Sprawy połączone C‑793/19 i C‑794/19
Bundesrepublik Deutschland
przeciwko
SpaceNet AG
i
Telekom Deutschland GmbH
(wnioski o wydanie orzeczenia w trybie prejudycjalnym złożone przez Bundesverwaltungsgericht)
Wyrok Trybunału (wielka izba) z dnia 20 września 2022 r.
Odesłanie prejudycjalne – Przetwarzanie danych osobowych w sektorze łączności elektronicznej – Poufność komunikacji – Dostawcy usług łączności elektronicznej – Uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji – Dyrektywa 2002/58/WE – Artykuł 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 6, 7, 8 i 11 oraz art. 52 ust. 1 – Artykuł 4 ust. 2 TUE
1. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Zakres stosowania – Uregulowanie krajowe nakładające na dostawców usług łączności elektronicznej obowiązek zatrzymywania danych o ruchu i danych o lokalizacji – Cele ochrony bezpieczeństwa narodowego i zwalczania przestępczości – Objęcie zakresem stosowania
(art. 4 ust. 2 TUE; dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady zmieniona dyrektywą 2009/136, art. 1 ust. 1, 3, art. 3, art. 15 ust. 1)
(zob. pkt 48)
2. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Cel polegający na zwalczaniu poważnej przestępczości i zapobieganiu poważnym zagrożeniom dla bezpieczeństwa publicznego – Niedopuszczalność – Długość okresu uogólnionego i niezróżnicowanego zatrzymywania tych danych – Brak wpływu – Środki krajowe dotyczące zatrzymywania niektórych kategorii danych – Cele ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego – Dopuszczalność – Przesłanki
(Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady zmieniona dyrektywą 2009/136, art. 15 ust. 1)
(zob. pkt 49–75, 77–81, 83–85, 87–94, 97–99, 110, 113, 116–121, 127–131; sentencja)
Streszczenie
Na przestrzeni ostatnich latach Trybunał wypowiadał się wielokrotnie w swych wyrokach w przedmiocie zatrzymywania i dostępu do danych osobowych w dziedzinie łączności elektronicznej(1).
W wydanym ostatnio w składzie wielkiej izby wyroku La Quadrature du net i in.(2) z dnia 6 października 2020 r. Trybunał potwierdził swe wynikające z wyroku Tele2 Sverige i Watson i in.(3) orzecznictwo w przedmiocie nieproporcjonalnego charakteru uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji związanych z łącznością elektroniczną. Przedstawił on również wyjaśnienia odnoszące się w szczególności do zakresu uprawnień, jakie dyrektywa o prywatności i łączności elektronicznej przyznaje państwom członkowskim w dziedzinie zatrzymywania takich danych w celu ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości lub ochrony bezpieczeństwa publicznego.
W niniejszych sprawach połączonych Bundesverwaltungsgericht (federalny sąd administracyjny, Niemcy) przedłożył dwa wnioski o wydanie orzeczenia w trybie prejudycjalnym; uczynił to w ramach postępowań wszczętych przed nim przez Republikę Federalną Niemiec w drodze skarg rewizyjnych (Revision) na dwa wyroki, w których zostały uwzględnione skargi wniesione przez dwie spółki, SpaceNet AG (sprawa C‑793/19) i Telekom Deutschland GmbH (sprawa C‑794/19), świadczące usługi dostępu do Internetu. W tych skargach usługodawcy ci zakwestionowali nałożony na nich w przepisach niemieckich(4) obowiązek zatrzymywania dotyczących ich klientów danych o ruchu i danych o lokalizacji związanych z łącznością elektroniczną.
Wątpliwości sądu odsyłającego dotyczyły w szczególności zgodności dyrektywy o prywatności i łączności elektronicznej(5) w związku z Kartą praw podstawowych Unii Europejskiej (zwaną dalej „kartą”)(6) oraz art. 4 ust. 2 TUE przepisów krajowych, które, aby zapewnić między innymi realizację celów polegających na ściganiu poważnych przestępstw lub zapobieganiu konkretnemu zagrożeniu dla bezpieczeństwa narodowego, nakładają na dostawców publicznie dostępnych usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania istotnych danych o ruchu oraz danych o lokalizacji użytkowników tych usług, przewidując w tym względzie kilkutygodniowy okres zatrzymywania; wątpliwości sądu odsyłającego dotyczą także zasad mających na celu zapewnienie zatrzymywanym danym skutecznej ochrony przed ryzykiem nadużyć, jak również przed uzyskaniem nieuprawnionego dostępu do tych danych.
W swym wyroku Trybunał w składzie wielkiej izby potwierdził, doprecyzowując zakres jego zastosowania, orzecznictwo wywodzące się z wyroku La Quadrature du Net i in., czy też, ostatnio, z wyroku Commissioner of An Garda Síochána i in.(7) Przypomniał on w szczególności, że nie jest dozwolone prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji związanych z łącznością elektroniczną do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego.
Ocena Trybunału
Trybunał potwierdził najpierw, że dyrektywa o prywatności i łączności elektronicznej ma zastosowanie do rozpatrywanych przepisów krajowych, a następnie dokonał tytułem przypomnienia przeglądu wypracowanych w orzecznictwie zasad, aby, wreszcie, przeprowadzić szczegółową analizę rozpatrywanych przepisów krajowych, na które zwrócił uwagę sąd odsyłający.
Jeśli chodzi o, w pierwszej kolejności, zakres zatrzymywanych danych, Trybunał wskazał, że przewidziany w rozpatrywanych przepisach krajowych obowiązek obejmuje bardzo duży zbiór danych o ruchu i danych o lokalizacji oraz że dotyczy on niemal wszystkich osób składających się na populację, nawet wówczas, gdy nie ma wobec nich żadnych podstaw, choćby pośrednich, do wszczęcia postępowania karnego. Wskazał on też, że w przepisach tych ustanowiony został wymóg zatrzymywania bez uzasadnionego powodu, w uogólniony i niezróżnicowany z punktu widzenia osobowego, czasowego i geograficznego, istotnych danych o ruchu i danych o lokalizacji, których zakres odpowiada w istocie zakresowi danych zatrzymywanych w sprawach, w których wydano wyrok La Quadrature du net i in. W związku z tym, mając na uwadze to orzecznictwo, Trybunał uznał, że obowiązek zatrzymywania danych taki jak ten rozpatrywany w postępowaniu głównym nie może zostać uznany za ukierunkowane zatrzymywanie danych.
Następnie, w odniesieniu do okresu zatrzymywania danych, Trybunał przypomniał, iż z dyrektywy o prywatności i łączności elektronicznej(8) wynika, że okres przechowywania przewidziany w środku krajowym ustanawiającym obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych jest niewątpliwie jednym z istotnych czynników służących ustaleniu tego, czy prawo Unii sprzeciwia się takiemu środkowi, ponieważ wspomniana dyrektywa ustanawia wymóg, aby okres ten był „określony”. Jednakże waga tej ingerencji wynika z prawdopodobieństwa, że zatrzymywane dane, w szczególności ze względu na ich ilość i różnorodność, rozpatrywane jako całościowy zbiór, pozwalają na wyciągnięcie bardzo precyzyjnych wniosków dotyczących życia prywatnego osoby lub osób, których dane zostały zatrzymane, a w szczególności dostarczają środków pozwalających na ustalenie profilu osoby lub osób, których dane dotyczą, która to informacja jest z punktu widzenia prawa do poszanowania życia prywatnego równie newralgiczna co sama treść komunikatów. Tak więc zatrzymywanie danych o ruchu lub danych o lokalizacji ma w każdym wypadku poważny charakter, niezależnie od długości okresu, na jaki te dane są zatrzymywane, oraz od ilości lub rodzaju zatrzymywanych danych, jeżeli zbiór zatrzymanych danych może pozwolić na wyciągnięcie takich wniosków(9).
Wreszcie, jeśli chodzi o gwarancje mające na celu ochronę zatrzymywanych danych przed ryzykiem nadużyć i przed udzieleniem jakiegokolwiek nieuprawnionego dostępu do nich, Trybunał, opierając się na wcześniejszym orzecznictwie, wskazał, że zatrzymywanie danych i dostęp do nich stanowią odrębne ingerencje w prawa podstawowe osób, których te dane dotyczą, zaś każda z tych ingerencji wymaga odrębnego uzasadnienia. Wynika z tego, że przepisy krajowe zapewniające pełne poszanowanie warunków wynikających z orzecznictwa w dziedzinie dostępu do zatrzymywanych danych nie mogą jako takie ani ograniczyć, ani zaradzić poważnej ingerencji w prawa zainteresowanych osób, która to ingerencja wynikałaby z uogólnionego zatrzymywania tych danych.
Ponadto, ustosunkowując się do podniesionych przed nim argumentów, Trybunał zauważył w pierwszej kolejności, że zagrożenie dla bezpieczeństwa narodowego musi być rzeczywiste i aktualne lub przynajmniej przewidywalne, co zakłada wystąpienie okoliczności wystarczająco konkretnych, aby móc uzasadnić środek w postaci uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji przez określony czas. Takie zagrożenie różni się zatem – ze względu na swój charakter, wagę i szczególny charakter składających się na nie okoliczności – od ogólnego i stałego ryzyka wystąpienia napięć lub zakłóceń, nawet poważnych, dla bezpieczeństwa publicznego lub ryzyka poważnych przestępstw. A zatem przestępczości, nawet szczególnie poważnej, nie można utożsamiać z zagrożeniem dla bezpieczeństwa narodowego.
Trybunał w drugiej kolejności wskazał, że zezwolenie na dostęp – do celów walki z poważną przestępczością – do danych o ruchu i danych o lokalizacji zatrzymywanych w sposób uogólniony i niezróżnicowany, aby stawić czoła poważnemu zagrożeniu dla bezpieczeństwa narodowego, byłoby niezgodne z hierarchią celów interesu ogólnego mogących uzasadniać środek przyjęty na podstawie dyrektywy o prywatności i łączności elektronicznej(10). Sprowadzałoby się to bowiem do zezwolenia na to, że udzielenie dostępu mogłoby być uzasadnione celem mającym w hierarchii celów mniejsze znaczenie niż cel, który uzasadniał zatrzymywanie danych, czyli ochrona bezpieczeństwa narodowego, co mogłoby skutkować pozbawieniem wszelkiej skuteczności (effet utile) zakazu uogólnionego i niezróżnicowanego zatrzymywania danych do celów walki z poważną przestępczością.
Potwierdzając swe wcześniejsze orzecznictwo, Trybunał doszedł do wniosku, że sprzeczne z dyrektywą o prywatności i łączności elektronicznej w związku z kartą są krajowe środki ustawodawcze przewidujące, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji.
Natomiast nie stoi ona na przeszkodzie krajowym środkom ustawodawczym umożliwiającym – co celu ochrony bezpieczeństwa narodowego – posłużenie się skierowanym do dostawców usług łączności elektronicznej nakazem uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji w sytuacjach, gdy dane państwo członkowskie napotyka poważne zagrożenie dla bezpieczeństwa narodowego, które okazuje się rzeczywiste i aktualne lub możliwe do przewidzenia. W tym względzie Trybunał wyjaśnił, że decyzja o wydaniu takiego nakazu może być przedmiotem skutecznej kontroli sądu lub niezależnego organu administracyjnego, którego decyzja wywiera wiążący skutek, mającej na celu weryfikację występowania jednej z takich sytuacji oraz poszanowania warunków i gwarancji, które powinny zostać przewidziane, zaś wspomniany nakaz można wydać jedynie na określony czas ograniczony do tego, co ściśle niezbędne, jednak z możliwością przedłużenia w przypadku utrzymywania się tego zagrożenia.
Dyrektywa ta, interpretowana w świetle karty, nie stoi na przeszkodzie krajowym środkom ustawodawczym przewidującym – do celów ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego – ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego, na określony czas ograniczony do tego, co ściśle niezbędne, ale odnawialny.
To samo dotyczy krajowych środków ustawodawczych przewidujących – do celów ochrony bezpieczeństwa narodowego, zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego – uogólnione i niezróżnicowane zatrzymywanie adresów IP przypisanych do źródła połączenia na określony czas ograniczony do tego, co ściśle niezbędne, a także danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej, co do których nie ulega wątpliwości, że ich zatrzymywanie może przyczynić się do zwalczania poważnej przestępczości, pod warunkiem że dane te pozwalają zidentyfikować osoby, które korzystały z takich środków w ramach przygotowywania lub popełnienia poważnego przestępstwa.
To samo odnosi się do krajowych środków ustawodawczych umożliwiających – do celów zwalczania poważnej przestępczości oraz, a fortiori, ochrony bezpieczeństwa narodowego – posłużenie się nakazem skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, szybkiego zatrzymywania przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług.
Niemniej jednak Trybunał wskazał, że wszystkie ww. środki winny, za pomocą jasnych i precyzyjnych uregulowań, zapewniać, by odnośne zatrzymywanie danych było uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz by osoby, których dane dotyczą, dysponowały skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć. Te różnego rodzaju środki mogą – zgodnie z wyborem ustawodawcy krajowego i przy poszanowaniu granic tego, co ściśle niezbędne – być stosowane wspólnie.