STANOVISKO GENERÁLNÍHO ADVOKÁTA
MACIEJE SZPUNARA
přednesené dne 27. října 2022(1)
Věc C‑470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
proti
Premier ministre,
Ministère de la Culture
[žádost o rozhodnutí o předběžné otázce podaná Conseil d’État (Francie)]
„Řízení o předběžné otázce – Zpracování osobních údajů a ochrana soukromí v odvětví elektronických komunikací – Směrnice 2002/58/ES – Článek 15 odst. 1 – Pravomoc členských států omezit rozsah určitých práv a povinností – Povinnost předchozího přezkumu soudem nebo nezávislým správním orgánem s donucovací pravomocí – Údaje o totožnosti odpovídající IP adrese“
I. Úvod
1. Uchovávání a přístup k určitým údajům uživatelů internetu je stále aktuální otázkou, která je řešena v nedávné, nicméně již rozsáhlé judikatuře Soudního dvora.
2. Projednávaná věc poskytuje Soudnímu dvoru příležitost se touto otázkou znovu zabývat, a to nově v kontextu boje proti porušování práv duševního vlastnictví páchanému výhradně na internetu.
II. Právní rámec
A. Unijní právo
3. V bodech 2, 6, 7, 11, 22, 26 a 30 odůvodnění směrnice 2002/58/ES(2) se uvádí:
„(2) tato směrnice usiluje o respektování základních práv a zachovává zásady uznané zejména v [Listině základních práv Evropské unie (dále jen ‚Listina‘)]. Tato směrnice zejména usiluje o to, aby byla plně dodržována práva stanovená v článcích 7 a 8 uvedené listiny.
[…]
(6) internet převrací tradiční struktury trhu tím, že poskytuje společnou, obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí;
(7) v případě sítí veřejných komunikací je nutno přijmout zvláštní právní, regulační a technická ustanovení na ochranu základních práv a svobod fyzických osob a ochranu oprávněných zájmů právnických osob, zejména s ohledem na zvyšující se kapacitu automatického uchovávání a zpracování údajů týkajících se účastníků a uživatelů.
[…]
(11) tato směrnice, obdobně jako směrnice [95/46/ES(3)], se netýká ochrany základních práv a svobod ve vztahu k činnostem, které se neřídí právem Společenství. Proto tato směrnice nemění stávající rovnováhu mezi právem jednotlivce na soukromí a možností, aby členské státy přijaly opatření uvedená v čl. 15 odst. 1 této směrnice, která jsou nezbytná pro ochranu veřejné bezpečnosti, obrany, bezpečnosti státu (včetně hospodářské prosperity státu, pokud jsou tyto činnosti spojeny s otázkami bezpečnosti státu) a pro prosazování trestního práva. Tato směrnice se tedy nedotýká možnosti členských států provádět zákonné zachycování elektronických sdělení nebo přijímat jiná opatření, je-li to nezbytné pro některý z těchto účelů a je-li to v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod [podepsanou v Římě dne 4. listopadu 1950], jak je vykládána v rozhodnutích Evropského soudu pro lidská práva. Tato opatření musí být vhodná, plně přiměřená vzhledem k zamýšlenému účelu a nezbytná v demokratické společnosti a musí být předmětem odpovídajících záruk v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod;
[…]
(22) zákaz uchovávat sdělení a s nimi spojené provozní údaje jinými osobami než samotnými uživateli nebo bez jejich souhlasu neznamená zákaz jakéhokoli automatického, zprostředkovaného a přechodného uchovávání takových informací, pokud k němu dochází výlučně z důvodu provedení přenosu v síti elektronických komunikací a za předpokladu, že informace nejsou uchovávány po dobu delší než nezbytně nutnou pro účely přenosu a řízení provozu, a že po dobu tohoto uchovávání zůstane zajištěna důvěrnost. […]
[…]
(26) údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu. Jakékoli další zpracování takových údajů […] je přípustné pouze za předpokladu, že účastník s tímto souhlasil na základě přesných a úplných informací o druhu následného zamýšleného zpracování, které obdržel od poskytovatele veřejně dostupných služeb elektronických komunikací, spolu s informací o právu účastníka nedat takový souhlas nebo svůj souhlas k takovému zpracování vzít zpět. […]
[…]
(30) systémy pro zajišťování sítí a služeb elektronických komunikací musí být navrženy tak, aby omezily na nutné minimum množství nezbytných osobních údajů. […]“
4. Článek 2 této směrnice, nadepsaný „Definice“, stanoví:
„[…]
Použijí se rovněž tyto definice:
(a) ‚uživatelem‘ se rozumí jakákoli fyzická osoba používající veřejně dostupnou službu elektronické komunikace pro soukromé či obchodní účely, přičemž není nezbytně nutné, aby byla účastníkem této služby;
(b) ‚provozními údaji‘ se rozumějí jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování;
(c) ‚lokalizačními údaji‘ se rozumějí jakékoli údaje zpracovávané v síti elektronických komunikací nebo službou elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací;
(d) ‚sdělením‘ se rozumí jakákoli informace, která se vyměňuje nebo přenáší mezi určitým počtem zúčastněných stran prostřednictvím veřejně dostupné služby elektronických komunikací; toto nezahrnuje informace přenášené jako součást vysílání pro veřejnost prostřednictvím sítě elektronických komunikací s výjimkou případů, kdy lze informace přiřadit k identifikovatelnému účastníku nebo uživateli, který tyto informace přijímá;
[…]“
5. Článek 3 uvedené směrnice, nadepsaný „Dotčené služby“, stanoví:
„Tato směrnice se vztahuje na zpracování osobních údajů ve spojení s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích ve Společenství, včetně veřejných komunikačních sítí podporujících zařízení pro shromažďování a identifikaci údajů.“
6. Článek 5 téže směrnice, nadepsaný „Důvěrný charakter sdělení“, stanoví:
„1. Členské státy zajistí prostřednictvím vnitrostátních právních předpisů důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů. Zejména zakáží příposlech, odposlech, uchovávání nebo jiné druhy zachycování či sledování sdělení a s nimi souvisejících provozních údajů osobami jinými než uživateli bez souhlasu dotčených uživatelů, pokud k takovému jednání nejsou zákonem oprávněny v souladu s čl. 15 odst. 1. Tento odstavec nebrání technickému uchovávání, které je nezbytné pro přenos sdělení, aniž by tím byla dotčena zásada důvěrnosti.
[…]
3. Členské státy zajistí, aby uchovávání informací nebo získávání přístupu k již uchovávaným informacím bylo v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí [95/46], mimo jiné o účelu zpracování. To nebrání technickému ukládání nebo takovému přístupu, jehož jediným účelem je provedení přenosu sdělení prostřednictvím sítě elektronických komunikací, nebo je-li to nezbytně nutné k tomu, aby mohl poskytovatel služeb informační společnosti poskytovat služby, které si účastník nebo uživatel výslovně vyžádal.“
7. Článek 6 směrnice 2002/58, nadepsaný „Provozní údaje“, stanoví:
„1. Provozní údaje vztahující se k účastníkům a uživatelům zpracovávané a uchovávané provozovatelem veřejné komunikační sítě nebo poskytovatelem veřejně dostupné služby elektronických komunikací, musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, aniž by tímto byly dotčeny odstavce 2, 3 a 5 tohoto článku a čl. 15 odst. 1.
2. Je možno zpracovávat provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení. Takovéto zpracování je přípustné pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu.
[…]“
8. Článek 15 odst. 1 uvedené směrnice 2002/58, nadepsaný „Použití některých ustanovení směrnice [95/46]“, stanoví:
„Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, vhodné a přiměřené opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice [95/46]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva [Unie], včetně zásad uvedených v čl. 6 odst. 1 a 2 [SEU].“
B. Francouzské právo
1. Le code de la propriété intellectuelle (zákon o duševním vlastnictví)
9. Článek L. 331-12 zákona o duševním vlastnictví, ve znění použitelném v době sporu v původním řízení (dále jen „CPI“), stanoví:
„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Vysoký úřad pro šíření děl a ochranu práv na internetu, dále jen ‚Hadopi‘] je nezávislý orgán veřejné moci.
10. Článek L. 331-13 CPI stanoví:
„[Hadopi] zajišťuje:
[…]
2. ochranu [děl a předmětů chráněných autorským právem nebo právy souvisejícími v sítích elektronických komunikací] před porušováním těchto práv v sítích elektronických komunikací používaných k poskytování internetových veřejných komunikačních služeb; […]“
11. Článek L. 331-15 tohoto zákona stanoví:
„[Hadopi] se skládá z Rady a Komise pro ochranu práv. […]
[…]
Členové Rady a Komise pro ochranu práv nejsou při výkonu svých pravomocí podřízeni žádnému orgánu.“
12. Článek L. 331-17 uvedeného zákona stanoví:
„Komise pro ochranu práv přijímá opatření stanovená v článku L. 331-25.“
13. Článek L. 331-21 téhož zákona stanoví:
„Pro účely výkonu pravomocí Komisí pro ochranu práv má [Hadopi] k dispozici úředníky, kteří složili přísahu a jsou zmocněni [jeho] předsedou za podmínek stanovených nařízením přijatým v návaznosti na stanovisko Státní rady. […]
Členové Komise pro ochranu práv a úředníci uvedení v prvním pododstavci přijímají podání zaslaná uvedené komisi za podmínek stanovených v článku L. 331-24. Provádí přezkum skutkových okolností.
Pro potřeby řízení mohou získat veškeré dokumenty, a to na jakémkoli nosiči, včetně údajů uchovávaných a zpracovávaných provozovateli elektronických komunikací na základě článku L. 34‑1 code des postes et des communications électroniques (zákon o poštovních službách a elektronických komunikacích) a poskytovateli uvedenými v čl. 6 odst. I bodech 1 a 2 loi no 2004 575 du 21 juin 2004 pour la confiance dans l’économie numérique (zákon č. 2004-575 ze dne 21. června 2004 o podpoře důvěry v digitální ekonomiku).
Mohou rovněž obdržet kopii dokumentů uvedených v předchozím pododstavci.
Zejména mohou od provozovatelů elektronických komunikací získat totožnost, poštovní adresu, e-mailovou adresu a telefonní kontaktní údaje účastníka, jehož přístup k veřejným komunikačním službám on-line byl použit pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování chráněných děl nebo předmětů veřejnosti bez souhlasu nositelů práv […], pokud je takový souhlas vyžadován.“
14. Článek L. 331-24 CPI stanoví:
„Komise pro ochranu práv jedná na základě podnětu pověřených úředníků […], které jmenují:
– řádně ustavené ochranné profesní organizace,
– kolektivní správci,
– Státní středisko filmové a animované tvorby.
Komise pro ochranu práv může jednat také na základě informací, které jí předá státní zástupce.
Komise se nemůže zabývat skutečnostmi, které nastaly před více než šesti měsíci.“
15. Článek L. 331-25 tohoto zákona, upravující postup „odstupňované odpovědi“, stanoví:
„Pokud byly Komisi pro ochranu práv předloženy skutečnosti, které mohou představovat nesplnění povinnosti stanovené v článku L. 336-3 [CPI], může účastníkovi […] zaslat doporučení, v němž mu připomene ustanovení článku L. 336-3, vyzve jej, aby splnil povinnost stanovenou v tomto článku, a upozorní jej na sankce, které mu hrozí podle článků L. 335-7 a L. 335-7-1. Toto doporučení rovněž obsahuje informace pro účastníka o legální nabídce internetového kulturního obsahu, o existenci bezpečnostních opatření, která mají zabránit porušování povinnosti stanovené v článku L. 336-3, jakož i o nebezpečí, které praktiky porušující autorská práva a práva s nimi související představují pro rozvoj umělecké tvorby a pro správu kulturního odvětví.
Pokud do šesti měsíců od vydání doporučení uvedeného v prvním odstavci dojde opětovně ke skutečnostem, které by mohly představovat nesplnění povinnosti stanovené v článku L. 336-3, může Komise zaslat nové doporučení obsahující stejné informace jako předchozí doporučení elektronickými prostředky […] K tomuto doporučení je Komise povinna připojit dopis předaný proti podpisu nebo jakýmkoli jiným způsobem umožňujícím prokázat datum doručení tohoto doporučení.
V doporučeních vydaných podle tohoto článku se uvede datum a čas, kdy byly zjištěny skutečnosti, které mohou představovat nesplnění povinnosti stanovené v článku L. 336-3. Nezveřejní se v nich však obsah chráněných děl nebo předmětů, kterých se toto nesplnění povinnosti týká. V doporučení se uvedou telefonní čísla a poštovní a elektronická adresa, kam může adresát případně sdělit Komisi pro ochranu práv své připomínky, a pokud o to výslovně požádá, zjistit podrobnosti o obsahu chráněných děl nebo předmětů, jichž se údajné porušení týká.“
16. Článek L. 331-29 uvedeného zákona stanoví:
„[Hadopi] je oprávněn zavést automatizované zpracovávání osobních údajů osob, proti kterým je vedeno řízení podle tohoto pododdílu.
Účelem tohoto zpracování je provedení opatření stanovených v tomto pododdíle, všech souvisejících procesních úkonů a postupů za účelem informování ochranných profesních organizací a kolektivních správců o případném postoupení věci soudnímu orgánu, jakož i oznámení stanovených v pátém pododstavci článku L. 335-7, ze strany Komise pro ochranu práv.
Prováděcí předpisy k tomuto článku stanoví nařízení vlády […]. Nařízení vlády stanoví zejména:
– kategorie zaznamenávaných údajů a dobu jejich uchovávání,
– příjemce, kteří jsou oprávněni tyto údaje obdržet, zejména osoby, jejichž předmětem činnosti je poskytování přístupu k internetovým veřejným komunikačním službám;
– podmínky, za nichž mohou dotyčné osoby uplatnit u [Hadopi] své právo na přístup k údajům, které se jich týkají […]“
17. Článek R. 331-37 téhož zákona stanoví:
„Provozovatelé elektronických komunikací […] a poskytovatelé […] jsou povinni sdělit osobní údaje a informace uvedené v bodě 2 přílohy [décret no 2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l'article L. 331-29 [CPI] ‚Système de gestion des mesures pour la protection des œuvres sur internet‘ (nařízení č. 2010-236 ze dne 5. března 2010, o automatizovaném zpracování osobních údajů povoleném článkem L. 331-29 [CPI] s názvem ‚Systém pro správu opatření na ochranu děl na internetu‘(4)] prostřednictvím propojení s automatizovaným zpracováním osobních údajů uvedeným v článku L. 331-29 nebo prostřednictvím záznamového média, které zajišťuje jejich integritu a bezpečnost, a to […] do osmi dnů od okamžiku, kdy jim Komise pro ochranu práv předá technické údaje nezbytné k identifikaci účastníka, jehož přístup k internetovým veřejným komunikačním službám byl použit pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování chráněných děl nebo předmětů veřejnosti bez souhlasu nositelů práv […], pokud je takový souhlas vyžadován.
[…]“
18. Článek R. 335-5 CPI stanoví:
„I.- Níže uvedená jednání držitele přístupu k internetovým veřejným komunikačním službám bez oprávněného důvodu jsou považována za hrubou nedbalost, za niž lze uložit pokutu stanovenou pro přestupky páté třídy, pokud jsou splněny podmínky stanovené v odstavci II:
1. nezavedení prostředku pro zabezpečení tohoto přístupu, nebo
2. nepostupování s náležitou péčí při zavedení takového prostředku.
II.- Ustanovení odstavce I se použijí pouze v případě, že jsou splněny tyto dvě podmínky:
1. držiteli přístupu bylo na základě článku L. 331-25 a způsobem v něm stanoveným Komisí pro ochranu práv doporučeno, aby zavedl prostředek k zabezpečení svého přístupu, který zabrání jeho opětovnému použití pro účely rozmnožování, zobrazování nebo zpřístupňování či sdělování veřejnosti děl nebo předmětů chráněných autorským právem nebo právem s ním souvisejícím bez souhlasu nositelů práv […], pokud je takový souhlas vyžadován,
2. do jednoho roku od doručení tohoto doporučení došlo k opětovnému použití tohoto přístupu k účelům uvedeným v pododstavci 1. tohoto odstavce II.“
19. Článek L. 336-3 uvedeného zákona stanoví:
„Držitel přístupu k internetovým veřejným komunikačním službám je povinen zajistit, aby tento přístup nebyl používán pro účely rozmnožování, zobrazování, zpřístupňování nebo sdělování veřejnosti děl nebo předmětů chráněných autorským právem nebo právem s ním souvisejícím bez souhlasu nositelů […], pokud je takový souhlas vyžadován.
Nesplnění povinnosti stanovené v prvním odstavci ze strany držitele přístupu nezakládá trestní odpovědnost dotyčné osoby […]“
2. Nařízení vlády ze dne 5. března 2010
20. Článek 1 nařízení vlády ze dne 5. března 2010, ve znění použitelném na skutkové okolnosti sporu v původním řízení, stanoví:
„Účelem zpracování osobních údajů s názvem ‚Systém pro správu opatření na ochranu děl na internetu‘ je provádění následujících opatření ze strany Komise pro ochranu práv úřadu [Hadopi]:
1. opatření stanovená v knize III legislativní části zákona [CPI] (hlava III kapitola I oddíl 3 pododdíl 3) a v knize III prováděcí části téhož zákona (hlava III kapitola I oddíl 2 pododdíl 2),
2. podávání podnětů státnímu zástupci ohledně skutečností, které mohou představovat trestné činy stanovené v článcích L. 335-2, L. 335-3, L. 335-4 a R. 335-5 téhož zákona, jakož i informování ochranných profesních organizací a kolektivních správců o těchto podnětech,
[…]“
21. Článek 4 tohoto nařízení stanoví:
„I.- Jmenovaní úředníci pověření předsedou úřadu [Hadopi] podle článku L. 331-21 [CPI] a členové Komise pro ochranu práv uvedené v článku 1 mají přímý přístup k osobním údajům a informacím uvedeným v příloze tohoto nařízení.
II.- Provozovatelé elektronických komunikací a poskytovatelé služeb uvedení v bodě 2 přílohy tohoto nařízení obdrží:
– technické údaje potřebné k identifikaci účastníka,
– doporučení stanovená v článku L. 331-25 [CPI] za účelem jejich zaslání svým účastníkům elektronickými prostředky,
– informace nezbytné pro výkon vedlejších trestů pozastavení přístupu k internetové veřejné komunikační službě, o nichž státní zástupce uvědomil Komisi pro ochranu práv.
III.- Ochranné profesní organizace a kolektivní správci obdrží informace týkající se podnětu podaného ke státnímu zástupci.
IV.- Soudní orgány obdrží protokol o zjištění skutků, které by mohly představovat trestné činy stanovené v článcích L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331-37, R. 331-38 a R. 335-5 [CPI].
O výkonu trestu pozastavení přístupu je informován automatizovaný rejstřík trestů.“
22. Příloha k nařízení vlády ze dne 5. března 2010 stanoví:
„Při zpracování údajů prostřednictvím ‚Systému pro správu opatření na ochranu děl na internetu‘ se zaznamenávají následující osobní údaje a informace:
1. osobní údaje a informace získané od řádně ustavených ochranných profesních organizací, kolektivních správců, Státního střediska filmové a animované tvorby a státního zástupce:
Pokud jde o jednání, které může představovat nesplnění povinnosti stanovené v článku L. 336-3 [CPI]:
datum a čas, kdy k jednání došlo,
IP adresa dotčených účastníků,
použitý protokol peer-to-peer,
pseudonym používaný účastníkem,
informace o chráněných dílech nebo předmětech, kterých se skutečnosti týkají,
název souboru uloženého v počítači účastníka (pokud existuje),
poskytovatel internetových služeb, u kterého byl přístup sjednán nebo který poskytl technický zdroj IP.
[…]
2. Osobní údaje a informace týkající se účastníka shromážděné od provozovatelů elektronických komunikací […] a poskytovatelů služeb […]:
příjmení, jména,
poštovní adresa a e-mailové adresy,
telefonní číslo,
adresa telefonního zařízení účastníka,
poskytovatel přístupu k internetu, který využívá technické prostředky poskytovatele internetových služeb uvedeného v bodě 1, s nímž účastník uzavřel smlouvu; číslo smlouvy,
datum začátku pozastavení přístupu k internetové veřejné komunikační službě.
[…]“
3. Code des postes et des télécommunications (zákon o poštovních službách a telekomunikacích)
23. Článek L. 34-1 zákona o poštovních službách a elektronických komunikacích, ve znění článku 17 zákona č. 2021-998 ze dne 30. července 2021(5) (dále jen „CPCE“), v odstavci IIa stanoví, že „provozovatelé elektronických komunikací jsou povinni uchovávat:
1. pro účely trestního řízení, předcházení ohrožení veřejné bezpečnosti a zajištění bezpečnosti státu údaje o totožnosti uživatele, a to po dobu pěti let od skončení platnosti jeho smlouvy,
2. pro stejné účely, jaké jsou uvedeny v pododstavci 1 tohoto odstavce IIa, další informace poskytnuté uživatelem při přihlášení ke smlouvě nebo vytvoření účtu, jakož i informace týkající se plateb, a to po dobu jednoho roku od skončení platnosti jeho smlouvy nebo zrušení jeho účtu;
3. za účelem boje proti závažné trestné činnosti a organizovanému zločinu, předcházení závažnému ohrožení veřejné bezpečnosti a ochrany národní bezpečnosti, technické údaje umožňující identifikaci zdroje připojení nebo údaje týkající se použitého koncového zařízení, a to po dobu jednoho roku od připojení nebo použití koncového zařízení.“
III. Spor v původním řízení, předběžné otázky a řízení u Soudního dvora
24. Podáním ze dne 12. srpna 2019 a dvěma doplňujícími podáními ze dne 12. listopadu 2019 a 6. května 2021 podaly spolky La Quadrature du Net, Fédération des fournisseurs d‘accès à Internet associatifs, Franciliens.net a French Data Network ke Conseil d‘État (Státní rada, Francie) žalobu na neplatnost implicitního rozhodnutí předsedy vlády, kterým byl zamítnut jejich návrh na zrušení nařízení vlády ze dne 5. března 2010, s odůvodněním, že toto nařízení a ustanovení, která tvoří jeho právní základ, nejen nepřiměřeně zasahují do práv zaručených francouzskou ústavou, ale jsou rovněž v rozporu s článkem 15 směrnice 2002/58, jakož i s články 7, 8, 11 a 52 Listiny.
25. Žalobci v původním řízení zejména tvrdí, že nařízení vlády ze dne 5. března 2010 a ustanovení, která tvoří jeho právní základ, umožňují v nepřiměřeném rozsahu přístup k údajům o připojení v případě protiprávních jednání na internetu spojených s porušením autorského práva, která nejsou závažná, a to bez předchozího přezkumu ze strany soudu nebo orgánu poskytujícího záruky nezávislosti a nestrannosti.
26. V tomto ohledu předkládající soud nejprve zdůrazňuje, že Soudní dvůr ve svém posledním rozsudku La Quadrature du Net a další(6) rozhodl, že čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny nebrání legislativním opatřením, která za účelem zajištění národní bezpečnosti, boje proti trestné činnosti a veřejné bezpečnosti stanoví plošné a nerozlišující uchovávání údajů o totožnosti uživatelů prostředků elektronické komunikace. Podle zmíněného soudu je tedy takové uchovávání údajů možné bez časového omezení pro účely vyšetřování, odhalování a stíhání trestných činů obecně.
27. Z toho předkládající soud dovozuje, že žalobní důvod uplatněný žalobci v původním řízení, vycházející z protiprávnosti nařízení vlády ze dne 5. března 2010 v rozsahu, v němž bylo přijato v rámci boje proti protiprávním jednáním, která nejsou závažná, je nutné odmítnout.
28. Zmíněný soud pak připomíná, že v rozsudku Tele2 Sverige a Watson(7) Soudní dvůr rozhodl, že čl. 15 odst. 1 směrnice 2002/58, ve spojení s články 7, 8, 11 a čl. 52 odst. 1 Listiny, musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která upravuje ochranu a bezpečnost provozních a lokalizačních údajů, zejména přístup příslušných vnitrostátních orgánů k uchovávaným údajům, a nepodmiňuje tento přístup předchozím přezkumem ze strany soudu nebo nezávislého správního orgánu.
29. Podle předkládajícího soudu Soudní dvůr v rozsudku Tele2(8) upřesňuje, že k tomu, aby byly v praxi tyto podmínky plně dodržovány, je zásadní, aby přístup příslušných vnitrostátních orgánů k uchovávaným údajům, s výjimkou řádně odůvodněných naléhavých případů, podléhal požadavku předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu a aby tento soud nebo orgán rozhodoval na základě odůvodněné žádosti těchto příslušných orgánů, zejména v rámci postupů prevence, odhalování nebo stíhání trestných činů.
30. Předkládající soud zdůrazňuje, že Soudní dvůr připomněl tento požadavek v rozsudku La Quadrature du Net a další(9), pokud jde o shromažďování údajů o připojení v reálném čase zpravodajskými službami, a v rozsudku Prokuratuur (Podmínky přístupu k údajům týkajícím se elektronických komunikací)(10), pokud jde o přístup vnitrostátních orgánů k údajům o připojení.
31. Zmíněný soud konečně podotýká, že od svého vzniku v roce 2009 zaslal úřad Hadopi v rámci postupu odstupňované odpovědi stanoveného v článku L. 331-25 CPI účastníkům více než 12,7 milionu doporučení, z toho 827 791 jen v roce 2019. Za tímto účelem musí být úředníci Komise pro ochranu práv úřadu Hadopi schopni každý rok shromáždit značné množství údajů týkajících se totožnosti dotyčných uživatelů. Předkládající soud má za to, že vzhledem k objemu těchto doporučení by jejich předchozí přezkum mohl znemožnit jejich provádění.
32. Za těchto podmínek se Conseil d’État (Státní rada, Francie) rozhodla přerušit řízení a položit Soudnímu dvoru následující předběžné otázky:
„1) Patří údaje o totožnosti odpovídající IP adrese mezi provozní a lokalizační údaje, na které se v zásadě vztahuje povinnost předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu s donucovací pravomocí?
2) V případě kladné odpovědi na první otázku a s ohledem na nízkou citlivost údajů týkajících se totožnosti uživatelů, včetně jejich kontaktních údajů, musí být směrnice [2002/58], ve spojení s [Listinou], vykládána v tom smyslu, že brání vnitrostátní právní úpravě, která stanoví shromažďování těchto údajů odpovídajících IP adrese uživatelů správním orgánem bez předchozího přezkumu ze strany soudu nebo nezávislého správního orgánu s donucovací pravomocí?
3) V případě kladné odpovědi na druhou otázku a s ohledem na nízkou citlivost údajů týkajících se totožnosti, na okolnost, že mohou být shromažďovány pouze tyto údaje, a to pouze pro potřeby předcházení nesplnění povinností přesně, taxativně a restriktivně vymezených vnitrostátním právem, a na okolnost, že systematický přezkum přístupu k údajům každého uživatele ze strany soudu nebo nezávislého správního subjektu s donucovací pravomocí by mohl ohrozit plnění úkolu veřejné služby svěřeného správnímu orgánu, který je sám nezávislý a provádí toto shromažďování, brání směrnice [2002/58] tomu, aby tento přezkum byl prováděn podle upravených postupů, jako je automatizovaná kontrola, případně pod dohledem interního oddělení orgánu poskytujícího záruky nezávislosti a nestrannosti ve vztahu k zaměstnancům pověřeným tímto shromažďováním?“
33. Písemná vyjádření předložili žalobci v původním řízení, francouzská, estonská, švédská a norská vláda a Evropská komise. Stejné zúčastněné strany s výjimkou estonské vlády, jakož i dánská a finská vláda byly zastoupeny na jednání konaném dne 5. července 2022.
IV. Analýza
A. K první a druhé předběžné otázce
34. Podstatou první a druhé předběžné otázky předkládajícího soudu, které je podle mého názoru třeba posoudit společně, je, zda čl. 15 odst. 1 směrnice 2002/58, ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny, musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která umožňuje správnímu orgánu pověřenému ochranou autorských práv a práv souvisejících s právem autorským proti porušování těchto práv na internetu přístup k údajům o totožnosti odpovídajícím IP adresám za účelem identifikace držitelů těchto adres, kteří jsou podezřelí z tohoto porušování, a případně za účelem přijetí odpovídajících opatření proti nim, aniž by tento přístup podléhal předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu.
1. Vymezení předběžných otázek
a) Předchozí shromažďování IP adres organizacemi zastupujícími nositele práv
35. Z předkládacího rozhodnutí vyplývá, že mechanismus odstupňované odpovědi dotčený ve věci v původním řízení zahrnuje dvě po sobě následující zpracování údajů, z nichž první spočívá v tom, že organizace zastupující nositele práv předem shromáždí IP adresy porušovatelů autorských práv v peer-to-peer sítích, a druhé v tom, že úřad Hadopi po obdržení podnětu spojuje tyto IP adresy s totožností dotčených osob za účelem zaslání doporučení osobám, jejichž přístup k internetovým veřejným komunikačním službám byl použit v rozporu s právními předpisy o autorském právu.
36. První a druhá předběžná otázka se týkají pouze druhého zpracování, prováděného úřadem Hadopi.
37. Žalobci v původním řízení nicméně tvrdí, že předmětem přezkumu ze strany Soudního dvora by mělo být první zpracování, jelikož pokud byly tyto IP adresy získány v rozporu s ustanoveními směrnice 2002/58, je jejich použití při druhém zpracování nutně v rozporu s těmito ustanoveními.
38. Takové odůvodnění nemůže obstát. Článek 3 odst. 1 směrnice 2002/58 omezuje její oblast působnosti na „zpracování osobních údajů ve spojení s poskytováním […] služeb elektronických komunikací“. Jak přitom upřesnila francouzská vláda na jednání, organizace zastupující nositele práv nezískávají dotčené IP adresy prostřednictvím poskytovatelů služeb elektronických komunikací, ale přímo na internetu nahlédnutím do veřejně dostupných údajů.
39. Lze tedy pouze konstatovat, že předchozí shromažďování IP adres organizacemi zastupujícími nositele práv nespadá do oblasti působnosti směrnice 2002/58, a mohlo by tak být posuzováno s ohledem na ustanovení nařízení (EU) 2016/679(11), jak uvádí Komise. Taková analýza tak podle mého názoru přesahuje rámec předběžných otázek položených Soudnímu dvoru, a to tím spíše, že předkládající soud neuvádí žádné podrobnosti o předchozím shromažďování, které by Soudnímu dvoru umožnily poskytnout užitečnou odpověď.
40. Za těchto okolností se ve své analýze zaměřím pouze na otázku přístupu úřady Hadopi k údajům o totožnosti odpovídajícím IP adrese.
b) Spojování IP adres s údaji o totožnosti
41. První a druhá předběžná otázka se týkají „údajů o totožnosti odpovídajících IP adresám“, které mají podle předkládajícího soudu nízkou citlivost. Předkládající soud ve svém rozhodnutí odkazuje pouze na ty body rozsudku La Quadrature du Net a další, které se týkají uchovávání údajů o totožnosti.
42. Je pravda, že judikatura Soudního dvora rozlišuje mezi režimem uchovávání IP adres a přístupu k nim a režimem uchovávání údajů o totožnosti uživatele prostředků elektronické komunikace a přístupu k nim, přičemž druhý z těchto režimů je méně přísný než ten první(12).
43. Mám však za to, že navzdory znění těchto dvou předběžných otázek není problematikou dotčenou v projednávané věci pouhý přístup k údajům o totožnosti uživatelů prostředků elektronické komunikace, ale spojování těchto údajů s IP adresami, které úřad Hadopi získal poté, co byly tyto adresy shromážděny a předány organizacemi zastupujícími nositele práv. Jak totiž uvádí Komise, účelem přístupu k údajům o totožnosti ze strany úřadu Hadopi je ve skutečnosti zpřístupnit širší soubor údajů, zejména IP adresy a ukázky prohlížených souborů, a umožnit jejich využití, jelikož údaje o totožnosti a IP adresy by jedny bez druhých byly pro vnitrostátní orgány bezvýznamné, protože ani totožnost, ani IP adresy samy o sobě nemohou poskytnout informace o aktivitách fyzických osob na internetu, pokud nejsou vzájemně spojeny.
44. Z toho podle mého názoru vyplývá, že první a druhou předběžnou otázku je třeba chápat tak, že se týkají nejen údajů o totožnosti uživatelů prostředků elektronické komunikace, ale také přístupu k IP adresám, které umožňují identifikovat zdroj připojení.
c) Uchovávání IP adres poskytovateli komunikačních služeb
45. Je pravda, jak uvádějí francouzská vláda a Komise, že předběžné otázky položené Soudnímu dvoru se formálně netýkají uchovávání údajů poskytovateli služeb elektronických komunikací, ale pouze přístupu úřadu Hadopi k údajům o totožnosti odpovídajícím IP adresám.
46. Nicméně otázka přístupu úřadu Hadopi k těmto údajům se mi zdá být neoddělitelně spojena s otázkou jejich předchozího uchovávání poskytovateli komunikačních služeb. Jak zdůraznil Soudní dvůr, jediným účelem uchovávání je v příslušném případě jejich zpřístupnění příslušným vnitrostátním orgánům(13). Jinými slovy, uchovávání údajů a přístup k nim nelze pojímat odděleně, jelikož tento přístup je na uchovávání údajů závislý.
47. Soudní dvůr již posuzoval slučitelnost vnitrostátní právní úpravy týkající se pouze přístupu příslušných vnitrostátních orgánů k některým osobním údajům s čl. 15 odst. 1 směrnice 2002/58 nezávisle na otázce slučitelnosti uchovávání dotčených údajů s tímto ustanovením(14). Bylo by tedy možné na předběžné otázky v projednávané věci odpovědět bez ohledu na otázku, zda byly dotčené údaje uchovávány v souladu s ustanoveními unijního práva.
48. Nicméně v první řadě uvádím, že v rozsudku Ministerio Fiscal(15) postupoval Soudní dvůr při přezkumu slučitelnosti přístupu vnitrostátních orgánů k určitým osobním údajům s unijním právem podle přesně stejných zásad jako při posuzování slučitelnosti uchovávání těchto údajů s unijním právem. Soudní dvůr totiž odkazuje výlučně na judikaturu vytvořenou v tomto posledně uvedeném ohledu, kterou pak uplatňuje na otázku přístupu k osobním údajům. Jinými slovy, pokud nebyla posouzena slučitelnost uchovávání údajů s unijním právem, provádí se tento přezkum ve fázi posuzování otázky přístupu k těmto údajům, takže slučitelnost tohoto přístupu v konečném důsledku závisí na slučitelnosti uchovávání údajů.
49. Dále Soudní dvůr jasně uvedl, že přístup k osobním údajům lze umožnit pouze tehdy, pokud poskytovatelé služeb elektronických komunikací uvedené údaje uchovávali v souladu s čl. 15 odst. 1 směrnice 2002/58(16), a že přístup soukromých osob k osobním údajům za účelem postihu porušení autorského práva před civilními soudy je slučitelný s unijním právem pouze pod podmínkou, že byly tyto údaje uchovávány způsobem slučitelným s tímto ustanovením(17).
50. Konečně Soudní dvůr opakovaně judikoval, že přístup k provozním a lokalizačním údajům uchovávaným poskytovateli na základě opatření přijatého podle čl. 15 odst. 1 směrnice 2002/58, který musí být prováděn plně v souladu s podmínkami vyplývajícími z judikatury, která vyložila směrnici 2002/58, může být v zásadě odůvodněn pouze cílem obecného zájmu, pro který bylo těmto poskytovatelům toto uchovávání uloženo(18). Jinými slovy, slučitelnost přístupu vnitrostátních orgánů k určitým osobním údajům s unijním právem je plně závislá na slučitelnosti uchovávání těchto údajů s unijním právem.
51. Z toho podle mého názoru vyplývá, že posouzení slučitelnosti vnitrostátní právní úpravy, která upravuje přístup vnitrostátního orgánu k osobním údajům, s unijním právem vyžaduje, aby byla nejprve posouzena slučitelnost uchovávání týchž údajů s unijním právem.
52. Za těchto okolností ve své analýze nejprve uvedu přehled judikatury Soudního dvora týkající se otázky uchovávání IP adres přidělených zdroji připojení, a následně poukáži na omezení její použitelnosti a navrhnu upravený výklad dotčené právní úpravy.
2. Judikatura Soudního dvora týkající se výkladu čl. 15 odst. 1 směrnice 2002/58, pokud jde o opatření směřující k uchovávání IP adres přidělených zdroji připojení
53. Článek 5 odst. 1 směrnice 2002/58 zakotvuje zásadu důvěrného charakteru jak elektronických sdělení, tak s nimi souvisejících provozních údajů, a plyne z něj zejména zákaz – uložený v zásadě všem vyjma uživatelů – uchovávat tato sdělení a tyto údaje bez souhlasu uživatele(19).
54. Pokud jde o zpracování a uchovávání provozních údajů vztahujících se k účastníkům a uživatelům ze strany poskytovatelů služeb elektronických komunikací, směrnice 2002/58 v čl. 6 odst. 1 stanoví, že tyto údaje musí být vymazány nebo anonymizovány, jakmile již nejsou potřebné pro přenos sdělení, a v čl. 6 odst. 2 upřesňuje, že provozní údaje nezbytné pro účely účtování a stanovení plateb za propojení je možné uchovávat pouze do konce období, v němž lze právně napadnout účet či uplatňovat nárok na platbu. V případě lokalizačních údajů odlišných od provozních údajů se v čl. 9 odst. 1 uvedené směrnice stanoví, že tyto údaje lze zpracovávat pouze tehdy, jsou-li splněny určité podmínky, a poté, co byly anonymizovány, anebo se souhlasem uživatelů nebo účastníků(20).
55. Přijetím směrnice 2002/58 tedy unijní normotvůrce konkretizoval práva zakotvená v článcích 7 a 8 Listiny, takže uživatelé prostředků elektronické komunikace mohou v zásadě právem očekávat, že jejich komunikace a s ní související údaje zůstanou anonymní a nebude možné je zaznamenat bez jejich souhlasu(21). Tato směrnice tedy nejen omezuje přístup k těmto údajům prostřednictvím záruk, které mají zabránit jeho zneužití, ale rovněž stanoví zejména zásadu zákazu jejich uchovávání třetími osobami.
56. Za těchto okolností v rozsahu, v němž čl. 15 odst. 1 směrnice 2002/58 umožňuje členským státům přijmout taková legislativní opatření, kterými „omezí rozsah“ práv a povinností uvedených mimo jiné v článcích 5, 6 a 9 této směrnice, jako jsou práva a povinnosti vyplývající ze zásad důvěrnosti sdělení a zákazu uchovávání s nimi souvisejících údajů, stanoví toto ustanovení výjimku z obecného pravidla stanoveného mimo jiné v těchto článcích 5, 6 a 9, a musí být tedy v souladu s ustálenou judikaturou vykládáno restriktivně. Takové ustanovení tudíž nemůže odůvodňovat, aby se výjimka ze základní povinnosti zajistit důvěrný charakter elektronických sdělení a s nimi souvisejících údajů, a zejména ze zákazu uchovávat tyto údaje stanoveného v článku 5 uvedené směrnice, stala pravidlem, neboť jinak by posledně uvedené ustanovení bylo do značné míry zbaveno působnosti(22).
57. Pokud jde o cíle, které mohou ospravedlňovat omezení práv a povinností stanovených zejména v článcích 5, 6 a 9 směrnice 2002/58, Soudní dvůr již rozhodl, že výčet cílů v čl. 15 odst. 1 první větě této směrnice je taxativní, a proto musí legislativní opatření přijaté na základě tohoto ustanovení skutečně a nezbytně odpovídat některému z těchto cílů(23).
58. Z článku 15 odst. 1 třetí věty směrnice 2002/58 dále vyplývá, že opatření přijatá členskými státy podle tohoto ustanovení musí být v souladu s obecnými zásadami unijního práva, mezi něž patří zásada proporcionality, a musí zajišťovat dodržování základních práv zaručených Listinou. Soudní dvůr v této souvislosti již rozhodl, že povinnost uložená poskytovatelům služeb elektronických komunikací členským státem prostřednictvím vnitrostátní právní úpravy spočívající v uchovávání provozních údajů pro účely jejich případného zpřístupnění příslušným vnitrostátním orgánům vyvolává otázky, jež se týkají dodržování nejen článku 7 Listiny, týkajícího se ochrany soukromého života, a článku 8 Listiny, týkajícího se ochrany osobních údajů, ale i článku 11 Listiny, který se týká svobody projevu, přičemž tato svoboda je jedním ze základních pilířů demokratické a pluralitní společnosti a je součástí hodnot, na kterých je podle článku 2 SEU založena Unie(24).
59. Článek 15 odst. 1 směrnice 2002/58 ovšem tím, že umožňuje členským státům omezit práva a povinnosti uvedené v článcích 5, 6 a 9 této směrnice, odráží skutečnost, že práva zakotvená v článcích 7, 8 a 11 Listiny se neprojevují jako absolutní výsady, ale musí být nahlížena ve vztahu k jejich společenské funkci. Jak totiž plyne z jejího čl. 52 odst. 1, Listina připouští omezení výkonu takových práv za předpokladu, že jsou tato omezení stanovena zákonem, respektují podstatu těchto práv a při dodržení zásady proporcionality jsou nezbytná a skutečně odpovídají cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého. Výklad čl. 15 odst. 1 směrnice 2002/58 ve světle Listiny proto vyžaduje, aby byl zohledněn rovněž význam, který mají cíle zajištění národní bezpečnosti a boje proti závažné trestné činnosti tím, že přispívají k ochraně práv a svobod jiných, a význam práv zakotvených v článcích 3, 4, 6 a 7 Listiny(25), z nichž mohou vyplývat pozitivní povinnosti orgánů veřejné moci(26).
60. Vzhledem k těmto jednotlivým pozitivním povinnostem je tedy třeba přistoupit k nezbytnému sladění jednotlivých dotčených legitimních zájmů a práv. V tomto rámci ze samotného znění čl. 15 odst. 1 první věty směrnice 2002/58 vyplývá, že členské státy mohou přijmout opatření odchylující se od zásady důvěrnosti, pokud je takové opatření „v demokratické společnosti nezbytné, vhodné a přiměřené“, přičemž bod 11 odůvodnění této směrnice k tomu uvádí, že takové opatření musí být „plně“ přiměřené vzhledem k zamýšlenému účelu(27).
61. V tomto ohledu z judikatury Soudního dvora vyplývá, že možnost členských států odůvodnit omezení práv a povinností stanovených zejména v článcích 5, 6 a 9 směrnice 2002/58 musí být posuzována z hlediska závažnosti zásahu, který takové omezení představuje, a musí být ověřeno, že význam cíle obecného zájmu sledovaného tímto omezením je úměrný závažnosti zásahu(28).
62. Kromě toho uvádím, že Soudní dvůr ve své judikatuře rozlišuje mezi zásahy vyplývajícími z přístupu k údajům, které samy o sobě poskytují přesné informace o dotčených komunikacích, a tedy o soukromém životě jednotlivce, a pro které platí přísný režim uchovávání, na straně jedné, a zásahy vyplývajícími z přístupu k údajům, které mohou takové informace poskytnout pouze v případě, že jsou spojeny s jinými údaji, jako jsou IP adresy, na straně druhé(29).
63. Pokud jde konkrétně o IP adresy, Soudní dvůr uvedl, že jsou generovány bez spojitosti s určitým sdělením a slouží především k tomu, aby prostřednictvím poskytovatelů služeb elektronických komunikací byly identifikovány fyzické osoby vlastnící koncové zařízení, z něhož probíhá komunikace po internetu. Pokud jsou tedy uchovávány pouze IP adresy zdroje komunikace, a nikoli adresy jejího adresáta, je tato kategorie údajů méně citlivá než ostatní provozní údaje(30).
64. Soudní dvůr zároveň zdůraznil, že vzhledem k tomu, že IP adresy mohou být použity zejména k provedení úplného sledování postupu prohlížení uživatelem internetu, a v důsledku toho i jeho online činnosti, umožňují tyto údaje vytvořit jeho podrobný profil. Uchovávání a analýza uvedených IP adres tak představují závažné zásahy do základních práv uživatele internetu zakotvených v článcích 7 a 8 Listiny, které mohou mít odrazující účinky na výkon svobody projevu zakotvené v článku 11 Listiny(31).
65. Nicméně podle ustálené judikatury je pro účely nezbytného sladění dotčených práv a zájmů třeba zohlednit skutečnost, že v případě trestného činu spáchaného on-line může IP adresa představovat jediný vyšetřovací prostředek umožňující identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání tohoto trestného činu(32).
66. Soudní dvůr tudíž rozhodl, že legislativní opatření stanovící plošné a nerozlišující uchovávání samotných IP adres přidělených zdroji připojení se v zásadě nejeví být v rozporu s čl. 15 odst. 1 směrnice 2002/58 ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny; tato možnost přitom podléhá přísným hmotněprávním i procesním podmínkám, kterými se použití těchto údajů musí řídit, přičemž s ohledem na závažnost zásahu, který toto uchovávání představuje, může být tento zásah odůvodněn – stejně jako v případě zajištění národní bezpečnosti – pouze bojem proti závažné trestné činnosti a předcházením závažnému ohrožení veřejné bezpečnosti(33).
67. Soudní dvůr dále upřesňuje, že doba uchovávání nesmí překročit dobu nezbytně nutnou s ohledem na sledovaný cíl a opatření této povahy musí stanovit přísné podmínky a záruky pro využívání těchto údajů(34).
3. Omezení použitelnosti judikatury Soudního dvora týkající se výkladu čl. 15 odst. 1 směrnice 2002/58, pokud jde o opatření směřující k uchovávání IP adres přidělených zdroji připojení
68. Řešení, k němuž dospěl Soudní dvůr, pokud jde o vnitrostátní opatření umožňující uchovávání IP adres přidělených zdroji připojení, vykládaná ve spojení s čl. 15 odst. 1 směrnice 2002/58, však podle mého názoru přináší dva zásadní problémy.
a) Sladění s judikaturou týkající se sdělování adres IP přidělených zdroji připojení v souvislosti s žalobami na ochranu práv duševního vlastnictví
69. Zaprvé, jak jsem již uvedl ve svém stanovisku ve věci M. I. C. M.(35), existuje jisté napětí mezi tímto směrem judikatury a judikaturou týkající se sdělování IP adres v rámci žalob na ochranu práv duševního vlastnictví nositelům těchto práv, která klade důraz na povinnost členských států zaručit nositelům práv duševního vlastnictví skutečnou možnost domoci se náhrady škody za újmu vyplývající z porušení těchto práv(36).
70. Pokud jde o tento druhý směr judikatury, Soudní dvůr totiž opakovaně judikoval, že unijní právo nebrání tomu, aby členské státy stanovily povinnost předávání osobních údajů osobám soukromého práva za účelem postihu porušení autorského práva před občanskoprávními soudy(37).
71. Soudní dvůr v tomto ohledu uvádí, že možnost, aby členské státy stanovily povinnost zpřístupnit osobní údaje v rámci občanskoprávního řízení, vyplývá v první řadě z možnosti stanovit takové zpřístupnění v souvislosti se stíháním trestných činů(38), která byla následně rozšířena na postih v občanskoprávním řízení.
72. Zároveň však v případě IP adres Soudní dvůr vyžaduje, aby tyto údaje mohly být uchovávány pouze za účelem boje proti závažné trestné činnosti a předcházení závažnému ohrožení veřejné bezpečnosti(39).
73. Snahy o sladění těchto dvou směrů judikatury vedou podle mého názoru k nežádoucím výsledkům a nemohou obstát.
74. Na jedné straně na rozdíl od toho, co tvrdila francouzská vláda na jednání, nelze boj proti porušování práv duševního vlastnictví považovat za boj proti závažné trestné činnosti. Pojem „závažná trestná činnost“ je podle mého názoru třeba vykládat autonomně. Tento pojem nemůže záviset na jeho pojetí v jednotlivých členských státech, jelikož jinak by bylo možné obejít požadavky čl. 15 odst. 1 směrnice 2002/58 v závislosti na tom, zda členské státy přijmou rozšiřující, či zužující pojetí boje proti závažné trestné činnosti. Jak jsem však již uvedl, zájmy související s ochranou práv duševního vlastnictví nelze zaměňovat se zájmy souvisejícími s bojem proti závažné trestné činnosti(40).
75. Na druhé straně, pokud by bylo umožněno předávání IP adres nositelům práv duševního vlastnictví v řízení o ochraně těchto práv, ačkoli je uchovávání těchto adres možné pouze v rámci boje proti závažné trestné činnosti, bylo by to zjevně v rozporu s judikaturou Soudního dvora týkající se uchovávání údajů o připojení, a byly by tím zbaveny užitečného účinku podmínky stanovené pro uchovávání takových údajů, jelikož by v každém případě bylo možné získat přístup k těmto údajům pro jiné účely.
76. Z výše uvedeného podle mého názoru vyplývá, že uchovávání IP adres pro účely ochrany práv duševního vlastnictví a jejich sdělování nositelům těchto práv v řízení o ochraně těchto práv by mohlo být v rozporu s čl. 15 odst. 1 směrnice 2002/58, jak je vykládán v judikatuře Soudního dvora. Povinnost předávání osobních údajů osobám soukromého práva za účelem postihu porušení autorského práva před občanskoprávními soudy, přestože ji připouští samotný Soudní dvůr, je tak zároveň neutralizována jeho vlastní judikaturou týkající se uchovávání IP adres ze strany poskytovatelů služeb elektronických komunikací.
77. Takové řešení je však neuspokojivé, jelikož by narušilo rovnováhu mezi různými dotčenými zájmy, kterou se Soudní dvůr snažil zajistit, a zbavilo by nositele práv duševního vlastnictví hlavního, ne-li jediného prostředku ke zjištění totožnosti porušovatelů těchto práv na internetu. Tato úvaha nastoluje další problém, který podle mého názoru může vyplývat z judikatury Soudního dvora, pokud jde o vnitrostátní opatření umožňující uchovávání IP adres přidělených zdroji připojení, vykládaná ve spojení s čl. 15 odst. 1 směrnice 2002/58.
b) Riziko systémové beztrestnosti trestných činů spáchaných výhradně na internetu
78. Zadruhé se domnívám, že toto řešení způsobuje praktické obtíže. Jak zdůrazňuje sám Soudní dvůr, v případě trestného činu spáchaného výhradně on-line může IP adresa představovat jediný vyšetřovací prostředek umožňující identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání tohoto trestného činu.
79. Přesto mám za to, že tento prvek nebyl při vyvažování dotčených zájmů plně zohledněn. Vzhledem k tomu, že Soudní dvůr omezuje možnost uchovávání IP adres pouze na boj proti závažné trestné činnosti, vylučuje tak možnost uchovávání těchto údajů pro účely boje proti trestným činům obecně, ačkoli u některých těchto trestných činů je jejich prevence, odhalování nebo trestání možné pouze na základě uvedených údajů.
80. Jinými slovy, judikatura Soudního dvora by mohla vést k tomu, že by byly vnitrostátní orgány zbaveny jediného prostředku umožňujícího zjistit totožnost pachatelů trestných činů spáchaných na internetu, které však nepředstavují závažnou trestnou činnost, jako je porušování práv duševního vlastnictví. Fakticky by tak vznikla systémová beztrestnost trestných činů spáchaných výhradně na internetu, a to nejen trestných činů proti právům duševního vlastnictví. Mám na mysli zejména pomluvy spáchané na internetu. Unijní právo sice stanoví možnost vydat soudní zákaz vůči zprostředkovateli, jehož služby jsou využívány k páchání takových trestných činů(41), avšak judikatura Soudního dvora by mohla vést k tomu, že samotní pachatelé těchto činů by nikdy stíháni nebyli.
81. Mám za to, že vyvážení různých dotčených zájmů by mělo být nově posouzeno, nechceme-li připustit, aby celá jedna oblast trestných činů byla vyloučena z trestního postihu.
82. S ohledem na tyto různé úvahy navrhuji Soudnímu dvoru určitou úpravu judikatury týkající se vnitrostátních opatření umožňujících uchovávání IP adres, vykládaných ve spojení s čl. 15 odst. 1 směrnice 2002/58.
4. Návrh úpravy judikatury Soudního dvora týkající se výkladu čl. 15 odst. 1 směrnice 2002/58, pokud jde o opatření směřující k uchovávání IP adres přidělených zdroji připojení
83. S ohledem na výše uvedené úvahy mám za to, že by čl. 15 odst. 1 směrnice 2002/58 měl být vykládán v tom smyslu, že nebrání opatřením, která stanoví plošné a nerozlišující uchovávání IP adres přidělených zdroji připojení po nezbytně nutnou dobu za účelem prevence, vyšetřování, odhalování a stíhání trestných činů spáchaných na internetu, u kterých je IP adresa jediným prostředkem vyšetřování umožňujícím identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu.
84. V tomto ohledu je třeba zdůraznit, že takový návrh podle mého názoru nezpochybňuje požadavek přiměřenosti kladený na uchovávání údajů s ohledem na závažnost zásahu do základních práv zakotvených v článcích 7 a 8 Listiny, který může takové uchovávání představovat(42). Naopak je s tímto požadavkem plně v souladu.
85. Na jedné straně omezení práv a povinností stanovených v článcích 5, 6 a 9 směrnice 2002/58, které uchovávání IP adres představuje, sleduje cíl obecného zájmu odpovídající této závažnosti, konkrétně cíl prevence, vyšetřování, odhalování a stíhání trestných činů stanovených právními předpisy, které by jinak byly zbaveny účinku.
86. Na druhé straně je toto omezení provedeno v rozsahu, který je nezbytně nutný. Takové uchovávání je totiž omezeno na přesně vymezené případy, a to trestné činy spáchané na internetu, u nichž lze pachatele identifikovat pouze na základě IP adresy, která mu byla přidělena. Jinými slovy, účelem není povolit plošné a nerozlišující uchovávání údajů bez dalších podmínek, ale pouze umožnit stíhání trestných činů, a to nikoliv trestných činů obecně, ale přesně vymezených trestných činů.
87. Nicméně ačkoli čl. 15 odst. 1 směrnice 2002/58 nebrání plošnému a nerozlišujícímu uchovávání IP adres přidělených zdroji připojení po nezbytně nutnou dobu za účelem prevence, vyšetřování, odhalování a stíhání trestných činů spáchaných na internetu, u kterých je IP adresa jediným prostředkem vyšetřování umožňujícím identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu, je třeba dále upřesnit, že podle judikatury musí tato možnost podléhat „přísným hmotněprávním i procesním podmínkám, kterými se použití těchto údajů musí řídit“(43). Soudní dvůr rovněž upřesňuje, že opatření této povahy „musí stanovit přísné podmínky a záruky pro využívání těchto údajů“(44).
88. Jinými slovy, jak jsem již zdůraznil, uchovávání údajů a přístup k těmto údajům nelze posuzovat izolovaně. Za těchto okolností není sice možnost úřadu Hadopi získat přístup k IP adresám obecně v rozporu s čl. 15 odst. 1 směrnice 2002/58, pokud byly tyto údaje uchovávány v souladu s požadavky stanovenými v tomto ustanovení, nicméně k zodpovězení předběžných otázek položených Soudnímu dvoru zbývá ještě posoudit, zda jsou podmínky přístupu k IP adresám přiděleným zdroji připojení ze strany úřadu Hadopi jako takové v souladu s tímto ustanovením, zejména pokud jde o otázku, zda je, či není vyžadován předchozí přezkum ze strany soudu nebo nezávislého správního orgánu.
89. Po analýze předběžné otázky týkající se uchovávání IP adres přidělených zdroji připojení se nyní zaměřím na posouzení přístupu úřadu Hadopi k těmto údajům z hlediska čl. 15 odst. 1 směrnice 2002/58.
5. Přístup úřadu Hadopi k údajům o totožnosti odpovídajícím IP adresám
90. Z judikatury Soudního dvora týkající se cílů, které mohou odůvodňovat vnitrostátní opatření odchylující se od zásady důvěrnosti elektronických komunikací, vyplývá, že přístup k údajům musí nezbytně a objektivně odpovídat některému z těchto cílů a že cíl sledovaný tímto opatřením musí být úměrný závažnosti zásahu do základních práv, který je s tímto přístupem spojen(45).
91. Kromě toho, jak jsem již uvedl(46), přístup k údajům uchovávaným poskytovateli na základě opatření přijatého podle čl. 15 odst. 1 směrnice 2002/58 může být v zásadě odůvodněn pouze cílem obecného zájmu, pro který bylo těmto poskytovatelům toto uchovávání uloženo(47).
92. Soudní dvůr tak rozhodl, že v souladu se zásadou proporcionality může být v oblasti prevence, vyšetřování, odhalování a stíhání trestných činů odůvodněn závažný zásah pouze cílem spočívajícím v boji proti trestné činnosti, která musí být rovněž kvalifikována jako závažná(48).
93. V tomto ohledu konstatuji, že na rozdíl od toho, co tvrdí francouzská vláda a Komise, představuje přístup úřadu Hadopi k údajům o totožnosti odpovídajícím IP adrese skutečně závažný zásah do základních práv. Nejde totiž pouze o přístup k údajům o totožnosti, které mají samy o sobě nízkou citlivost, ale zároveň o spojení těchto údajů s rozsáhlejším souborem údajů, konkrétně s IP adresou a také, jak zdůrazňují žalobci v původním řízení, s ukázkou souboru staženého v rozporu s autorským právem. Podstatou je tedy spojení totožnosti jednotlivce s obsahem prohlíženého souboru a s IP adresou, jejímž prostřednictvím bylo toto prohlížení provedeno.
94. Nicméně stejně jako se domnívám, že za účelem prevence, vyšetřování, odhalování a stíhání trestných činů spáchaných na internetu, u kterých představuje IP adresa jediný vyšetřovací prostředek umožňující identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu(49), je přípustné i uchovávání údajů představující závažný zásah do základních práv, mám za to, že musí být umožněn i přístup k těmto údajům, protože jinak by byla připuštěna obecná beztrestnost trestných činů spáchaných výhradně na internetu.
95. Přístup úřadu Hadopi k údajům o totožnosti spojeným s IP adresou se tedy jeví být odůvodněn cílem obecného zájmu, pro který bylo toto uchovávání poskytovatelům služeb elektronických komunikací uloženo.
96. Judikatura Soudního dvora nicméně upřesňuje, že nestačí, aby vnitrostátní právní úprava přístupu příslušných orgánů k uchovávaným provozním a lokalizačním údajům vyžadovala pouze to, že přístup odpovídá jednomu z cílů sledovaných touto právní úpravou, ale musí rovněž stanovit hmotněprávní a procesní podmínky, jimiž se řídí přístup příslušných vnitrostátních orgánů k uchovávaným údajům(50).
97. Soudní dvůr zejména rozhodl, že jelikož obecný přístup ke všem uchovávaným údajům bez ohledu na jakoukoli souvislost se sledovaným cílem nelze považovat za omezený na to, co je nezbytně nutné, musí dotčená vnitrostátní právní úprava vycházet z objektivních kritérií, na jejichž základě jsou vymezeny okolnosti a podmínky, za nichž musí být poskytnut příslušným vnitrostátním orgánům přístup k údajům uživatelů, což vyžaduje ověřit, že je přístup umožněn pouze k údajům osob, u nichž je podezření, že připravují, páchají či spáchaly závažný trestný čin nebo se určitým způsobem na takovém trestném činu podílely(51).
98. Podle judikatury je k tomu, aby byly v praxi tyto podmínky plně dodržovány, zásadní, aby přístup příslušných vnitrostátních orgánů k uchovávaným údajům v zásadě podléhal předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu(52).
99. Podotýkám však, že Soudní dvůr stanovil tuto nezbytnost předchozího přezkumu přístupu k osobním údajům za konkrétních okolností, které se liší od projednávané věci a týkají se zvlášť závažných zásahů do soukromého života uživatelů služeb elektronických komunikací.
100. V každém z rozsudků, v nichž byl zdůrazněn tento požadavek, byla totiž předmětem vnitrostátní opatření umožňující přístup k veškerým provozním a lokalizačním údajům týkajícím se všech prostředků elektronické komunikace(53), nebo přinejmenším pevných telefonních linek a mobilních telefonů(54). Konkrétně se jednalo o přístup k „souboru údajů […], z nichž mohou vyplynout informace o komunikaci uživatele prostředku elektronické komunikace nebo o umístění koncových zařízení, která používá, a z nichž lze vyvodit přesné závěry o jeho soukromém životě“(55), což podle mého názoru znamená, že požadavek předchozího přezkumu přístupu k těmto údajům ze strany soudu nebo nezávislého správního orgánu existuje pouze za těchto podmínek.
101. V této souvislosti je přitom přístup úřadu Hadopi omezen na spojení údajů o totožnosti s použitou IP adresou a souborem, který byl v určitém okamžiku prohlížen, aniž na jeho základě mohou příslušné orgány rekonstruovat historii prohlížení internetu dotčeným uživatelem, a tudíž i vyvodit přesné závěry o jeho soukromém životě nad rámec zjištění konkrétního souboru, který v době spáchání trestného činu prohlížel. Účelem tedy není umožnit sledování veškerých aktivit dotčeného uživatele na internetu.
102. Na druhé straně se tyto údaje týkají pouze údajů o osobách, které se podle protokolů vyhotovených organizacemi zastupujícími nositele práv dopustily jednání, jež by mohlo představovat nesplnění povinnosti stanovené v článku L. 336-3 CPI. Přístup úřadu Hadopi k údajům o totožnosti spojeným s IP adresami je tedy omezen na to, co je nezbytné k dosažení sledovaného cíle, tedy umožnění prevence, vyšetřování, odhalování a stíhání trestných činů spáchaných na internetu, u kterých je IP adresa jediným prostředkem vyšetřování umožňujícím identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu, do jehož rámce spadá mechanismus odstupňované odpovědi.
103. Za těchto podmínek mám za to, že čl. 15 odst. 1 směrnice 2002/58 nevyžaduje předchozí přezkum přístupu úřadu Hadopi k údajům o totožnosti spojeným s IP adresami uživatelů ze strany soudu nebo nezávislého správního orgánu.
104. Mimoto podotýkám, jak zdůrazňuje francouzská vláda, že ačkoli přístup úřadu Hadopi k těmto údajům nepodléhá předchozímu přezkumu ze strany soudu nebo nezávislého orgánu, není zcela vyňat z jakékoli kontroly, jelikož soubor, který úřad Hadopi zasílá provozovatelům elektronických komunikací, je každý den sestavován úředníkem, který složil přísahu, na základě obdržených podání, jež jsou před zařazením do souboru namátkově ověřována(56). Především je třeba podotknout, že se na mechanismus odstupňované odpovědi i nadále vztahují ustanovení směrnice (EU) 2016/680(57). Z tohoto titulu se mohou osoby, na něž se úřad Hadopi obrací, dovolávat všech hmotněprávních a procesních záruk stanovených touto směrnicí. Patří mezi ně právo na přístup k osobním údajům zpracovávaným úřadem Hadopi, jejich opravu a výmaz, jakož i možnost podat stížnost k nezávislému dozorovému úřadu a následně uplatnit svá práva před soudem za podmínek stanovených obecným právem(58).
105. S ohledem na výše uvedené navrhuji odpovědět na první a druhou předběžnou otázku tak, že čl. 15 odst. 1 směrnice 2002/58, ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny, musí být vykládán v tom smyslu, že nebrání vnitrostátní právní úpravě, která umožňuje poskytovatelům služeb elektronických komunikací uchovávání a správnímu orgánu pověřenému ochranou autorských práv a práv souvisejících s právem autorským proti porušování těchto práv na internetu přístup omezený na údaje o totožnosti odpovídající IP adresám, aby tento orgán mohl identifikovat držitele těchto IP adres, kteří jsou podezřelí z tohoto porušování, a případně vůči nim mohl přijmout odpovídající opatření, aniž tento přístup podléhá předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu, jsou-li tyto údaje jediným prostředkem vyšetřování umožňujícím identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu.
B. Ke třetí předběžné otázce
106. Svou třetí předběžnou otázkou se předkládající soud ptá, zda v případě kladné odpovědi na první a druhou předběžnou otázku a s ohledem na nízkou citlivost údajů o totožnosti, na striktní pravidla upravující přístup k údajům a na podmínku, že nesmí být ohroženo plnění úkolu veřejné služby svěřeného dotčenému správnímu orgánu, musí být čl. 15 odst. 1 směrnice 2002/58, ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny, vykládán v tom smyslu, že brání tomu, aby byl předchozí přezkum přístupu prováděn podle upravených postupů, jako je automatizovaná kontrola, případně pod dohledem interního oddělení orgánu poskytujícího záruky nezávislosti a nestrannosti ve vztahu k úředníkům pověřeným tímto shromažďováním.
107. Ze znění třetí předběžné otázky a z písemné odpovědi francouzské vlády na otázky položené Soudním dvorem vyplývá, že se upravené postupy kontroly zmíněné v této otázce netýkají stávajícího kontrolního mechanismu ve vnitrostátním právu, ale možných způsobů, jak případně zajistit soulad francouzského mechanismu s unijním právem.
108. Podle ustálené judikatury však cílem žádosti o rozhodnutí o předběžné otázce není dosáhnout zformulování poradního stanoviska k obecným a hypotetickým otázkám, nýbrž je vedena skutečnou potřebou účinně vyřešit spor týkající se unijního práva(59).
109. Vzhledem k tomu, že třetí předběžná otázka má podle mého názoru hypotetickou povahu, je třeba ji prohlásit za nepřípustnou.
110. Vzhledem k mnou navrhované odpovědi na první a druhou předběžnou otázku nicméně v každém případě není třeba na třetí předběžnou otázku odpovídat.
V. Závěry
111. S ohledem na všechny výše uvedené úvahy navrhuji Soudnímu dvoru, aby na předběžné otázky položené Conseil d’État (Státní rada, Francie) odpověděl následovně:
„Článek 15 odst. 1 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), ve spojení s články 7, 8 a 11 a čl. 52 odst. 1 Listiny základních práv Evropské unie,
musí být vykládán v tom smyslu, že
nebrání vnitrostátní právní úpravě, která umožňuje poskytovatelům služeb elektronických komunikací uchovávání a správnímu orgánu pověřenému ochranou autorských práv a práv souvisejících s právem autorským proti porušování těchto práv na internetu přístup omezený na údaje o totožnosti odpovídající IP adresám, aby tento orgán mohl identifikovat držitele těchto IP adres, kteří jsou podezřelí z tohoto porušování, a případně vůči nim mohl přijmout odpovídající opatření, aniž tento přístup podléhá předchozímu přezkumu ze strany soudu nebo nezávislého správního orgánu, jsou-li tyto údaje jediným prostředkem vyšetřování umožňujícím identifikovat osobu, které byla tato adresa přidělena v okamžiku spáchání trestného činu.“