzecznictwie uznałem następujące orzeczenia:
– wyrok z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in.(5), w którym stwierdzono nieważność dyrektywy 2006/24/WE(6) w zakresie, w jakim stanowiła ona nieproporcjonalną ingerencję w prawa uznane w art. 7 i 8 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”);
– wyrok z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in.(7), w którym stwierdzono, że niezgodne z art. 15 ust. 1 dyrektywy 2002/58/WE(8) są przepisy krajowe, które przewidują uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu i danych dotyczących lokalizacji do celów zwalczania poważnej przestępczości;
– wyrok z dnia 2 października 2018 r., Ministerio Fiscal(9), w którym potwierdzona została wykładnia art. 15 ust. 1 dyrektywy 2002/58 i doprecyzowano znaczenie, jakie ma w tym względzie zasada proporcjonalności.
3. W 2018 r. sądy z niektórych państw członkowskich zwróciły się do Trybunału Sprawiedliwości z wnioskami o wydanie orzeczenia w trybie prejudycjalnym, wyrażając swoje wątpliwości co do tego, czy wyroki te (z 2014 r., 2016 r. i 2018 r.) mogą pozbawić organy państwowe instrumentu niezbędnego do ochrony bezpieczeństwa narodowego oraz zwalczania przestępczości i terroryzmu.
4. Cztery z tych wniosków o wydanie orzeczenia w trybie prejudycjalnym stanowiły podstawę wydania wyroków w sprawach Privacy International(10) i La Quadrature du Net i in.(11), obu z dnia 6 października 2020 r., w których w istocie potwierdzone zostało orzecznictwo zawarte w wyroku Tele2 Sverige, do którego wprowadzone jednak zostały jednak pewne dodatkowe niuanse.
5. Biorąc pod uwagę skład orzekający w tych sprawach (wielka izba Trybunału Sprawiedliwości), treść wyroków oraz chęć szczegółowego wyjaśnienia, w ramach prowadzonego z sądami odsyłającymi dialogu, powodów, które jednak uzasadniają przedstawione w nich twierdzenia, można by było oczekiwać, że te dwa „podsumowujące” wyroki z dnia 6 października 2020 r. rozstrzygną debatę. W przypadku każdego kolejnego wniosku o wydanie orzeczenia w trybie prejudycjalnym w tym samym przedmiocie należałoby zatem wydać postanowienie z uzasadnieniem, o którym mowa w art. 99 regulaminu postępowania przed Trybunałem Sprawiedliwości.
6. Niemniej jednak do dnia 6 października 2020 r. w Trybunale Sprawiedliwości zostały zarejestrowane trzy inne wnioski o wydanie orzeczenia w trybie prejudycjalnym (dwa połączone w ramach niniejszego postępowania i jeden w sprawie C‑140/20), w których kierujące je sądy wyrażały wątpliwości co do orzecznictwa dotyczącego art. 15 ust. 1 dyrektywy 2002/58.
7. Trybunał Sprawiedliwości poinformował sądy odsyłające o wyrokach z dnia 6 października 2020 r., na wypadek gdyby chciały one wycofać swoje wnioski o wydanie orzeczenia w trybie prejudycjalnym. Wobec tego, że sądy, które skierowały te wnioski, nalegały na ich podtrzymanie, jak wyjaśnię poniżej(12), podjęto decyzję o tym, że art. 99 regulaminu postępowania nie zostanie zastosowany, a wielka izba Trybunału Sprawiedliwości udzieli odpowiedzi na zawarte w tych wnioskach pytania.
I. Ramy prawne
A. Prawo Unii: dyrektywa 2002/58
8. Zgodnie z art. 5 ust. 1 tej dyrektywy („Poufność komunikacji”):
„Państwa członkowskie zapewniają poprzez ustawodawstwo krajowe poufność komunikacji i związanych z nią danych dotyczących ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych dotyczących ruchu przez osoby inne niż użytkownicy bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności”.
9. W art. 6 dyrektywa ta („Dane o ruchu”) stanowi:
„1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.
2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.
[…]”.
10. Artykuł 15 („Stosowanie niektórych przepisów dyrektywy 95/46/WE”(13)) dyrektywy 2002/58 przewiduje w ust. 1:
„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (np. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 traktatu o Unii Europejskiej”.
B. Prawo krajowe
1. Telekommunikationsgesetz (niemiecka ustawa o telekomunikacji, zwana dalej „TKG”)
11. Ustawa ta w § 113a ust. 1 stanowi:
„Obowiązki dotyczące zatrzymywania, wykorzystywania i bezpieczeństwa danych dotyczących ruchu określone w § 113b–113g dotyczą operatorów świadczących użytkownikom końcowym publicznie dostępne usługi telekomunikacyjne”.
12. Ustawa ta w § 113b stanowi:
„(1) Operatorzy, o których mowa w § 113a, dokonują zatrzymywania danych na terytorium kraju w następujący sposób:
1. przez dziesięć tygodni w przypadku danych, o których mowa w ust. 2 i 3,
2. przez cztery tygodnie w przypadku danych dotyczących lokalizacji, o których mowa w ust. 4.
(2) Dostawcy publicznie dostępnych usług telefonicznych zatrzymują następujące dane:
1. numer telefonu lub inny identyfikator linii wywołującej i wywoływanej, jak również każdej innej linii używanej w przypadku przekierowywania lub przełączania połączeń,
2. datę i godzinę rozpoczęcia i zakończenia połączenia, ze wskazaniem strefy czasowej,
3. informacje dotyczące usługi, z której skorzystano, jeżeli w ramach usługi telefonicznej można korzystać z różnych usług,
4. ponadto, w przypadku usług telefonii komórkowej:
a) międzynarodowy numer tożsamości telefonicznej abonenta mobilnego nadawcy i odbiorcy połączenia,
b) międzynarodowy numer fabryczny aparatu telefonicznego nadawcy i odbiorcy połączenia,
c) datę i godzinę pierwszej aktywacji usługi wraz ze wskazaniem bazowej strefy czasowej, w przypadku gdy usługi zostały opłacone z góry,
5. w przypadku usług telefonii internetowej również adresy protokołu internetowego IP (protokołu internetowego) nadawcy i odbiorcy połączenia oraz przypisany identyfikator użytkownika.
Akapit pierwszy stosuje się odpowiednio:
1. do komunikacji za pomocą wiadomości tekstowej, multimedialnej lub o podobnym charakterze; w tym przypadku informacje, o których mowa w pkt 2 akapit pierwszy, zastępuje się datą wysłania i otrzymania wiadomości;
2. do połączeń nieodebranych lub nieudanych z powodu działania operatora sieci […].
(3) Dostawcy publicznie dostępnych usług dostępu do Internetu zatrzymują następujące dane:
1. adres IP przypisany abonentowi w celu korzystania z Internetu,
2. jednoznaczny identyfikator łącza, poprzez które następuje korzystanie z Internetu, oraz przypisany identyfikator użytkownika,
3. datę i godzinę rozpoczęcia i zakończenia korzystania z Internetu pod przypisanym adresem IP, ze wskazaniem strefy czasowej.
(4) W przypadku korzystania z usług telefonii komórkowej zatrzymywane są oznaczenia komórek używanych przez linię wywołującą i linię wywoływaną na początku połączenia. Co się tyczy publicznie dostępnych usług dostępu do Internetu, w przypadku korzystania z telefonii komórkowej zatrzymywane jest oznaczenie komórki używanej na początku połączenia z Internetem. Należy również zatrzymywać dane wskazujące na położenie geograficzne i kierunki wiązki głównej anten radiowych obsługujących daną komórkę.
(5) Na podstawie niniejszego przepisu nie można zatrzymywać treści komunikatów, danych dotyczących przeglądanych stron internetowych i danych usług poczty elektronicznej.
(6) Na mocy niniejszego przepisu nie można zatrzymywać danych leżących u podstaw połączeń, o których mowa w § 99 ust. 2. Ma to zastosowanie odpowiednio do połączeń telefonicznych od podmiotów, o których mowa w § 99 ust. 2. Paragraf 99 ust. 2 zdania od drugiego do siódmego stosuje się odpowiednio [(14)].
[…]”.
13. Zgodnie z brzmieniem § 113c tej samej ustawy:
„(1) Dane zatrzymywane na podstawie § 113b mogą:
1. być przekazywane organowi ścigania, jeżeli organ ten wystąpi z wnioskiem o ich przekazanie, powołując się na przepis ustawowy zezwalający mu na gromadzenie danych, o których mowa w § 113b, w celu ścigania szczególnie poważnych przestępstw;
2. być przekazywane organowi bezpieczeństwa krajów związkowych, jeżeli organ ten wystąpi z wnioskiem o ich przekazanie, powołując się na przepis ustawowy zezwalający mu na gromadzenie danych, o których mowa w § 113b, w celu zapobiegania konkretnym zagrożeniom dla zdrowia, życia lub wolności danej osoby lub dla istnienia państwa federalnego lub kraju związkowego;
3. być wykorzystywane przez dostawcę publicznie dostępnych usług telekomunikacyjnych do dostarczania informacji w rozumieniu § 113 ust. 1 zdanie trzecie.
(2) Dane zatrzymywane na podstawie § 113b nie mogą być wykorzystywane przez osoby podlegające obowiązkom określonym w § 113a ust. 1 do celów innych niż te, o których mowa w ust. 1.
[…]”.
14. Zgodnie z § 113d tej samej ustawy:
„Adresat obowiązku wynikającego z § 113a ust. 1 zapewnia, by dane zatrzymywane zgodnie z § 113b ust. 1 w ramach obowiązku zatrzymywania danych były chronione za pomocą zgodnych z aktualnym stanem techniki środków technicznych i organizacyjnych przed ich nieuprawnioną kontrolą i wykorzystaniem. Środki te obejmują w szczególności:
1. zastosowanie szczególnie bezpiecznej procedury szyfrowania,
2. przechowywanie w oddzielnych strukturach służących przechowywaniu, wyodrębnionych od tych wykorzystywanych do bieżących zadań operacyjnych,
3. przechowywanie danych w warunkach wysokiego stopnia ochrony przed atakami cybernetycznymi, w odłączonych systemach komputerowych przetwarzających dane,
4. ograniczenie dostępu do urządzeń służących do przetwarzania danych do osób posiadających specjalne upoważnienie wydane przez administratora danych, oraz
5. obowiązek zaangażowania, podczas dostępu do danych, co najmniej dwóch osób posiadających specjalne upoważnienie udzielone przez osobę odpowiedzialną za wypełnianie tego obowiązku”.
15. Paragraf 113e stanowi:
„(1) Osoba odpowiedzialna za wypełnianie obowiązku ustanowionego w § 113a ust. 1 zapewnia, aby, w celu monitorowania ochrony danych, każdy dostęp, w szczególności odczyt, kopiowanie, zmiana, usuwanie i blokowanie danych zatrzymanych na mocy § 113b ust. 1, był rejestrowany. Rejestrowane są następujące dane:
1. czas dostępu,
2. podmioty mające dostęp do danych,
3. przedmiot i charakter dostępu.
(2) Zarejestrowane dane nie mogą być wykorzystywane do celów innych niż kontrola ochrony danych.
(3) Osoba odpowiedzialna za wypełnianie obowiązku wynikającego z § 113a ust. 1 zapewnia, aby zarejestrowane dane zostały usunięte po upływie jednego roku”.
2. Strafprozessordnung (niemiecki kodeks postępowania karnego, zwany dalej „StPO”)
16. Paragraf 100g tego kodeksu stanowi:
„[…]
(2) Jeżeli pewne fakty dają podstawę do podejrzeń, że dana osoba popełniła, jako sprawca lub współsprawca, jedno ze szczególnie poważnych przestępstw, o których mowa w zdaniu drugim, lub, w przypadkach, w których usiłowanie popełnienia przestępstwa jest karalne, usiłowała popełnić takie przestępstwo i przestępstwo to jest również w danym przypadku szczególnie poważne, dane dotyczące ruchu zatrzymane zgodnie z § 113b [TKG] mogą być gromadzone, jeżeli ustalenie faktów lub miejsca pobytu osoby objętej dochodzeniem byłoby znacznie utrudnione lub niewykonalne przy zastosowaniu innych środków oraz jeżeli gromadzenie danych jest proporcjonalne do wagi sprawy.
[…]
(4) Niedozwolone jest gromadzenie danych dotyczących ruchu zgodnie z ust. 2 […], które mogłoby prowadzić do uzyskania informacji, co do których osoba, której dane dotyczą, mogłaby odmówić składania zeznań […]”.
17. Paragraf 101a ust. 1 przewiduje ponadto wymóg zezwolenia przez sąd na gromadzenie danych dotyczących ruchu, o którym mowa w § 100g StPO. Zgodnie z § 101a ust. 2 StPO w orzeczeniu sądowym należy dokonać wyważenia niezbędności i racjonalności środka w danej sprawie, a o jego przyjęciu należy zawiadomić uczestników komunikacji (§ 101 ust. 6 StPO).
II. Okoliczności faktyczne, postępowania główne i pytania prejudycjalne
18. SpaceNet AG i Telekom Deutschland GmbH są spółkami świadczącymi publicznie dostępne usługi dostępu do Internetu w Republice Federalnej Niemiec.
19. Te dwie spółki zaskarżyły do Verwaltungsgericht (sądu administracyjnego, Niemcy) obowiązek przechowywania danych dotyczących ruchu telekomunikacyjnego ich klientów począwszy od dnia 1 lipca 2017 r., ustanowiony przez § 113a ust. 1 w związku z § 113b TKG.
20. Po tym, jak ich żądania zostały uwzględnione w pierwszej instancji, niemiecka federalna agencja ds. sieci wniosła dwa odwołania do Bundesverwaltungsgericht (federalnego sądu administracyjnego), który przed wydaniem wyroku postanowił przedłożyć w każdym z tych dwóch postępowań następujące pytanie prejudycjalne:
„Czy w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 [karty] z jednej strony i art. 6 [karty] oraz art. 4 [TUE] z drugiej strony art. 15 dyrektywy 2002/58/WE należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, które nakłada na operatorów dostępnych publicznie usług łączności elektronicznej obowiązek zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji użytkowników końcowych tych usług, jeżeli
– obowiązek ten nie zakłada żadnego szczególnego powodu pod względem miejscowym, czasowym lub przestrzennym,
– przedmiotem obowiązku przechowywania przy świadczeniu dostępnych publicznie usług telefonicznych – w tym transmisji krótkich wiadomości tekstowych, wiadomości multimedialnych lub podobnych wiadomości oraz w przypadku połączeń nieodebranych lub nieudanych – są następujące dane:
– numer linii wywołującej lub inny identyfikator nadawcy lub odbiorcy połączenia oraz w przypadku przekierowywania lub przełączania połączenia – numer, na który połączenie jest przekierowywane lub przełączane;
– data i godzina rozpoczęcia i zakończenia połączenia lub w przypadku transmisji krótkiej wiadomości tekstowej, wiadomości multimedialnej lub podobnej wiadomości – data wysłania i otrzymania informacji, ze wskazaniem bazowej strefy czasowej;
– informacje dotyczące wykorzystanej usługi, w przypadku gdy można korzystać z różnych usług w ramach usługi telefonii stacjonarnej;
– ponadto, w przypadku usług telefonii komórkowej:
– międzynarodowy numer tożsamości telefonicznej abonenta mobilnego nadawcy i odbiorcy połączenia;
– międzynarodowy numer fabryczny aparatu telefonicznego nadawcy i odbiorcy połączenia;
– data i godzina pierwszej aktywacji usługi wraz ze wskazaniem bazowej strefy czasowej, w przypadku gdy usługi zostały opłacone z góry;
– oznaczenie komórek, które zostały wykorzystane przez numer wywołujący i wywołany na początku połączenia;
– w przypadku usług telefonii internetowej również adresy IP nadawcy i odbiorcy połączenia oraz przypisany identyfikator użytkownika;
– przedmiotem obowiązku przechowywania przy świadczeniu dostępnych publicznie usług dostępu do Internetu są następujące dane:
– adres IP przypisany abonentowi w celu korzystania z Internetu;
– jednoznaczny identyfikator łącza, przez które następuje korzystanie z Internetu, oraz przypisany identyfikator użytkownika;
– data i godzina rozpoczęcia i zakończenia korzystania z Internetu pod przypisanym adresem IP, ze wskazaniem bazowej strefy czasowej;
– w przypadku korzystania mobilnego oznaczenie komórki wykorzystanej na początku połączenia internetowego;
– nie mogą być przechowywane następujące dane:
– treść komunikatu;
– dane dotyczące przeglądanych stron internetowych;
– dane usług poczty elektronicznej;
– dane leżące u podstaw połączeń z lub do określonych numerów osób, organów i organizacji w sferach społecznych lub religijnych;
– okres zatrzymywania danych wynosi w przypadku danych dotyczących lokalizacji, czyli oznaczenia wykorzystanej komórki, cztery tygodnie, a w przypadku pozostałych danych – dziesięć tygodni;
– zapewniona jest skuteczna ochrona zatrzymywanych danych przed ryzykiem nadużyć oraz przed nieuprawnionym dostępem; oraz
– zatrzymywane dane mogą być wykorzystywane wyłącznie w celu ścigania szczególnie ciężkich przestępstw oraz zapobiegania konkretnym zagrożeniom dla zdrowia, życia lub wolności danej osoby lub dla istnienia państwa federalnego lub kraju związkowego, z wyjątkiem adresu IP przypisanego abonentowi w celu korzystania z Internetu, którego używanie jest dozwolone w ramach udzielania informacji na temat zgromadzonych danych w celu ścigania wszystkich przestępstw, w celu zapobiegania zagrożeniom dla bezpieczeństwa i porządku publicznego oraz w celu wykonywania zadań służb wywiadowczych?”.
21. Jak wyjaśnia sąd odsyłający, uregulowanie dotyczące spornego obowiązku zostało zmienione ustawą z dnia 10 grudnia 2015 r.(15), której uchwalenie było konieczne z uwagi na:
– wyrok Bundesverfassungsgericht (federalnego trybunału konstytucyjnego, Niemcy) z dnia 2 marca 2010 r.(16) uznający wcześniejsze przepisy dotyczące zatrzymywania danych za niekonstytucyjne; oraz
– stwierdzenie nieważności dyrektywy 2006/24, która została przetransponowana za pomocą tych przepisów.
22. Sąd odsyłający uważa, że sporny obowiązek przechowywania ogranicza prawa ustanowione w art. 5 ust. 1, art. 6 ust. 1 i art. 9 ust. 1 dyrektywy 2002/58. Takie ograniczenie byłoby uzasadnione tylko wtedy, gdyby mogło zostać objęte zakresem stosowania art. 15 ust. 1 tej dyrektywy.
23. Zdaniem sądu, który wydał zaskarżone orzeczenie, niezależnie od treści wyroku Tele2 Sverige sporny obowiązek mógłby opierać się na art. 15 ust. 1 dyrektywy 2002/58 ze względu na to, że:
– obowiązujące przepisy krajowe nie ustanawiają wymogu przechowywania wszystkich danych dotyczących ruchu telekomunikacyjnego wszystkich abonentów i zarejestrowanych użytkowników w odniesieniu do wszystkich środków łączności elektronicznej;
– na mocy tych przepisów okres przechowywania danych został znacznie skrócony (do maksymalnie dziesięciu tygodni) w porównaniu z okresem przewidzianym w przepisach analizowanych w wyroku Tele2 Sverige oraz z okresem przewidzianym w dyrektywie 2006/24, co utrudnia tworzenie profili;
– wprowadzono surowe ograniczenia w zakresie ochrony, dostępu i wykorzystywania przechowywanych danych;
– ustawodawca miał ograniczyć się do wypełniania obowiązków działania, które wynikają z prawa do bezpieczeństwa (art. 6 karty)(17);
– w sytuacji, w której „niewymagające uzasadnienia”(18) zatrzymywanie danych ogólnie nie może zostać oparte na art. 15 ust. 1 dyrektywy 2002/58 (czyli gdyby konkretne przepisy dotyczące odnośnych środków łączności, kategorii danych, które mają być zatrzymywane, okresu przechowywania, warunków dostępu do przechowywanych danych oraz ochrony przed ryzykiem nadużyć nie miały znaczenia), swoboda działania ustawodawcy krajowego w dziedzinie takiej jak ta dotycząca ścigania przestępstw i bezpieczeństwa publicznego, która, zgodnie z art. 4 ust. 2 zdanie trzecie TUE, należy nadal do wyłącznej odpowiedzialności państw członkowskich, byłaby znacznie ograniczona;
– należy zapewnić spójność między prawami zagwarantowanymi w karcie a prawami chronionymi w europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (zwanej dalej „EKPC”), interpretowanych przez Europejski Trybunał Praw Człowieka (zwany dalej „ETPC”), z zastrzeżeniem autonomii prawa Unii i autorytetu Trybunału Sprawiedliwości.
III. Postępowanie przed Trybunałem Sprawiedliwości
24. Wnioski o wydanie orzeczenia w trybie prejudycjalnym wpłynęły do Trybunału Sprawiedliwości w dniu 29 października 2019 r.
25. Uwagi na piśmie zostały przedłożone przez SpaceNet, Telekom Deutschland, rządy niemiecki, duński, hiszpański, estoński, fiński, francuski, irlandzki, niderlandzki, polski i szwedzki oraz przez Komisję.
26. Sąd odsyłający, wezwany do wypowiedzenia się w przedmiocie ewentualnego wycofania pytania prejudycjalnego w następstwie wydania wyroku La Quadrature du Net, wyraził w dniu 13 stycznia 2021 r. zamiar podtrzymania wniosku, ponieważ nie można było uznać, że podniesione w nim kwestie zostały rozstrzygnięte w tym wyroku.
27. Rozprawa, połączona z rozprawą w sprawie powiązanej C‑140/20, odbyła się w dniu 13 września 2021 r. i stawili się na niej, oprócz podmiotów, które przedstawiły uwagi na piśmie w ramach niniejszego postępowania, również niemiecka federalna agencja ds. sieci i Europejski Inspektor Ochrony Danych.
IV. Analiza
A. Uwagi wstępne
28. Niniejsze dwa wnioski o wydanie orzeczenia w trybie prejudycjalnym mogą zostać rozpatrzone albo poprzez przeprowadzenie analizy ich pierwotnego brzmienia, albo poprzez przyznanie pierwszeństwa względom, na które powołał się sąd odsyłający w odpowiedzi skierowanej do Trybunału w dniu 13 stycznia 2021 r. w celu uzasadnienia utrzymania ich w mocy, po zapoznaniu się z wyrokiem La Quadrature du Net.
29. Chociaż pokrótce omówię najistotniejsze aspekty pierwotnego wniosków o wydanie orzeczenia w trybie prejudycjalnym, skoncentruję się na analizie powodów, dla których zdaniem sądu odsyłającego interwencja Trybunału jest nadal konieczna. W skrócie: wszystkie te powody dotyczą tego, że leżąca u podstaw niniejszego przypadku sytuacja prawna różni się od sytuacji badanej w wyroku La Quadrature du Net.
30. W piśmie z dnia 13 stycznia 2021 r. sąd odsyłający podniósł następujące argumenty:
– różnice między przepisami niemieckimi a przepisami francuskimi i belgijskimi, na których oparto wyrok La Quadrature du Net, są znaczące; zgodnie z tymi pierwszymi dane dotyczące przeglądanych stron internetowych, poczty elektronicznej oraz połączeń telefonicznych do lub z centrum usług telefonicznej obsługi klienta o charakterze społecznym lub religijnym nie są zatrzymywane;
– jeszcze bardziej znacząca różnica polega na tym, że okres przechowywania zgodnie z § 113b ust. 1 TKG wynosi cztery lub dziesięć tygodni, a nie jeden rok; czynnik ten zmniejsza ryzyko sporządzenia ogólnego profilu osób, których te dane dotyczą;
– niemieckie przepisy zapewniają skuteczną ochronę zatrzymywanych danych przed niebezpieczeństwem nadużycia i bezprawnego dostępu;
– w związku z niedawnym orzeczeniem Bundesverfassungsgericht (trybunału konstytucyjnego) w przedmiocie § 113 TKG(19) ważność tego przepisu byłaby uzależniona od warunków, których zgodność z prawem Unii nie byłaby łatwa do ustalenia.
– istnieją wątpliwości co do wymogów, jakie wynikają z prawa Unii w odniesieniu do adresów IP, ponieważ z wyroku La Quadrature du Net nie wynika jasno, czy ich zatrzymywanie jest co do zasady wykluczone; ponadto zaś istnieje pewien rozdźwięk pomiędzy pkt 168 i 155 wyroku.
B. Zakres stosowania dyrektywy 2002/58
31. Republika Irlandii oraz rządy francuski, niderlandzki, polski i szwedzki twierdzą w istocie, że dyrektywa 2002/58 nie ma zastosowania do przepisów krajowych takich jak te będące przedmiotem niniejszego postępowania. Stanowienie takich uregulowań, mających na celu ochronę bezpieczeństwa narodowego oraz zapobieganie poważnym przestępstwom i ich ściganie, należy do wyłącznej kompetencji państw członkowskich, zgodnie z art. 4 ust. 2 TUE.
32. Postawiony w tej kwestii zarzut ten został wyraźnie odrzucony przez Trybunał Sprawiedliwości w wyroku La Quadrature du Net, w którym ten orzekł, że „uregulowanie krajowe nakładające na dostawców usług łączności elektronicznej obowiązek zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji w celu ochrony bezpieczeństwa narodowego i zwalczania przestępczości, takie jak rozpatrywane w postępowaniu głównym, jest objęte zakresem stosowania dyrektywy 2002/58”(20).
33. Sąd odsyłający zgadza się z tym założeniem, podtrzymując stwierdzenie sądu pierwszej instancji i dodając, że zastosowanie dyrektywy 2005/58 w niniejszej sprawie zostało „ostatecznie ustalone” w wyroku Tele2 Sverige(21).
34. Nie będę zatem rozwijał tej kwestii, co do której miałem okazję wyrazić swoje poglądy w tamtym czasie, zgodnie z linią rozumowania przyjętą przez Trybunał Sprawiedliwości, w opinii do wyroku La Quadrature du Net(22).
C. Uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu i danych dotyczących lokalizacji
35. Istotą orzecznictwa Trybunału Sprawiedliwości w odniesieniu do dyrektywy 2002/58 jest pogląd, że użytkownicy środków łączności elektronicznej mają prawo co do zasady oczekiwać, że ich komunikacja i związane z nią dane pozostaną anonimowe i nie będą mogły być rejestrowane bez ich zgody(23).
36. Artykuł 15 ust. 1 dyrektywy 2002/58 dopuszcza wyjątki od obowiązku zapewnienia poufności i obowiązków z nim powiązanych, zgodnie z warunkami, które opiszę poniżej. W wyroku La Quadrature du Net zbadano zgodność tych wyjątków z prawami podstawowymi, których wykonywanie może zostać naruszone(24).
37. Uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu może być, zdaniem Trybunału, uzasadnione jedynie celem ochrony bezpieczeństwa narodowego, którego znaczenie „wykracza poza inne cele, o których mowa w art. 15 ust. 1 dyrektywy 2002/58”(25).
38. W tym wypadku (bezpieczeństwa narodowego) Trybunał Sprawiedliwości orzekł, że art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty „nie stoi co do zasady na przeszkodzie środkowi ustawodawczemu, który zezwala właściwym organom na nakazanie dostawcom usług łączności elektronicznej zatrzymywania danych o ruchu i danych o lokalizacji wszystkich użytkowników środków łączności elektronicznej w ograniczonym okresie, o ile występują wystarczająco konkretne okoliczności, które pozwalają na uznanie, że w danym państwie członkowskim istnieje poważne zagrożenie […] dla bezpieczeństwa narodowego, które jest rzeczywiste i aktualne lub przewidywalne”(26).
39. Takie wymogi składają się niewątpliwie na system bardziej surowy i rygorystyczny niż ten, o którym mowa w orzecznictwie ETPC w odniesieniu do art. 8 EKPC. Okoliczność, że „znaczenie i zakres praw” zawartych w karcie, odpowiadających prawom określonym w EKPC, muszą być takie same jak te przyznane w EKPC, nie wyklucza, zgodnie z art. 52 ust. 3 in fine karty, przyznania przez prawo Unii szerszej ochrony.
40. Ponadto orzecznictwo ETPC zawarte w wyrokach z dnia 25 maja 2021 r. w sprawie Big Brother Watch i in. przeciwko Zjednoczonemu Królestwu(27) i w sprawie Centrum for Râttvisa przeciwko Szwecji(28), a także z dnia 4 grudnia 2015 r. w sprawie Zakharov przeciwko Rosji(29) dotyczy przypadków, które zgodnie z dominującym na rozprawie stanowiskiem stron nie są porównywalne z tymi omawianymi w niniejszych odesłaniach prejudycjalnych. Rozstrzygnięcia tych ostatnich należy szukać poprzez stosowanie przepisów krajowych, które są uznawane za zgodne z wyczerpującymi postanowieniami dyrektywy 2002/58 w przyjętej przez Trybunał Sprawiedliwości wykładni.
41. Niezależnie od opinii na temat powołania się w wyroku La Quadrature du Net na bezpieczeństwo narodowe jako podstawę dla zniesienia, pod pewnymi warunkami, zakazu uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji (moim zdaniem granice wyznaczone przez Trybunał są zbyt szerokie) należy przestrzegać wymogów wymienionych w pkt 137–139 tego wyroku.
42. Poza tym należy zbadać, czy uregulowanie krajowe opiera się na kryteriach, które są wystarczająco selektywne, aby spełnić przesłanki mogące, zgodnie z orzecznictwem Trybunału, uzasadniać szczególnie poważną ingerencję, taką jak zatrzymywanie danych, w odnośne prawa podstawowe.
43. Selektywne zatrzymywanie danych dotyczących ruchu i danych dotyczących lokalizacji(30) jest podstawą rozumowania przeprowadzonego przez Trybunał w tej dziedzinie. Wybór taki może zostać dokonany między innymi na podstawie kategorii osób, których dotyczy(31), lub na podstawie kryterium geograficznego(32).
44. Zarówno sąd odsyłający, jak i większość stron, które przedstawiły swoje uwagi, zgadzają się, że kryteria wskazane przez Trybunał Sprawiedliwości są trudne do zastosowania. Sam wskazałem niektóre z tych trudności(33) w opinii w sprawie Ordre des barreaux francophones et germanophone(34).
45. Nie można jednak wykluczyć stosowania formuł selektywnego zatrzymywania danych opartych na tych kryteriach, które mogą okazać się skuteczne, a jednocześnie niedyskryminujące. To do ustawodawców krajowych, a nie do Trybunału, należy opracowanie ich w sposób zapewniający poszanowanie praw podstawowych zagwarantowanych w karcie(35).
46. Podkreślam ponadto, że błędem byłoby wnioskowanie, że kryteria podmiotowe i geograficzne są jedynymi kryteriami zgodnymi z art. 15 ust. 1 dyrektywy 2002/58 w świetle praw chronionych kartą.
47. Nawet jeśli rząd francuski twierdzi, że okazały się one nieskuteczne(36), nie sądzę, aby można było zignorować szczegółowe warunki zaproponowane przez grupy robocze zebrane w Radzie(37) w celu określenia zasad zatrzymywania i dostępu zgodnych z orzecznictwem Trybunału Sprawiedliwości(38).
48. Moim zdaniem należy przyznać pierwszeństwo tymczasowemu zatrzymywaniu niektórych kategorii danych dotyczących ruchu i danych dotyczących lokalizacji, ograniczonych w zależności od rygorystycznych wymogów bezpieczeństwa, które jako całość nie pozwalają na uzyskanie precyzyjnego i szczegółowego obrazu życia osób, których dane te dotyczą. W praktyce oznacza to, że w przypadku dwóch głównych kategorii (dane dotyczące ruchu i dane dotyczące lokalizacji) zatrzymywanie danych za pomocą odpowiednich filtrów powinno być jedynie minimalne i dotyczyć danych uważanych za absolutnie niezbędne dla skutecznego zapobiegania i kontroli przestępczości oraz do celów ochrony bezpieczeństwa narodowego(39).
49. W każdym wypadku, powtarzam, to do państw członkowskich lub instytucji Unii należy dokonanie tego wyboru w drodze ustawodawczej (z pomocą ich własnych ekspertów), przy jednoczesnej rezygnacji z wszelkich prób narzucenia uogólnionego i niezróżnicowanego przechowywania wszystkich danych dotyczących ruchu i danych dotyczących lokalizacji(40).
50. Dlatego też w opinii w sprawie Ordre des barreaux francophones et germanophone stwierdziłem, że „trudność legislacyjna – co przyznaję – polegająca na dokładnym określeniu przesłanek i warunków, na jakich można dokonać indywidualnego zatrzymywania, nie uzasadnia uznania przez państwa członkowskie, w drodze przyjęcia wyjątku za regułę, uogólnionego zatrzymywania danych osobowych za podstawową zasadę ich ustawodawstw. W takim przypadku doszłoby do bezterminowego istotnego naruszenia prawa do ochrony danych osobowych”(41).
D. Punkt 168 wyroku La Quadrature du Net
51. W tym kontekście elementy niezbędne do udzielenia odpowiedzi sądowi odsyłającemu wynikają moim zdaniem bezpośrednio z orzecznictwa Trybunału Sprawiedliwości dotyczącego art. 15 ust. 1 dyrektywy 2002/58, streszczonego w wyroku La Quadrature du Net.
52. Muszę zatem przypomnieć przede wszystkim orzecznictwo Trybunału Sprawiedliwości zawarte w tym wyroku, którego pkt 168 zawiera następujące podsumowanie:
„Artykuł 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty należy interpretować w ten sposób, iż stoi on na przeszkodzie środkom ustawodawczym przewidującym, w celach, o których mowa w tym art. 15 ust. 1, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu i danych dotyczących lokalizacji. Natomiast wspomniany art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty nie stoi na przeszkodzie przepisom ustawodawczym:
– umożliwiającym, do celów ochrony bezpieczeństwa narodowego, posłużenie się skierowanym do dostawców usług łączności elektronicznej nakazem uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji w sytuacjach, gdy dane państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia, przy czym decyzja o wydaniu takiego nakazu może być przedmiotem skutecznej kontroli sądu lub niezależnego organu administracyjnego, którego decyzja wywiera wiążący skutek, mającej na celu weryfikację występowania jednej z takich sytuacji oraz poszanowania warunków i gwarancji, które powinny zostać przewidziane, zaś wspomniany nakaz można wydać jedynie na określony czas ograniczony do tego, co ściśle niezbędne, jednak z możliwością przedłużenia w przypadku utrzymywania się tego zagrożenia;
– przewidującym, do celów ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego, na okres ograniczony do tego, co ściśle niezbędne, ale odnawialny;
– przewidującym, do celów ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia, w okresie ograniczonym do tego, co ściśle niezbędne;
– przewidującym, do celów ochrony bezpieczeństwa narodowego, zwalczania przestępczości i ochrony bezpieczeństwa publicznego, uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej; oraz
– umożliwiającym, do celów zwalczania poważnej przestępczości oraz, a fortiori, ochrony bezpieczeństwa narodowego, posłużenie się nakazem skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, szybkiego zatrzymywania przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług,
jeśli środki te zawierają jasne i precyzyjne przepisy zapewniające, że rozpatrywane zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych warunków oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć”.
E. Ocena przepisów będących przedmiotem niniejszych odesłań prejudycjalnych w świetle wyroku La Quadrature du Net
53. Zdaniem sądu odsyłającego, który ma wyłączną kompetencję do jego interpretacji, ustawodawstwo niemieckie nakazuje „niewymagające żadnego uzasadnienia zatrzymywanie, w sposób uogólniony i bez rozróżnienia pod względem osobowym, czasowym i geograficznym, znacznej części istotnych danych o ruchu telekomunikacyjnym”(42).
54. Sporne przepisy krajowe nie ograniczają się do upoważnienia właściwych organów do żądania zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji przez określony czas: to ustawodawca bezpośrednio i bezterminowo ustanawia obowiązek ich zatrzymywania.
55. W związku z tym w piśmie z dnia 13 stycznia 2021 r. sąd ten wymienił rozbieżności istniejące między przepisami krajowymi a przepisami, o których mowa w wyroku La Quadrature du Net, które mogłyby prowadzić do rozwiązania innego niż to, które zostało przyjęte w tamtym czasie.
56. Przejdę do analizy tych rozbieżności w tej samej kolejności, w jakiej zostały one przedstawione przez sąd odsyłający, ale muszę najpierw przyznać, że ustawodawca niemiecki poważnie potraktował zadanie dostosowania ustawodawstwa krajowego do wymogów wynikających w tej dziedzinie z orzecznictwa Trybunału Sprawiedliwości.
57. Jak wskazuje sąd odsyłający, sporne uregulowanie jest wynikiem zmiany legislacyjnej wynikającej z orzecznictwa Bundesverfassunsgericht (trybunału konstytucyjnego) oraz linii orzeczniczej wynikającej z wyroku Digital Rights.
58. Należy zatem docenić postęp poczyniony w spornym ustawodawstwie krajowym, będący wyrazem silnego pragnienia dostosowania się do orzecznictwa Trybunału Sprawiedliwości.
59. Zapał legislacyjny skupił się być może jednak bardziej na aspektach ochrony i dostępu do zatrzymywanych danych, a mniej na tych związanych z selektywnym określeniem danych, których zatrzymywanie jest konieczne.
1. Typologia zatrzymywanych danych
60. Typologia zatrzymywanych danych (nie są przechowywane dane dotyczące przeglądanych stron internetowych, dane dotyczące poczty elektronicznej oraz dane dotyczące połączeń telefonicznych do lub z centrum usług telefonicznej obsługi klienta o charakterze społecznym lub religijnym) nie pozwala moim zdaniem ignorować faktu, że obowiązek uogólnionego i niezróżnicowanego przechowywania obejmuje bardzo obszerny zbiór wielu innych kategorii danych dotyczących ruchu i danych dotyczących lokalizacji, podobny w swym całokształcie do zbioru badanego w wyroku La Quadrature du Net.
61. W związku z tym ze względu na ich szczególne cechy i bardzo mały wpływ na całokształt obliczeń(43) niemalże bez znaczenia jest to, czy wyłączymy z nich dane dotyczące połączeń z niektórymi liniami telefonicznej obsługi klienta, prowadzonymi przez podmioty, organy lub organizacje społeczne lub religijne.
62. Bez decydującego znaczenia jest również okoliczność polegająca na tym, że ten obowiązek zatrzymywania nie obejmuje treści (czy to przeglądanych stron internetowych, czy dotyczących poczty elektronicznej), ponieważ wyrok La Quadrature du Net nie odnosił się do treści, lecz do danych dotyczących ruchu i danych dotyczących lokalizacji związanych z łącznością elektroniczną.
2. Czas trwania obowiązku zatrzymywania danych
63. Najbardziej znacząca rozbieżność w porównaniu z przepisami krajowymi przeanalizowanymi w wyroku La Quadrature du Net dotyczy okresu przechowywania, który zgodnie z § 113b ust. 1 TKG wynosi cztery lub dziesięć tygodni (cztery tygodnie w przypadku danych dotyczących lokalizacji i dziesięć tygodni w przypadku innych danych), a nie jeden rok.
64. Zarówno sąd odsyłający, jak i niektóre rządy uczestniczące w postępowaniu podkreślają tę okoliczność, wskazując, że sporne przepisy znacznie ograniczają okres zatrzymywania danych. Zdaniem sądu odsyłającego ten krótszy okres zmniejsza ryzyko sporządzenia ogólnego profilu osób, których dane dotyczą.
65. Jak już argumentowałem w opinii w sprawie Ordre des barreaux francophones et germonophone, która to argumentacja ma zastosowanie do omawianych w niniejszym przypadku przepisów krajowych, konieczne jest, aby zatrzymywane dane mogły być przechowywane jedynie przez ograniczony czas(44), zależnie od tego, do której z dwóch kategorii należą(45).
66. O ile jednak ograniczenie w czasie okresu zatrzymywania stanowi istotny element oceny spornych przepisów, to okoliczność ta nie może zaradzić temu, że przepisy te ustanawiają uogólniony i niezróżnicowany obowiązek zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji.
67. Jak już wskazałem, zgodnie z orzecznictwem Trybunału Sprawiedliwości, poza przypadkiem uzasadnionym ochroną bezpieczeństwa narodowego, możliwe jest jedynie selektywne przechowywanie danych dotyczących łączności elektronicznej, a to ze względu na poważne ryzyko, jakie wiązałoby się z ich uogólnionym zatrzymywaniem.
68. To właśnie to ryzyko ostatecznie zainspirowało Trybunał Sprawiedliwości, który orzekł w tej dziedzinie: „[D]ane o ruchu i dane o lokalizacji mogą ujawnić informacje o wielu aspektach życia prywatnego osób, których dane dotyczą, w tym informacje newralgiczne, takie jak orientacja seksualna, poglądy polityczne, przekonania religijne, filozoficzne, społeczne lub inne, jak również stan zdrowia, podczas gdy takie dane korzystają ponadto ze szczególnej ochrony w prawie Unii. Całokształt omawianych danych umożliwia wyciągnięcie bardzo precyzyjnych wniosków dotyczących życia prywatnego osób, których dane są zatrzymywane, takich jak ich codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, podejmowane czynności, relacje towarzyskie i środowiska społeczne, w których osoby te się obracają. W szczególności dane te dają możność ustalenia profilu osób, których dane dotyczą, zaś informacja ta jest z punktu widzenia prawa do poszanowania życia prywatnego równie newralgiczna jak sama treść komunikatów”(46).
69. Prawdą jest, jak twierdzi sąd odsyłający, że bardzo ograniczone w czasie przechowywanie danych może utrudniać tworzenie profili.
70. Istnienie większych lub mniejszych utrudnień w tym względzie zależy jednak nie tylko od czasu zatrzymywania danych, ale także od ich ilości i jakości: im większa ilość danych, tym większa możliwość uzyskania newralgicznych informacji w danych okresach, których długość będzie zależała, między innymi, od rozwoju technik monitorowania, współzależności i oceny wszystkich danych dotyczących łączności elektronicznej. To, co może dziś okazać się czasem niewystarczającym na gromadzenie informacji ułatwiających tworzenie profili, może być czasem więcej niż wystarczającym na osiągnięcie tego celu w mniej lub bardziej nieodległej przyszłości(47).
71. W każdym razie, zdaniem Trybunału, „ingerencja w prawa podstawowe ustanowione w art. 7 i 8 karty, polegająca na dostępie organu władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji na temat połączeń wykonywanych przez użytkownika środka łączności elektronicznej lub lokalizacji używanych przez niego urządzeń końcowych, ma w każdym wypadku poważny charakter, niezależnie od długości okresu, na jaki wnosi się o dostęp do wspomnianych danych, oraz od ilości lub rodzaju danych dostępnych w takim okresie, jeżeli […] ten zbiór danych może pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osoby lub osób, których dane dotyczą”(48).
72. Podsumowując: uważam, że pomimo różnic wskazanych przez sąd odsyłający, podobieństwa, jakie istnieją w tym zakresie pomiędzy spornymi przepisami rozpatrywanymi w postępowaniach a quibus a ustawodawstwem będącym przedmiotem postępowania, które doprowadziło do wydania wyroku La Quadrature du Net, nie pozwalają na pominięcie linii rozumowania przedstawionej w tym ostatnim orzeczeniu.
3. Ochrona danych przed bezprawnym do nich dostępem
73. Zdaniem sądu odsyłającego niemieckie przepisy zapewniają skuteczną ochronę zatrzymywanych danych przed niebezpieczeństwami związanymi z ich nadużyciem i uzyskaniem bezprawnego do nich dostępu.
74. Nie umniejszając wysiłków regulacyjnych w zakresie ochrony danych i dostępu do danych, nie należy zapominać, że w opinii Trybunału Sprawiedliwości „zatrzymywanie danych o ruchu i danych o lokalizacji stanowi samo w sobie […] ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych”(49). W tym sensie „dostęp do takich danych stanowi, niezależnie od sposobu ich późniejszego wykorzystania, odrębną ingerencję” w wyżej wymienione prawa podstawowe(50).
75. Dla niniejszej sprawy bez znaczenia jest zatem to, że przewidziany przez niemieckiego ustawodawcę system ochrony przechowywanych danych: a) skutecznie gwarantuje nietykalność tych danych; b) ściśle i skutecznie określa warunki dostępu do nich, ograniczając krąg osób, które mogą go uzyskać; oraz c) dopuszcza wykorzystywanie przechowywanych danych wyłącznie do celów ścigania poważnych przestępstw i zapobiegania konkretnym zagrożeniom dla życia lub wolności osób lub dla bezpieczeństwa narodowego.
76. Decydujące znaczenie ma jednak tak naprawdę to, że – jak powtarza również sąd odsyłający – sporny obowiązek zatrzymywania jako taki nie podlega żadnemu szczególnemu warunkowi.
4. Skutki wyroku Bundesverfassungsgericht (trybunału konstytucyjnego) z dnia 27 maja 2020 r.
77. Sąd odsyłający powołuje się na wyrok Bundesverfassungsgericht (trybunału konstytucyjnego) w przedmiocie § 113 TKG(51), w następstwie wydania którego, po stwierdzeniu niezgodności tego przepisu z konstytucją, jego ważność byłaby uzależniona od spełnienia warunków, których zgodność z prawem Unii nie byłaby łatwa do ustalenia.
78. Na tym etapie Trybunał Sprawiedliwości nie ma nic do powiedzenia na temat skutków tego wyroku, a tym bardziej na temat ram nowych przepisów, które ustawodawca niemiecki będzie musiał przyjąć (lub już przyjął, w zależności od przypadku).
79. Jeżeli, jak twierdzi sąd odsyłający, ma on wydać wyrok „rewizyjny” na podstawie prawa obowiązującego w dniu jego wydania, powinien on sam zbadać zgodność tego wyroku z prawem Unii w świetle orzecznictwa Trybunału Sprawiedliwości dotyczącego ochrony danych uzyskiwanych w sektorze łączności elektronicznej.
5. Adresy IP
80. Zdaniem sądu odsyłającego z pkt 168 wyroku La Quadrature du Net wynika, że Trybunał Sprawiedliwości ustanawia w odniesieniu do adresów IP wymóg istnienia podstawy zatrzymania związanej z zapewnieniem ochrony bezpieczeństwa narodowego, zwalczaniem poważnej przestępczości i zapobieganiem poważnym zagrożeniom dla bezpieczeństwa publicznego. Z pkt 155 tego wyroku wynika jednak zdaniem tego sądu, że te adresy IP mogą być zatrzymywane bez konieczności podawania szczególnego powodu, jedynie zaś wykorzystywanie zatrzymanych danych wymagałoby istnienia powodu związanego z tym celem.
81. Ja jednak nie dostrzegam jednak takiego rozdźwięku (nie mówiąc już o sprzeczności). O ile w pkt 155 tego wyroku Trybunał stwierdził, że uogólnione i niezróżnicowane zatrzymywanie adresów IP przypisanych do źródła połączenia „nie wydaje się co do zasady sprzeczn[e] z art. 15 ust. 1 dyrektywy 2002/58”, to w pkt 156 wskazał następnie, że „z uwagi na poważny charakter ingerencji w prawa podstawowe […], jaką pociąga za sobą to zatrzymywanie, jedynie walka z poważną przestępczością i zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego mogą, podobnie jak ochrona bezpieczeństwa narodowego, uzasadniać tę ingerencję”.
82. Łączna lektura punktów 155 i 156 wyroku La Quadrature du Net prowadzi zatem do spójnej odpowiedzi na zadane wówczas pytania prejudycjalne dotyczące zatrzymywania adresów IP, której Trybunał udzielił w pkt 168 tego wyroku.
83. Podczas rozprawy zwrócono uwagę na pewne problemy – które zdaniem niektórych uczestników wymagały wyjaśnienia przez Trybunał Sprawiedliwości – związane z zatrzymywaniem adresów IP. Rozwiązanie tych problemów (w szczególności tych spowodowanych istnieniem różnicy między dynamicznymi i statycznymi adresami IP oraz wpływem protokołu IPv6) wykracza, moim zdaniem, poza to, co chciał ustalić sąd odsyłający, którego pierwotne wnioski o wydanie orzeczenia w trybie prejudycjalnym(52) i pismo z dnia 13 stycznia 2021 r. mają znacznie bardziej ograniczony w tym względzie zakres.
V. Wnioski
84. W świetle powyższych rozważań proponuję, aby Trybunał Sprawiedliwości udzielił Bundesverwaltungsgericht (federalnemu sądowi administracyjnemu, Niemcy) następującej odpowiedzi:
Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r., w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 4 ust. 2 TUE należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, które nakłada na operatorów dostępnych publicznie usług łączności elektronicznej obowiązek zatrzymywania w sposób prewencyjny, uogólniony i niezróżnicowany danych dotyczących ruchu i danych dotyczących lokalizacji użytkowników końcowych tych usług do celów innych niż ochrona bezpieczeństwa narodowego przed rzeczywistym i aktualnym lub przewidywalnym zagrożeniem.