CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:711

MIŠLJENJE NEZAVISNOG ODVJETNIKA

MACIEJA SZPUNARA

od 28. rujna 2023.(1)

Predmet C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

protiv

Premier ministre,

Ministère de la Culture

(zahtjev za prethodnu odluku koji je uputio Conseil d’État (Državno vijeće, Francuska))

„Zahtjev za prethodnu odluku – Obrada osobnih podataka i zaštita privatnosti u području elektroničkih komunikacija – Direktiva 2002/58/EZ – Članak 15. stavak 1. – Mogućnost država članica da ograniče opseg određenih prava i obveza – Obveza prethodnog nadzora suda ili neovisnog upravnog tijela čije su odluke obvezujuće – Podaci o građanskom identitetu koji odgovaraju određenoj IP adresi”

I. Uvod

1. Na zahtjev velikog vijeća, koji je podnesen u skladu s člankom 60. stavkom 3. Poslovnika Suda, Sud je 7. ožujka 2023. odlučio uputiti ovaj predmet punom sastavu.

2. Rješenjem od 23. ožujka 2023. Sud (u punom sastavu) odlučio je ponovno otvoriti usmeni dio postupka te je pozvao zainteresirane stranke iz članka 23. Statuta Suda Europske unije, Europskog nadzornika za zaštitu podataka (u daljnjem tekstu: EDPS) i Agenciju Europske unije za kibersigurnost (u daljnjem tekstu: ENISA) da sudjeluju na novoj raspravi.

3. Svoje prvo mišljenje u tom predmetu iznio sam 27. listopada 2022. prije zatvaranja usmenog dijela postupka. Ovo novo mišljenje stoga je prilika da detaljnije razradim određene dijelove svojeg rasuđivanja u tom predmetu koji se odnose na ključna pitanja u pogledu zadržavanja osobnih podataka i pristupa tim podacima.

II. Pravni okvir

A. Pravo Unije

4. U uvodnim izjavama 2., 6., 7., 11., 22., 26. i 30. Direktive 2002/58/EZ(2) navodi se:

„(2) Ova Direktiva traži poštovanje temeljnih prava te poštuje načela priznata posebno [Poveljom Europske unije o temeljnim pravima (u daljnjem tekstu: Povelja)]. Ova Direktiva posebno traži osiguranje punoga poštovanja prava određenih u člancima 7. i 8. navedene Povelje.

[…]

(6) Internet mijenja tradicionalne tržišne strukture pružajući zajedničku globalnu infrastrukturu za dostavu širokog raspona elektroničkih komunikacijskih usluga. Javno dostupne elektroničke komunikacijske usluge preko interneta otvaraju korisnicima nove mogućnosti, ali također i nove opasnosti za njihove osobne podatke i privatnost.

(7) U slučaju javnih komunikacijskih mreža treba donijeti posebne zakone i druge propise s ciljem zaštite temeljnih prava i sloboda fizičkih osoba i legitimnih interesa pravnih osoba, posebno u vezi sa sve većom sposobnošću automatskog pohranjivanja i obrade podataka koji se odnose na pretplatnike i korisnike.

[…]

(11) Poput Direktive 95/46/EZ[(3)], ova Direktiva ne obuhvaća pitanja zaštite temeljnih prava i sloboda koje se odnose na aktivnosti koje nisu uređene pravom Zajednice. Stoga se njome ne mijenja postojeća ravnoteža između prava na privatnost pojedinca i mogućnosti država članica da poduzmu mjere iz članka 15. stavka 1. ove Direktive, koje su nužne za zaštitu javne sigurnosti, obrane, državne sigurnosti (uključujući gospodarsko blagostanje države kada se aktivnosti odnose na sigurnosna pitanja države) te za provođenje odredaba kaznenog prava. Kao posljedica toga, ova Direktiva ne utječe na sposobnost država članica da provode zakonito presretanje elektroničkih komunikacija, odnosno da poduzimaju druge mjere ako je to nužno u neku od gore navedenih svrha te u skladu s Europskom konvencijom za zaštitu ljudskih prava i temeljnih sloboda[, potpisanom u Rimu 4. studenoga 1950.], na način kako je tumači Europski sud za ljudska prava. Takve mjere moraju biti prikladne, strogo razmjerne svrsi za koju se poduzimaju i neophodne unutar demokratskog društva te trebaju biti podložne prikladnim zaštitnim mehanizmima u skladu s Europskom konvencijom za zaštitu ljudskih prava i temeljnih sloboda.

[…]

(22) Zabrana pohranjivanja komunikacija i s njima povezanih podataka o prometu osobama koje nisu korisnici ili bez pristanka korisnika, nema namjeru zabraniti automatsko, posredničko i privremeno pohranjivanje ovih informacija u onoj mjeri u kojoj se ono odvija isključivo u svrhu provedbe prijenosa u elektroničkoj komunikacijskoj mreži te pod uvjetom da te informacije nisu pohranjene na razdoblje koje je duže od razdoblja potrebnog za svrhe prijenosa i upravljanja prometom, kao i pod uvjetom da tijekom razdoblja pohrane povjerljivost ostane zajamčena. […]

[…]

(26) Podaci o pretplatnicima obrađeni unutar elektroničkih komunikacijskih mreža u svrhu uspostavljanja veze i prijenosa informacija sadrže informacije o privatnom životu fizičkih osoba te se tiču prava na poštovanje njihove korespondencije, odnosno legitimnih interesa pravnih osoba. Takvi se podaci mogu pohraniti isključivo u onoj mjeri koja je nužna za pružanje usluge u svrhu zaračunavanja i naplate međusobnog povezivanja te na ograničeno vrijeme. Bilo kakva daljnja obrada takvih podataka […] može se dopustiti samo ako se pretplatnik složio s time na temelju točne i potpune informacije koju je dobio od davatelja javno dostupnih elektroničkih komunikacijskih usluga o vrstama daljnje obrade koju davatelj usluga namjerava provesti te o pravu pretplatnika da ne pruži, odnosno opozove svoj pristanak na takvu obradu. […]

[…]

(30) Sustave pružanja elektroničkih komunikacijskih mreža i usluga treba koncipirati tako da ograniče količinu nužnih osobnih podataka na strogi minimum. […]”

5. U skladu s člankom 2. te direktive, naslovljenim „Definicije”:

„[…]

Sljedeće definicije se također primjenjuju:

(a) ‚korisnik’ znači svaka fizička osoba koja koristi javno dostupnu elektroničku komunikacijsku uslugu, u privatne ili poslovne svrhe, pri čemu nije nužno da se pretplatila na tu uslugu;

(b) ‚podaci o prometu’ znači svi podaci koji se obrađuju u svrhu prijenosa komunikacije na elektroničkoj komunikacijskoj mreži ili za njezino naplaćivanje;

(c) ‚podaci o lokaciji’ znači svi podaci koji se obrađuju u sklopu elektroničke komunikacijske mreže ili u sklopu usluga elektroničkih komunikacija, koji ukazuju na zemljopisnu lokaciju terminalne opreme korisnika javno dostupnih usluga elektroničkih komunikacija;

(d) ‚komunikacija’ znači svaka informacija koja se razmjenjuje ili prenosi između ograničenog broja stranaka putem javno dostupne elektroničke komunikacijske usluge. Ovo ne uključuje informaciju prenesenu kao dio usluge emitiranja za javnost putem elektroničke komunikacijske mreže, osim u onoj mjeri u kojoj se informacija može odnositi na pretplatnika ili na korisnika koji prima informaciju koji se mogu identificirati;

[…]”

6. Člankom 3. navedene direktive, naslovljenim „Usluge”, određuje se:

„Ova se Direktiva primjenjuje na obradu osobnih podataka vezanih uz pružanje javno dostupnih usluga elektroničkih komunikacija na javno dostupnim komunikacijskim mrežama u Zajednici, uključujući javne komunikacijske mreže koje podržavaju prikupljanje podataka i naprava za identifikaciju.”

7. Člankom 5. te direktive, naslovljenim „Povjerljivost komunikacija”, predviđa se:

„1. Države članice putem svojih zakonodavstava osiguravaju povjerljivost komunikacija i s time povezanih podataka o prometu koji se šalju preko javne komunikacijske mreže i javno dostupnih elektroničkih komunikacijskih usluga. One posebno zabranjuju svim osobama koje nisu korisnici slušanje, prisluškivanje, pohranjivanje ili druge oblike presretanja odnosno nadzora nad komunikacijama i s time povezanim podacima o prometu, bez pristanka korisnika, osim u slučaju kada imaju zakonsko dopuštenje da to učine u skladu s člankom 15. stavkom 1. Ovaj stavak ne sprečava tehničko pohranjivanje koje je nužno za prijenos komunikacije, ne dovodeći u pitanje načelo povjerljivosti.

[…]

3. Države članice osiguravaju da je pohranjivanje podataka ili uspostavljanje pristupa već pohranjenim podacima na terminalnoj opremi pretplatnika ili korisnika, dozvoljeno samo pod uvjetom da je dotični pretplatnik ili korisnik dao svoj pristanak, nakon što je iscrpno i razumljivo, u skladu s Direktivom [95/46], između ostalog obaviješten o namjeni postupka obrade. Navedeno ne sprečava nikakav oblik tehničke pohrane ili pristupa samo u svrhu izvršavanja prijenosa komunikacije putem elektroničke komunikacijske mreže ili ako je to strogo potrebno, kako bi operator usluge informacijskog društva mogao pružiti uslugu koju je izričito zatražio pretplatnik ili korisnik.”

8. U skladu s člankom 6. Direktive 2002/58, naslovljenim „Podaci o prometu”:

„1. Podaci o prometu koji se odnose na pretplatnike i korisnike i koje je davatelj javne komunikacijske mreže ili javno dostupne elektroničke komunikacijske usluge obradio i pohranio moraju se obrisati ili učiniti anonimnima kada više nisu potrebni u svrhu prijenosa komunikacije, ne dovodeći u pitanje stavke 2., 3. i 5. ovog članka te članak 15. stavak 1.

2. Podaci o prometu koji su nužni u svrhu naplaćivanja usluge od pretplatnika te u svrhu plaćanja međusobnog povezivanja mogu se obraditi. Takva je obrada dopustiva isključivo do kraja razdoblja tijekom kojega se račun može pravno pobijati ili tijekom kojega se može zahtijevati plaćanje.

[…]”

9. U članku 15. stavku 1. Direktive 2002/58, naslovljenom „Primjena određenih odredaba Direktive [95/46]”, navodi se:

„Države članice mogu donijeti zakonske mjere kojima će ograničiti opseg prava i obveza koji pružaju članak 5., članak 6., članak 8. stavci 1., 2., 3. i 4., te članak 9. ove Direktive kada takvo ograničenje predstavlja nužnu, prikladnu i razmjernu mjeru unutar demokratskog društva s ciljem zaštite nacionalne sigurnosti (odnosno državne sigurnosti), obrane, javne sigurnosti te s ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela odnosno neovlaštene uporabe elektroničkog komunikacijskog sustava iz članka 13. stavka 1. Direktive [95/46]. S tim u vezi, države članice mogu, između ostalog, donijeti zakonske mjere kojima se omogućuje zadržavanje podataka tijekom ograničenog razdoblja opravdane razlozima određenim u ovom stavku. Sve mjere iz ovog stavka moraju biti u skladu s općim načelima prava [Unije], uključujući ona iz članka 6. stavaka 1. i 2. [UEU‑a].”

B. Francusko pravo

1. Zakonik o intelektualnom vlasništvu

10. Člankom L. 331‑12 codea de la propriété intellectuelle (Zakonik o intelektualnom vlasništvu), u verziji koja se primjenjuje na glavni postupak (u daljnjem tekstu: CPI), određuje se:

„Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [(Visoko tijelo za emitiranje djela i zaštitu prava na internetu, Francuska, u daljnjem tekstu: Hadopi)] neovisno je javno tijelo.”

11. Člankom L. 331‑13 CPI‑ja predviđa se:

„[Hadopi] osigurava:

[…]

2° zaštitu [djela i predmeta kojima je pridruženo autorsko ili srodno pravo na elektroničkim komunikacijskim mrežama] od povreda tih prava na elektroničkim komunikacijskim mrežama koje se koriste za pružanje javnih internetskih komunikacijskih usluga; […]”

12. U skladu s člankom L. 331‑15 tog zakonika:

„[Hadopi] je sastavljen od kolegija i odbora za zaštitu prava. […]

[…]

Pri izvršavanju svojih ovlasti članovi kolegija i odbora za zaštitu prava ne primaju upute ni od jednog tijela.”

13. Člankom L. 331‑17 navedenog zakonika određuje se:

„Odbor za zaštitu prava zadužen je za poduzimanje mjera predviđenih u članku L. 331‑25.”

14. U skladu s člankom L. 331‑21 tog zakonika:

„Kako bi odbor za zaštitu prava mogao izvršavati svoje ovlasti, [Hadopi] ima na raspolaganju javne službenike koji su položili prisegu i koje je [njegov] predsjednik ovlastio u uvjetima utvrđenima uredbom donesenom uz prethodno pribavljeno mišljenje Državnog vijeća. […]

Članovi odbora za zaštitu prava i službenici iz prvog stavka zaprimaju zahtjeve upućene navedenom odboru u uvjetima predviđenima člankom L. 331‑24. Oni provode ispitivanje činjenica.

Za potrebe postupka mogu zatražiti uvid u sve dokumente, bez obzira na medij na kojem su pohranjeni, uključujući i podatke koje su operatori elektroničkih komunikacija zadržali i obradili na temelju članka L. 34‑1 codea des postes et des communications électroniques [(Zakonik o poštanskim uslugama i elektroničkim komunikacijama)] i koje su zadržali i obradili pružatelji usluga navedeni u članku 6. stavku I. točkama 1. i 2. loia n° 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(Zakon br. 2004‑575 od 21. lipnja 2004. za promicanje povjerenja u digitalnu ekonomiju)].

Također mogu dobiti preslike dokumenata navedenih u prethodnom stavku.

Među ostalim, od operatora elektroničkih komunikacija mogu zatražiti podatke o identitetu, poštanskoj adresi, adresi elektroničke pošte i telefonskom broju pretplatnika čiji je pristup javnim internetskim komunikacijskim uslugama upotrijebljen za reproduciranje, prikazivanje, stavljanje na raspolaganje ili priopćavanje javnosti zaštićenih djela ili predmeta bez odobrenja nositelja prava […] kad je ono potrebno.”

15. Člankom L. 331‑24 CPI‑ja određuje se:

„Odbor za zaštitu prava postupa po zahtjevu ovlaštenih službenika koji su položili prisegu i […] koje imenuju:

– propisno osnovana strukovna tijela za zaštitu prava;

– tijela za kolektivno ostvarivanje prava;

– Nacionalni centar za filmsku i animiranu industriju.

Odbor za zaštitu prava može postupati i na temelju informacija koje mu dostavi državno odvjetništvo.

Ne može mu se podnijeti zahtjev koji se odnosi na djela počinjena prije više od šest mjeseci.”

16. U skladu s člankom L. 331‑25 tog zakonika, odredbom kojom se uređuje takozvani postupak „postupnog odgovora”:

„Kada odlučuje o zahtjevu koji se odnosi na djela koja mogu činiti povredu obveze utvrđene u članku L. 336‑3 [CPI‑ja], odbor za zaštitu prava može poslati pretplatniku […] preporuku u kojoj ga podsjeća na odredbe članka L. 336‑3 te mu nalaže da poštuje obvezu koja je njima utvrđena i upozorava ga na sankcije koje se mogu primijeniti u skladu s člancima L. 335‑7 i L. 335‑7-1. Ta preporuka sadržava i informaciju za pretplatnika o zakonitoj ponudi kulturnih sadržaja na internetu, postojanju mjera za zaštitu sigurnosti kojima se može spriječiti povreda obveze utvrđene u članku L. 336‑3 te o opasnostima praksi kojima se povređuje autorsko pravo i srodna prava za ponavljanje umjetničkog ostvarenja i ekonomiju kulturnog sektora.

U slučaju ponavljanja djela koja mogu činiti povredu obveze utvrđene u članku L. 336‑3 u roku od šest mjeseci od slanja preporuke iz prvog stavka, odbor može uputiti novu preporuku koja sadržava iste informacije kao i prethodna elektroničkim sredstvima […]. Toj preporuci treba priložiti dopis koji se dostavlja uz potpis ili bilo koje drugo sredstvo kojim se može dokazati datum uručenja te preporuke.

U preporukama koje se upućuju na temelju ovog članka navode se datum i vrijeme utvrđenja djela koja mogu činiti povredu obveze utvrđene u članku L. 336‑3. Suprotno tomu, u njima se ne otkriva sadržaj zaštićenih djela ili predmeta na koje se odnosi ta povreda. U njima se navode telefonski broj, poštanska adresa i adresa elektroničke pošte na koje njihov adresat, ako to želi, može uputiti primjedbe odboru za zaštitu prava te, ako podnese izričit zahtjev za to, dobiti pojašnjenja o sadržaju zaštićenih djela ili predmeta na koje se odnosi povreda koja mu se stavlja na teret.”

17. Člankom L. 331‑29 navedenog zakonika određuje se:

„[Hadopi] dopušta uspostavu sustava automatske obrade osobnih podataka u pogledu osoba na koje se odnosi postupak u okviru ovog pododjeljka.

Njegova je svrha omogućiti odboru za zaštitu prava provedbu mjera predviđenih ovim pododjeljkom, svih povezanih postupovnih radnji te pravila o obavješćivanju strukovnih tijela za zaštitu prava i tijela za kolektivno ostvarivanje prava o eventualnim postupcima pokrenutima pred sudskim tijelima, kao i o dostavi predviđenoj u članku L. 335‑7 petom stavku.

Uredbom […] utvrđuju se pravila primjene ovog članka. U njoj se prije svega navode:

– kategorije zabilježenih podataka i trajanje njihova zadržavanja;

– adresati ovlašteni za primanje tih podataka, osobito osobe čija je djelatnost nuđenje pristupa javnim internetskim komunikacijskim uslugama;

– uvjeti u kojima zainteresirane osobe mogu pri [Hadopiju] ostvarivati svoje pravo na pristup podacima koji se na njih odnose […].”

18. Člankom R. 331‑37 tog zakonika predviđa se:

„Operatori elektroničkih komunikacija […] i pružatelji usluga […] dužni su, povezivanjem u sustavu automatske obrade osobnih podataka navedenom u članku L. 331‑29 ili upotrebom medija za snimanje kojima se osiguravaju njihov integritet i sigurnost, priopćiti osobne podatke i informacije navedene u točki 2. Priloga [décretu no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du [CPI] dénommé ‚Système de gestion des mesures pour la protection des œuvres sur internet’ (Uredba br. 2010‑236 od 5. ožujka 2010. o sustavu automatske obrade osobnih podataka, koja je odobrena člankom L. 331‑29 [CPI‑ja], pod nazivom ‚Sustav upravljanja mjerama za zaštitu djela na internetu’)(4) (u daljnjem tekstu: Uredba od 5. ožujka 2010.)] […] u roku od osam dana nakon što odbor za zaštitu prava proslijedi tehničke podatke potrebne za identifikaciju pretplatnika čiji je pristup javnim internetskim komunikacijskim uslugama upotrijebljen za reproduciranje, prikazivanje, stavljanje na raspolaganje ili priopćavanje javnosti zaštićenih djela ili predmeta bez odobrenja nositelja prava […] kad je ono potrebno.

[…]”

19. Člankom R. 335‑5 CPI‑ja određuje se:

„I.- Smatra se krajnjom nepažnjom, koja se kažnjava novčanom kaznom predviđenom za laka kažnjiva djela 5. stupnja činjenica da, ako su ispunjeni uvjeti predviđeni u stavku II., nositelj pristupa javnim internetskim komunikacijskim uslugama bez opravdanog razloga

1° nije uveo mjeru za zaštitu sigurnosti tog pristupa; ili

2° nije primijenio dužnu pažnju u provedbi te mjere.

II.- Odredbe iz stavka I. primjenjuju se samo ako su ispunjena sljedeća dva uvjeta:

1° U skladu s člankom L. 331‑25 te na načine predviđene tim člankom, odbor za zaštitu prava preporučio je nositelju pristupa da poduzme mjeru za zaštitu sigurnosti njegova pristupa kojom bi se spriječilo da se taj pristup ponovno upotrijebi za reproduciranje, prikazivanje, stavljanje na raspolaganje ili priopćavanje javnosti djela ili predmeta zaštićenih autorskim ili srodnim pravom bez odobrenja nositelja tih prava […] kad je ono potrebno;

2° U godini nakon uručenja te preporuke taj je pristup ponovno upotrijebljen u svrhe navedene u ovom stavku II. točki 1.”

20. U članku L. 336‑3 tog zakonika navodi se:

„Nositelj pristupa javnim internetskim komunikacijskim uslugama obvezan je osigurati da se taj pristup ne upotrebljava za reproduciranje, prikazivanje, stavljanje na raspolaganje ili priopćavanje javnosti djela ili predmeta zaštićenih autorskim ili srodnim pravom bez odobrenja nositelja […] kad je ono potrebno.

Ako nositelj pristupa ne ispuni obvezu utvrđenu u prvom stavku, to ne dovodi do pokretanja postupka utvrđivanja kaznene odgovornosti zainteresirane osobe […].”

2. Uredba od 5. ožujka 2010.

21. U članku 1. Uredbe od 5. ožujka 2010., u verziji primjenjivoj na činjenice u glavnom postupku, predviđa se:

„Sustav obrade osobnih podataka pod nazivom ‚Sustav upravljanja mjerama za zaštitu djela na internetu’ namijenjen je tomu da [Hadopijev] odbor za zaštitu prava:

1° poduzima mjere predviđene knjigom III. zakonodavnog dijela [CPI‑ja] (glava III., poglavlje I., odjeljak 3., pododjeljak 3.) i knjigom III. regulatornog dijela tog zakonika (glava III., poglavlje I., odjeljak 2., pododjeljak 2.);

2° podnosi zahtjeve državnom odvjetništvu zbog djela koja mogu činiti kažnjiva djela predviđena člancima L. 335‑2, L. 335‑3, L. 335‑4 i R. 335‑5 tog zakonika te obavješćuje strukovna tijela za zaštitu prava i tijela za kolektivno ostvarivanje prava o tim zahtjevima;

[…]”

22. Člankom 4. te uredbe određuje se:

„I.- Javni službenici koji su položili prisegu i koje je ovlastio [Hadopijev] predsjednik u skladu s člankom L. 331‑21 [CPI‑ja] i članovi odbora za zaštitu prava navedenog u članku 1. imaju izravan pristup osobnim podacima i informacijama navedenim u prilogu ovoj Uredbi.

II.- Operatori elektroničkih komunikacija i pružatelji usluga navedeni u točki 2. priloga ovoj Uredbi primaju:

– tehničke podatke potrebne za identifikaciju pretplatnika;

– preporuke predviđene u članku L. 331‑25 [CPI‑ja] kako bi ih elektroničkim sredstvima poslali svojim pretplatnicima;

– elemente potrebne za provođenje dodatnih kazni ukidanja pristupa javnoj internetskoj elektroničkoj usluzi o kojima državno odvjetništvo obavješćuje odbor za zaštitu prava.

III.- Strukovna tijela za zaštitu prava i tijela za kolektivno ostvarivanje prava primaju obavijest o podnošenju zahtjeva državnom odvjetništvu.

IV.- Sudska tijela primaju zapisnike o utvrđenju djela koja mogu činiti kažnjiva djela predviđena člancima L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 i R. 335‑5 [CPI‑ja].

O izvršenju kazne ukidanja šalje se obavijest u automatsku kaznenu evidenciju.”

23. U prilogu Uredbi od 5. ožujka 2010. predviđa se:

„Sljedeći osobni podaci i informacije bilježe se u sustavu obrade pod nazivom ‚Sustav upravljanja mjerama za zaštitu djela na internetu’:

1° Osobni podaci i informacije iz propisno osnovanih strukovnih tijela za zaštitu prava, tijela za kolektivno ostvarivanje prava, Nacionalnog centra za filmsku i animiranu industriju te oni iz državnog odvjetništva:

u pogledu djela koja mogu činiti povredu obveze utvrđene u članku L.336‑3 [CPI‑ja]:

datum i vrijeme počinjenja djela;

IP adresa dotičnih pretplatnika;

korišteni P2P protokol;

pseudonim kojim se koristi pretplatnik;

informacije o zaštićenim djelima ili predmetima na koje se odnose počinjena djela;

naziv datoteke kako se nalazi na pretplatnikovu računalu (ovisno o slučaju);

pružatelj internetskog pristupa koji pruža pretplatu za pristup ili koji je osigurao IP tehnički resurs.

[…]

2° Osobni podaci i informacije o pretplatniku koje prikupljaju operatori elektroničkih komunikacija […] i pružatelji usluga […]:

prezime, imena;

poštanska adresa i adrese elektroničke pošte;

telefonski broj;

adresa pretplatnikova telefonskog priključka;

pružatelj internetskog pristupa koji se koristi tehničkim resursima pružatelja pristupa navedenog u točki 1., s kojim je pretplatnik sklopio ugovor; broj spisa;

datum na koji je privremeno ukinut pristup javnoj internetskoj komunikacijskoj usluzi.

[…]”

3. Zakonik o poštanskim uslugama i elektroničkim komunikacijama

24. Člankom L. 34‑1 Zakonika o poštanskim uslugama i elektroničkim komunikacijama, kako je izmijenjen člankom 17. loia no 2021‑998 du 30 juillet 2021 (Zakon br. 2021‑998 od 30. srpnja 2021.)(5), u njegovu stavku II.a, određuje se da su „operatori elektroničkih komunikacija dužni zadržavati:

1° za potrebe kaznenih postupaka, sprečavanja prijetnji javnoj sigurnosti i zaštite nacionalne sigurnosti, podatke o građanskom identitetu korisnika do isteka roka od pet godina od prestanka valjanosti njegova ugovora;

2° u iste svrhe kao što su one navedene u točki 1. ovog stavka II.a, druge podatke koje je korisnik dao prilikom sklapanja ugovora ili stvaranja računa i podatke o plaćanju do isteka roka od godinu dana od isteka valjanosti njegova ugovora ili zatvaranja njegova računa;

3° za potrebe borbe protiv kriminala i teških kaznenih djela, sprečavanja ozbiljnih prijetnji javnoj sigurnosti i zaštite nacionalne sigurnosti, tehničke podatke koji omogućuju identifikaciju izvora veze ili one koji se odnose na korištenu terminalnu opremu do isteka roka od godinu dana od spajanja ili korištenja terminalnom opremom.”

III. Postupak pred Sudom

25. U odgovoru na poziv upućen zainteresiranim strankama iz članka 23. Statuta Suda Europske unije, tužitelji iz glavnog postupka, francuska, danska, estonska, irska, nizozemska, finska i švedska vlada te Europska komisija odgovorili su na pisana pitanja koja je postavio Sud.

26. Na raspravi održanoj 15. svibnja 2023 sudjelovali su te stranke, osim finske vlade, potom češka, španjolska, ciparska, latvijska i norveška vlada te EDPS i ENISA.

IV. Analiza

27. Na temelju moje analize prethodnih pitanja u svojem prvom mišljenju predložio sam Sudu da presudi da članak 15. stavak 1. Direktive 2002/58 treba tumačiti na način da mu se ne protivi nacionalni propis kojim se pružateljima elektroničkih komunikacijskih usluga omogućuje da zadrže, a upravnom tijelu kao što je Hadopi(6) da pristupi samo podacima o građanskom identitetu koji odgovaraju IP adresama, kako bi to tijelo moglo identificirati nositelje tih adresa za koje se sumnjiči da su odgovorni za povrede autorskih i srodnih prava te da bi, po potrebi, moglo poduzeti mjere protiv njih, a da taj pristup pritom nije uvjetovan prethodnim nadzorom suda ili neovisnog upravnog tijela, kada su ti podaci jedino istražno sredstvo kojim se može identificirati osoba kojoj je ta adresa bila dodijeljena u trenutku počinjenja kažnjivog djela.

28. U ovom ću mišljenju detaljnije razraditi određene dijelove svoje prethodne analize i točke o kojima se diskutiralo na raspravi održanoj 15. svibnja 2023. kako bih iznio razloge zbog kojih ću zadržati svoj prijedlog odgovora na prethodna pitanja i rasuđivanje na kojem se taj prijedlog temelji(7).

29. Konkretnije, dokazat ću da su, time što se omogućilo zadržavanje podataka o građanskom identitetu koji odgovaraju IP adresama i pristup tim podacima, a da se pritom nije proveo prethodan nadzor, kako bi se identificirali počinitelji kažnjivog djela kada su ti podaci jedino sredstvo kojim se te počinitelje može identificirati, ispunjeni zahtjevi koje je Sud utvrdio u pogledu ispitivanja mjera donesenih na temelju članka 15. stavka 1. Direktive 2002/58 (odjeljak B).

30. Na taj ću način dokazati da takvo rješenje ne predstavlja preokret u zahtjevnoj sudskoj praksi kojom se štite temeljna prava i koju je Sud razvio nakon presuda Tele2 Sverige i Watson i dr.(8) i La Quadrature du Net i dr.(9), nego nužan razvoj te sudske prakse koji je, prema mojem mišljenju, u skladu s načelima koja je utvrdio Sud. To razlikovanje nije samo semantičko. Naime, rješenjem koje predlažem ne dovodi se u pitanje postojeća sudska praksa, nego se radi određene pragmatičnosti omogućuje njezina prilagodba u posebnim i vrlo ograničenim okolnostima (odjeljak C).

31. Radi jasnoće i s obzirom na to da su diskusije na raspravi dokazale da su potrebna pojašnjenja u tom pogledu, započet ću svoju analizu podsjetnikom na funkcioniranje mehanizma postupnog odgovora koji primjenjuje Hadopi (odjeljak A).

A. Mehanizam postupnog odgovora koji primjenjuje Hadopi

32. Hadopi je neovisno upravno tijelo koje je zaduženo za zaštitu autorskog i srodnih prava od povreda tih prava počinjenih na internetu. U tu je svrhu uveden takozvani mehanizam „postupnog odgovora” čija je provedba povjerena Hadopijevu odboru za zaštitu prava.

33. Tom odboru zahtjeve podnose organizacije nositeljâ prava u kojima određeni službenici koji su položili prisegu i koje je ovlastio ministar kulture na mrežama ravnopravnih članova (peer to peer) prikupljaju IP adrese korisnika interneta koji stavljaju djela na raspolaganje javnosti bez odobrenja nositelja. Tada se sastavljaju zapisnici. Oni sadržavaju, među ostalim, IP adresu za pristup internetu koja je upotrijebljena za počinjenje tih povreda autorskog prava, datum i vrijeme utvrđene povrede, kao i naziv djela o kojem je riječ, te se prenose Hadopijevu odboru za zaštitu prava. U tom pogledu i kao što je to istaknuo EDPS, valja naglasiti da obradu osobnih podataka koju službenici provode u organizacijama nositeljâ prava treba odobriti Commission nationale de l’informatique et des libertés (Nacionalna komisija za informatiku i slobode, u daljnjem tekstu: CNIL), francusko nadzorno tijelo u području zaštite podataka(10).

34. Nakon primitka zapisnika i provođenja automatiziranog nadzora čiji je cilj zajamčiti da oni sadržavaju sve potrebne podatke, Hadopijev odbor za zaštitu prava može od pružatelja elektroničkih komunikacijskih usluga zatražiti podatke o identitetu, poštanskoj adresi, adresi elektroničke pošte i telefonskom broju pretplatnika koji je upotrijebljen za počinjenje povrede autorskog prava.

35. Hadopi tada može toj osobi uputiti „preporuku” u kojoj se tu osobu obavještava da je njezin pristup internetu upotrijebljen protivno autorskom pravu te se osobi koja je osumnjičena za to da je povrijedila obvezu dužne pažnje u pogledu poštovanja na internetu djela zaštićenih autorskim ili srodnim pravom nalaže da postupi u skladu s tom obvezom. Drugim riječima, preporuka se upućuje nositelju pristupa internetu koji zapravo može biti različita osoba od one koja je stavila djelo na raspolaganje protivno autorskom pravu. Druga preporuka može se izdati u slučaju drugog utvrđenja povrede preko istog pristupa internetu. U slučaju ponavljanja povrede, Hadopijev odbor za zaštitu prava može se obratiti državnom odvjetniku u svrhu kaznenog progona. U tom pogledu, kao što je to pojasnila francuska vlada u svojim prvim očitovanjima, Hadopijevi službenici koji su zaduženi za mehanizam postupnog odgovora položili su prisegu te ih je ovlastio Hadopijev predsjednik, obvezni su čuvati profesionalnu tajnu i jedini u Hadopiju imaju pristup osobnim podacima koji se obrađuju okviru tog mehanizma.

36. U tom pogledu moram pojasniti da podaci koji se prikupljaju i prenose Hadopiju ne uključuju podatke svih korisnika mreža ravnopravnih članova ako ti korisnici samo preuzimaju takve sadržaje(11), nego samo podatke osoba koje su stavile na raspolaganje sadržaje kojima se počinila povreda, odnosno koje su učitale takve sadržaje.

37. Primjerice, Hadopi je tako za 2021. od organizacija nositeljâ prava zaprimio gotovo četiri milijuna zapisnika, poslao je 210 595 prvih preporuka i 53 564 drugih preporuka te se obratio državnom odvjetniku u 1484 slučaja.

38. Nakon tih napomena dokazat ću kako takav mehanizam, koji uključuje zadržavanje podataka o građanskom identitetu koji odgovaraju IP adresama i pristup tim podacima, prema mojem mišljenju ispunjava zahtjeve sudske prakse koji se odnose na nacionalne mjere donesene na temelju članka 15. stavka 1. Direktive 2002/58.

B. Poštovanje zahtjeva koji proizlaze iz sudske prakse Suda i odnose se na tumačenje članka 15. stavka 1. Direktive 2002/58

39. Budući da sam u svojem prvom mišljenju već podsjetio na sudsku praksu Suda koja se odnosi na zadržavanje IP adresa dodijeljenih izvoru veze i pristup tim adresama(12), u ovom ću se mišljenju usredotočiti na ono što je, prema mojem mišljenju, okosnica te sudske prakse, odnosno, s jedne strane, zahtjev proporcionalnosti i, s druge strane, kad je riječ o pristupu tim podacima, eventualnu nužnost prethodnog nadzora suda ili neovisnog upravnog tijela.

1. Proporcionalnost mjera o kojima je riječ

40. Kako bi se odredilo je li s pravom Unije usklađena mjera zadržavanja podataka o građanskom identitetu koji odgovaraju određenoj IP adresi i pristupa tim podacima, valja, kao što to Sud opetovano naglašava, pomiriti različite legitimne interese i prava o kojima je riječ, koji uključuju, s jedne strane, prava na zaštitu privatnog života i zaštitu osobnih podataka(13) zajamčena člancima 7. i 8. Povelje i, s druge strane, zaštitu prava i sloboda drugih osoba i prava propisana člancima 3., 4., 6. i 7. Povelje(14). Dodajem da u ovom predmetu prava na zaštitu privatnog života i zaštitu osobnih podataka treba pomiriti i s pravom na vlasništvo propisanim člankom 17. Povelje jer je cilj mehanizma postupnog odgovora in fine zaštita autorskog i srodnih prava.

41. Sud u tom pogledu pojašnjava da to pomirenje, koje se provodi na temelju članka 15. stavka 1. Direktive 2002/58, omogućuje državama članicama da donesu mjeru koja odstupa od načela povjerljivosti kad ona podrazumijeva „nužnu, prikladnu i razmjernu mjeru unutar demokratskog društva” (moje isticanje). U uvodnoj izjavi 11. te direktive pojašnjeno je da takva mjera mora biti „strogo” razmjerna svrsi za koju se poduzima(15).

42. Osim toga, Sud se u cijelom svojem rasuđivanju u pogledu tumačenja članka 15. stavka 1. Direktive 2002/58 poziva na načelo proporcionalnosti koje stoga postaje temelj ispitivanja nacionalne mjere zadržavanja osobnih podataka i pristupa tim podacima donesene na temelju te odredbe.

43. Detaljnije tumačenje tog rasuđivanja otkriva da načelo proporcionalnosti u kontekstu članka 15. stavka 1. Direktive 2002/58 uključuje različite dijelove koji se odnose, s jedne strane, na ozbiljnost zadiranja u temeljna prava koje podrazumijeva zadržavanje podataka o prometu i pristup tim podacima i, s druge strane, nužnost predmetne mjere.

44. Kad je riječ o Hadopijevu zadržavanju podataka o građanskim identitetima koji odgovaraju IP adresama i pristupu tim podacima, smatram da Sud zbog ozbiljnosti zadiranja i nužnosti tih podataka treba prilagoditi ispitivanje proporcionalnosti nacionalne mjere donesene na temelju članka 15. stavka 1. Direktive 2002/58.

a) Ozbiljnost zadiranja u temeljna prava

45. Iz ustaljene sudske prakse Suda jasno proizlazi da, u skladu s načelom proporcionalnosti, važnost cilja koji se nastoji postići mjerom donesenom na temelju članka 15. stavka 1. Direktive 2002/58 mora biti povezana s težinom zadiranja koje iz toga proizlazi(16).

46. Konkretnije, Sud je presudio, kao što sam to naglasio u svojem prvom mišljenju, da se ozbiljno zadiranje u okviru sprečavanja, istrage, otkrivanja i progona kaznenih djela može opravdati samo ciljem borbe protiv kriminaliteta koji se također može okvalificirati „teškim”(17).

47. Kad je riječ o IP adresama, Sud ističe da, iako su one manje osjetljive od drugih podataka o prometu, njihovo zadržavanje i analiza ipak predstavljaju ozbiljna zadiranja u temeljna prava jer se mogu upotrijebiti za iscrpno praćenje tijeka kretanja korisnika interneta i stoga za utvrđivanje detaljnog profila tog korisnika i donošenje preciznih zaključaka o njegovu privatnom životu(18).

48. U glavnom je predmetu cilj zadržavanja podataka o građanskom identitetu koji odgovaraju IP adresama i pristup tim podacima borba protiv povreda autorskog prava i srodnih prava. Međutim, prema mojem je mišljenju jasno da ta borba ne može biti obuhvaćena borbom protiv teških kaznenih djela(19), iako je broj tih povreda velik. Stoga postoji nesrazmjer između ozbiljnosti zadiranja u temeljna prava koje uključuje mjera o kojoj je riječ i cilja koji se njome nastoji postići.

49. U svojem sam prvom mišljenju smatrao, prema sudskoj praksi Suda, da je Hadopijev pristup podacima o građanskom identitetu koji odgovaraju određenoj IP adresi ozbiljno zadiranje u temeljna prava. Budući da sam također smatrao da u ovom slučaju ipak treba omogućiti zadržavanje tih podataka i pristup njima, nakon rasprave moram iznijeti još nekoliko pojašnjenja.

50. Mehanizam postupnog odgovora omogućuje Hadopiju da IP adresu koju su dostavile organizacije nositeljâ prava osoba koje su osumnjičene da su upotrijebile njihov pristup internetu kako bi počinile povredu autorskog prava na mreži ravnopravnih članova poveže s građanskim identitetom te osobe, kao i s izvatkom datoteke učitane na server protivno autorskom pravu. Kao što su to na raspravi istaknuli Komisija i EDPS, iz takvih elemenata, iako oni svakako omogućuju dobivanje više informacija od samog identiteta navodnog počinitelja kažnjivog djela, ipak se ne mogu izvesti vrlo precizni zaključci o privatnom životu te osobe. Naime, kao što sam to naveo u svojem prvom mišljenju(20), riječ je samo o otkrivanju pregledavanja konkretnog sadržaja koje samo po sebi ne omogućuje da se utvrdi detaljan profil osobe koja ju je izvršila.

51. To vrijedi tim više jer su, najprije, velika većina IP adresa dostavljenih Hadopiju takozvane „dinamičke” IP adrese koje su po prirodi promjenjive i odgovaraju točnom identitetu samo u jednom trenutku koji se preklapa sa stavljanjem na raspolaganje sadržaja o kojem je riječ. One stoga isključuju iscrpno praćenje.

52. Nadalje, moram naglasiti da mi se čini da se zaštitom temeljnih prava na internetu ne može opravdati to da se ne može pristupiti samo podacima koji se odnose na IP adresu, sadržaj djela i identitet osobe koja ga je stavila na raspolaganje protivno autorskom pravu, nego samo to da moraju postojati jamstva za zadržavanje tih podataka i pristup njima. Čini mi se da je u tom pogledu korisna analogija sa stvarnim svijetom: osoba koja je osumnjičena da je počinila krađu ne može se pozvati na pravo na zaštitu privatnog života kako osobe koje su zadužene za progon tog kažnjivog djela ne bi mogle saznati za ukradeni sadržaj. Suprotno tomu, ta se osoba s pravom može pozvati na temeljna prava kako bi tijekom postupka spriječila pristup skupu podataka opsežnijih nego što su podaci potrebni za kvalifikaciju navodnog kažnjivog djela.

53. Naposljetku, ističem da se, suprotno onomu što su tvrdili tužitelji, ne čini da mehanizam postupnog odgovora uključuje opći nadzor korisnikâ mreža ravnopravnih članova. Naime, nije riječ o tome da se provjeri njihova ukupna aktivnost na određenoj mreži kako bi se utvrdilo jesu li stavili određeno djelo na raspolaganje protivno autorskom pravu, nego da se na temelju datoteke, za koju je utvrđeno da se njome počinila povreda, odredi vlasnik pristupa internetu preko kojeg je korisnik interneta stavio djelo na raspolaganje. Isto tako, kao što je to EDPS naglasio na raspravi, nije riječ o praćenju ukupne aktivnosti korisnika mreža ravnopravnih članova, nego samo aktivnosti osoba koje učitavaju na server datoteke kojima se počinila povreda, uzimajući u obzir da se učitavanjem tih datoteka još manje otkrivaju elementi koji se odnose na privatan život osobe jer se ono može izvršiti samo kako bi se tim korisnicima interneta omogućilo da zatim preuzmu druge datoteke.

54. U tim okolnostima, čini mi se da se razlozi zbog kojih je Sud smatrao da zadržavanje IP adresa i pristup tim adresama predstavljaju ozbiljno zadiranje u temeljna prava ne mogu primijeniti u pogledu mehanizma postupnog odgovora kao što je onaj koji primjenjuje Hadopi. Iz toga slijedi da ozbiljnost zadiranja koje pretpostavljaju to zadržavanje i taj pristup treba, prilikom ispitivanja načela proporcionalnosti, biti nijansirana.

55. Drugim riječima, smatram da sudsku praksu Suda koja se odnosi na ozbiljnost zadiranja u temeljna prava do kojeg je došlo zbog zadržavanja IP adresa i pristupa tim adresama ne treba tumačiti kao da podrazumijeva da je to zadiranje uvijek ozbiljno, nego da je ozbiljno samo kad IP adrese mogu dovesti do iscrpnog praćenja tijeka kretanja korisnika interneta i izvođenja vrlo preciznih zaključaka o njegovu privatnom životu.

56. S obzirom da to nije slučaj u situaciji kao što je ona o kojoj je riječ u glavnom postupku, iz toga proizlazi da se zadiranje koje podrazumijeva zadržavanje građanskih identiteta koji odgovaraju određenoj IP adresi i pristup tim identitetima koja je upotrijebljena za stavljanje na raspolaganje sadržaja kojim se povređuje autorsko pravo treba moći opravdati ciljem borbe protiv kriminaliteta širim od samih teških kaznenih djela.

57. Usto pojašnjavam da se zadiranje u temeljna prava koje podrazumijeva zadržavanje podataka o građanskom identitetu koji odgovaraju određenoj IP adresi i pristup tim podacima u situaciji kao što je ona o kojoj je riječ u glavnom postupku ne pogoršava okolnošću da nositelj pristupa internetu koji je upotrijebljen za stavljanje na raspolaganje sadržaja kojim se počinila povreda nije nužno stavio na raspolaganje taj sadržaj, tako da preporuka koju je uputio Hadopi može dovesti do toga da se tom nositelju otkrije navedeni sadržaj kojem može pristupiti treća osoba. S jedne strane, podsjećam na to da se kažnjivo djelo koje ispituje Hadopi odnosi na povredu obveze osiguranja da se taj pristup ne upotrebljava za stavljanje na raspolaganje sadržaja kojim se povređuje autorsko pravo. Stoga je potrebno da se informacije koje omogućuju njegovu kvalifikaciju prenesu njegovu navodnom počinitelju. S druge strane, kao što sam to već naveo, smatram da informacije koje se odnose na djelo o kojem je riječ ne omogućuju da se izvedu precizni zaključci o privatnom životu osobe koja je stavila sadržaj na raspolaganje. Stoga se eventualnim prijenosom tih informacija vlasniku internetskog priključka ne prekoračuje ono što je nužno kako bi se omogućilo pokretanje postupka protiv povrede autorskog prava o kojoj je riječ.

b) Nužnost podataka o kojima je riječ za otkrivanje i progon kažnjivog djela

58. Kako bi se osigurala proporcionalnost mjere zadržavanja podataka o prometu i pristupa tim podacima, kao što su podaci o građanskom identitetu koji odgovaraju određenoj IP adresi, donesene na temelju članka 15. stavka 1. Direktive 2002/58, prema sudskoj praksi Suda zadiranje koje ta mjera pretpostavlja treba biti ograničeno na ono što je strogo nužno kako bi se omogućilo ostvarivanje cilja koji se želi postići(21). Čini mi se da je upravo to slučaj u pogledu mjere o kojoj je riječ u glavnom postupku.

59. Kao što sam to naglasio u svojem prvom mišljenju(22), iz same sudske prakse Suda proizlazi da, u slučaju kažnjivog djela počinjenog isključivo na internetu, kao što je povreda autorskog prava na mreži ravnopravnih članova, IP adresa može biti jedino istražno sredstvo kojim se može identificirati osoba kojoj je ta adresa bila dodijeljena u trenutku počinjenja tog kažnjivog djela(23). Prema mojem mišljenju, iz toga proizlazi da su zadržavanje podataka o građanskom identitetu koji odgovaraju IP adresama i pristup tim podacima s ciljem otkrivanja povreda autorskog prava počinjenih na internetu i pokretanja postupka protiv tih povreda, prema sudskoj praksi, strogo nužni s obzirom na cilj koji se želi postići.

60. Točno je da svaki zahtjev za zaštitu osobnih podataka pretpostavlja ograničenje istražnih ovlasti. To proizlazi iz samog načela pomirenja suprotnih interesa i takav se rezultat sam po sebi ne može osporavati. Međutim, u slučaju da je IP adresa jedino sredstvo kojim se može identificirati osoba osumnjičena za počinjenje povrede prava intelektualnog vlasništva na internetu, takva se situacija razlikuje od većine kaznenih progona u pogledu kojih Sud ističe da „učinkovitost […] općenito ne ovisi o samo jednom instrumentu istrage nego o svim instrumentima istrage kojima u tu svrhu raspolažu nadležna nacionalna tijela”(24). Kad bi se priznalo da se podaci o građanskom identitetu koji odgovaraju IP adresama ne trebaju zadržavati i da im ne treba pristupiti u situaciji kao što je ona o kojoj je riječ u glavnom postupku, to ne bi dovelo, kao ni bilo koja druga mjera kojom se osigurava zaštita podataka o prometu, do običnog ograničenja istražnih ovlasti, nego bi se time nacionalnim tijelima oduzelo jedino sredstvo za otkrivanje i progon određenih kažnjivih djela.

61. Drugim riječima, u skladu s tumačenjem članka 15. stavka 1. Direktive 2002/58 koje predlažem, nije riječ o tome da se u okviru ispitivanja nužnosti takve mjere omogući zadržavanje podataka i pristup podacima koji olakšavaju samo otkrivanje i progon kažnjivih djela, ako se ta kažnjiva djela također mogu otkriti i kazneno goniti primjenom drugih sredstava, čak i ako su manje učinkovita. Suprotno tomu, riječ je o tome da se omogući zadržavanje tih podataka i pristup njima kad su oni nužni za identificiranje osobe osumnjičene za počinjenje kažnjivog djela, koju se ne može kazneno goniti ako se ne primjene ta sredstva jer su predmetni podaci jedino sredstvo za identifikaciju korisnika interneta s obzirom na to da je kažnjivo djelo počinjeno isključivo na internetu.

62. Prema mojem mišljenju, takvo je tumačenje neminovno jer bi se inače priznalo da se cijeli niz kažnjivih djela nikad ne bi mogao kazneno goniti(25).

63. Iz svega prethodno navedenog proizlazi, prema mojem mišljenju, da je nacionalni propis kojim se pružateljima elektroničkih komunikacijskih usluga omogućuje da zadrže, a upravnom tijelu da pristupi samo podacima o građanskom identitetu koji odgovaraju IP adresama u potpunosti proporcionalan cilju koji se nastoji postići, odnosno progonu povreda autorskih i srodnih prava na internetu, s obzirom na to da je ozbiljnost zadiranja u temeljna prava koje te povrede podrazumijevaju ograničena i da su ti podaci jedino istražno sredstvo kojim se može identificirati osoba kojoj je ta adresa bila dodijeljena u trenutku počinjenja kažnjivog djela.

64. Stoga smatram da članak 15. stavak 1. Direktive 2002/58 treba tumačiti na način da mu se ne protivi takav propis.

2. Postojanje prikladnih materijalnih i postupovnih jamstava

65. Kad je konkretno riječ o pristupu podacima o građanskom identitetu koji odgovaraju IP adresama, iz sudske prakse Suda proizlazi da sama stroga proporcionalnost mjere nije dovoljna da bi ta mjera bila u skladu s člankom 15. stavkom 1. Direktive 2002/58.

66. Naime, kako bi se osiguralo da pristup podacima o prometu i lokaciji bude ograničen na ono što je strogo nužno, Sud je presudio da je ključno da se taj pristup uvjetuje provođenjem prethodnog nadzora suda ili neovisnog upravnog tijela koje raspolaže svim ovlastima i pruža sva potrebna jamstva za usklađivanje različitih legitimnih interesa i prava o kojima je riječ(26).

67. Usko tumačenje sudske prakse stoga bi dovelo do zaključka da se Hadopijev pristup podacima o građanskom identitetu koji odgovaraju IP adresama osoba osumnjičenih da su počinile povredu autorskog prava na internetu uvjetuje provođenjem takvog prethodnog nadzora, koji ne postoji u trenutačnom mehanizmu postupnog odgovora.

68. Međutim, kao što je to tvrdila irska vlada na raspravi i kao što sam to tvrdio u svojem prvom mišljenju, smatram da zahtjev prethodnog nadzora suda ili neovisnog upravnog tijela nije sustavan zahtjev, nego ovisi o sveobuhvatnijoj analizi mjere o kojoj je riječ, u kojoj se uzimaju u obzir ozbiljnost zadiranja koje ona uključuje i jamstva koja se njome predviđaju.

69. Naime, naglašavam da je u svakoj od presuda u kojima se navodi taj zahtjev prethodnog nadzora suda ili neovisnog upravnog tijela bila riječ o nacionalnim propisima kojima se dopušta pristup svim podacima o prometu i lokaciji korisnikâ koji se odnose na sva sredstva elektroničke komunikacije korisnika(27) ili barem na fiksnu i mobilnu telefoniju(28) identificiranih korisnika.

70. Iz toga zaključujem da zahtjev takvog prethodnog nadzora ovisi o ozbiljnosti zadiranja o kojem je riječ u tim predmetima. Kao što je to Sud naglasio, riječ je o podacima „na temelju [kojih se] stvarno mogu donijeti precizni odnosno vrlo precizni zaključci o privatnom životu osoba […] kao što su svakodnevne navike, mjesta trajnih ili privremenih boravišta, dnevna ili druga kretanja, obavljane aktivnosti, društveni odnosi tih osoba i društvene sredine koje su te osobe posjećivale”(29). Usto, to je uključivalo podatke osoba koje su već identificirane i osumnjičene da su počinile kažnjivo djelo na temelju drugih indicija, a ti su podaci stoga omogućili da se ojačaju elementi koji se stavljaju na teret korisniku o kojem je riječ proširenjem opsega podataka koji se na njega odnose.

71. Međutim, kad je riječ o propisu iz glavnog postupka, te kao što sam to naglasio, ozbiljnost zadiranja koje pretpostavlja povezivanje podataka o građanskom identitetu i određene IP adrese znatno je manja od ozbiljnosti zadiranja koja proizlazi iz pristupa svim podacima o prometu i lokaciji određene osobe jer se tim povezivanjem ne pruža nikakva informacija koja omogućuje da se izvedu precizni zaključci o privatnom životu dotične osobe.

72. Usto, kao što sam to istaknuo u svojem prvom mišljenju(30), ti se podaci odnose samo na osobe koje su, nakon objektivnog utvrđenja o upotrebi IP adrese protivno autorskom pravu do kojeg su došle organizacije nositeljâ prava, počinile djela koja mogu predstavljati povredu obveze dužne pažnje predviđene člankom L. 336‑3 CPI‑ja. Te osobe nisu prethodno identificirane drugim sredstvima jer je povezivanje IP adrese s podacima o građanskom identitetu jedino sredstvo kojim se dotičnu osobu može identificirati. Stoga pristup tim podacima ne omogućuje, kao što je to bio slučaj u predmetima u kojima je Sud prethodno odlučivao, dobivanje dodatnih i preciznih informacija o aktivnosti osoba koje su već osumnjičene na temelju drugih elemenata, nego samo omogućuje upotrebu IP adrese, koja inače nije relevantna. U tim su okolnostima podaci kojima Hadopi ima pristup de facto ograničeni.

73. Smatram da postoji temeljna razlika između pristupanja osobnim podacima koji se odnose na osobu osumnjičenu za počinjenje kažnjivog djela kako bi se dokazala njezina krivnja i toga da se omogući otkrivanje identiteta počinitelja kažnjivog djela koje je već utvrđeno.

74. Prema mojem mišljenju, to vrijedi time više kad za prikupljanje IP adresa na mrežama ravnopravnih članova treba dati prethodno odobrenje koje se odnosi samo na te podatke, tako da Hadopi nikad ne posjeduje neograničen skup podataka o korisnicima interneta osumnjičenima da su počinili povredu autorskog prava na internetu(31).

75. Prema tome, logika na kojoj se temelji zahtjev prethodnog nadzora koji provodi sud ili neovisno upravno tijelo ne primjenjuje se u pogledu mehanizma postupnog odgovora kao što je onaj o kojem je riječ u glavnom postupku, tako da takav zahtjev nije nužan kako bi se osiguralo da je zadiranje u temeljna prava koje uključuje taj mehanizam ograničeno na ono što je strogo nužno.

76. Iz svega prethodno navedenog proizlazi da se nacionalnim propisom kojim se neovisnom upravnom tijelu kao što je Hadopi omogućuje da zadrži podatke o građanskom identitetu koji odgovaraju IP adresama i da pristupi tim podacima kako bi identificirao nositelje tih adresa za koje se sumnjiči da su odgovorni za povrede autorskih prava, a da taj pristup pritom nije uvjetovan prethodnim nadzorom suda ili neovisnog upravnog tijela, poštuju in fine načela utvrđena u sudskoj praksi Suda, kada su ti podaci jedino istražno sredstvo kojim se može identificirati osoba kojoj je IP adresa bila dodijeljena u trenutku počinjenja kažnjivog djela, tako da članak 15. stavak 1. Direktive 2002/58 treba tumačiti na način da mu se ne protivi takav propis.

77. Osim tih razmatranja koja su svojstvena predmetu o kojem je riječ u glavnom postupku, moram još iznijeti općenitije napomene o potrebi da se sudska praksa Suda razvije u tom smjeru.

C. Nužan i ograničen razvoj sudske prakse

78. Nekoliko argumenata ide u prilog razrade sudske prakse Suda koja se odnosi na zadržavanje podataka i pristup podacima kao što su IP adrese povezane s podacima o građanskom identitetu.

79. Kao prvo, i kao što sam to već naglasio(32), u situaciji o kojoj je riječ u glavnom postupku, dobivanje podataka o građanskom identitetu koji odgovaraju određenoj IP adresi jedino je istražno sredstvo kojim se može identificirati osoba kojoj je ta adresa bila dodijeljena u trenutku počinjenja kažnjivog djela o kojem je riječ.

80. Iz toga nužno proizlazi da, kad bi Sud smatrao da se članku 15. stavku 1. Direktive 2002/58 ipak protivi zadržavanje tih podataka i pristup njima, nacionalnim tijelima oduzelo bi se de facto to jedino istražno sredstvo za identifikaciju i stoga se počinitelji predmetnog kažnjivog djela nikad ne bi mogli kazneno goniti(33). Zbog toga sam u svojem prvom mišljenju naveo da postoji mogućnost sustavnog nekažnjavanja tog kažnjivog djela(34).

81. Opasnost od sustavnog nekažnjavanja nije ograničena na povrede autorskog prava počinjene na mreži ravnopravnih članova, nego obuhvaća, kao što je to tvrdila češka vlada na raspravi, sva kažnjiva djela počinjena isključivo na internetu.

82. Naime, kažnjiva djela čiji se počinitelj može identificirati samo posredstvom njegove IP adrese nikad se ne bi mogla kazneno goniti i tekstovi kojima ih se sankcionira možda nikad se ne bi mogli primijeniti ako se presudi da su zadržavanje podataka i pristup njima protivni pravu Unije.

83. U tom pogledu ističem da je točno, kao što su to istaknuli tužitelji iz glavnog postupka, da u teoriji druga sredstva mogu omogućiti identifikaciju počinitelja određenih kažnjivih djela počinjenih isključivo na internetu. Tako se među ostalim pozivaju na korisničko ime koje se upotrebljava na društvenim mrežama i na podatke povezane s korisnikovim računom, njegovom adresom elektroničke pošte, brojem telefona ili dijelom njegova privatnog života, koje je ta osoba otkrila. Međutim, kako bi se takve podatke povezalo s identitetom osobe potrebno je provesti temeljite istrage tijekom kojih se ispituje internetska aktivnost korisnika interneta. Čini mi se da primjena takvih istražnih sredstava stoga može, za razliku od same IP adrese, omogućiti da se izvedu vrlo precizni zaključci o privatnom životu osoba, tako da su zadržavanje tih podataka i pristup njima u tom smislu protivni članku 15. stavku 1. Direktive 2002/58.

84. U tim okolnostima pristup podacima o građanskom identitetu koji odgovaraju IP adresi korisnika interneta sigurno nije teoretski jedino istražno sredstvo kojim se može identificirati osoba koja je bila nositelj te adrese u trenutku počinjenja kažnjivog djela, nego je sredstvo koje omogućuje njezin progon i istodobno podrazumijeva najmanje zadiranje u temeljna prava te osobe, a stoga omogućuje i da se izbjegne opće nekažnjavanje tog djela.

85. Kao drugo, ponovno naglašavam da bi prema mojem mišljenju takvo rješenje omogućilo da se usklade ta dva smjera u sudskoj praksi Suda, iz kojih proizlazi određena nepodudarnost koju sam utvrdio u svojem prvom mišljenju(35) i u mišljenju u predmetu M. I. C. M.(36), odnosno, s jedne strane, sudska praksa koja se odnosi na zadržavanje podataka i pristup njima i, s druge strane, sudska praksa koja se odnosi na priopćavanje IP adresa dodijeljenih izvoru veze u okviru postupaka za zaštitu prava intelektualnog vlasništva koje su pokrenule privatne osobe.

86. Kao treće, iako sudsku praksu Suda proizašlu iz presuda Tele2 i La Quadrature du Net i dr. treba pozdraviti jer se njome omogućilo uspostavljanje okvira za zaštitu temeljnih prava korisnika elektroničkih komunikacijskih usluga, nju ipak obilježava određena kazuistika. Naime, kroz predmete koje je ispitivao, Sud je postupno razvijao svoju sudsku praksu što mu je omogućilo da ispita različite nacionalne propise s obzirom na članak 15. stavak 1. Direktive 2002/58. Međutim, nemoguće je da Sud predvidi praktički sve mjere koje se mogu analizirati s obzirom na tu odredbu. To uostalom potvrđuju brojni zahtjevi za prethodnu odluku(37) koji su se odnosili na potonju odredbu i upućeni su nakon presude Tele2, što prema mojem mišljenju potvrđuje poteškoću koju mogu imati nacionalni sudovi prilikom primjene načela utvrđenih u sudskoj praksi Suda na situacije različite od onih povodom kojih su donesene presude o kojima je riječ(38).

87. Iz toga stoga proizlazi da je potrebna određena fleksibilnost kad Sud ispituje mjere koje se nisu mogle predvidjeti prilikom donošenja prethodnih presuda, kao što su propisi koji se odnose na kažnjiva djela koja se mogugoniti samo ako su podaci o građanskom identitetu koji odgovaraju IP adresama zadržani i ako im se može pristupiti, o čemu Sud dosad nikada nije odlučivao.

88. Prema tome, nije riječ o tome da treba izmijeniti sudsku praksu Suda, kao što je to tvrdila danska vlada, nego o tome da se prizna da se, na temelju načela na kojima ona počiva, u vrlo ograničenim okolnostima može utvrditi prikladnije rješenje.

89. Naime, tumačenje članka 15. stavka 1. Direktive 2002/58 koje predlažem omogućuje zadržavanje podataka o građanskom identitetu koji odgovaraju IP adresama i pristup tim podacima samo kad je riječ o progonu kažnjivih djela čiji se počinitelji ne mogu identificirati bez tih podataka. To se tumačenje stoga odnosi samo na kažnjiva djela počinjena isključivo na internetu i njime se ne dovode u pitanje rješenja utvrđena u sudskoj praksi koja se odnose na zadržavanje opsežnijih podataka i pristup tim podacima, kojima se nastoje postići drugi ciljevi.

V. Zaključak

90. S obzirom na sva prethodna razmatranja, predlažem Sudu da na prethodna pitanja koja je uputio Conseil d’État (Državno vijeće, Francuska) odgovori na sljedeći način:

Članak 15. stavak 1. Direktive 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama), kako je izmijenjena Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. u vezi s člancima 7., 8. i 11. te člankom 52. stavkom 1. Povelje Europske unije o temeljnim pravima

treba tumačiti na način da mu se:

ne protivi nacionalni propis kojim se pružateljima elektroničkih komunikacijskih usluga omogućuje zadržavanje, a upravnom tijelu zaduženom za zaštitu autorskog i srodnih prava od povreda tih prava počinjenih na internetu pristup, koji su ograničeni na podatke o građanskom identitetu koji odgovaraju IP adresama, kako bi to tijelo moglo identificirati nositelje tih adresa za koje se sumnjiči da su odgovorni za te povrede te da bi, po potrebi, moglo poduzeti mjere protiv njih, a da taj pristup pritom nije uvjetovan prethodnim nadzorom suda ili neovisnog upravnog tijela, kada su ti podaci jedino istražno sredstvo kojim se mogu identificirati osobe kojima su te adrese bile dodijeljene u trenutku počinjenja kažnjivog djela.

1 Izvorni jezik: francuski

2 Direktiva Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL 2002., L 201, str. 37.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 52., str. 111.), kako je izmijenjena Direktivom 2009/136/EZ Europskog parlamenta i Vijeća od 25. studenoga 2009. (SL 2009., L 337, str. 11.) (u daljnjem tekstu: Direktiva 2002/58).

3 Direktiva Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL 1995., L 281, str. 31.) (SL, posebno izdanje na hrvatskom jeziku, poglavlje 13., svezak 7., str. 88.).

4 JORF od 7. ožujka 2010., tekst br. 19.

5 JORF od 31. srpnja 2021., tekst br. 1 Ta verzija članka L. 34‑1 tog zakonika, koja je na snazi od 31. srpnja 2021., donesena je nakon odluke Conseila d’État (Državno vijeće, Francuska) od 21. travnja 2021., br. 393099 (JORF od 25. travnja 2021.), kojom je odbačena prethodna verzija te odredbe koja je uključivala obvezu zadržavanja osobnih podataka „u svrhu istraživanja, utvrđivanja i progona kaznenih djela ili povrede obveze utvrđene u članku L. 336‑3 [CPI‑ja]” samo kako bi se omogućilo, po potrebi, stavljanje na raspolaganje, među ostalim, Hadopiju. Odlukom br. 2021‑976-977 QPC od 25. veljače 2022. (Habib A. i dr.), Conseil constitutionnel (Ustavno vijeće, Francuska) proglasio je tu prethodnu verziju članka L. 34‑1 navedenog zakonika suprotnom francuskom ustavu prije svega jer se, „time što dopuštaju opće i neselektivno zadržavanje podataka o vezi, osporavanim odredbama nerazmjerno povređuje pravo na poštovanje privatnosti” (t. 13.). Naime, taj je sud smatrao da se podaci o vezi koje treba zadržavati na temelju tih odredbi ne odnose samo na identifikaciju korisnika elektroničkih komunikacijskih usluga, nego i na druge podatke koji, „s obzirom na svoju raznolikost i obrade koje se nad njima mogu izvršavati, […] pružaju brojne i precizne informacije o tim korisnicima te, ovisno o slučaju, trećim osobama koje osobito mogu ugroziti njihovu privatnost” (t. 11.).

6 Conseil supérieur de l’audiovisuel (Vrhovno vijeće za audiovizualne medije, Francuska, u daljnjem tekstu: CSA) i Hadopi postali su 1. siječnja 2022. Autorité de régulation de la communication audiovisuelle et numérique (Jedinstveno tijelo nadležno za audiovizualnu i digitalnu komunikaciju, Francuska, u daljnjem tekstu: Arcom). Uzimajući u obzir razdoblje tijekom kojeg su se odvijale činjenice iz glavnog postupka, ipak ću u ovom mišljenju upućivati na Hadopi.

7 U tom ću pogledu zadržati i svoj prijedlog o preoblikovanju prethodnih pitanja, kao i svoje shvaćanje toga na što se ona odnose. Naime, iako se u tekstu prethodnih pitanja samo navodi pristup podacima o građanskom identitetu koji odgovaraju IP adresama, pitanje pristupa tim podacima ipak je neodvojivo od pitanja mogu li ih pružatelji elektroničkih komunikacijskih usluga zadržati, tako da je analiza usklađenosti zadržavanja s pravom Unije nužan preduvjet za analizu usklađenosti pristupa. Vidjeti u tom pogledu točku 45. i sljedeće točke mojeg prvog mišljenja. Isto tako, iako se prethodna pitanja odnose na „podatke o građanskom identitetu koji odgovaraju određenoj IP adresi”, valja ih shvatiti na način da se odnose i na pristup IP adresama koje omogućuju da se identificira izvor veze. Vidjeti u tom pogledu točku 41. i sljedeće točke mojeg prvog mišljenja.

8 Presuda od 21. prosinca 2016. (C‑203/15 i C‑698/15, u daljnjem tekstu: presuda Tele2, EU:C:2016:970).

9 Presuda od 6. listopada 2020. (C‑511/18, C‑512/18 i C‑520/18, u daljnjem tekstu: presuda La Quadrature du Net i dr., EU:C:2020:791).

10 Vidjeti u tom pogledu Odluku CNIL‑a br. 2010‑225 od 10. lipnja 2010. o izmjeni odobrenja za to da Société des auteurs, compositeurs et éditeurs de musique [Društvo glazbenih autora, skladatelja i nakladnika, u daljnjem tekstu: SACEM] provodi obradu osobnih podataka čija je svrha istraživanje i utvrđivanje lakših kaznenih djela koja predstavlja povreda počinjena na mreži za razmjenu datoteka koje se nazivaju peer to peer (odobrenje br. 1425421).

11 U pogledu funkcioniranja mreža ravnopravnih članova i različitih profila korisnika interneta na tim mrežama, vidjeti moje mišljenje u predmetu M. I. C. M. (C‑597/19, EU:C:2020:1063, t. 37. i sljedeće).

12 Točka 53. i sljedeće točke mojeg prvog mišljenja.

13 Prava na zaštitu privatnog života i zaštitu osobnih podataka u kontekstu Direktive 2002/58 odražavaju se u načelima povjerljivosti komunikacije i zabrane pohrane s time povezanih podataka koja se utvrđuje tom direktivom.

14 Presude La Quadrature du Net i dr. (t. 120. do 122. te 127. i 128.); od 5. travnja 2022., Commissioner of An Garda Síochána i dr. (C‑140/20, u daljnjem tekstu: presuda Commissioner of An Garda Síochána i dr., EU:C:2022:258, t. 48. i 50.), te od 20. rujna 2022., SpaceNet i Telekom Deutschland (C‑793/19 i C‑794/19, u daljnjem tekstu: presuda SpaceNet i Telekom Deutschland, EU:C:2022:702, t. 63. i 65.).

15 Presude La Quadrature du Net i dr. (t. 129.), Commissioner of An Garda Síochána i dr. (t. 51.) i SpaceNet i Telekom Deutschland (t. 66.).

16 Presude Commissioner of An Garda Síochána i dr. (t. 56.) i SpaceNet i Telekom Deutschland (t. 71.).

17 Presude Tele2 (t. 115.); od 2. listopada 2018., Ministerio Fiscal (C‑207/16, EU:C:2018:788, t. 56.) i od 2. ožujka 2021., Prokuratuur (Uvjeti pristupa podacima o elektroničkim komunikacijama) (C‑746/18, u daljnjem tekstu: presuda Prokuratuur, EU:C:2021:152, t. 33.). Vidjeti i točku 92. mojeg prvog mišljenja.

18 Vidjeti presude La Quadrature du Net i dr. (t. 152. i 153.); Commissioner of An Garda Síochána i dr. (t. 73.) i SpaceNet i Telekom Deutschland (t. 103.). Vidjeti i točke 63., 64. i 93. mojeg prvog mišljenja.

19 U svojem sam prvom mišljenju tvrdio da pojam „teška kaznena djela” treba tumačiti autonomno kako bi se spriječilo da države članice na bilo koji način zaobiđu zahtjeve utvrđene u članku 15. stavku 1. Direktive 2002/58. Zadržavam to stajalište. Moram ipak naglasiti da, čak i ako Sud presudi da je definicija pojma „teška kaznena djela” prepuštena državama članicama, tu definiciju u svakom slučaju treba odrediti u granicama utvrđenima u pravu Unije te je se ne može proširiti do te mjere da se toj odredbi oduzme njezina bit.

20 Točka 101. mojeg prvog mišljenja.

21 Presude La Quadrature du Net i dr. (t. 120. do 122. i 132.), Commissioner of An Garda Síochána i dr. (t. 48. i 54.) i SpaceNet i Telekom Deutschland (t. 63. i 69.).

22 Točka 78. mojeg prvog mišljenja.

23 Presude La Quadrature du Net i dr. (t. 154.), Commissioner of An Garda Síochána i dr. (t. 73.) i SpaceNet i Telekom Deutschland (t. 100.).

24 Presuda Commissioner of An Garda Síochána i dr. (t. 69.).

25 Točka 81. mojeg prvog mišljenja. Vidjeti u tom pogledu također t. 79. i sljedeće točke ovog mišljenja.

26 Presude Tele2 (t. 120.); Prokuratuur (t. 51. i 52.) i Commissioner of An Garda Síochána i dr. (t. 106. i 107.).

27 Presude Tele2 i Commissioner of An Garda Síochána i dr.

28 Presuda Prokuratuur

29 Presuda Prokuratuur (t. 36.)

30 Točka 102. mojeg prvog mišljenja.

31 Točka 33. ovog mišljenja.

32 Točka 59. ovog mišljenja.

33 Točka 62. ovog mišljenja.

34 Točka 78. i sljedeće točke mojeg prvog mišljenja.

35 Točka 69. i sljedeće točke mojeg prvog mišljenja.

36 C‑597/19, EU:C:2020:1063

37 Presude od 2. listopada 2018., Ministerio Fiscal (C‑207/16, EU:C:2018:788); La Quadrature du Net i dr.; Prokuratuur; Commissioner of An Garda Síochána i dr. i SpaceNet i Telekom Deutschland.

38 U tom pogledu velik broj zahtjeva za prethodnu odluku koji se odnosi na tumačenje članka 15. stavka 1. Direktive 2002/58 može upućivati i na to da nacionalni sudovi, zbog posebnosti nacionalnih pravnih poredaka, u određenoj mjeri oklijevaju u tome da načela koja je utvrdio Sud primijene na imalo drukčije situacije. Vidjeti u tom pogledu osobito Cameron, I., „Metadata retention and national security: Privacy international i La Quadrature du Net”, Common Market Law Review, 2021., sv. 58 br. 5, str. 1433. do 1471., ili pak Bertrand, B., „L’audace sans le tact: jusqu’où la Cour de justice peut‑elle aller trop loin?”, Dalloz IP/IT, 2021., br. 9, str. 468. do 472. Stoga mi se čini da je tim važnije, kako bi se održao uspješan dijalog između Suda i sudova država članica, da se Sud može prilagoditi kad okolnosti to zahtijevaju. Kao što su to istaknuli autori pravne teorije, visoka razina zaštite koja je uvedena sudskom praksom Suda ne može zaista biti učinkovita bez sudjelovanja nacionalnih sudova koji su prije svega zaduženi za njezino provođenje. Vidjeti u tom pogledu osobito Teyssedre, J., „Strictly regulated retention and access regimes for metadata: Commissioner of An Garda Siochana”, Common Market Law Review, sv. 60. br. 2., 2023., str. 569. do 588., i Sirinelli, J., „La protection des données de connexion par la Cour de justice: cartographie d’une jurisprudence européenne inédite”, Revue trimestrielle de droit européen, sv. 57. br. 2.., 2021., str. 313. do 329.