Predbežné znenie

NÁVRHY GENERÁLNEHO ADVOKÁTA

MACIEJ SZPUNAR

prednesené 27. októbra 2022(1)

Vec C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

proti

Premier ministre,

Ministère de la Culture

[návrh na začatie prejudiciálneho konania, ktorý podala Conseil d’État (Štátna rada, Francúzsko)]

„Návrh na začatie prejudiciálneho konania – Spracúvanie osobných údajov a ochrana súkromia v sektore elektronických komunikácií – Smernica 2002/58/ES – Článok 15 ods. 1 – Možnosť členských štátov obmedziť rozsah určitých práv a povinností – Povinnosť predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu s donucovacou právomocou – Údaje o totožnosti zodpovedajúce IP adrese“

I.      Úvod

1.        Otázka uchovávania určitých údajov používateľov internetu a prístupu k týmto údajom je stále aktuálna a je predmetom nedávnej, ale už rozsiahlej judikatúry Súdneho dvora.

2.        Prejednávaná vec ponúka Súdnemu dvoru príležitosť opätovne sa zaoberať touto otázkou v obnovenom kontexte boja proti porušovaniu práv duševného vlastníctva, ku ktorému dochádza výlučne online.

II.    Právny rámec

A.      Právo Únie

3.        Odôvodnenia 2, 6, 7, 11, 22, 26 a 30 smernice 2002/58/ES(2) uvádzajú:

„(2)      Táto smernica sa snaží rešpektovať základné práva a dodržiavať princípy uznané najmä [Chartou základných práv Európskej únie (ďalej len „Charta“)]. Táto smernica sa snaží najmä o plné zabezpečenie práv stanovených v článkoch 7 a 8 uvedenej charty.

…

(6)      Internet revolucionalizoval tradičné trhové štruktúry tým, že poskytuje spoločnú, globálnu infraštruktúru pre ponuku širokého rozsahu elektronických komunikačných služieb. Verejne dostupné elektronické komunikačné služby na internete otvárajú nové možnosti pre užívateľov, no prinášajú aj nové riziká pre ich osobné údaje a súkromie.

(7)      V prípade verejných komunikačných sietí by sa mali stanoviť špecifické právne, regulačné a technické opatrenia, aby boli chránené základné práva a slobody fyzických osôb a legitímne záujmy právnických osôb, najmä z hľadiska zvyšovania kapacity automatického uchovávania a spracovávania údajov týkajúcich sa účastníkov a užívateľov.

…

(11)       Podobne ako smernica 95/46/ES(3) sa táto smernica netýka otázok ochrany základných práv a slobôd vzťahujúcich sa k činnostiam, ktoré nie sú upravené právom spoločenstva. Preto nemení existujúcu rovnováhu medzi právami jednotlivca na súkromie a možnosťami členských štátov prijať opatrenia uvedené v článku 15 ods. 1 tejto smernice, ktoré sú potrebné na ochranu verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane ekonomického blahobytu štátu, keď sa činnosti týkajú záležitostí bezpečnosti štátu) a presadzovanie trestného práva. Následne táto smernica nemá vplyv na možnosť členských štátov zachytávať elektronické správy alebo prijímať iné opatrenia, ak je to nevyhnutné z akýchkoľvek iných dôvodov a v súlade s Európskym dohovorom na ochranu ľudských práv a základných slobôd [podpísaným v Ríme 4. novembra 1950], interpretovaným rozsudkami súdneho dvora týkajúcimi sa ľudských práv [Európskeho súdu pre ľudské práva – neoficiálny preklad]; také opatrenia musia byť primerané, prísne proporcionálne vo vzťahu k zamýšľanému účelu a potrebné v rámci demokratickej spoločnosti a mali by byť predmetom primeranej ochrany v súlade s Európskym dohovorom na ochranu ľudských práv a základných slobôd.

…

(22)       Zákaz ukladania správ a príslušných prevádzkových dát [príslušných údajov o prenose dát – neoficiálny preklad] osobami inými, než sú užívatelia alebo účastníci bez ich súhlasu, nie je určený na zákaz akéhokoľvek automatického, dočasného a prechodného uloženia týchto informácií, pokiaľ sa to uskutočňuje výhradne na účely výkonu prenosu v elektronickej komunikačnej sieti a za predpokladu, že informácie sa neukladajú na dobu dlhšiu, než je nevyhnutné na prenos a riadenie chodu prenosu a že počas doby uloženia je zaručená dôvernosť informácií. …

…

(26)      Údaje vzťahujúce sa k účastníkom, ktoré sú spracovávané v elektronickej komunikačnej sieti a slúžia na zabezpečenie spojenia a prenos informácií, obsahujú údaje o súkromnom živote fyzických osôb a týkajú sa práva na rešpektovanie ich korešpondencie alebo sa týkajú legitímnych záujmov právnických osôb; také údaje sa môžu ukladať len v rozsahu, aký je potrebný na zabezpečenie služby na účely fakturácie a poplatkov za spojenie a len na limitovanú dobu; akékoľvek ďalšie spracovávanie takých údajov…, sa môže povoliť len vtedy, keď účastník s týmto súhlasí na základe úplných a presných informácií poskytovateľa verejne dostupných elektronických komunikačných služieb o druhu ďalšieho spracovania, ktoré zamýšľa vykonať a o právach účastníka nedať alebo odvolať svoj súhlas na také spracovanie;…

…

(30)      Systémy poskytovania elektronických komunikačných sietí a služieb by mali byť konštruované tak, aby bol obmedzený počet nevyhnutných osobných údajov na minimum. …“

4.        Článok 2 tejto smernice, nazvaný „Definície“, stanovuje:

„…

Platia aj tieto definície:

a)      ‚užívateľ‘ znamená každú fyzickú osobu, ktorá používa verejne dostupnú elektronickú komunikačnú službu na súkromné alebo obchodné účely bez toho, aby si túto službu predplatil;

b)      ‚prevádzkové dáta [údaje o prenose dát – neoficiálny preklad]‘ znamenajú akékoľvek údaje spracovávané na účely prenosu správy v elektronickej komunikačnej sieti alebo na účely fakturácie prenosu;

c)      ‚lokalizačné dáta [údaje o polohe – neoficiálny preklad]‘ znamenajú akékoľvek údaje spracúvané v elektronickej komunikačnej sieti alebo prostredníctvom elektronickej komunikačnej služby, udávajúce geografickú polohu koncového zariadenia užívateľa verejne dostupnej elektronickej komunikačnej služby;

d)      ‚správa‘ znamená akékoľvek informácie vymieňané alebo prenášané medzi konečným počtom účastníkov pomocou verejne dostupnej elektronickej komunikačnej služby. Toto nezahŕňa akékoľvek informácie prenášané ako časť rozhlasových služieb pre verejnosť v elektronickej komunikačnej sieti, pokiaľ sa informácie nemôžu spájať s identifikovateľným účastníkom alebo užívateľom prijímajúcim informácie;

…“

5.        Článok 3 uvedenej smernice, nazvaný „Dotknuté služby“, stanovuje:

„Táto smernica sa vzťahuje na spracúvanie osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v Spoločenstve vrátane verejných komunikačných sietí, ktoré podporujú zariadenia na zber údajov a identifikáciu.“

6.        Článok 5 tej istej smernice s názvom „Dôvernosť správy“ stanovuje:

„1.      Členské štáty vnútroštátnymi právnymi predpismi zabezpečia dôvernosť správ a príslušných prevádzkových dát [príslušných údajov o prenose dát – neoficiálny preklad] prenášaných pomocou verejnej komunikačnej siete a verejne dostupných elektronických komunikačných sietí. Zakážu najmä počúvanie, odpočúvanie a iné druhy narušovania alebo dohľadu nad správami a príslušnými prevádzkovými dátami [príslušnými údajmi o prenose dát – neoficiálny preklad] zo strany iných osôb[,] než sú užívatelia[,] bez súhlasu príslušných užívateľov, pokiaľ to nie je zákonne oprávnené v súlade s článkom 15 ods. 1. Tento odsek nebráni technickému uloženiu, ak je to potrebné s cieľom prenosu správy, bez vplyvu na princíp dôvernosti.

…

3.      Členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou [95/46], okrem iného aj o účeloch spracovania. To nebráni nijakému technickému uloženiu ani prístupu výhradne na účely výkonu prenosu správy prostredníctvom elektronickej komunikačnej siete alebo ak je to nevyhnutne potrebné na to, aby poskytovateľ služieb informačnej spoločnosti, ktoré si účastník alebo užívateľ výslovne vyžiadal, mohol tieto služby poskytnúť.“

7.        Článok 6 smernice 2002/58, nazvaný „Prevádzkové údaje [Údaje o prenose dát – neoficiálny preklad]“, stanovuje:

„1.      Prevádzkové dáta [Údaje o prenose dát – neoficiálny preklad] týkajúce sa účastníkov a užívateľov, spracovávané a uložené poskytovateľom verejnej komunikačnej siete alebo verejne dostupnej elektronickej komunikačnej služby, sa musia vymazať alebo zanonymniť [anonymizovať – neoficiálny preklad], ak už naďalej nie sú potrebné na účely prenosu správy, bez vplyvu na odseky 2, 3 a 5 tohto článku a článku 15 ods. 1.

2.      Prevádzkové dáta [Údaje o prenose dát – neoficiálny preklad] potrebné na účely fakturácie účastníka a platby za spojenie sa môžu spracovávať. Také spracovanie je povolené len do konca obdobia, počas ktorého môže byť faktúra právne napadnutá alebo sa môže uplatniť nárok na platbu.

…“

8.        Článok 15 tejto smernice 2002/58, nazvaný „Uplatňovanie niektorých ustanovení smernice [95/46]“, v odseku 1 uvádza:

„Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu práv a povinností uvedených v článku 5, článku 6, článku 8 ods. 1, 2, 3 a 4 a článku 9 tejto smernice, ak také obmedzenie predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie národnej bezpečnosti (t. j. bezpečnosti štátu), obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo neoprávnené používanie [neoprávneného používania – neoficiálny preklad] elektronického komunikačného systému podľa článku 13 ods. 1 smernice [95/46]. Na tento účel členské štáty môžu, medzi iným, prijať legislatívne opatrenia umožňujúce zadržanie [uchovávanie – neoficiálny preklad] údajov na limitované obdobie, oprávnené z dôvodov stanovených v tomto odseku. Všetky opatrenia uvedené v tomto odseku musia byť v súlade so všeobecnými princípmi práva [Únie] vrátane tých, ktoré sú uvedené v článku 6 ods. 1 a 2 [ZEÚ].“

B.      Francúzske právo

1.      Zákonník duševného vlastníctva

9.        Článok L. 331‑12 code de la propriété intellectuelle (Zákonník duševného vlastníctva) v znení uplatniteľnom na spor vo veci samej (ďalej len „CPI“) stanovuje:

„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [(Vysoký úrad pre šírenie diel a ochranu práv na internete)] [ďalej len ‚Hadopi‘] je nezávislý verejný orgán.“

10.      Článok L. 331‑13 CPI stanovuje:

„[Hadopi] zabezpečuje:

…

2°      Úlohu ochrany [diel a predmetov, s ktorými je spojené autorské právo alebo s ním súvisiace právo v elektronických komunikačných sieťach] pred porušovaním týchto práv, ku ktorému dochádza v elektronických komunikačných sieťach používaných na poskytovanie komunikačných služieb online;…“

11.      Podľa článku L. 331‑15 tohto zákonníka:

„[Hadopi] sa skladá z kolégia a komisie na ochranu práv. …

…

Členovia kolégia a komisie na ochranu práv pri výkone svojich právomocí neprijímajú pokyny od žiadneho orgánu.“

12.      Článok L. 331‑17 uvedeného zákonníka stanovuje:

„Komisia na ochranu práv je zodpovedná za prijatie opatrení stanovených v článku L. 331‑25.“

13.      Podľa článku L. 331‑21 toho istého zákonníka:

„[Hadopi] má na účely výkonu právomocí komisie na ochranu práv k dispozícii prísažných štátnych zamestnancov, ktorých poveruje predseda tohto úradu v súlade s podmienkami stanovenými dekrétom prijatom po stanovisku Conseil d’État [(Štátna rada)]. …

Členovia komisie na ochranu práv a zamestnanci uvedení v prvom odseku prijímajú podania adresované uvedenej komisii za podmienok stanovených v článku L. 331‑24. Následne preskúmavajú skutkové okolnosti.

Na účely konania sú oprávnení získavať všetky dokumenty, na akomkoľvek nosiči, vrátane údajov uchovávaných a spracúvaných prevádzkovateľmi elektronických komunikácií podľa článku L. 34‑1 code des postes et des communications électroniques [(Zákonník pôšt a elektronických komunikácií)] a poskytovateľmi uvedenými v článku 6 ods. I bodoch 1 a 2 loi n^o 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(zákon č. 2004‑575 z 21. júna 2004 o podpore dôvery v digitálne hospodárstvo)].

Môžu tiež získať kópie dokumentov uvedených v predchádzajúcom odseku.

Od prevádzkovateľov elektronických komunikácií môžu získať najmä totožnosť, poštovú adresu, elektronickú adresu a telefónne číslo účastníka, ktorého prístup k verejným komunikačným službám online bol využívaný na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu chránených diel alebo predmetov bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.“

14.      Článok L. 331‑24 CPI stanovuje:

„Komisia na ochranu práv koná na základe podnetov prísažných a poverených zamestnancov, ktorých vymenúvajú:

–        riadne založené organizácie zastupujúce profesijné záujmy,

–        organizácie kolektívnej správy práv,

–        Centre national du cinéma et de l’image animée [(Národné centrum pre film a animovanú tvorbu)].

Komisia na ochranu práv môže konať aj na základe informácií, ktoré jej poskytol prokurátor republiky.

Nemôže sa zaoberať skutkami spred viac ako šesť mesiacov.“

15.      Článok L. 331‑25 tohto zákonníka, ktorý upravuje tzv. postup „odstupňovanej reakcie“, stanovuje:

„Ak sa komisia na ochranu práv dozvie o skutkoch, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3 [CPI], môže poslať účastníkovi… odporúčanie, v ktorom mu pripomenie ustanovenia článku L. 336‑3, pričom ho vyzve na dodržiavanie povinnosti vymedzenej v týchto ustanoveniach a upovedomí ho o hroziacich sankciách podľa článkov L. 335‑7 a L. 335‑7‑1. Toto odporúčanie obsahuje tiež informácie pre účastníka o legálnej ponuke kultúrneho obsahu online, o existencii bezpečnostných prostriedkov na zabránenie porušovania povinnosti vymedzenej v článku L. 336‑3 a o nebezpečenstvách, ktoré pre obnovu umeleckej tvorby a ekonomiku kultúrneho sektora predstavujú postupy nerešpektujúce autorské právo a s ním súvisiace práva.

V prípade, že sa v lehote šiestich mesiacov od zaslania odporúčania zopakujú skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3, môže komisia zaslať nové odporúčanie obsahujúce rovnaké informácie ako predchádzajúce odporúčanie zaslané elektronicky… K tomuto odporúčaniu musí pripojiť doporučený list s doručenkou alebo akýkoľvek iný prostriedok vhodný na preukázanie dátumu doručenia tohto odporúčania.

V odporúčaniach zaslaných na základe tohto článku sa uvedie dátum a čas, kedy boli zistené skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3. Na druhej strane nesprístupňujú obsah chránených diel alebo predmetov, ktorých sa toto porušenie týka. Uvádzajú sa v nich telefónne, poštové a elektronické kontaktné údaje, na ktoré môže ich adresát, ak si to želá, podať pripomienky komisii na ochranu práv a získať, ak o to výslovne požiada, podrobnosti o obsahu chránených diel alebo predmetov dotknutých porušením povinnosti, ktoré sa mu vytýka.“

16.      Článok L. 331‑29 uvedeného zákonníka stanovuje:

„[Hadopi] je oprávnený vytvoriť automatizované spracúvanie osobných údajov osôb, ktoré sú predmetom konania podľa tohto pododdielu.

Účelom tohto spracúvania je umožniť komisii na ochranu práv vykonať opatrenia stanovené v tomto pododdiele, všetky súvisiace procesné úkony a spôsoby informovania organizácií zastupujúcich profesijné záujmy a organizácií kolektívnej správy práv o prípadných podaniach na súdny orgán, ako aj o oznámeniach uvedených v článku L.335‑7 piatom odseku.

Dekrét… stanovuje podmienky uplatňovania tohto článku. Spresňuje najmä:

–        kategórie zaznamenaných údajov a dobu ich uchovávania,

–        príjemcov oprávnených prijímať oznámenia o týchto údajoch, najmä osoby, ktorých činnosť spočíva v poskytovaní prístupu k verejným komunikačným službám online,

–        podmienky, za ktorých môžu dotknuté osoby uplatniť na [úrade Hadopi] svoje právo na prístup k údajom, ktoré sa ich týkajú…“

17.      Článok L. 331‑37 toho istého zákonníka stanovuje:

„Prevádzkovatelia elektronických komunikácií… a poskytovatelia… sú povinní prostredníctvom prepojenia na automatizované spracúvanie osobných údajov uvedené v článku L. 331‑29 alebo použitím pamäťového média zaisťujúceho ich integritu a bezpečnosť oznamovať osobné údaje a informácie stanovené v bode 2 prílohy k [décret n^o 2010‑236 du 5 mars 2010 relatif au traitement automatisé des données à caractère personnel autorisé par l’article L. 331‑29 [CPI] dénommé „Système de gestion des mesures pour la protection des œuvres sur Internet“ (dekrét č. 2010‑236 z 5. marca 2010 o automatizovanom spracúvaní osobných údajov povolenom článkom L. 331‑29 [CPI] s názvom ‚Systém riadenia opatrení na ochranu diel na internete‘)(4)]… v lehote do ôsmich dní od prenosu technických údajov komisiou na ochranu práv potrebných na identifikáciu účastníka, ktorého prístup k verejným online komunikačným službám bol použitý na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu chránených diel alebo predmetov bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.

…“

18.      Článok R. 335‑5 CPI stanovuje:

„I.‑      Za hrubú nedbanlivosť, ktorú možno potrestať pokutou stanovenou za priestupky piatej triedy, sa považuje skutočnosť, že osoba, ktorá poskytuje prístup k verejným komunikačným službám online, bez oprávneného dôvodu, ak sú splnené podmienky stanovené v odseku II:

1°      nezaviedla prostriedok na zabezpečenie tohto prístupu; alebo

2°      neprejavila náležitú starostlivosť pri zavedení tohto prostriedku.

II.‑      Ustanovenia odseku I sa uplatnia, len ak sú splnené tieto dve podmienky:

1°      Podľa článku L. 331‑25 a vo forme stanovenej v tomto článku komisia na ochranu práv odporúčala poskytovateľovi prístupu, aby zaviedol prostriedok na zabezpečenie svojho prístupu, ktorý umožňuje zabrániť jeho opätovnému využívaniu na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu diel alebo predmetov chránených autorským právom alebo s ním súvisiacim právom bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje;

2°      V priebehu jedného roka od predloženia tohto odporúčania sa tento prístup znovu použije na účely uvedené v bode 1 tohto odseku II.“

19.      Článok L. 336‑3 tohto zákonníka uvádza:

„Osoba, ktorá poskytuje prístup k verejným komunikačným službám online je povinná zabezpečiť, aby sa tento prístup nevyužíval na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu diel alebo predmetov chránených autorským právom alebo s ním súvisiacim právom bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.

Porušenie povinnosti vymedzenej v prvom odseku zo strany osoby, ktorá poskytuje prístup, nemá za následok vznik trestnej zodpovednosti dotknutej osoby…“

2.      Dekrét z 5. marca 2010

20.      Dekrét z 5. marca 2010 v znení uplatniteľnom na skutkové okolnosti sporu vo veci samej v článku 1 stanovuje:

„Účelom spracúvania osobných údajov s názvom ‚Systém riadenia opatrení na ochranu diel na internete‘ je, že komisia na ochranu práv [úradu Hadopi]vykonáva:

1°      opatrenia stanovené v knihe III legislatívnej časti [CPI] (hlava III kapitola I oddiel 3 pododdiel 3) a knihe III regulačnej časti toho istého zákonníka (hlava III kapitola I oddiel 2 pododdiel 2);

2°      podania prokurátorovi republiky o skutkoch, ktoré môžu predstavovať porušenia stanovené v článkoch L. 335‑2, L. 335‑3, L. 335‑4 a R. 335‑5 toho istého zákonníka, ako aj informovanie organizácií zastupujúcich profesijné záujmy a organizácií kolektívnej správy práv o týchto podaniach;

…“

21.      Článok 4 tohto dekrétu stanovuje:

„I.‑      K osobným údajom a informáciám uvedeným v prílohe tohto dekrétu majú priamy prístup prísažní štátni zamestnanci poverení predsedom [úradu Hadopi] podľa článku L. 331‑21 [CPI] a členovia komisie na ochranu práv uvedenej v článku 1.

II.‑      Prevádzkovatelia elektronických komunikácií a poskytovatelia uvedení v bode 2 prílohy k tomuto dekrétu sú príjemcami:

–        technických údajov potrebných na identifikáciu účastníka,

–        odporúčaní uvedených v článku L. 331‑25 [CPI] s cieľom elektronicky ich zaslať svojim účastníkom,

–        informácií potrebných na výkon doplňujúcich trestov pozastavenia prístupu k verejnej komunikačnej službe online, na ktoré komisiu na ochranu práv upozorňuje prokurátor republiky,

III.‑      Organizácie zastupujúce profesijné záujmy a organizácie kolektívnej správy práv sú príjemcami informácií o podaniach prokurátorovi republiky.

IV.‑      Súdne orgány sú príjemcami zápisníc o zistení skutkov, ktoré môžu predstavovať porušenia stanovené v článkoch L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 a R. 335‑5 [CPI].

O výkone trestu pozastavenia prístupu je informovaný automatizovaný register trestov.“

22.      Príloha k dekrétu z 5. marca 2010 stanovuje:

„Osobné údaje a informácie zaznamenané pri spracúvaní s názvom ‚Systém riadenia opatrení na ochranu diel na internete‘ sú tieto:

1°      Osobné údaje a informácie pochádzajúce od riadne založených organizácií zastupujúcich profesijné záujmy, organizácií kolektívnej správy práv, Národného centra pre film a animovanú tvorbu, ako aj od prokurátora republiky:

Pokiaľ ide o skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3 [CPI]:

dátum a čas skutkov;

IP adresy dotknutých účastníkov;

použitý protokol vzájomného sprístupňovania (peer‑to‑peer);

pseudonym používaný účastníkom;

informácie o chránených dielach alebo predmetoch, ktorých sa skutky týkajú;

názov súboru, ako sa nachádza v zariadení účastníka (ak je k dispozícii);

poskytovateľ prístupu na internet, u ktorého bol prístup vytvorený alebo ktorý poskytol technický zdroj IP.

…

2°      Osobné údaje a informácie o účastníkovi získané od prevádzkovateľov elektronických komunikácií… a poskytovateľov…:

priezvisko, krstné mená;

poštová adresa a e‑mailové adresy;

telefónne kontaktné údaje;

adresa telefónneho zariadenia účastníka;

poskytovateľ prístupu na internet, ktorý využíva technické prostriedky poskytovateľa prístupu uvedeného v bode 1 a s ktorým účastník uzavrel zmluvu; číslo spisu;

dátum začiatku pozastavenia prístupu k verejnej komunikačnej službe online.

…“

3.      Zákonník pôšt a telekomunikácií

23.      Článok L. 34‑1 code des postes et des communications électroniques (Zákonník pôšt a elektronických komunikácií) v znení článku 17 zákona č. 2021‑998 z 30. júla 2021(5) (ďalej len „CPCE“) v odseku IIa stanovuje, že „prevádzkovatelia elektronických komunikácií sú povinní uchovávať:

1°      na účely trestného konania, predchádzania hrozbám pre verejnú bezpečnosť a ochrany národnej bezpečnosti informácie týkajúce sa totožnosti používateľa, a to až do uplynutia piatich rokov od skončenia platnosti jeho zmluvy;

2°      na tie isté účely, ako sú uvedené v bode 1 tohto odseku IIa, ďalšie informácie poskytnuté používateľom pri uzatvorení zmluvy alebo vytvorení účtu, ako aj informácie týkajúce sa platby, a to až do uplynutia jedného roka od skončenia platnosti jeho zmluvy alebo zrušenia jeho účtu;

3°      na účely boja proti trestnej činnosti a závažnej kriminalite, predchádzania závažným hrozbám pre verejnú bezpečnosť a ochrany národnej bezpečnosti, technické údaje umožňujúce identifikovať zdroj pripojenia alebo údaje týkajúce sa použitých koncových zariadení, a to až do uplynutia jedného roka od okamihu pripojenia alebo použitia koncových zariadení.“

III. Spor vo veci samej, prejudiciálne otázky a konanie na Súdnom dvore

24.      Návrhom z 12. augusta 2019 a dvoma doplňujúcimi vyjadreniami z 12. novembra 2019 a zo 6. mája 2021 La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network podali na Conseil d’État (Štátna rada, Francúzsko) žalobu o neplatnosť implicitného rozhodnutia, ktorým Premier ministre (predseda vlády) zamietol ich žiadosť o zrušenie dekrétu z 5. marca 2010, hoci tento dekrét a ustanovenia tvoriace jeho právny základ nielenže nadmerne zasahujú do práv zaručených francúzskou Ústavou, ale sú aj v rozpore s článkom 15 smernice 2002/58, ako aj s článkami 7, 8, 11 a 52 Charty.

25.      Žalobcovia vo veci samej konkrétne tvrdia, že dekrét z 5. marca 2010 a ustanovenia tvoriace jeho právny základ neprimeraným spôsobom povoľujú prístup k údajom o pripojení v prípade porušení týkajúcich sa autorského práva, ku ktorým došlo na internete a ktoré nie sú závažné, bez predchádzajúceho preskúmania zo strany súdu alebo orgánu poskytujúceho záruky nezávislosti a nestrannosti.

26.      V tejto súvislosti vnútroštátny súd v prvom rade poukazuje na to, že Súdny dvor vo svojom najnovšom rozsudku La Quadrature du Net a i.(6)rozhodol, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty nebráni legislatívnym opatreniam, ktoré na účely ochrany národnej bezpečnosti, boja proti trestnej činnosti a ochrany verejnej bezpečnosti stanovujú všeobecné a nediferencované uchovávanie údajov týkajúcich sa totožnosti používateľov elektronických komunikačných prostriedkov. Takéto uchovávanie týchto údajov je teda možné, bez stanovenia osobitnej lehoty, na účely vyšetrovania, odhaľovania a stíhania trestných činov vo všeobecnosti.

27.      Vnútroštátny súd z toho vyvodzuje, že žalobný dôvod uvedený žalobcami vo veci samej, ktorý sa týka nezákonnosti dekrétu z 5. marca 2010 v rozsahu, v akom bol prijatý v rámci boja proti porušeniam, ktoré nie sú závažné, možno len zamietnuť.

28.      Tento súd ďalej pripomína, že Súdny dvor vo svojom rozsudku Tele2 Sverige a Watson(7) rozhodol, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty sa má vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá upravuje ochranu a bezpečnosť údajov o prenose dát a polohe, konkrétne prístup príslušných vnútroštátnych orgánov k uchovávaným údajom, ale nepodmieňuje uvedený prístup predchádzajúcim preskúmaním zo strany súdu alebo nezávislého správneho orgánu.

29.      Uvedený súd poznamenáva, že Súdny dvor v rozsudku Tele2(8) spresnil, že s cieľom zabezpečiť úplné dodržiavanie týchto podmienok v praxi je nevyhnutné, aby prístup príslušných vnútroštátnych orgánov k uchovávaným údajom podliehal v zásade – s výnimkou riadne odôvodnených naliehavých prípadov – požiadavke predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu a aby rozhodnutie tohto súdu alebo orgánu nasledovalo po odôvodnenej žiadosti týchto orgánov podanej najmä v rámci konania týkajúceho sa predchádzania trestným činom, ich odhaľovania a stíhania.

30.      Vnútroštátny súd zdôrazňuje, že Súdny dvor pripomenul túto povinnosť v rozsudku La Quadrature du Net a i.(9) v súvislosti so zberom údajov o pripojení spravodajskými službami v reálnom čase, ako aj v rozsudku Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií)(10)v súvislosti s prístupom vnútroštátnych orgánov k údajom o pripojení.

31.      Tento súd napokon poznamenáva, že Hadopi od svojho založenia v roku 2009 zaslal účastníkom viac ako 12,7 milióna odporúčaní na základe postupu odstupňovanej reakcie stanoveného v článku L 331‑25 CPI, z toho 827 791 iba za rok 2019. Na tento účel musia mať zástupcovia komisie na ochranu práv úradu Hadopi možnosť každoročne zbierať značné množstvo údajov týkajúcich sa totožnosti dotknutých používateľov. Domnieva sa, že vzhľadom na objem týchto odporúčaní môže skutočnosť, že by mal tento zber údajov podliehať predchádzajúcemu preskúmaniu, znemožniť realizáciu odporúčaní.

32.      Za týchto podmienok Conseil d’État (Štátna rada) rozhodla prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

„1.      Patria údaje o totožnosti zodpovedajúce IP adrese medzi údaje o prenose dát a polohe, ktoré v zásade podliehajú povinnosti predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu s donucovacou právomocou?

2.      Ak by sa na prvú otázku odpovedalo kladne, a vzhľadom na nízku citlivosť údajov týkajúcich sa totožnosti užívateľov, vrátane ich kontaktných údajov, má sa smernica [2002/58] v spojení s [Chartou] vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave stanovujúcej zber týchto údajov zodpovedajúcich IP adrese užívateľov správnym orgánom bez predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu s donucovacou právomocou?

3.      V prípade kladnej odpovede na druhú otázku, a vzhľadom na nízku citlivosť údajov týkajúcich sa totožnosti, za predpokladu, že by mohli byť zbierané iba tieto údaje, a to výlučne na účely predchádzania porušovaniu povinností vymedzených presným, obmedzujúcim a reštriktívnym spôsobom vnútroštátnym právom, a za predpokladu, že systematické preskúmavanie prístupu k údajom každého účastníka zo strany súdu alebo iného správneho orgánu s donucovacou právomocou by mohlo ohroziť splnenie úlohy verejnej služby zverenej správnemu orgánu vykonávajúcemu tento zber, ktorý sám je nezávislý, bráni smernica [2002/58] tomu, aby sa toto preskúmanie vykonalo v súlade s prispôsobenými postupmi, akým je automatizované preskúmanie, alebo prípadne pod dohľadom interného oddelenia orgánu poskytujúceho záruky nezávislosti a nestrannosti vo vzťahu k zamestnancom povereným vykonávať tento zber?“

33.      Žalobcovia vo veci samej, francúzska, estónska, švédska a nórska vláda, ako aj Európska komisia predložili písomné pripomienky. Tí istí účastníci konania s výnimkou estónskej, ako aj dánskej a fínskej vlády boli zastúpení na pojednávaní, ktoré sa konalo 5. júla 2022.

IV.    Analýza

A.      O prvej a druhej prejudiciálnej otázke

34.      Svojou prvou a druhou prejudiciálnou otázkou, ktoré treba podľa môjho názoru preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11, ako aj článkom 52 ods. 1 Charty vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá správnemu orgánu zodpovednému za ochranu autorského práva a s ním súvisiacich práv pred porušovaním týchto práv na internete umožňuje prístup k údajom o totožnosti zodpovedajúcim IP adresám, aby tento orgán mohol identifikovať držiteľov týchto adries podozrivých zo zodpovednosti za toto porušovanie a prípadne voči nim prijať opatrenia bez toho, aby tento prístup podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu.

1.      Vymedzenie prejudiciálnych otázok

a)      Predbežné zhromažďovanie IP adries organizáciami nositeľov práv

35.      Z návrhu na začatie prejudiciálneho konania vyplýva, že mechanizmus odstupňovanej reakcie, o ktorý ide vo veci samej, zahŕňa dve po sebe nasledujúce spracúvania údajov, pričom prvé spočíva v predbežnom zhromažďovaní IP adries porušovateľov autorských práv na sieťach vzájomného sprístupňovania (peer‑to‑peer) a druhé na spájaní týchto IP adries s totožnosťou jednotlivcov, ktoré vykonáva Hadopi po tom, čo mu bola vec predložená, a to na účely zasielania odporúčaní osobám, ktorých prístup k verejným komunikačným službám online bol použitý v rozpore s pravidlami autorského práva.

36.      Prvá a druhá prejudiciálna otázka sa týkajú len druhého spracúvania vykonávaného úradom Hadopi.

37.      Žalobcovia vo veci samej však tvrdia, že Súdny dvor by mal preskúmať aj prvé spracúvanie, pretože ak sú tieto IP adresy získavané v rozpore s ustanoveniami smernice 2002/58, ich použitie v rámci druhého spracúvania by bolo nevyhnutne tiež v rozpore s týmito ustanoveniami.

38.      Takéto odôvodnenie nie je presvedčivé. Článok 3 ods. 1 smernice 2002/58 obmedzuje jej pôsobnosť na „spracúvanie osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb“. Ako pritom uviedla francúzska vláda na pojednávaní, organizácie nositeľov práv nezískavajú dotknuté IP adresy cez poskytovateľov elektronických komunikačných služieb, ale priamo online, prehliadaním údajov dostupných širokej verejnosti.

39.      Možno teda len konštatovať, že na predbežné zhromažďovanie IP adries organizáciami nositeľov práv sa nevzťahujú ustanovenia smernice 2002/58, a preto, ako uvádza Komisia, by sa mohlo analyzovať z hľadiska ustanovení nariadenia (EÚ) 2016/679(11). Takáto analýza teda podľa môjho názoru prekračuje rámec prejudiciálnych otázok položených Súdnemu dvoru, a to o to viac, že vnútroštátny súd neuvádza podrobnosti týkajúce sa predbežného zhromažďovania, ktoré by Súdnemu dvoru umožnili poskytnúť mu užitočnú odpoveď.

40.      Za týchto podmienok zameriam svoju analýzu na otázku prístupu úradu Hadopi k údajom o totožnosti zodpovedajúcim IP adrese.

b)      Spojenie IP adries a údajov o totožnosti

41.      Prvá a druhá prejudiciálna otázka sa týkajú „údajov o totožnosti zodpovedajúcich IP adrese“, ktoré majú podľa vnútroštátneho súdu nízku citlivosť. Tento súd sa vo svojom rozhodnutí odvoláva výlučne na body rozsudku Quadrature du Net a i., ktoré sa týkajú uchovávania údajov o totožnosti.

42.      Je pravda, že judikatúra Súdneho dvora rozlišuje medzi režimom uchovávania IP adries a prístupu k nim a režimom uchovávania údajov týkajúcich sa totožnosti používateľov elektronických komunikačných prostriedkov a prístupu k týmto údajom, pričom tento druhý režim je menej prísny ako prvý.(12)

43.      Zdá sa mi však, že v prejednávanej veci, napriek formulácii týchto dvoch prejudiciálnych otázok, nejde o otázku samotného prístupu k údajom o totožnosti používateľov elektronických komunikačných prostriedkov, ale skôr o spájanie týchto údajov s IP adresami, ktoré má Hadopi k dispozícii po ich zhromaždení a prenose organizáciami nositeľov práv. Ako totiž uvádza Komisia, cieľom prístupu úradu Hadopi k údajom o totožnosti je odblokovať širší súbor údajov, najmä IP adresy a výpisy prehliadaných súborov, a umožniť ich použitie, pričom údaje o totožnosti a IP adresy oddelene nemajú pre vnútroštátne orgány význam, keďže ani totožnosť, ani IP adresa samy osebe nemôžu poskytnúť informácie o online aktivitách fyzických osôb, ak nie sú spojené.

44.      Z toho vyplýva, že podľa môjho názoru treba prvú a druhú prejudiciálnu otázku chápať tak, že sa netýkajú len údajov o totožnosti používateľov elektronického komunikačného prostriedku, ale aj prístupu k IP adresám umožňujúcim identifikovať zdroj pripojenia.

c)      Uchovávanie IP adries poskytovateľmi komunikačných služieb

45.      Je pravda, ako uvádza francúzska vláda a Komisia, že prejudiciálne otázky položené Súdnemu dvoru sa formálne netýkajú uchovávania údajov poskytovateľmi elektronických komunikačných služieb, ale len prístupu úradu Hadopi k údajom o totožnosti zodpovedajúcim IP adresám.

46.      Otázka prístupu úradu Hadopi k týmto údajom sa mi však v skutočnosti zdá byť neoddeliteľná od otázky ich predchádzajúceho uchovávania poskytovateľmi komunikačných služieb. Ako zdôraznil Súdny dvor, jediným účelom uchovávania údajov je ich prípadné sprístupnenie príslušným vnútroštátnym orgánom.(13) Inými slovami uchovávanie a prístup k údajom nemožno chápať izolovane, pokiaľ druhé závisí od prvého.

47.      Je pravda, že Súdny dvor už skúmal zlučiteľnosť vnútroštátnej právnej úpravy týkajúcej sa samotného prístupu príslušných vnútroštátnych orgánov k určitým osobným údajom s článkom 15 ods. 1 smernice 2002/58 nezávisle od otázky zlučiteľnosti uchovávania dotknutých údajov s týmto ustanovením.(14) Na tieto prejudiciálne otázky by sa teda dalo odpovedať bez ohľadu na to, či boli predmetné údaje uchovávané v súlade s ustanoveniami práva Únie.

48.      V prvom rade chcem však poukázať na to, že v rozsudku Ministerio Fiscal(15)sa preskúmanie vykonané Súdnym dvorom, pokiaľ ide o zlučiteľnosť prístupu vnútroštátnych orgánov k určitým osobným údajom s právom Únie, riadi presne rovnakými zásadami ako to, ktoré vykonáva v súvislosti s posúdením zlučiteľnosti uchovávania týchto údajov s právom Únie. Súdny dvor totiž odkazuje výlučne na judikatúru rozvinutú v tejto poslednej uvedenej súvislosti, aby ju aplikoval na otázku prístupu k osobným údajom. Inak povedané pri absencii preskúmania zlučiteľnosti uchovávania určitých údajov s právom Únie sa toto preskúmanie presúva do štádia otázky prístupu k týmto údajom, takže zlučiteľnosť tohto prístupu v konečnom dôsledku závisí od zlučiteľnosti uchovávania.

49.      Ďalej Súdny dvor jasne uviedol, že prístup k osobným údajom možno poskytnúť len vtedy, ak poskytovatelia elektronických komunikačných služieb uchovávajú tieto údaje v súlade s článkom 15 ods. 1 smernice 2002/58,(16) a že prístup súkromných osôb k osobným údajom na účely postihu porušovania autorského práva na občianskoprávnych súdoch je v súlade s právom Únie len za predpokladu, že tieto údaje sú uchovávané spôsobom zlučiteľným s týmto ustanovením.(17)

50.      Napokon Súdny dvor vo svojej ustálenej judikatúre konštatoval, že prístup k údajom o prenose dát a polohe uchovávaným poskytovateľmi na základe opatrenia prijatého podľa článku 15 ods. 1 smernice 2002/58, ktoré sa musí vykonať pri úplnom rešpektovaní podmienok vyplývajúcich z judikatúry, ktorá vykladala smernicu 2002/58, možno v zásade odôvodniť len cieľom všeobecného záujmu, pre ktorý bolo poskytovateľom nariadené toto uchovávanie.(18) Inými slovami zlučiteľnosť prístupu vnútroštátnych orgánov k určitým osobným údajom s právom Únie je plne závislá od zlučiteľnosti uchovávania týchto údajov s právom Únie.

51.      Z toho podľa môjho názoru vyplýva, že analýza zlučiteľnosti vnútroštátnej právnej úpravy, ktorá stanovuje prístup vnútroštátneho orgánu k osobným údajom, s právom Únie predpokladá, že sa najskôr preukáže zlučiteľnosť uchovávania tých istých údajov s právom Únie.

52.      Za týchto podmienok začnem moju analýzu pripomenutím judikatúry Súdneho dvora týkajúcej sa otázky uchovávania IP adries pridelených zdroju pripojenia, aby som poukázal na jej hranice a navrhol výkladový rámec prispôsobený dotknutej právnej úprave.

2.      Judikatúra Súdneho dvora týkajúca sa výkladu článku 15 ods. 1 smernice 2002/58, pokiaľ ide o opatrenia na uchovávanie IP adries pridelených zdroju pripojenia

53.      Článok 5 ods. 1 smernice 2002/58 zakotvuje zásadu dôvernosti tak elektronických komunikácií, ako aj príslušných údajov o prenose dát, a okrem iného stanovuje, že sa akýmkoľvek iným osobám než používateľom v zásade zakazuje bez súhlasu týchto používateľov uchovávať tieto komunikácie a tieto údaje.(19)

54.      Pokiaľ ide o spracúvanie a uchovávanie údajov o prenose dát, ktoré sa týkajú účastníkov a používateľov, poskytovateľmi elektronických komunikačných služieb, smernica 2002/58 v článku 6 ods. 1 stanovuje, že tieto údaje sa musia vymazať alebo anonymizovať, ak už naďalej nie sú potrebné na účely prenosu správy, a v článku 6 ods. 2 spresňuje, že údaje o prenose dát potrebné na účely fakturácie účastníka a platby za pripojenie sa môžu spracúvať len do konca obdobia, počas ktorého môže byť faktúra právne napadnutá alebo sa môže uplatniť nárok na platbu. Pokiaľ ide o údaje o polohe iné ako údaje o prenose dát, článok 9 ods. 1 tejto smernice stanovuje, že takéto údaje sa môžu spracovávať len za určitých podmienok a po ich anonymizácii alebo po získaní súhlasu používateľov alebo účastníkov.(20)

55.      Prijatím tejto smernice tak normotvorca Únie konkretizoval práva zakotvené v článkoch 7 a 8 Charty, takže používatelia elektronických komunikačných prostriedkov majú v zásade právo očakávať, že ich komunikácia a s ňou súvisiace údaje zostanú v prípade chýbajúceho súhlasu z ich strany anonymizované a nebudú môcť byť predmetom zaznamenania.(21) Táto smernica sa teda neobmedzuje na ohraničenie prístupu k takýmto údajom prostredníctvom záruk určených na predchádzanie zneužívaniu, ale zakotvuje tiež najmä zásadu zákazu ich uchovávania tretími osobami.

56.      Za týchto podmienok v rozsahu, v akom článok 15 ods. 1 smernice 2002/58 umožňuje členským štátom prijať legislatívne opatrenia na „obmedzenie rozsahu“ práv a povinností stanovených najmä v článkoch 5, 6 a 9 tejto smernice, akými sú práva a povinnosti vyplývajúce zo zásad dôvernosti správ a zákazu uchovávania s nimi súvisiacich údajov, toto ustanovenie stanovuje výnimku zo všeobecného pravidla stanoveného najmä v týchto článkoch 5, 6 a 9, a teda sa musí v súlade s ustálenou judikatúrou vykladať reštriktívne. Takéto ustanovenie teda nemôže odôvodniť, že výnimka zo zásadnej povinnosti zabezpečiť dôvernosť elektronických komunikácií a s ňou súvisiacich údajov, a najmä výnimka zo zákazu uchovávať tieto údaje stanovená v článku 5 uvedenej smernice, sa stane pravidlom, pretože inak by bolo toto posledné uvedené ustanovenie zbavené veľkej časti jeho rozsahu pôsobnosti.(22)

57.      Pokiaľ ide o ciele, ktoré môžu odôvodniť obmedzenie práv a povinností stanovených najmä v článkoch 5, 6 a 9 smernice 2002/58, Súdny dvor už rozhodol, že výpočet cieľov uvedených v článku 15 ods. 1 prvej vete tejto smernice je taxatívny, v dôsledku čoho musí legislatívne opatrenie prijaté na základe tohto ustanovenia skutočne a striktne zodpovedať jednému z týchto cieľov.(23)

58.      Okrem toho z článku 15 ods. 1 tretej vety smernice 2002/58 vyplýva, že opatrenia prijaté členskými štátmi podľa tohto ustanovenia musia rešpektovať všeobecné zásady práva Únie, medzi ktoré patrí zásada proporcionality, a musia zabezpečiť dodržiavanie základných práv zaručených Chartou. V tejto súvislosti Súdny dvor už rozhodol, že povinnosť uložená poskytovateľom elektronických komunikačných služieb zo strany členského štátu na základe vnútroštátnej právnej úpravy, podľa ktorej sú povinní uchovávať údaje o prenose dát na účely ich prípadného sprístupnenia príslušným vnútroštátnym orgánom, vyvoláva otázky týkajúce sa súladu nielen s článkami 7 a 8 Charty, ktoré sa týkajú ochrany súkromia a ochrany osobných údajov, ale aj s článkom 11 Charty týkajúcim sa slobody prejavu, ktorá predstavuje jednu zo základných podstát demokratickej a pluralitnej spoločnosti a je súčasťou hodnôt, na ktorých je Únia v súlade s článkom 2 ZEÚ založená.(24)

59.      Článok 15 ods. 1 smernice 2002/58 však tým, že umožňuje členským štátom obmedziť práva a povinnosti stanovené v článkoch 5, 6 a 9 tejto smernice, odráža skutočnosť, že práva zakotvené v článkoch 7, 8 a 11 Charty nie sú absolútnymi výsadami, ale musia sa vnímať vo vzťahu k ich úlohe v spoločnosti. Charta, ako vyplýva z jej článku 52 ods. 1, totiž pripúšťa obmedzenia výkonu týchto práv, pokiaľ sú tieto obmedzenia stanovené zákonom, rešpektujú podstatu uvedených práv a za predpokladu dodržiavania zásady proporcionality sú nevyhnutné a skutočne zodpovedajú cieľom všeobecného záujmu, ktoré sú uznané Úniou, alebo potrebe chrániť práva a slobody iných. Na účely výkladu článku 15 ods. 1 smernice 2002/58 so zreteľom na Chartu je teda potrebné zohľadniť tiež dôležitosť cieľov ochrany národnej bezpečnosti a boja proti závažnej trestnej činnosti, ktoré prispievajú k ochrane práv a slobôd iných, a význam práv zakotvených v článkoch 3, 4, 6 a 7 Charty,(25) z ktorých môžu pre orgány verejnej moci vyplývať aj pozitívne povinnosti.(26)

60.      Vzhľadom na tieto rôzne pozitívne povinnosti je teda potrebné pristúpiť k zosúladeniu rôznych legitímnych záujmov a dotknutých práv. V tejto súvislosti zo samotného znenia článku 15 ods. 1 prvej vety smernice 2002/58 vyplýva, že členské štáty môžu prijať opatrenie odchyľujúce sa od zásady dôvernosti, ak je takéto opatrenie „nevyhnutné, vhodné a primerané v demokratickej spoločnosti“, pričom odôvodnenie 11 tejto smernice na tento účel uvádza, že opatrenie takejto povahy musí byť „prísne“ proporcionálne vo vzťahu k zamýšľanému účelu.(27)

61.      V tejto súvislosti z judikatúry Súdneho dvora vyplýva, že možnosť členských štátov odôvodniť obmedzenie práv a povinností stanovených najmä v článkoch 5, 6 a 9 smernice 2002/58 treba posudzovať prostredníctvom merania závažnosti zásahu, ktorý spôsobí takéto obmedzenie, a overenia, či je dôležitosť cieľa všeobecného záujmu sledovaného týmto obmedzením priamo úmerná takejto závažnosti.(28)

62.      Okrem toho chcem poukázať na to, že Súdny dvor vo svojej judikatúre rozlišuje na jednej strane zásahy vyplývajúce z prístupu k údajom, ktoré ako také poskytujú presné informácie o predmetnej komunikácii, a teda o súkromnom živote osoby, a pre ktoré je režim uchovávania prísny, a na druhej strane zásahy vyplývajúce z prístupu k údajom, ktoré môžu poskytnúť takéto informácie len vtedy, ak sú spojené s inými údajmi, akými sú IP adresy.(29)

63.      Pokiaľ ide konkrétne o IP adresy, Súdny dvor tak uviedol, že sa generujú nezávisle od určitej komunikácie a slúžia hlavne na identifikáciu – prostredníctvom poskytovateľov elektronických komunikačných služieb – fyzickej osoby, ktorá je vlastníkom koncového zariadenia, z ktorého sa uskutočňuje internetová komunikácia. Pokiaľ sa uchovávajú iba IP adresy zdroja komunikácie, a nie IP adresy adresáta komunikácie, táto kategória údajov je teda menej citlivá ako ostatné údaje o prenose dát.(30)

64.      Súdny dvor zároveň zdôrazňuje, že keďže IP adresy možno použiť okrem iného na vystopovanie kompletného prechádzania stránok používateľom internetu a následne jeho online aktivít, tieto údaje umožňujú vytvoriť podrobný profil tohto používateľa a vyvodiť presné závery o jeho súkromnom živote. Uchovávanie a analýza týchto IP adries teda predstavujú závažné zásahy do základných práv zakotvených v článkoch 7 a 8 Charty a môžu mať odrádzajúce účinky na výkon slobody prejavu zaručenej v článku 11 Charty.(31)

65.      Podľa ustálenej judikatúry je však na účely nevyhnutného zosúladenia dotknutých práv a legitímnych záujmov, ako to vyžaduje judikatúra, potrebné zohľadniť skutočnosť, že v prípade trestného činu spáchaného online môže IP adresa predstavovať jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto trestného činu.(32)

66.      Súdny dvor preto rozhodol, že legislatívne opatrenie, ktoré stanovuje všeobecné a nediferencované uchovávanie výlučne IP adries pridelených zdroju pripojenia, sa v zásade nejaví v rozpore s článkom 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty, pokiaľ táto možnosť podlieha prísnemu dodržiavaniu hmotnoprávnych a procesných podmienok, ktoré by mali upravovať použitie týchto údajov, pričom sa treba domnievať, že vzhľadom na závažnosť zásahu, ktorý predstavuje toto uchovávanie, iba boj proti závažnej trestnej činnosti a predchádzanie vážnym hrozbám pre verejnú bezpečnosť môžu, podobne ako národná bezpečnosť, odôvodňovať takýto zásah.(33)

67.      Súdny dvor okrem toho spresnil, že doba uchovávania nemôže trvať dlhšie, než je striktne nevyhnutné vzhľadom na sledovaný cieľ, a že opatrenie tejto povahy musí stanoviť prísne podmienky a záruky týkajúce sa použitia týchto údajov.(34)

3.      Hranice judikatúry týkajúcej sa výkladu článku 15 ods. 1 smernice 2002/58, pokiaľ ide o opatrenia na uchovávanie IP adries pridelených zdroju pripojenia

68.      Riešenie, ku ktorému dospel Súdny dvor v súvislosti s vnútroštátnymi opatreniami na uchovávanie IP adries pridelených zdroju pripojenia, vykladanými z hľadiska článku 15 ods. 1 smernice 2002/58, však podľa môjho názoru prináša dve hlavné ťažkosti.

a)      Zosúladenie s judikatúrou týkajúcou sa poskytovania IP adries pridelených zdroju pripojenia v rámci žalôb na ochranu práv duševného vlastníctva

69.      V prvom rade, ako som už uviedol v návrhoch, ktoré som predniesol vo veci M.I.C.M.(35), existuje určité napätie medzi touto líniou judikatúry a judikatúrou týkajúcou sa poskytovania IP adries v rámci žalôb na ochranu práv duševného vlastníctva nositeľom týchto práv, ktorá kladie dôraz na povinnosť členských štátov zabezpečiť nositeľom práv duševného vlastníctva reálne možnosti získať náhradu škody vyplývajúcej z porušení týchto práv.(36)

70.      Pokiaľ totiž ide o túto druhú líniu judikatúry, Súdny dvor opakovane rozhodol, že právo Únie nebráni tomu, aby členské štáty stanovili povinnosť poskytovať osobné údaje súkromným osobám na účely postihu porušenia autorského práva na občianskoprávnych súdoch.(37)

71.      Súdny dvor v tejto súvislosti uvádza, že možnosť členských štátov stanoviť povinnosť sprístupniť v rámci občianskoprávneho konania osobné údaje vyplýva predovšetkým z možnosti stanoviť takéto sprístupnenie v rámci stíhania trestných činov,(38) ktorá bola následne rozšírená na občianskoprávne konania.

72.      Zároveň však v súvislosti s IP adresami Súdny dvor vyžaduje, aby tieto údaje bolo možné uchovávať len v rámci boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť.(39)

73.      Pokusy o zosúladenie týchto dvoch línií judikatúry podľa môjho názoru vedú k neprispôsobeným výsledkom a nemôžu byť presvedčivé.

74.      Na jednej strane na rozdiel od toho, čo tvrdila francúzska vláda na pojednávaní, boj proti porušovaniu práv duševného vlastníctva nemôže spadať do boja proti závažnej trestnej činnosti. Pojem „závažná trestná činnosť“ treba podľa môjho názoru vykladať autonómne. Tento výklad nemôže závisieť od koncepcie každého členského štátu, ibaže by bolo možné obísť požiadavky článku 15 ods. 1 smernice 2002/58 v závislosti od toho, či členské štáty prijmú alebo neprijmú širokú koncepciu boja proti závažnej trestnej činnosti. Ako som pritom už uviedol, záujmy spojené s ochranou práv duševného vlastníctva nemožno zamieňať so záujmami, ktoré sú základom boja proti závažnej trestnej činnosti.(40)

75.      Na druhej strane povoliť poskytovanie IP adries nositeľom práv duševného vlastníctva v rámci konaní, ktorých predmetom je ich ochrana, hoci ich uchovávanie je možné len v rámci boja proti závažnej trestnej činnosti, by bolo zjavne v rozpore s judikatúrou Súdneho dvora týkajúcou sa uchovávania údajov o pripojení a viedlo by k tomu, že podmienky vyžadované na uchovávanie takýchto údajov by boli zbavené potrebného účinku, keďže by sa k nim bolo možné aj tak dostať z iných dôvodov.

76.      Z toho podľa môjho názoru vyplýva, že uchovávanie IP adries na účely ochrany práv duševného vlastníctva, ako aj ich poskytovanie nositeľom týchto práv v rámci konaní, ktorých predmetom je táto ochrana, by mohlo byť v rozpore s článkom 15 ods. 1 smernice 2002/58, ako ho vykladá judikatúra Súdneho dvora. Povinnosť poskytnúť osobné údaje súkromným osobám na účely postihu porušenia autorského práva na občianskoprávnych súdoch, hoci ju Súdny dvor sám umožnil, je teda zároveň neutralizovaná uplatnením jeho vlastnej judikatúry týkajúcej sa uchovávania IP adries poskytovateľmi elektronických komunikačných služieb.

77.      Takéto riešenie však nie je uspokojivé, keďže by spochybnilo rovnováhu medzi jednotlivými dotknutými záujmami, ktorú sa Súdny dvor snažil zaviesť, a to tým, že by zbavilo nositeľov práv duševného vlastníctva hlavného, ak nie jediného spôsobu identifikácie pôvodcov porušení týchto práv online. Táto úvaha ma privádza k vysvetleniu druhého problému, ktorý podľa mňa môže vyplývať z judikatúry Súdneho dvora v súvislosti s vnútroštátnymi opatreniami na uchovávanie IP adries pridelených zdroju pripojenia, vykladanými z hľadiska článku 15 ods. 1 smernice 2002/58.

b)      Riziko systematickej beztrestnosti trestných činov, ku ktorým dochádza výlučne online

78.      V druhom rade sa teda domnievam, že toto riešenie je zdrojom praktických ťažkostí. Ako zdôrazňuje samotný Súdny dvor, v prípade trestného činu spáchaného online môže IP adresa predstavovať jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto trestného činu.

79.      Zdá sa mi však, že táto skutočnosť nie je plne zohľadnená pri zvážení dotknutých záujmov. Keďže Súdny dvor napriek tomu obmedzuje možnosť uchovávania IP adries na oblasť boja proti závažnej trestnej činnosti, zároveň vylučuje, aby sa tieto údaje mohli uchovávať na účely boja proti trestným činom vo všeobecnosti, hoci niektoré z týchto trestných činov možno odhaliť, sankcionovať alebo im zabrániť len vďaka uvedeným údajom.

80.      Inými slovami judikatúra Súdneho dvora by mohla viesť k tomu, že vnútroštátne orgány by boli zbavené jediného spôsobu identifikácie pôvodcov trestných činov spáchaných online, ktoré však nespadajú pod závažnú trestnú činnosť, ako napríklad porušenia práv duševného vlastníctva. To by v skutočnosti viedlo k systematickej beztrestnosti trestných činov spáchaných výlučne online, a to nielen samotných porušení práv duševného vlastníctva. Mám na mysli najmä činy ohovárania, ku ktorým dochádza online. Právo Únie nepochybne stanovuje súdne príkazy proti sprostredkovateľom, ktorých služby sú využívané na páchanie takýchto trestných činov,(41) avšak z judikatúry Súdneho dvora by mohlo vyplývať, že samotní páchatelia týchto činov by nemuseli byť nikdy stíhaní.

81.      Pokiaľ sa nepripustí, že celý rad trestných činov nemožno nikdy stíhať, zastávam názor, že rovnováha medzi rôznymi existujúcimi záujmami by mala byť predmetom novej analýzy.

82.      Tieto rôzne úvahy ma vedú k tomu, aby som Súdnemu dvoru navrhol určitú úpravu judikatúry týkajúcej sa vnútroštátnych opatrení na uchovávanie IP adries vykladaných z hľadiska článku 15 ods. 1 smernice 2002/58.

4.      Návrh na úpravu judikatúry Súdneho dvora týkajúcej sa výkladu článku 15 ods. 1 smernice 2002/58 v súvislosti s opatreniami na uchovávanie IP adries pridelených zdroju pripojenia

83.      Vzhľadom na predchádzajúce úvahy sa domnievam, že článok 15 ods. 1 smernice 2002/58 by sa mal vykladať tak, že nebráni opatreniam, ktoré stanovujú všeobecné a nediferencované uchovávanie IP adries pridelených zdroju pripojenia, na časovo obmedzené obdobie, ktoré je striktne nevyhnutné, a na účely predchádzania, vyšetrovania, odhaľovania a stíhania trestných činov spáchaných online, pri ktorých predstavuje IP adresa jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto trestného činu.

84.      V tejto súvislosti musím zdôrazniť, že takýto návrh podľa môjho názoru nespochybňuje požiadavku proporcionality stanovenú pre uchovávanie údajov z hľadiska závažnosti zásahu do základných práv zakotvených v článkoch 7 a 8 Charty, ktorú tento zásah zahŕňa.(42) Naopak, túto požiadavku plne spĺňa.

85.      Na jednej strane obmedzenie práv a povinností stanovených v článkoch 5, 6 a 9 smernice 2002/58, ktoré predstavuje uchovávanie IP adries, sleduje cieľ všeobecného záujmu priamo úmerný tejto závažnosti, a to predchádzanie, vyšetrovanie, odhaľovanie a stíhanie trestných činov uvedených v právnych predpisoch, ktoré by inak zostali neúčinné.

86.      Na druhej strane toto obmedzenie nepôsobí nad rámec toho, čo je prísne nevyhnutné. Takéto uchovávanie sa totiž obmedzuje na konkrétne prípady, a to trestné činy spáchané online, pri ktorých môže dôjsť k identifikácii páchateľa len vďaka IP adrese, ktorá mu je pridelená. Inak povedané, nejde o to, aby sa povolilo všeobecné a nediferencované uchovávanie údajov bez ďalších podmienok, ale len o umožnenie stíhania trestných činov, a to nie vo všeobecnosti, ale len presne vymedzených trestných činov.

87.      Hoci článok 15 ods. 1 smernice 2002/58 nebráni všeobecnému a nediferencovanému uchovávaniu IP adries pridelených zdroju pripojenia na účely predchádzania, vyšetrovania, odhaľovania a stíhania trestných činov spáchaných online, pri ktorých predstavuje IP adresa jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto trestného činu, treba ešte spresniť, že podľa judikatúry musí táto možnosť podliehať „prísnemu dodržiavaniu hmotnoprávnych a procesných podmienok, ktoré by mali upravovať použitie týchto údajov“(43). Súdny dvor tiež spresňuje, že takéto opatrenie musí „stanoviť prísne podmienky a záruky týkajúce sa použitia týchto údajov“(44).

88.      Inak povedané, ako som už zdôraznil, uchovávanie údajov a prístup k týmto údajom nemožno chápať izolovane. Za týchto podmienok, hoci možnosť úradu Hadopi získať prístup k IP adresám nie je na prvý pohľad v rozpore s článkom 15 ods. 1 smernice 2002/58 za predpokladu, že tieto údaje boli uchovávané v súlade s požiadavkami stanovenými v tomto ustanovení, treba ešte na účely odpovede na prejudiciálne otázky položené Súdnemu dvoru preskúmať, či podmienky prístupu úradu Hadopi k IP adresám prideleným zdroju pripojenia sú samy osebe v súlade s uvedeným ustanovením, najmä pokiaľ ide o prípadnú nevyhnutnosť predchádzajúceho preskúmania takéhoto prístupu zo strany súdu alebo nezávislého správneho orgánu.

89.      Po analýze predbežnej otázky uchovávania IP adries pridelených zdroju pripojenia pristúpim k preskúmaniu prístupu úradu Hadopi k týmto údajom z hľadiska článku 15 ods. 1 smernice 2002/58.

5.      Prístup úradu Hadopi k údajom o totožnosti zodpovedajúcim IP adresám

90.      Z judikatúry Súdneho dvora vyplýva, že pokiaľ ide o ciele, ktoré môžu odôvodniť vnútroštátne opatrenie odchyľujúce sa od zásady dôvernosti elektronických komunikácií, prístup k údajom musí striktne a objektívne zodpovedať jednému z týchto cieľov a cieľ sledovaný týmto opatrením musí byť priamo úmerný závažnosti zásahu do základných práv, ktoré spôsobí tento prístup.(45)

91.      Okrem toho, ako som už uviedol,(46) prístup k údajom uchovávaným poskytovateľmi v súlade s opatrením prijatým na základe článku 15 ods. 1 smernice 2002/58 môže byť v zásade odôvodnený iba cieľom všeobecného záujmu, pre ktorý bolo týmto poskytovateľom nariadené toto uchovávanie.(47)

92.      Súdny dvor tak rozhodol, že v súlade so zásadou proporcionality možno závažný zásah v oblasti prevencie, vyšetrovania, odhaľovania a stíhania trestných činov odôvodniť iba cieľom boja proti trestnej činnosti, ktorá musí byť tiež kvalifikovaná ako „závažná“(48).

93.      V tejto súvislosti chcem na rozdiel od toho, čo tvrdí francúzska vláda a Komisia, poukázať na to, že prístup úradu Hadopi k údajom o totožnosti zodpovedajúcim IP adrese skutočne predstavuje závažný zásah do základných práv. Nejde totiž len o prístup k údajom o totožnosti, ktoré majú samy osebe nízku citlivosť, ale aj o spojenie týchto údajov so širším súborom údajov, konkrétne s IP adresou, a tiež, ako zdôrazňujú žalobcovia vo veci samej, s výpisom zo súboru stiahnutého v rozpore s autorským právom. Ide teda o prepojenie totožnosti osoby s obsahom prehliadaného súboru a IP adresou, z ktorej sa toto prehliadanie uskutočnilo.

94.      Rovnako ako navrhujem umožniť aj uchovávanie údajov, ktoré predstavujú závažný zásah do základných práv, na účely predchádzania, vyšetrovania, odhaľovania a stíhania trestných činov spáchaných online, pri ktorých predstavuje IP adresa jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto trestného činu,(49) si však myslím, že prístup k týmto údajom by mal byť umožnený na dosiahnutie toho istého cieľa, s výnimkou toho, že by sa pripustila všeobecná beztrestnosť trestných činov spáchaných online.

95.      Prístup úradu Hadopi k údajom o totožnosti spojeným s IP adresou sa mi teda zdá byť odôvodnený cieľom všeobecného záujmu, pre ktorý bolo poskytovateľom elektronických komunikačných služieb nariadené toto uchovávanie.

96.      Judikatúra Súdneho dvora však spresňuje, že v prípade vnútroštátnych právnych predpisov, ktoré upravujú prístup príslušných orgánov k uchovávaným údajom o prenose dát a polohe, nestačí, aby vyžadovali len to, že prístup musí zodpovedať účelu sledovanému týmito právnymi predpismi, ale musia tiež stanoviť hmotnoprávne a procesnoprávne podmienky prístupu príslušných vnútroštátnych orgánov k dotknutým údajom.(50)

97.      Súdny dvor konkrétne rozhodol, že keďže všeobecný prístup ku všetkým uchovávaným údajom bez ohľadu na akúkoľvek spojitosť so sledovaným cieľom nemožno považovať za obmedzený na to, čo je prísne nevyhnutné, vnútroštátna právna úprava sa musí zakladať na objektívnych kritériách s cieľom určiť okolnosti a podmienky, za ktorých sa má poskytnúť prístup príslušným vnútroštátnym orgánom k údajom používateľov, aby sa overilo, že prístup sa poskytne len k údajom osôb podozrivých z prípravy, páchania alebo zo spáchania závažného trestného činu, ako aj tých, ktoré sa takým či onakým spôsobom podieľali na takom trestnom čine.(51)

98.      Podľa judikatúry je teda na účely zabezpečenia úplného dodržiavania týchto podmienok v praxi nevyhnutné, aby prístup príslušných vnútroštátnych orgánov k uchovávaným údajom v zásade podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu.(52)

99.      Chcem však poukázať na to, že Súdny dvor stanovil túto potrebu predchádzajúceho preskúmania prístupu k osobným údajom za osobitných okolností, ktoré sa líšia od prejednávanej veci, pričom zahŕňajú obzvlášť závažné zásahy do súkromného života používateľov elektronických komunikačných služieb.

100. V každom z rozsudkov, ktoré zdôrazňovali túto požiadavku, totiž išlo o vnútroštátne opatrenia povoľujúce prístup ku všetkým údajom o prenose dát a polohe užívateľov týkajúcich sa všetkých prostriedkov elektronickej komunikácie(53) alebo prinajmenšom pevnej a mobilnej telefónnej siete.(54) Konkrétne išlo o prístup „ku všetkým údajom…, ktoré môžu poskytnúť informácie o komunikáciách uskutočnených užívateľom prostriedku elektronickej komunikácie alebo o polohe koncových zariadení, ktoré používa a ktoré umožňujú vyvodiť presné závery o jeho súkromnom živote“(55), takže požiadavka predchádzajúceho preskúmania prístupu k týmto údajom zo strany súdu alebo nezávislého správneho orgánu existuje podľa môjho názoru len za týchto podmienok.

101. Na jednej strane sa pritom prístup úradu Hadopi obmedzuje na spojenie údajov o totožnosti s použitou IP adresou a so súborom prehliadaným v určitom okamihu bez toho, aby to príslušným orgánom umožnilo vytvoriť trasu online prehliadaných stránok dotknutým používateľom, a teda vyvodiť presné závery o jeho súkromnom živote nad rámec znalosti konkrétneho súboru prehliadaného v čase porušenia. Nejde teda o umožnenie vystopovania všetkých online činností dotknutého používateľa.

102. Na druhej strane sa tieto údaje týkajú len údajov o osobách, ktoré sa podľa zistení v zápisniciach vyhotovených organizáciami nositeľov práv dopustili konania, ktoré môže predstavovať nesplnenie povinnosti stanovenej v článku L.336‑3 CPI. Prístup úradu Hadopi k údajom o totožnosti spojeným s IP adresami je teda striktne obmedzený na to, čo je nevyhnutné na dosiahnutie sledovaného cieľa, a to umožniť predchádzanie, vyšetrovanie, odhaľovanie a stíhanie trestných činov spáchaných online, pri ktorých predstavuje IP adresa jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania trestného činu, ktorého súčasťou je aj mechanizmus odstupňovanej reakcie.

103. Za týchto podmienok zastávam názor, že článok 15 ods. 1 smernice 2002/58 nevyžaduje existenciu predchádzajúceho preskúmania prístupu úradu Hadopi k údajom o totožnosti spojeným s IP adresami používateľov zo strany súdu alebo nezávislého správneho orgánu.

104. Chcem ešte uviesť, ako zdôrazňuje francúzska vláda, že prístup úradu Hadopi k týmto údajom, hoci nepodlieha predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého subjektu, nie je oslobodený od akejkoľvek kontroly, keďže súbor, ktorý úradu Hadopi zasielajú prevádzkovatelia elektronických komunikácií, zostavuje každý deň prísažný zamestnanec podľa náhodného výberu na základe prijatých podnetov, ktoré sa pred pridaním do súboru overia.(56) Predovšetkým treba poznamenať, že postup odstupňovanej reakcie podlieha ustanoveniam smernice (EÚ) 2016/680(57). Z tohto titulu požívajú fyzické osoby, na ktoré sa zameriava Hadopi, všetky hmotnoprávne a procesné záruky stanovené v tejto smernici. Patrí medzi ne právo na prístup k osobným údajom spracúvaným úradom Hadopi a ich opravu alebo vymazanie, ako aj možnosť podať sťažnosť na nezávislom dozornom orgáne, po ktorom prípadne nasleduje súdny prostriedok nápravy uplatnený za podmienok všeobecného práva.(58)

105. Navrhujem preto odpovedať na prvú a druhú prejudiciálnu otázkou tak, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá umožňuje poskytovateľom elektronických komunikačných služieb uchovávať a správnemu orgánu zodpovednému za ochranu autorského práva a s ním súvisiacich práv pred porušovaním týchto práv na internete prístup k údajom obmedzeným na údaje o totožnosti zodpovedajúce IP adresám, aby tento orgán mohol identifikovať držiteľov týchto adries podozrivých zo zodpovednosti za toto porušovanie a prípadne voči nim prijať opatrenia bez toho, aby tento prístup podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu, ak tieto údaje predstavujú jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase, keď došlo k porušeniu.

B.      O tretej prejudiciálnej otázke

106. Svojou treťou prejudiciálnou otázkou sa vnútroštátny súd pýta, či v prípade kladnej odpovede na prvú a druhú otázku a vzhľadom na nízku citlivosť údajov o totožnosti, striktný rámec prístupu k údajom a požiadavky neohroziť úlohu verejnej služby zverenej dotknutému správnemu orgánu, sa má článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty vykladať v tom zmysle, že bráni tomu, aby sa predbežné preskúmanie prístupu vykonalo v súlade s prispôsobenými postupmi, akým je automatizované preskúmanie, alebo prípadne pod dohľadom interného oddelenia orgánu poskytujúceho záruky nezávislosti a nestrannosti vo vzťahu k zamestnancom povereným vykonávať tento zber.

107. Zo znenia tretej prejudiciálnej otázky, ako aj z písomnej odpovede francúzskej vlády na otázky Súdneho dvora totiž vyplýva, že prispôsobené postupy preskúmania, na ktoré sa odkazuje v tejto otázke, sa netýkajú mechanizmu preskúmania existujúceho vo vnútroštátnom práve, ale možností, ktoré možno preskúmať a ktorých cieľom je prípadne zosúladiť francúzsky mechanizmus s právom Únie.

108. Z ustálenej judikatúry pritom vyplýva, že návrh na začatie prejudiciálneho konania nemá za cieľ formulovať poradné názory na všeobecné alebo hypotetické otázky, ale je spojený s potrebou efektívneho riešenia sporu týkajúceho sa práva Únie.(59)

109. Keďže tretia prejudiciálna otázka má teda podľa môjho názoru hypotetickú povahu, treba ju vyhlásiť za neprípustnú.

110. V každom prípade vzhľadom na odpoveď, ktorú navrhujem dať na prvú a druhú prejudiciálnu otázku, nie je potrebné odpovedať na tretiu otázku.

V.      Návrh

111. Vzhľadom na všetky predchádzajúce úvahy navrhujem, aby Súdny dvor odpovedal na prejudiciálne otázky, ktoré položila Conseil d’État (Štátna rada, Francúzsko), takto:

Článok 15 ods. 1 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty základných práv Európskej únie

sa má vykladať v tom zmysle, že:

nebráni vnútroštátnej právnej úprave, ktorá umožňuje poskytovateľom elektronických komunikačných služieb uchovávať a správnemu orgánu zodpovednému za ochranu autorského práva a s ním súvisiacich práv pred porušovaním týchto práv na internete prístup k údajom obmedzeným na údaje o totožnosti zodpovedajúce IP adresám, aby tento orgán mohol identifikovať držiteľov týchto adries podozrivých zo zodpovednosti za toto porušovanie a prípadne voči nim prijať opatrenia bez toho, aby tento prístup podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu, ak tieto údaje predstavujú jediný prostriedok vyšetrovania umožňujúci identifikáciu osoby, ktorej bola táto adresa pridelená v čase, keď došlo k porušeniu.

1      Jazyk prednesu: francúzština

2      Smernica Európskeho parlamentu a Rady z 12. júla 2002, týkajúca sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514).

3      Smernica Európskeho parlamentu a Rady z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355).

4      JORF zo 7. marca 2010, text č.19.

5      JORF z 31. júla 2021, text č.1. Toto znenie článku L. 34 ‑1 CPCE, účinné od 31. júla 2021, bolo prijaté v nadväznosti na rozhodnutie Conseil d’État (Štátna rada, Francúzsko) z 21. apríla 2021, č. 393099 (JORF z 25. apríla 2021), ktorým sa zrušilo predchádzajúce znenie tohto ustanovenia, ktoré zahŕňalo povinnosť uchovávať osobné údaje „na účely vyšetrovania, odhaľovania a stíhania trestných činov alebo porušenia povinnosti vymedzenej v článku L. 336‑3 [CPI]“ výlučne s cieľom umožniť v prípade potreby ich poskytnutie okrem iných úradu Hadopi. Svojím rozhodnutím č. 021‑976‑977 QPC, z 25. februára 2022 (Habib A. a iní) Conseil constitutionnel (Ústavná rada, Francúzsko) vyhlásila toto predchádzajúce znenie článku L. 34‑1 CPCE za protiústavné, a to najmä z dôvodu, že „sporné ustanovenia tým, že umožňujú všeobecné a nediferencované uchovávanie údajov o pripojení, neprimerane zasahujú do práva na rešpektovanie súkromného života“ (bod 13). Tento súd totiž konštatoval, že údaje o pripojení, ktoré sa majú uchovávať na základe týchto ustanovení, sa týkajú nielen identifikácie používateľov elektronických komunikačných služieb, ale aj iných údajov, ktoré „vzhľadom na ich povahu, ich rôznorodosť a operácie spracúvania, ktorým môžu podliehať…, poskytujú o týchto používateľoch a prípadne tretích osobách početné a presné informácie, ktoré obzvlášť zasahujú do ich súkromného života“ (bod 11).

6      Pozri rozsudok zo 6. októbra 2020 (C‑511/18, C‑512/18 a C‑520/18, ďalej len „rozsudok La Quadrature du Net a i.“, EU:C:2020:791, výrok).

7      Pozri rozsudok z 21. decembra 2016 (C‑203/15 a C‑698/15, ďalej len „rozsudok Tele2“, EU:C:2016:970, výrok).

8      Bod 120 tohto rozsudku.

9      Bod 189 tohto rozsudku.

10      Rozsudok z 2. marca 2021 (C‑746/18, ďalej len „rozsudok Prokuratuur“, EU:C:2021:152).

11      Nariadenie Európskeho parlamentu a Rady (EÚ) z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1).

12      Pozri rozsudok Quadrature du Net a i. (body 155 a 159).

13      Pozri rozsudok Tele2 (bod 79).

14      Pozri rozsudok z 2. októbra 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, bod 49).

15      Rozsudok z 2. októbra 2018 (C‑207/16, EU:C:2018:788).

16      Pozri rozsudok Prokuratuur (bod 29).

17      Pozri rozsudok zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, body 127 až 130).

18      Pozri rozsudky La Quadrature du Net a i. (bod 166); z 5. apríla 2022, Commissioner of An Garda Síochána a i. (C‑140/20, ďalej len „rozsudok Commissioner of An Garda Síochána a i.“, EU:C:2022:258, bod 98), a z 20. septembra 2022, SpaceNet (C‑793/19 a C‑794/19, ďalej len „rozsudok SpaceNet“, EU:C:2022:702, bod 131).

19      Pozri rozsudky La Quadrature du Net a i. (bod 107), Commissioner of An Garda Síochána a i. (bod 35) a SpaceNet (bod 52).

20      Pozri rozsudky Tele2 (bod 86), La Quadrature du Net a i. (bod 108), Commissioner of An Garda Síochána a i. (bod 38) a SpaceNet (bod 55).

21      Pozri rozsudky La Quadrature du Net a i. (bod 109), Commissioner of An Garda Síochána a i. (bod 37) a SpaceNet (bod 54).

22      Pozri rozsudky La Quadrature du Net a i. (body 110 a 111), Commissioner of An Garda Síochána a i. (bod 40) a SpaceNet (bod 57).

23      Pozri rozsudky La Quadrature du Net a i. (bod 112), Commissioner of An Garda Síochána a i. (bod 41) a SpaceNet (bod 58).

24      Pozri rozsudky La Quadrature du Net a i. (body 113 a 114), Commissioner of An Garda Síochána a i. (bod 42) a SpaceNet (bod 60).

25      Pozri rozsudky La Quadrature du Net a i. (body 120 až 122), Commissioner of An Garda Síochána a i. (bod 48) a SpaceNet (bod 63).

26      Pozri rozsudky La Quadrature du Net a i. (body 120 až 122), Commissioner of An Garda Síochána a i. (bod 49) a SpaceNet (bod 64).

27      Pozri rozsudky La Quadrature du Net a i. (body 127 až 129), Commissioner of An Garda Síochána a i. (body 50 a 51) a SpaceNet (body 65 a 66).

28      Pozri rozsudky La Quadrature du Net a i. (bod 131), Commissioner of An Garda Síochána a i. (bod 53) a SpaceNet (bod 68).

29      Pozri bod 41 a nasl. vyššie.

30      Pozri rozsudok La Quadrature du Net a i. (bod 152).

31      Pozri rozsudky La Quadrature du Net a i. (bod 153), Commissioner of An Garda Síochána a i. (bod 73) a SpaceNet (bod 103) (kurzívou zvýraznil generálny advokát).

32      Pozri rozsudky La Quadrature du Net a i. (bod 154), Commissioner of An Garda Síochána a i. (bod 73) a SpaceNet (bod 103).

33      Pozri rozsudky La Quadrature du Net a i. (body 155 a 156), Commissioner of An Garda Síochána a i. (bod 74) a SpaceNet (body 104 a 105) (kurzívou zvýraznil generálny advokát).

34      Pozri rozsudky La Quadrature du Net a i. (bod 156) a SpaceNet (bod 105).

35      C‑597/19, EU:C:2020:1063, bod 98.

36      Pozri návrhy, ktoré som predniesol vo veci M.I.C.M. (C‑597/19, EU:C:2020:1063, bod 97).

37      Pozri rozsudky z 19. apríla 2012, Bonnier Audio a i. (C‑461/10, EU:C:2012:219, bod 55); zo 4. mája 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, bod 34), a zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, body 47 až 54).

38      Pozri v tomto zmysle rozsudok z 29. januára 2008, Promusicae (C‑275/06, EU:C:2008:54, body 50 až 52).

39      Pozri bod 65 vyššie.

40      Pozri návrhy, ktoré som predniesol vo veci M.I.C.M. (C‑597/19, EU:C:2020:1063, bod 103).

41      Pozri článok 15 ods. 1 smernice 2000/31/ES Európskeho parlamentu a Rady z 8. júna 2000 o určitých právnych aspektoch služieb informačnej spoločnosti na vnútornom trhu, najmä o elektronickom obchode (smernica o elektronickom obchode) (Ú. v. ES L 178, 2000, s. 1; Mim. vyd. 13/025, s. 399).

42      Pozri body 60 a 61 vyššie.

43      Pozri rozsudok La Quadrature du Net a i. (bod 155) (kurzívou zvýraznil generálny advokát).

44      Pozri rozsudok La Quadrature du Net a i. (bod 156) (kurzívou zvýraznil generálny advokát).

45      Pozri rozsudky z 2. októbra 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, bod 55), a Prokuratuur (bod 32).

46      Bod 47 vyššie.

47      Pozri rozsudky SpaceNet, (bod 131), La Quadrature du Net a i.. (bod 166) a Commissioner of An Garda Síochána a i. (bod 98).

48      Pozri rozsudky Tele2 (bod 115); z 2. októbra 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, bod 56), a Prokuratuur (bod 33).

49      Pozri bod 65 a nasl. vyššie.

50      Pozri rozsudky Tele2 (bod 118), Prokuratuur (bod 49) a Commissioner of An Garda Síochána a i. (bod 104).

51      Pozri rozsudky Tele2 (bod 119), Prokuratuur (bod 50) a Commissioner of An Garda Síochána a i. (bod 105).

52      Pozri rozsudky Tele2 (bod 120), Prokuratuur (bod 50) a Commissioner of An Garda Síochána a i. (bod 106).

53      Pozri rozsudky Tele2 a Commissioner of An Garda Síochána a i.

54      Pozri rozsudok Prokuratuur.

55      Pozri rozsudok Prokuratuur (bod 45).

56      Na doplnenie chcem poukázať na to, že tvrdenia o uskutočniteľnosti tiež svedčia proti povinnosti systematického predbežného preskúmania. Existencia organizovaného systému boja proti porušeniam autorských práv, ku ktorým dochádza online, o aký ide vo veci samej, predpokladá potrebu spracúvať veľké množstvo osobných údajov, ktoré zodpovedá počtu stíhaných porušení, konkrétne napríklad v roku 2019 podľa vyjadrení francúzskej vlády 33 465 žiadostí o identifikáciu IP adresy podaných úradom Hadopi za deň. V tomto kontexte by povinnosť predchádzajúceho preskúmania prístupu k týmto údajom mohla v praxi ohroziť fungovanie mechanizmov boja proti falšovaniu online, čo by spochybnilo rovnováhu medzi právami používateľov a právami autorov.

57      Smernica Európskeho parlamentu a Rady z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89).

58      Všetky tieto záruky sú obsiahnuté v ustanoveniach kapitoly III hlavy III loi n^o 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (zákon č. 78‑17 zo 6. januára 1978 o informatike, súboroch a slobodách) (JORF zo 7. januára 1978).

59      Pozri rozsudky z 26. októbra 2017, Balgarska energijna borsa (C‑347/16, EU:C:2017:816, bod 31); z 31. mája 2018, Confetra a i. (C‑259/16 a C‑260/16, EU:C:2018:370, bod 63), a zo 17. októbra 2019, Elektrorazpredelenie Jug (C‑31/18, EU:C:2019:868, bod 32).