Wydanie tymczasowe
WYROK TRYBUNAŁU (w pełnym składzie)
z dnia 30 kwietnia 2024 r.(*)
Spis treści
Ramy prawne
Prawo Unii
Przepisy ogólne dotyczące ochrony danych osobowych
– Dyrektywa 95/46/WE
– RODO
Przepisy sektorowe dotyczące ochrony danych osobowych
– Dyrektywa 2002/58
– Dyrektywa (UE) 2016/680
Przepisy dotyczące ochrony praw własności intelektualnej
Prawo francuskie
Kodeks własności intelektualnej
Dekret nr 2010 236
Kodeks poczty i łączności elektronicznej
Postępowanie główne i pytania prejudycjalne
W przedmiocie pytań prejudycjalnych
Uwagi wstępne
W przedmiocie istnienia na podstawie art. 15 ust. 1 dyrektywy 2002/58 uzasadnienia dostępu organu publicznego do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresowi IP na potrzeby zwalczania naruszeń praw własności intelektualnej, do których dochodzi w Internecie
W przedmiocie wymogów związanych z przechowywaniem przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej i odpowiadających im adresów IP
W przedmiocie wymogów związanych z dostępem do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
W przedmiocie wymogu dokonania kontroli przez sąd lub niezależny organ administracyjny przed uzyskaniem przez organ publiczny dostępu do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
W przedmiocie wymogów dotyczących warunków materialnych i proceduralnych oraz gwarancji chroniących przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem, wiążących się z dostępem organu publicznego do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
W przedmiocie kosztów
Odesłanie prejudycjalne – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58/WE – Poufność komunikacji elektronicznej – Ochrona – Artykuł 5 i art. 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 – Przepisy krajowe mające na celu zwalczanie, poprzez działania podejmowane przez organ publiczny, naruszeń praw własności intelektualnej, do których dochodzi w Internecie – Tak zwana procedura stopniowej odpowiedzi – Mające miejsce w pierwszej kolejności zbieranie, przez zrzeszające uprawnionych organizacje, adresów IP wykorzystywanych do aktywności naruszającej prawa autorskie lub prawa pokrewne – Mający miejsce w drugiej kolejności dostęp odpowiedzialnego za ochronę praw autorskich i praw pokrewnych organu publicznego do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających tym adresom IP – Przetwarzanie zautomatyzowane – Wymóg dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny – Warunki materialne i proceduralne – Gwarancje chroniące przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem
W sprawie C‑470/21
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Conseil d’État (radę stanu, Francja) postanowieniem z dnia 5 lipca 2021 r., które wpłynęło do Trybunału w dniu 30 lipca 2021 r., w postępowaniu:
La Quadrature du Net,
Fédération des fournisseurs d’accès à Internet associatifs,
Franciliens.net,
French Data Network
przeciwko
Premier ministre,
Ministre de la Culture,
TRYBUNAŁ (w pełnym składzie),
w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, A. Arabadjiev, A. Prechal (sprawozdawczyni), K. Jürimäe, C. Lycourgos, E. Regan, T. von Danwitz, F. Biltgen, N. Piçarra i Z. Csehi, prezesi izb, M. Ilešič, J.‑C. Bonichot, S. Rodin, P.G. Xuereb, L.S. Rossi, I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, I. Ziemele, J. Passer, D. Gratsias, M.L. Arastey Sahún i M. Gavalec, sędziowie,
rzecznik generalny: M. Szpunar,
sekretarze: V. Giacobbo i M. Krausenböck, administratorki,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 5 lipca 2022 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net i French Data Network – A. Fitzjean Ó Cobhthaigh, avocat,
– w imieniu rządu francuskiego – A. Daniel, A.‑L. Desjonquères i J. Illouz, w charakterze pełnomocników,
– w imieniu rządu duńskiego – J.F. Kronborg i V. Pasternak Jørgensen, w charakterze pełnomocników,
– w imieniu rządu estońskiego – M. Kriisa, w charakterze pełnomocnika,
– w imieniu rządu fińskiego – H. Leppo, w charakterze pełnomocnika,
– w imieniu rządu szwedzkiego – H. Shev, w charakterze pełnomocnika,
– w imieniu rządu norweskiego – F. Bergsjø, S.‑E. Dahl, J.T. Kaasin i P. Wennerås, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – S.L. Kalėda, H. Kranenborg, P.‑J. Loewenthal i F. Wilman, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 27 października 2022 r.,
uwzględniając postanowienie z dnia 23 marca 2023 r. o otwarciu ustnego etapu postępowania na nowo i po przeprowadzeniu rozprawy w dniu 15 maja 2023 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net i French Data Network – A. Fitzjean Ó Cobhthaigh, avocat,
– w imieniu rządu francuskiego – R. Bénard, J. Illouz i T. Stéhelin, w charakterze pełnomocników,
– w imieniu rządu czeskiego – T. Suchá i J. Vláčil, w charakterze pełnomocników,
– w imieniu rządu duńskiego – J.F. Kronborg i C.A.‑S. Maertens, w charakterze pełnomocników,
– w imieniu rządu estońskiego – M. Kriisa, w charakterze pełnomocnika,
– w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i D. O’Reilly, w charakterze pełnomocników, których wspierał D. Fenelly, BL,
– w imieniu rządu hiszpańskiego – A. Gavela Llopis, w charakterze pełnomocnika,
– w imieniu rządu cypryjskiego – I. Neophytou, w charakterze pełnomocnika,
– w imieniu rządu łotewskiego – J. Davidoviča i K. Pommere, w charakterze pełnomocników,
– w imieniu rządu niderlandzkiego – E.M.M. Besselink, M. K. Bultermann i A. Hanje, w charakterze pełnomocników,
– w imieniu rządu fińskiego – A. Laine i H. Leppo, w charakterze pełnomocników,
– w imieniu rządu szwedzkiego – F.‑D. Göransson i H. Shev, w charakterze pełnomocników,
– w imieniu rządu norweskiego – S.‑E. Dahl i P. Wennerås, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – S.L. Kalėda, H. Kranenborg, P.‑J. Loewenthal i F. Wilman, w charakterze pełnomocników,
– w imieniu Europejskiego Inspektora Ochrony Danych – V. Bernardo, C.‑A. Marnier, D. Nardi i M. Pollmann, w charakterze pełnomocników,
– w imieniu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa – A. Bourka, w charakterze pełnomocnika,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 28 września 2023 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11) (zwanej dalej „dyrektywą 2002/58”), w świetle Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”).
2 Wniosek ten został złożony w ramach sporu pomiędzy La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net i French Data Network, stowarzyszeniami, a Premier ministre (premierem, Francja) i ministre de la Culture (ministrem kultury, Francja) w przedmiocie zgodności z prawem décret no 2010‑236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet » (dekretu nr 2010‑236 z dnia 5 marca 2010 r. w sprawie zautomatyzowanego przetwarzania danych osobowych dopuszczonego w art. L. 331‑29 kodeksu własności intelektualnej, zwanego „systemem zarządzania środkami ochrony utworów w Internecie”) (JORF nr 56 z dnia 7 marca 2010 r., akt nr 19), zmienionego décret no 2017‑924 du 6 mai 2017 relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (dekretem nr 2017‑924 z dnia 6 maja 2017 r. w sprawie zarządzania prawami autorskimi i prawami pokrewnymi przez organizację zarządzania prawami, zmieniającym kodeks własności intelektualnej) (JORF nr 109 z dnia 10 maja 2017 r., akt nr 176) (zwanego dalej „dekretem nr 2010‑236”).
Ramy prawne
Prawo Unii
Przepisy ogólne dotyczące ochrony danych osobowych
– Dyrektywa 95/46/WE
3 Artykuł 7 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31), znajdujący się w sekcji II, zatytułowanej „Kryteria legalności przetwarzania danych”, rozdziału II tej dyrektywy, miał następujące brzmienie:
„Państwa członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:
[…]
f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osobom [lub osób trzecich], którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1”.
4 Artykuł 13 ust. 1 wspomnianej dyrektywy stanowił:
„Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzian[ych] w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
[…]
g) ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób”.
– RODO
5 Artykuł 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenia o ochronie danych) (Dz.U. 2016, L 119, s. 1; zwanego dalej „RODO”), zatytułowany „Materialny zakres stosowania”, stanowi w ust. 1 i 2:
„1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:
[…]
d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.
6 Artykuł 4 RODO, zatytułowany „Definicje”, stanowi:
„Na użytek niniejszego rozporządzenia:
1) »dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«) […];
2) »przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]”.
7 Artykuł 6 tego rozporządzenia, zatytułowany „Zgodność przetwarzania z prawem”, przewiduje w ust. 1:
„Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
[…]
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych […].
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.
8 Artykuł 9 wspomnianego rozporządzenia, zatytułowany „Przetwarzanie szczególnych kategorii danych osobowych”, przewiduje w ust. 2 lit. e) i f), że zakaz przetwarzania niektórych rodzajów danych osobowych, który obejmuje w szczególności dane dotyczące seksualności lub orientacji seksualnej osoby fizycznej, nie ma zastosowania, gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą, lub jest niezbędne w szczególności do ustalenia, dochodzenia lub obrony roszczeń.
9 Artykuł 23 RODO, zatytułowany „Ograniczenia”, stanowi w ust. 1:
„Prawo Unii lub prawo państwa członkowskiego, któremu podlegają administrator danych lub podmiot przetwarzający, może aktem prawnym ograniczyć zakres obowiązków i praw przewidzianych w art. 12–22 i w art. 34, a także w art. 5 – o ile jego przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 12–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:
[…]
i) ochronie osoby, której dane dotyczą, lub praw i wolności innych osób;
j) egzekucji roszczeń cywilnoprawnych”.
Przepisy sektorowe dotyczące ochrony danych osobowych
– Dyrektywa 2002/58
10 Motywy 2, 6, 7, 11, 26 i 30 dyrektywy 2002/58 mają następujące brzmienie:
„(2) Niniejsza dyrektywa dąży do poszanowania fundamentalnych praw i jest zgodna z zasadami uznanymi w szczególności przez [Kartę]. W szczególności niniejsza dyrektywa zmierza do zapewnienia pełnego poszanowania praw określonych w art. 7 i 8 [Karty].
[…]
(6) Internet przekształca tradycyjne struktury rynkowe przez udostępnienie ogólnej, globalnej infrastruktury dostarczającej szerokiego spektrum usług łączności elektronicznej. Usługi łączności elektronicznej ogólnodostępne za pośrednictwem Internetu stwarzają nowe możliwości użytkownikom, ale również powodują powstanie nowych zagrożeń dotyczących ich danych osobowych i prywatności.
(7) W przypadku publicznych sieci łączności należy wprowadzić szczególne przepisy prawne, wykonawcze i techniczne w celu ochrony podstawowych praw i wolności osób fizycznych oraz uzasadnionego interesu osób prawnych, w szczególności w odniesieniu do zwiększonej pojemności automatycznego przechowywania i przetwarzania danych odnoszących się do abonentów i użytkowników.
[…]
(11) Niniejsza dyrektywa, podobnie jak dyrektywa [95/46], nie odnosi się do kwestii ochrony podstawowych praw i wolności związanych z działalnością, która nie jest regulowana prawem wspólnotowym. Dyrektywa nie zmienia zatem istniejącej równowagi między prawem do prywatności osoby fizycznej a możliwością państw członkowskich do [a przysługującą państwom członkowskim możliwością] podejmowania środków określonych w art. 15 ust. 1 niniejszej dyrektywy, niezbędnych do ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając gospodarczy dobrobyt państwa, gdy działania dotyczą zagadnień bezpieczeństwa państwa) i wykonywania prawa karnego. Wskutek tego niniejsza dyrektywa nie wpływa na możliwości państw członkowskich do [przysługującą państwom członkowskim możliwość] zgodnego z prawem przejmowania danych w łączności elektronicznej lub podejmowania innych środków, jeżeli jest to konieczne dla któregokolwiek z tych celów i zgodne z europejską Konwencją o ochronie praw człowieka i podstawowych wolności [podpisaną w Rzymie dnia 4 listopada 1950 r.], dla której wykładnię stanowi orzecznictwo Europejskiego Trybunału Praw Człowieka. Środki tego rodzaju muszą być właściwe, współmierne do zamierzonego celu i niezbędne w ramach społeczeństwa demokratycznego oraz powinny podlegać stosownym zabezpieczeniom zgodnie z europejską Konwencją o ochronie praw człowieka i podstawowych wolności.
[…]
(26) Dane dotyczące abonentów przetwarzane w ramach sieci łączności elektronicznej w celu ustanowienia połączenia i przenoszenia informacji zawierają informacje dotyczące prywatnego życia osób fizycznych i dotyczą prawa do poszanowania tajemnicy korespondencji lub dotyczą uzasadnionych interesów osób prawnych. Takie dane mogą być przechowywane tylko przez określony czas i wyłącznie w zakresie umożliwiającym świadczenie usług związanych z naliczaniem opłat i rozliczeń międzyoperatorskich. Wszelkie dalsze przetwarzanie tego rodzaju danych […] może być dozwolone tylko w przypadkach, gdy abonent wyraził na to zgodę na podstawie udzielonej mu przez dostawcę usług dokładnej i pełnej informacji o rodzajach zamierzonego dalszego przetwarzania oraz prawie abonenta do nieudzielenia zgody na przetwarzanie lub jej odwołania […].
[…]
(30) Systemy dostarczania sieci i usług łączności elektronicznej powinny być zaprojektowane w taki sposób, aby ograniczać ilość niezbędnych danych osobowych do ścisłego minimum […]”.
11 Zgodnie z art. 2 dyrektywy 2002/58, zatytułowanym „Definicje”:
„[…]
Stosuje się również następujące definicje:
a) »użytkownik« oznacza każdą osobę fizyczną korzystającą z publicznie dostępnych usług łączności elektronicznej, do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu za te usługi;
b) »dane o ruchu« oznaczają wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi;
c) »dane dotyczące lokalizacji« oznaczają wszelkie dane przetwarzane w sieci łączności elektronicznej lub w ramach usług łączności elektronicznej, wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług łączności elektronicznej;
[…]”.
12 Artykuł 3 tej dyrektywy, zatytułowany „Usługi”, przewiduje:
„Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności we Wspólnocie, włącznie z publicznymi sieciami łączności służącymi do zbierania danych i obsługi urządzeń identyfikacyjnych”.
13 Zgodnie z art. 5 wspomnianej dyrektywy, zatytułowanym „Poufność komunikacji”:
„1. Państwa członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności.
[…]
3. Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem, że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą [95/46] po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania […]”.
14 Artykuł 6 owej dyrektywy, zatytułowany „Dane o ruchu”, stanowi:
„1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.
2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.
3. Do celów wprowadzania na rynek usług łączności elektronicznej lub świadczenia usług tworzących wartość wzbogaconą [wartość dodaną] dostawca publicznie dostępnych usług łączności elektronicznej może przetwarzać dane określone w ust. 1, w zakresie i przez czas niezbędny dla tego rodzaju usług lub wprowadzania ich na rynek, jeżeli abonent lub użytkownik, których dane dotyczą, uprzednio wyraził na to zgodę. Użytkownicy lub abonenci mają w każdej chwili możliwość odwołania swojej zgody na przetwarzanie danych o ruchu.
[…]
5. Przetwarzanie danych o ruchu zgodnie z ust. 1–3 i 4 musi być ograniczone do osób działających z upoważnienia dostawców publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej zajmujących się naliczaniem opłat lub ruchem, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług łączności elektronicznej lub świadczeniem usług tworzących wartość dodaną, oraz musi być ograniczone do celów niezbędnych przy takich działaniach”.
15 Artykuł 15 dyrektywy 2002/58, zatytułowany „Stosowanie niektórych przepisów dyrektywy [95/46]”, ma następujące brzmienie:
„1. Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy [95/46]. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 [TUE].
[…]
2. Przepisy rozdziału III, dotyczącego środków zaskarżenia, odpowiedzialności i sankcji, dyrektywy [95/46] stosuje się w odniesieniu do przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą i w odniesieniu do indywidualnych uprawnień wynikających z niniejszej dyrektywy.
[…]”.
– Dyrektywa (UE) 2016/680
16 Artykuł 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89), zatytułowany „Przedmiot i cele”, przewiduje w ust. 1:
„Niniejsza dyrektywa ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.
17 Artykuł 3 wspomnianej dyrektywy, zatytułowany „Definicje”, stanowi:
„Na użytek niniejszej dyrektywy:
[…]
7. »właściwy organ« oznacza:
a) organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom; lub
b) inny organ lub podmiot, któremu prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;
[…]”.
Przepisy dotyczące ochrony praw własności intelektualnej
18 Artykuł 8 dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej (Dz.U. 2004, L 157, s. 45), zatytułowany „Prawo do informacji”, stanowi:
„1. Państwa członkowskie zapewniają, że w kontekście postępowania sądowego dotyczącego naruszenia prawa własności intelektualnej oraz w odpowiedzi na uzasadnione i proporcjonalne żądanie powoda właściwe organy sądowe mogą nakazać przedstawienie informacji o pochodzeniu i sieciach dystrybucji towarów lub usług naruszających prawo własności intelektualnej przez naruszającego […].
2. Informacja, o której mowa w ust. 1, zawiera, jeśli stosowne:
a) nazwy i adresy producentów, wytwórców, dystrybutorów, dostawców oraz innych poprzednich posiadaczy towarów lub usług, jak również przewidywanych hurtowników i detalistów;
[…]
3. Ustępy 1 i 2 stosuje się bez uszczerbku dla innych przepisów ustawowych, które:
a) przyznają podmiotowi uprawnionemu prawa do otrzymywania pełniejszej informacji;
b) regulują stosowanie informacji przekazanej na mocy niniejszego artykułu w postępowaniach cywilnych lub karnych;
c) określają odpowiedzialność za niewłaściwe wykorzystanie prawa do informacji; lub
d) umożliwiają odmowę przekazania informacji, które zmusiłyby osobę określoną w ust. 1 do przyznania się do udziału lub udziału bliskich krewnych w naruszeniu prawa własności intelektualnej; lub
e) zarządzają [normują] ochron[ę] poufności źródeł informacji lub przetwarzania danych osobowych”.
Prawo francuskie
Kodeks własności intelektualnej
19 Artykuł L. 331‑12 code de la propriété intellectuelle (kodeksu własności intelektualnej), w brzmieniu obowiązującym w dacie decyzji zaskarżonej przez skarżące w postępowaniu głównym (zwanego dalej „CPI”), stanowi:
„[…] Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [wysoki urząd ds. rozpowszechniania utworów i ochrony praw w Internecie (Hadopi)] jest niezależnym organem publicznym […]”.
20 Artykuł L. 331‑13 tego kodeksu przewiduje:
„[Hadopi] realizuje:
1° zadania w zakresie wspierania rozwoju zgodnej z prawem oferty i w zakresie nadzorowania zgodnego i niezgodnego z prawem korzystania z utworów i przedmiotów, z którymi związane jest prawo autorskie lub prawo pokrewne, w sieciach łączności elektronicznej wykorzystywanych do świadczenia usług internetowej komunikacji publicznej;
2° zadania w zakresie ochrony tych utworów i przedmiotów przed naruszeniami tych praw w sieciach łączności elektronicznej wykorzystywanych do świadczenia usług internetowej komunikacji publicznej;
[…]”.
21 Zgodnie z art. L. 331‑15 wspomnianego kodeksu:
„W skład [Hadopi] wchodzą kolegium i komisja ochrony praw […].
[…]
Przy wykonywaniu swoich uprawnień członkowie kolegium i komisji ochrony praw nie otrzymują instrukcji od żadnego organu”.
22 Artykuł L. 331‑17 akapit pierwszy owego kodeksu stanowi:
„Zadaniem komisji ochrony praw jest stosowanie środków przewidzianych w art. L. 331‑25”.
23 Zgodnie z art. L. 331‑21 CPI:
„Do celów wykonywania uprawnień przez komisję ochrony praw [Hadopi] ma do dyspozycji zaprzysiężonych urzędników publicznych upoważnionych przez [jego] przewodniczącego na warunkach określonych dekretem wydanym po zasięgnięciu opinii Conseil d’État (rady stanu) […].
Członkowie komisji ochrony praw oraz urzędnicy wymienieni w akapicie pierwszym otrzymują zawiadomienia kierowane do tej komisji na zasadach przewidzianych w art. L. 331‑24. Następnie dokonują oni analizy zdarzeń.
Na potrzeby postępowania mogą oni uzyskać wszelkie dokumenty, niezależnie od nośnika, w tym dane przechowywane i przetwarzane przez operatorów łączności elektronicznej na podstawie art. L. 34‑1 code des postes et des communications électroniques (kodeksu poczty i łączności elektronicznej) i usługodawców wymienionych w art. 6 ust. I pkt 1 i 2 loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (ustawy nr 2004‑575 z dnia 21 czerwca 2004 r. o zaufaniu do gospodarki cyfrowej).
Mogą oni również otrzymać kopię dokumentów, o których mowa w poprzednim akapicie.
Mogą oni w szczególności uzyskać od operatorów łączności elektronicznej dane dotyczące tożsamości, adres pocztowy, adres elektroniczny i numer telefonu abonenta, którego dostęp do usług internetowej komunikacji publicznej wykorzystano do celów zwielokrotniania, rozpowszechniania, podawania do publicznej wiadomości lub publicznego udostępniania utworów lub przedmiotów objętych ochroną bez zgody właścicieli praw […], jeżeli jest ona wymagana”.
24 Artykuł L. 331‑24 tego kodeksu stanowi:
„Komisja ochrony praw podejmuje działania w oparciu o zawiadomienia pochodzące od zaprzysiężonych i upoważnionych urzędników […] wyznaczanych przez:
– utworzone zgodnie z prawem organizacje ochrony interesów zawodowych;
– organizacje zbiorowego zarządzania;
– Centre national du cinéma et de l’image animée (krajowe centrum kinematografii i animacji).
Komisja ochrony praw może również działać na podstawie informacji przekazanych jej przez procureur de la République (prokuratora republiki).
Nie rozpatruje ona zawiadomień dotyczących zdarzeń, które zaszły ponad sześć miesięcy wcześniej”.
25 Zgodnie z art. L. 331‑25 wspomnianego kodeksu, który reguluje tzw. procedurę stopniowej odpowiedzi:
„Jeżeli komisja ochrony praw zostanie zawiadomiona o czynach mogących stanowić uchybienie obowiązkowi określonemu w art. L. 336‑3 [CPI], może ona wysłać abonentowi […] zalecenie przypominające mu o przepisach art. L. 336‑3, nakazujące mu przestrzeganie określonego w nich obowiązku i ostrzegające go o grożących karach wynikających z art. L. 335‑7 i art. L. 335‑7‑1. W zaleceniu informuje się również abonenta o zgodnej z prawem ofercie treści kulturalnych w Internecie, o istnieniu środków bezpieczeństwa zapobiegających uchybianiu obowiązkowi określonemu w art. L. 336‑3, jak również o zagrożeniach dla rozwoju twórczości artystycznej i dla gospodarki sektora kultury, jakie niosą ze sobą praktyki, które nie respektują praw autorskich i praw pokrewnych.
W przypadku ponownego dopuszczenia się – w terminie sześciu miesięcy od daty wysłania zalecenia, o którym mowa w akapicie pierwszym – czynów mogących stanowić uchybienie obowiązkowi określonemu w art. L. 336‑3 komisja może skierować drogą elektroniczną ponowne zalecenie zawierające takie same informacje jak zalecenie poprzednie […]. Dołącza ona do tego ponownego zalecenia pismo za potwierdzeniem odbioru lub stosuje inne środki pozwalające na wykazanie daty przedstawienia tego zalecenia.
W zaleceniach kierowanych na podstawie niniejszego artykułu wskazuje się datę i godzinę, w których stwierdzono czyny mogące stanowić uchybienie obowiązkowi określonemu w art. L. 336‑3. Nie ujawnia się w nich natomiast treści utworów lub przedmiotów objętych ochroną, których dotyczy to uchybienie. Wskazuje się w nich numery telefonu oraz adresy pocztowe i elektroniczne, pod które adresat może, jeśli sobie tego życzy, skierować uwagi do komisji ochrony praw oraz pod którymi może on uzyskać, jeśli złoży wyraźne żądanie, wyjaśnienia co do treści utworów lub przedmiotów objętych ochroną, których dotyczy zarzucane mu uchybienie”.
26 Artykuł L. 331‑29 CPI stanowi:
„Dozwolone jest utworzenie przez [Hadopi] systemu zautomatyzowanego przetwarzania danych osobowych dotyczących osób, wobec których toczy się postępowanie na podstawie niniejszej podsekcji.
Celem tego przetwarzania danych jest wdrożenie, przez komisję ochrony praw, przewidzianych w niniejszej podsekcji środków, wszystkich czynności procesowych dotyczących tych środków oraz zasad informowania organizacji ochrony interesów zawodowych i organizacji zbiorowego zarządzania o ewentualnych postępowaniach sądowych i zawiadomieniach przewidzianych w art. L. 335‑7 akapit piąty.
Zasady stosowania niniejszego artykułu ustala się w drodze dekretu […]. W dekrecie tym określa się w szczególności:
– kategorie rejestrowanych danych i okres ich przechowywania;
– odbiorców upoważnionych do otrzymywania tych danych, w szczególności osoby, których działalność polega na zapewnianiu dostępu do usług internetowej komunikacji publicznej;
– warunki, na jakich zainteresowane osoby mogą wykonywać wobec [Hadopi] prawo dostępu do danych ich dotyczących […]”.
27 Artykuł L. 335‑2 akapity pierwszy i drugi tego kodeksu stanowi:
„Wszelka edycja pisma, kompozycji muzycznej, rysunku, obrazu lub jakiegokolwiek innego wytworu, wydrukowana lub wygrawerowana, w całości lub w części, z uchybieniem przepisom ustawowym lub wykonawczym dotyczącym własności autorów stanowi naruszenie praw własności intelektualnej, a wszelkie takie naruszenie jest występkiem.
Naruszenie praw własności intelektualnej, którego dopuszczono się we Francji w odniesieniu do utworów opublikowanych we Francji lub za granicą, jest zagrożone karą trzech lat pozbawienia wolności i karą grzywny w wysokości 300 000 EUR”.
28 Artykuł L. 335‑4 akapit pierwszy wspomnianego kodeksu ma następujące brzmienie:
„Wszelkie utrwalanie, zwielokrotnianie, publiczne udostępnianie lub podawanie do publicznej wiadomości, odpłatnie lub nieodpłatnie, oraz wszelka transmisja występu, fonogramu, wideogramu, programu lub publikacji prasowej bez zgody – jeżeli jej uzyskanie jest wymagane – artysty wykonawcy, producenta fonogramu lub wideogramu, przedsiębiorstwa radiowo‑telewizyjnego, wydawcy prasowego lub agencji prasowej jest zagrożone karą trzech lat pozbawienia wolności i karą grzywny w wysokości 300 000 EUR”.
29 Artykuł L. 335‑7 CPI określa zasady nakładania na osoby, które dopuściły się czynów zabronionych, o których mowa w szczególności w art. L. 335‑2 i L. 335‑4 tego kodeksu, kary dodatkowej w postaci zawieszenia dostępu do usługi internetowej komunikacji publicznej na okres nieprzekraczający jednego roku.
30 Artykuł L. 335‑7‑1 akapit pierwszy wspomnianego kodeksu ma następujące brzmienie:
„W odniesieniu do przewidzianych w niniejszym kodeksie wykroczeń piątej klasy, jeżeli przepisy wykonawcze tak stanowią, kara dodatkowa określona w art. L. 335‑7 może zostać orzeczona zgodnie z tymi samymi zasadami, w przypadku rażącego niedbalstwa, wobec osoby uprawnionej do dostępu do usługi internetowej komunikacji publicznej, do której komisja ochrony praw skierowała uprzednio na podstawie art. L. 331‑25, w piśmie za potwierdzeniem odbioru lub poprzez zastosowanie innych środków pozwalających na wykazanie daty przedstawienia, zalecenie wzywające ją do wdrożenia środków zabezpieczających jej dostęp do Internetu”.
31 Zgodnie z art. L. 336‑3 owego kodeksu:
„Osoba uprawniona do dostępu do usług internetowej komunikacji publicznej ma obowiązek zapewnienia, aby dostęp ten nie był wykorzystywany do celów zwielokrotniania, rozpowszechniania, podawania do publicznej wiadomości lub publicznego udostępniania utworów lub przedmiotów objętych ochroną na mocy prawa autorskiego lub prawa pokrewnego bez zgody właścicieli praw […], jeżeli jest ona wymagana.
Uchybienie przez osobę uprawnioną do dostępu obowiązkowi określonemu w akapicie pierwszym nie powoduje powstania odpowiedzialności karnej zainteresowanego […]”.
32 Artykuł R. 331‑37 akapit pierwszy CPI przewiduje:
„Operatorzy łączności elektronicznej […] i usługodawcy […] są zobowiązani do przekazywania, poprzez połączenie ze zautomatyzowanym przetwarzaniem danych osobowych, o którym mowa w art. L. 331‑29, lub za pomocą nośnika zapisu zapewniającego ich integralność i bezpieczeństwo, danych osobowych i informacji wymienionych w pkt 2 załącznika do [dekretu nr 2010‑236] […] w terminie ośmiu dni od przekazania przez komisję ochrony praw danych technicznych niezbędnych do identyfikacji abonenta, którego dostęp do usług internetowej komunikacji publicznej wykorzystano do celów zwielokrotniania, rozpowszechniania, podawania do publicznej wiadomości lub publicznego udostępniania utworów lub przedmiotów objętych ochroną bez zgody właścicieli praw […], jeżeli jest ona wymagana”.
33 Zgodnie z art. R. 331‑40 tego kodeksu:
„Jeżeli w terminie roku od daty przedstawienia zalecenia, o którym mowa w art. L. 335‑7‑1 akapit pierwszy, komisja ochrony praw zostanie zawiadomiona o nowych czynach, które mogą stanowić rażące niedbalstwo w rozumieniu art. R. 335‑5, informuje ona abonenta w piśmie za potwierdzeniem odbioru, że czyny te mogą być przedmiotem ścigania. W piśmie tym zainteresowanego wzywa się do przedstawienia uwag w terminie 15 dni. Wskazuje się w nim, że w tym samym terminie może on wystąpić z wnioskiem o przesłuchanie zgodnie z art. L. 331‑21‑1 i że ma on prawo do skorzystania ze wsparcia doradcy. W piśmie tym zainteresowanego wzywa się również do udzielenia informacji dotyczących kosztów utrzymania rodziny, jakie ponosi, oraz środków utrzymania, jakimi dysponuje.
Komisja może wezwać zainteresowanego na przesłuchanie z własnej inicjatywy. W wezwaniu wskazuje się, że ma on prawo do skorzystania ze wsparcia doradcy”.
34 Artykuł R. 335‑5 CPI stanowi:
„I. – Działanie bez uzasadnionego powodu przez osobę uprawnioną do dostępu do usług internetowej komunikacji publicznej stanowi rażące niedbalstwo zagrożone karą grzywny przewidzianą dla wykroczeń piątej klasy, gdy spełnione są warunki przewidziane w ust. II:
1° niezastosowanie środka zabezpieczającego ten dostęp; lub
2° niedochowanie należytej staranności przy wdrażaniu tego środka.
II. – Przepisy ust. I mają zastosowanie tylko wtedy, gdy spełnione są dwa następujące warunki:
1° na podstawie art. L. 331‑25 i w formie przewidzianej w tym artykule komisja ochrony praw zaleciła osobie uprawnionej do dostępu wdrożenie środka zabezpieczającego jej dostęp, umożliwiającego zapobieżenie ponownemu skorzystaniu z niego do celów zwielokrotniania, rozpowszechniania, podawania do publicznej wiadomości lub publicznego udostępniania utworów lub przedmiotów objętych ochroną na podstawie prawa autorskiego lub prawa pokrewnego bez zgody właścicieli praw […], jeżeli jest ona wymagana;
2° w roku następującym po przedstawieniu tego zalecenia dostęp ten jest ponownie wykorzystywany do celów, o których mowa w pkt 1 niniejszego ust. II”.
35 W dniu 1 stycznia 2022 r. na mocy loi no 2021‑1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (ustawy nr 2021‑1382 z dnia 25 października 2021 r. w sprawie regulacji i ochrony dostępu do dzieł kultury w erze cyfrowej) (JORF nr 250 z dnia 26 października 2021 r., akt nr 2) Hadopi połączono z Conseil supérieur de l’audiovisuel (CSA, wyższą radą ds. radiofonii i telewizji), będącą innym niezależnym organem publicznym, tworząc Autorité de régulation de la communication audiovisuelle et numérique (ARCOM, organ ds. regulacji komunikacji radiowo‑telewizyjnej i cyfrowej).
36 Procedura stopniowej odpowiedzi, o której mowa w pkt 25 niniejszego wyroku, pozostała jednak zasadniczo niezmieniona, mimo że obecnie wdraża ją nie komisja ochrony praw Hadopi – która składała się z trzech członków, wyznaczanych, odpowiednio, przez Conseil d’État (radę stanu), Cour des comptes (trybunał obrachunkowy) i Cour de cassation (sąd kasacyjny) – lecz dwóch członków kolegium ARCOM, z których jednego wyznacza Conseil d’État (rada stanu), a drugiego Cour de cassation (sąd kasacyjny).
Dekret nr 2010‑236
37 Dekret nr 2010‑236, przyjęty w szczególności na podstawie art. L. 331‑29 CPI, przewiduje w art. 1:
„Przetwarzanie danych osobowych określane jako »system zarządzania środkami ochrony utworów w Internecie« ma na celu umożliwienie komisji ochrony praw [Hadopi]:
1° stosowania środków przewidzianych w księdze III części ustawowej [CPI] (tytuł III rozdział I sekcja 3 podsekcja 3) oraz w księdze III części wykonawczej tego kodeksu (tytuł III rozdział I sekcja 2 podsekcja 2);
2° wnoszenia do procureur de la République (prokuratora republiki) zawiadomień o czynach, które mogą stanowić czyny zabronione określone w art. L. 335‑2, L. 335‑3, L. 335‑4 i R. 335‑5 tego kodeksu, jak również informowania organizacji ochrony interesów zawodowych i organizacji zbiorowego zarządzania o tych zawiadomieniach;
[…]”.
38 Artykuł 4 tego dekretu stanowi:
„I. – Do danych osobowych i informacji wymienionych w załączniku do niniejszego dekretu bezpośredni dostęp mają zaprzysiężeni urzędnicy publiczni upoważnieni przez prezesa [Hadopi] na podstawie art. L. 331‑21 [CPI] i członkowie komisji ochrony praw, o której mowa w art. 1.
II. – Operatorzy łączności elektronicznej i usługodawcy wymienieni w pkt 2 załącznika do niniejszego dekretu otrzymują:
– dane techniczne niezbędne do identyfikacji abonenta;
– zalecenia, o których mowa w art. L. 331‑25 [CPI], w celu wysłania ich abonentom drogą elektroniczną;
– informacje niezbędne do wykonania kar dodatkowych w postaci zawieszenia dostępu do usługi internetowej komunikacji publicznej, podanych do wiadomości komisji ochrony praw przez procureur de la République (prokuratora republiki).
III. – Organizacje ochrony interesów zawodowych i organizacje zbiorowego zarządzania otrzymują informacje o zawiadomieniach wnoszonych do procureur de la République (prokuratora republiki).
IV. – Organy sądowe otrzymują protokoły ustaleń dotyczących czynów, które mogą stanowić czyny zabronione określone w art. L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 i R. 335‑5 [CPI].
Wykonanie kary zawieszenia zostaje zgłoszone do zautomatyzowanego rejestru karnego”.
39 Załącznik do wspomnianego dekretu ma następujące brzmienie:
„W ramach przetwarzania określanego jako »system zarządzania środkami ochrony utworów w Internecie« rejestrowane są następujące dane osobowe i informacje:
1° dane osobowe i informacje pochodzące od utworzonych zgodnie z prawem organizacji ochrony interesów zawodowych, organizacji zbiorowego zarządzania, Centre national du cinéma et de l’image animée (krajowego centrum kinematografii i animacji) oraz procureur de la République (prokuratora republiki):
w odniesieniu do czynów mogących stanowić uchybienie obowiązkowi określonemu w art. L. 336‑3 [CPI]:
data i godzina zdarzeń;
adres IP odnośnych abonentów;
używany protokół peer‑to‑peer;
pseudonim używany przez abonenta;
informacje dotyczące utworów lub przedmiotów objętych ochroną, których zdarzenia dotyczą;
nazwa pliku znajdującego się na urządzeniu abonenta (w stosownych przypadkach);
dostawca dostępu do Internetu, u którego abonowano dostęp lub który zapewnił zasoby techniczne IP.
[…]
2° dane osobowe i informacje dotyczące abonenta zebrane od operatorów łączności elektronicznej […] i od usługodawców […]:
nazwisko, imiona;
adres pocztowy i adresy elektroniczne;
numer telefonu;
adres instalacji telefonicznej abonenta;
dostawca dostępu do Internetu, wykorzystujący zasoby techniczne dostawcy dostępu, o którym mowa w pkt 1, z którym abonent zawarł umowę; numer abonencki;
data zawieszenia dostępu do usługi internetowej komunikacji publicznej.
[…]”.
Kodeks poczty i łączności elektronicznej
40 Artykuł L. 34‑1 ust. II bis code des postes et des communications électroniques (kodeksu poczty i łączności elektronicznej) stanowi:
„Operatorzy łączności elektronicznej są zobowiązani do przechowywania:
1° dla potrzeb postępowania karnego, zapobiegania zagrożeniom dla bezpieczeństwa publicznego i ochrony bezpieczeństwa narodowego – informacji dotyczących tożsamości cywilnej użytkownika, przez okres pięciu lat od wygaśnięcia jego umowy;
2° dla tych samych celów co wymienione w pkt 1 niniejszego ust. II bis – innych informacji dostarczonych przez użytkownika przy podpisaniu umowy lub utworzeniu konta, jak również informacji o płatności, przez okres roku od wygaśnięcia umowy lub zamknięcia konta;
3° dla potrzeb zwalczania poważnej przestępczości, zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego i ochrony bezpieczeństwa narodowego – danych technicznych pozwalających na identyfikację źródła połączenia lub danych technicznych dotyczących używanego urządzenia końcowego, przez okres roku od połączenia lub użycia urządzenia końcowego”.
Postępowanie główne i pytania prejudycjalne
41 Skarżące w postępowaniu głównym, z uwagi na oddalenie w sposób dorozumiany przez Premier ministre (premiera) ich wniosku o uchylenie dekretu nr 2010‑236, pismem z dnia 12 sierpnia 2019 r. wniosły do Conseil d’État (rady stanu, Francja) skargę o uchylenie tej dorozumianej decyzji oddalającej. Podniosły one w istocie, że art. L. 331‑21 akapity od trzeciego do piątego CPI, który jest jednym z przepisów składających się na podstawę prawną tego dekretu, po pierwsze, jest sprzeczny z prawem do poszanowania życia prywatnego zapisanym w konstytucji francuskiej, a po drugie, narusza prawo Unii, w szczególności art. 15 dyrektywy 2002/58 oraz art. 7, 8, 11 i 52 Karty.
42 W odniesieniu do aspektu skargi dotyczącego podnoszonego naruszenia konstytucji Conseil d’État (rada stanu) skierowała do Conseil constitutionnel (rady konstytucyjnej, Francja) priorytetowe pytanie o zgodność z konstytucją.
43 W orzeczeniu nr 2020‑841 QPC z dnia 20 maja 2020 r., La Quadrature du Net i in. [Prawo Hadopi do uzyskiwania informacji i dokumentów], Conseil constitutionnel (rada konstytucyjna) za sprzeczne z konstytucją uznała akapity trzeci i czwarty artykułu L. 331‑21 CPI, natomiast za zgodny z nią uznała akapit piąty wspomnianego artykułu, z wyjątkiem zawartych w nim słów „w szczególności”.
44 W ramach aspektu skargi dotyczącego podnoszonego naruszenia prawa Unii skarżące w postępowaniu głównym twierdziły między innymi, że dekret nr 2010‑236 i przepisy stanowiące jego podstawę prawną zezwalają na dostęp do danych dotyczących połączeń w sposób nieproporcjonalny w stosunku do pozbawionych poważnego charakteru naruszeń praw autorskich, których dopuszczono się w Internecie, bez uprzedniej kontroli sądu lub organu dającego gwarancje niezależności i bezstronności. Podniosły one w szczególności, że naruszenia te nie wchodzą w zakres „poważnej przestępczości”, o której mowa w wyroku z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970).
45 W tym względzie Conseil d’État (rada stanu) przypomina z jednej strony, że w wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791) Trybunał orzekł w szczególności, że art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty nie stoi na przeszkodzie środkom ustawodawczym przewidującym – w celu ochrony bezpieczeństwa narodowego, zwalczania przestępczości i ochrony bezpieczeństwa publicznego – uogólnione i niezróżnicowane przechowywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej. Co się zatem tyczy danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej, możliwe jest ich przechowywanie bez szczególnego ograniczenia czasowego do celów dochodzenia, wykrywania i ścigania ogółu czynów zabronionych. Dyrektywa 2002/58 nie stoi również na przeszkodzie dostępowi do tych danych w takich celach.
46 Sąd odsyłający wnioskuje z tego, że – w odniesieniu do dostępu do danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej – należy oddalić podniesiony przez skarżące w postępowaniu głównym zarzut, zgodnie z którym dekret nr 2010‑236 jest niezgodny z prawem w zakresie, w jakim przyjęto go w kontekście zwalczania naruszeń pozbawionych poważnego charakteru.
47 Sąd ten przypomina z drugiej strony, że w wyroku z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970) Trybunał orzekł w szczególności, iż art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że stoi on na przeszkodzie obowiązywaniu uregulowań krajowych dotyczących ochrony i bezpieczeństwa danych o ruchu i danych dotyczących lokalizacji, a w szczególności dostępu właściwych organów krajowych do przechowywanych danych, które to przepisy nie uzależniają przyznania wspomnianego dostępu od uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
48 Sąd odsyłający odwołuje się konkretnie do pkt 120 tego wyroku, w którym Trybunał wyjaśnił, że ważne jest, aby taki dostęp do przechowywanych danych co do zasady, z wyjątkiem należycie uzasadnionych pilnych przypadków, podlegał wymogowi uprzedniej kontroli sądu lub niezależnego organu administracyjnego, a decyzja tego sądu lub organu była wydawana na uzasadniony wniosek owych organów, złożony w szczególności w ramach postępowań mających na celu zapobieganie czynom zabronionym, ich wykrywanie lub ściganie.
49 Trybunał przypomniał ten wymóg w wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791) w odniesieniu do gromadzenia w czasie rzeczywistym danych dotyczących połączeń przez służby wywiadowcze, a także w wyroku z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej) (C‑746/18, EU:C:2021:152) w odniesieniu do dostępu organów krajowych do danych dotyczących połączeń.
50 Sąd odsyłający zauważa również, że Hadopi, od momentu jego utworzenia w 2009 r., w ramach procedury stopniowej odpowiedzi przewidzianej w art. L. 331‑25 CPI skierował do posiadaczy abonamentów ponad 12,7 mln zaleceń, z czego 827 791 w samym tylko 2019 r. Wynikałoby stąd, że urzędnicy komisji ochrony praw Hadopi musieli każdego roku gromadzić znaczną ilość danych dotyczących tożsamości cywilnej zainteresowanych użytkowników. Sąd ten uważa, że ze względu na liczbę tych zaleceń poddanie gromadzenia owych danych uprzedniej kontroli mogłoby uniemożliwić wdrażanie tych zaleceń.
51 W tych okolicznościach Conseil d’État (rada stanu) postanowiła zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:
„1) Czy dane dotyczące tożsamości cywilnej odpowiadające adresowi IP należą do danych o ruchu lub lokalizacji podlegających, co do zasady, obowiązkowi uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny posiadający uprawnienia władcze?
2) W razie udzielenia odpowiedzi twierdzącej na pytanie pierwsze i przy uwzględnieniu niskiej wrażliwości danych dotyczących tożsamości cywilnej użytkowników, w tym ich danych kontaktowych – czy dyrektywę [2002/58] odczytywaną w świetle [Karty] należy interpretować w ten sposób, że stoi ona na przeszkodzie uregulowaniu krajowemu przewidującemu gromadzenie przez organ administracyjny tych danych odpowiadających adresowi IP użytkowników bez uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny posiadający uprawnienia władcze?
3) W razie udzielenia odpowiedzi twierdzącej na pytanie drugie i przy uwzględnieniu niskiej wrażliwości danych dotyczących tożsamości cywilnej, okoliczności, że tylko te dane mogą być gromadzone, wyłącznie w celu zapobiegania naruszeniu obowiązków określonych w sposób precyzyjny, wyczerpujący i restrykcyjny w prawie krajowym, oraz faktu, że systematyczna kontrola dostępu do danych każdego użytkownika sprawowana przez sąd lub osobny organ administracyjny posiadający uprawnienia władcze mogłaby stanowić przeszkodę w realizacji zadań publicznych powierzonych organowi administracyjnemu, który sam jest niezależny i który gromadzi dane – czy dyrektywa [2002/58] stoi na przeszkodzie temu, by kontrola była dokonywana zgodnie z dostosowanymi procedurami, takimi jak przeprowadzanie zautomatyzowanej kontroli, w razie potrzeby pod nadzorem służby wewnętrznej organu dającego gwarancje niezależności i bezstronności w stosunku do urzędników odpowiedzialnych za gromadzenie danych?”.
W przedmiocie pytań prejudycjalnych
52 Poprzez swoje trzy pytania prejudycjalne, które należy rozpatrzyć łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu, które zezwala organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do przechowywanych przez dostawców publicznie dostępnych usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych, aby ów organ publiczny mógł zidentyfikować posiadaczy tych adresów wykorzystywanych do aktywności mogącej stanowić takie naruszenia i aby mógł on w razie potrzeby zastosować wobec nich środki, który to dostęp ten nie podlega wymogowi uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
Uwagi wstępne
53 Sprawa w postępowaniu głównym dotyczy dwóch odrębnych i następujących po sobie operacji przetwarzania danych osobowych przeprowadzanych w ramach działalności Hadopi, niezależnego organu publicznego, którego zadania polegają w szczególności, zgodnie z art. L. 331‑13 CPI, na ochronie utworów i przedmiotów objętych prawem autorskim lub prawem pokrewnym przed naruszeniami tych praw, do których dochodzi w sieciach łączności elektronicznej wykorzystywanych do świadczenia usług internetowej komunikacji publicznej.
54 Pierwsze przetwarzanie, dokonywane w pierwszej kolejności przez zaprzysiężonych i upoważnionych urzędników organizacji zrzeszających uprawnionych, odbywa się w dwóch etapach. Pierwszy etap polega na zebraniu w sieciach peer‑to‑peer adresów IP, co do których zachodzi podejrzenie, że wykorzystano je do aktywności mogącej stanowić naruszenie prawa autorskiego lub prawa pokrewnego. Drugi etap polega na udostępnieniu Hadopi, w formie protokołów, zbioru danych osobowych i informacji. Zgodnie z wykazem zawartym w pkt 1 załącznika do dekretu nr 2010‑236 dane te obejmują: datę i godzinę zdarzeń; adres IP odnośnych abonentów; używany protokół peer‑to‑peer; pseudonim używany przez abonenta; informacje dotyczące utworów lub przedmiotów objętych ochroną, których zdarzenia dotyczą; nazwę pliku znajdującego się na urządzeniu abonenta (w stosownych przypadkach); informację o dostawcy dostępu do Internetu, u którego abonowano dostęp lub który zapewnił zasoby techniczne IP.
55 Drugie przetwarzanie, dokonywane w drugiej kolejności przez dostawców dostępu do Internetu na wniosek Hadopi, również odbywa się w dwóch etapach. Pierwszy etap polega na powiązaniu zebranych w pierwszej kolejności adresów IP z ich posiadaczami. Drugi etap polega na udostępnieniu wspomnianemu organowi publicznemu zbioru danych osobowych i informacji dotyczących owych posiadaczy, odnoszących się zwłaszcza do ich tożsamości cywilnej. Zgodnie z wykazem zawartym w pkt 2 załącznika do dekretu nr 2010‑236 dane te obejmują zwłaszcza: nazwisko i imiona; adres pocztowy i adresy elektroniczne; numer telefonu; adres instalacji telefonicznej abonenta.
56 W tym ostatnim względzie art. L. 331‑21 CPI przewiduje w akapicie piątym, w brzmieniu wynikającym z orzeczenia Conseil constitutionnel (rady konstytucyjnej), o którym mowa w pkt 43 niniejszego wyroku, że członkowie komisji ochrony praw Hadopi oraz zaprzysiężeni urzędnicy publiczni tego organu upoważnieni przez jego prezesa mogą uzyskać od operatorów łączności elektronicznej dane dotyczące tożsamości, adres pocztowy, adres elektroniczny i numer telefonu abonenta, którego dostęp do usług internetowej komunikacji publicznej wykorzystano do celów zwielokrotniania, rozpowszechniania, podawania do publicznej wiadomości lub publicznego udostępniania utworów lub przedmiotów objętych ochroną bez zgody właścicieli praw, jeżeli jest ona wymagana.
57 Celem tych różnych operacji przetwarzania danych osobowych jest umożliwienie Hadopi zastosowania wobec zidentyfikowanych w ten sposób posiadaczy adresów IP środków przewidzianych w ramach procedury administracyjnej zwanej procedurą stopniowej odpowiedzi, uregulowanej w art. L. 331‑25 CPI. Środki te obejmują przede wszystkim wysłanie „zaleceń”, które są podobne do ostrzeżeń, następnie – w przypadku zawiadomienia komisji ochrony praw Hadopi, w terminie roku od wysłania drugiego zalecenia, o czynach, które mogą stanowić ponowienie stwierdzonego uchybienia – poinformowanie abonenta, o czym mowa w art. R. 331‑40 CPI, że czyny te mogą stanowić zdefiniowane w art. R. 335‑5 CPI naruszenie określane jako „rażące niedbalstwo”, będące wykroczeniem zagrożonym karą grzywny w wysokości do 1 500 EUR i do 3 000 EUR w przypadku recydywy, oraz wreszcie, po podjęciu uchwały, zawiadomienie prokuratury o czynach mogących stanowić takie wykroczenie lub, w stosownym wypadku, występek w postaci naruszenia praw własności intelektualnej, o którym mowa w art. L. 335‑2 CPI względnie w art. L. 335‑4 tego kodeksu, zagrożony karą trzech lat pozbawienia wolności i karą grzywny w wysokości 300 000 EUR.
58 Pytania zadane przez sąd odsyłający dotyczą jednak wyłącznie przetwarzania dokonywanego w drugiej kolejności, opisanego w pkt 55 niniejszego wyroku, i nie odnoszą się do przetwarzania dokonywanego w pierwszej kolejności, którego główne cechy przedstawiono w jego pkt 54.
59 Niemniej należy zauważyć, że gdyby dokonywane najpierw zbieranie adresów IP przez odnośne organizacje zrzeszające uprawnionych było sprzeczne z prawem Unii, prawo to stałoby również na przeszkodzie wykorzystaniu tych danych w ramach dokonywanego przez dostawców usług łączności elektronicznej dalszego przetwarzania polegającego na wiązaniu wspomnianych adresów z danymi dotyczącymi tożsamości cywilnej ich posiadaczy.
60 W tym kontekście należy na wstępie przypomnieć, że zgodnie z orzecznictwem Trybunału adresy IP stanowią zarówno dane o ruchu w rozumieniu dyrektywy 2002/58, jak i dane osobowe w rozumieniu RODO (zob. podobnie wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 102, 113 i przytoczone tam orzecznictwo).
61 Zbieranie publicznych i widocznych dla wszystkich adresów IP przez urzędników organizacji zrzeszających uprawnionych nie wchodzi jednak w zakres stosowania dyrektywy 2002/58, ponieważ takie przetwarzanie w oczywisty sposób nie odbywa się „w związku z dostarczaniem […] usług łączności elektronicznej” w rozumieniu art. 3 tej dyrektywy.
62 Natomiast zbieranie takich adresów IP, na które, jak wynika z akt sprawy, którymi dysponuje Trybunał, w pewnych granicach ilościowych i pod pewnymi warunkami zezwala Commission nationale de l’informatique et des libertés (krajowa komisja ds. informatyki i wolności, CNIL) (Francja), w celu przekazania ich Hadopi na potrzeby ich ewentualnego wykorzystania w późniejszych postępowaniach administracyjnych lub sądowych mających na celu zwalczanie aktywności naruszającej prawa autorskie i prawa pokrewne, stanowi „przetwarzanie” w rozumieniu art. 4 pkt 2 RODO, którego zgodność z prawem zależy od spełnienia warunków określonych w art. 6 ust. 1 akapit pierwszy lit. f) tego rozporządzenia, w świetle orzecznictwa Trybunału wynikającego w szczególności z wyroków z dnia 17 czerwca 2021 r., M.I.C.M. (C‑597/19, EU:C:2021:492, pkt 102, 103), a także z dnia 4 lipca 2023 r., Meta Platforms i in. (Ogólne warunki korzystania z sieci społecznościowej) (C‑252/21, EU:C:2023:537, pkt 106–112 i przytoczone tam orzecznictwo).
63 Co się tyczy przetwarzania dokonywanego w drugiej kolejności, opisanego w pkt 55 niniejszego wyroku, wchodzi ono w zakres stosowania dyrektywy 2002/58, ponieważ odbywa się ono „w związku z dostarczaniem […] usług łączności elektronicznej” w rozumieniu art. 3 tej dyrektywy, o ile odnośne dane uzyskano od dostawców usług łączności elektronicznej zgodnie z art. L. 331‑21 CPI.
W przedmiocie istnienia na podstawie art. 15 ust. 1 dyrektywy 2002/58 uzasadnienia dostępu organu publicznego do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresowi IP na potrzeby zwalczania naruszeń praw własności intelektualnej, do których dochodzi w Internecie
64 W świetle powyższych uwag wstępnych powstaje pytanie, czy – jak zastanawia się sąd odsyłający – ograniczenie praw podstawowych zapisanych w art. 7, 8 i 11 Karty wynikające z dostępu organu publicznego, takiego jak Hadopi, do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP, którym organ ten już dysponuje, może być uzasadnione na podstawie art. 15 ust. 1 dyrektywy 2002/58.
65 Otóż dostęp do takich danych osobowych może zostać przyznany tylko wtedy, gdy są one przechowywane zgodnie z dyrektywą 2002/58 [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 29].
W przedmiocie wymogów związanych z przechowywaniem przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej i odpowiadających im adresów IP
66 Artykuł 15 ust. 1 dyrektywy 2002/58 pozwala państwom członkowskim na wprowadzenie wyjątków od ustanowionego w art. 5 ust. 1 tej dyrektywy zasadniczego obowiązku zapewnienia poufności danych osobowych, a także od odpowiadających im obowiązków wymienionych w szczególności w art. 6 i 9 wspomnianej dyrektywy, kiedy takie ograniczenie jest niezbędne, właściwe i proporcjonalne w społeczeństwie demokratycznym do ochrony bezpieczeństwa narodowego, obronności i bezpieczeństwa publicznego lub do zapobiegania czynom zabronionym lub niedozwolonemu używaniu systemu łączności elektronicznej oraz do ich dochodzenia, wykrywania i ścigania. W tym celu państwa członkowskie mogą między innymi przyjmować środki ustawodawcze przewidujące przechowywanie danych przez określony czas, jeśli jest to uzasadnione jednym z tych względów. Jednakże ta możliwość wprowadzenia odstępstwa od praw i obowiązków przewidzianych w art. 5, 6 i 9 dyrektywy 2002/58 nie może uzasadniać tego, że odstępstwo od zasadniczego obowiązku zapewnienia poufności łączności elektronicznej i danych z nią związanych, a w szczególności od zakazu przechowywania tych danych, wyraźnie przewidzianego w art. 5 tej dyrektywy, stanie się regułą (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 110, 111).
67 Środek ustawodawczy przyjęty na podstawie tego przepisu powinien zatem odpowiadać rzeczywiście i ściśle jednemu z celów wymienionych w poprzednim punkcie, ponieważ ich wyliczenie w art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 ma charakter wyczerpujący, oraz być zgodny z zasadami ogólnymi prawa Unii, do których należy zasada proporcjonalności, i z prawami podstawowymi zagwarantowanymi w Karcie. W tym względzie Trybunał orzekł już, że nałożony przez państwo członkowskie na dostawców usług łączności elektronicznej w uregulowaniu krajowym obowiązek przechowywania danych o ruchu w celu udzielenia właściwym organom krajowym dostępu do nich w razie potrzeby budzi wątpliwości co do zgodności nie tylko z art. 7 i 8 Karty, dotyczącymi, odpowiednio, ochrony życia prywatnego oraz ochrony danych osobowych, lecz również z art. 11 Karty, dotyczącym wolności wypowiedzi (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 112, 113).
68 Tak więc przy wykładni art. 15 ust. 1 dyrektywy 2002/58 należy uwzględnić wagę zarówno prawa do poszanowania życia prywatnego, zagwarantowanego w art. 7 Karty, jak i prawa do ochrony danych osobowych, zagwarantowanego w jej art. 8, w postaci wynikającej z orzecznictwa Trybunału, a także prawa do wolności wypowiedzi, ponieważ to prawo podstawowe, zagwarantowane w art. 11 Karty, stanowi jeden z istotnych fundamentów pluralistycznego i demokratycznego społeczeństwa i należy do wartości, na jakich zgodnie z art. 2 TUE opiera się Unia (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 114 i przytoczone tam orzecznictwo).
69 Należy podkreślić w tym względzie, że przechowywanie danych o ruchu i danych dotyczących lokalizacji stanowi samo w sobie z jednej strony odstępstwo od przewidzianego w art. 5 ust. 1 dyrektywy 2002/58 zakazu przechowywania tych danych przez osoby inne niż użytkownicy, a z drugiej strony ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, zapisane w art. 7 i 8 Karty, bez względu na to, czy rozpatrywane informacje dotyczące życia prywatnego mają charakter wrażliwy, czy nie, ani czy osoby, których dane dotyczą, ucierpiały z powodu ewentualnych niedogodności wynikających z tej ingerencji. Nie ma również znaczenia, czy przechowywane dane są następnie wykorzystywane, czy też nie, ponieważ dostęp do takich danych stanowi, niezależnie od sposobu ich późniejszego wykorzystania, odrębną ingerencję w prawa podstawowe, o których mowa w poprzednim punkcie (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 115, 116).
70 Niemniej jednak w zakresie, w jakim art. 15 ust. 1 dyrektywy 2002/58 umożliwia państwom członkowskim wprowadzenie pewnych środków stanowiących odstępstwa, jak przypomniano w pkt 66 niniejszego wyroku, odzwierciedla on okoliczność, że prawa zapisane w art. 7, 8 i 11 Karty nie stanowią prerogatyw o charakterze absolutnym, lecz należy je rozważać z uwzględnieniem ich funkcji społecznej. Jak bowiem wynika z art. 52 ust. 1 Karty, dopuszcza ona ograniczenia w korzystaniu z tych praw, o ile ograniczenia te są przewidziane ustawą, szanują istotę tych praw oraz – z zastrzeżeniem zasady proporcjonalności – są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 120, 121).
71 W niniejszym wypadku należy zauważyć, że chociaż formalnie Hadopi jest upoważniony do dostępu jedynie do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP, to jednak dostęp ten ma tę szczególną cechę, że wymaga uprzedniego powiązania adresu IP z danymi dotyczącymi tożsamości cywilnej jego posiadacza przez odnośnych dostawców usług łączności elektronicznej. Wspomniany dostęp zakłada zatem w sposób konieczny dysponowanie przez owych dostawców adresami IP, podobnie jak danymi dotyczącymi tożsamości ich posiadaczy.
72 Ponadto ów organ publiczny dąży do uzyskania dostępu do tych danych wyłącznie w celu zidentyfikowania posiadacza adresu IP, który wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne, w sytuacji gdy nielegalnie udostępnił on w Internecie chronione utwory do pobrania przez inne osoby. W tych okolicznościach dane dotyczące tożsamości cywilnej należy uznać za ściśle związane zarówno z adresem IP, jak i z informacjami dotyczącymi udostępnionego w Internecie utworu, którymi dysponuje Hadopi.
73 Takiego szczególnego kontekstu nie można pominąć przy badaniu, czy środek przewidujący przechowywanie danych osobowych może być uzasadniony na podstawie art. 15 ust. 1 dyrektywy 2002/58, interpretowanego w świetle art. 7, 8 i 11 Karty (zob. analogicznie wyrok ETPC z dnia 24 kwietnia 2018 r. w sprawie Benedik przeciwko Słowenii, CE:ECHR:2018:0424JUD006235714, § 109).
74 To w świetle wymogów wynikających w odniesieniu do przechowywania adresów IP ze wspomnianego art. 15 ust. 1, interpretowanego w świetle art. 7, 8 i 11 Karty, należy zatem zbadać, czy ingerencja w prawa podstawowe zapisane w tych ostatnich artykułach Karty, z jaką wiąże się przechowywanie przez dostawców publicznie dostępnych usług łączności elektronicznej danych, do których Hadopi ma prawo dostępu, może być uzasadniona.
75 W tym kontekście należy zauważyć, że zgodnie z orzecznictwem Trybunału, o ile, jak przypomniano w pkt 60 niniejszego wyroku, adresy IP stanowią dane o ruchu w rozumieniu dyrektywy 2002/58, o tyle adresy te należy odróżnić od innych kategorii danych o ruchu i od danych dotyczących lokalizacji.
76 W tym względzie Trybunał zauważył, że adresy IP są generowane bez związku z określonym komunikatem i służą przede wszystkim identyfikowaniu za pośrednictwem dostawców usług łączności elektronicznej właściciela urządzenia końcowego, z którego odbywa się komunikacja przez Internet. I tak w dziedzinie poczty elektronicznej oraz telefonii internetowej, o ile przechowywane są jedynie adresy IP nadawy komunikatu, a nie adresy IP jego odbiorcy, adresy te same w sobie nie ujawniają żadnej informacji na temat osób trzecich, które kontaktowały się z osobą, od której pochodzi komunikat. W tym zakresie ta kategoria danych wykazuje mniejszy stopień wrażliwości niż inne dane o ruchu (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 152).
77 Prawdą jest, że w pkt 156 wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791) Trybunał orzekł, że pomimo stwierdzenia, iż adresy IP wykazują mniejszy stopień wrażliwości, gdy służą wyłącznie do identyfikacji użytkownika usługi łączności elektronicznej, art. 15 ust. 1 dyrektywy 2002/58 stoi na przeszkodzie temu, by uogólnionego i niezróżnicowanego przechowywania samych adresów IP przypisanych do źródła połączenia dokonywano do celów innych niż zwalczanie poważnej przestępczości, zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego lub ochrona bezpieczeństwa narodowego. Aby dojść do takiego wniosku, Trybunał oparł się jednak wprost na poważnym charakterze ingerencji w prawa podstawowe zapisane w art. 7, 8 i 11 Karty, z jaką takie przechowywanie adresów IP może się wiązać.
78 W pkt 153 tego wyroku Trybunał uznał bowiem, że z uwagi na to, iż adresy IP mogą, w szczególności gdy są wykorzystywane do „wyczerpującego prześledzenia poruszania się internauty w sieci”, a w konsekwencji jego aktywności w Internecie, pozwalać na ustalenie jego „szczegółowego profilu”, przechowywanie i analizowanie wspomnianych adresów IP, jakiego takie śledzenie wymaga, stanowi poważną ingerencję w prawa podstawowe osoby, której dane dotyczą, zapisane w art. 7 i 8 Karty, oraz może również wpłynąć zniechęcająco na korzystanie przez użytkowników środków łączności elektronicznej z ich wolności wypowiedzi zagwarantowanej w art. 11 Karty.
79 Należy jednak podkreślić, że nie każde uogólnione i niezróżnicowane przechowywanie zbioru – który może okazać się obszerny – statycznych i dynamicznych adresów IP wykorzystywanych przez daną osobę przez dany okres stanowi w sposób konieczny poważną ingerencję w prawa podstawowe zagwarantowane w art. 7, 8 i 11 Karty.
80 W tym względzie, przede wszystkim, sprawy, w których zapadł wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), dotyczyły uregulowań krajowych, które wiązały się z obowiązkiem przechowywania zbioru danych niezbędnych do określenia daty, godziny, czasu trwania i rodzaju połączenia, wskazania wykorzystanego urządzenia komunikacyjnego, a także ustalenia położenia urządzeń końcowych i zlokalizowania połączeń – danych, które obejmowały w szczególności nazwisko i adres użytkownika, numery telefonu osoby dzwoniącej i osoby, do której dzwoniono, oraz adres IP w przypadku usług internetowych. Co więcej, wydaje się, że w dwóch z tych spraw rozpatrywane uregulowania krajowe obejmowały również dane dotyczące przesyłania komunikatów elektronicznych przez sieci, ponieważ pozwalały one również na określenie charakteru informacji przeglądanych w Internecie (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 82, 83).
81 Przechowywanie adresów IP na podstawie takich uregulowań krajowych mogło zatem – w związku z pozostałymi danymi, których przechowywania owe uregulowania wymagały, oraz z możliwością powiązania tych różnych danych – pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, o których dane chodziło, a tym samym prowadzić do poważnej ingerencji w prawa podstawowe zapisane w art. 7 i 8 Karty, dotyczących ochrony życia prywatnego i danych osobowych tych osób, a także w jej art. 11, dotyczącym ich wolności wypowiedzi.
82 Natomiast nałożony na dostawców usług łączności elektronicznej w drodze środka ustawodawczego na podstawie art. 15 ust. 1 dyrektywy 2002/58 obowiązek zapewnienia uogólnionego i niezróżnicowanego przechowywania adresów IP może być w danym wypadku uzasadniony celem polegającym na zwalczaniu ogółu czynów zabronionych, jeżeli rzeczywiście wykluczono ewentualność wywołania przez owo przechowywanie poważnej ingerencji w życie prywatne osoby, której dane dotyczą, ze względu na możliwość wyciągnięcia precyzyjnych wniosków na temat jej życia prywatnego w szczególności poprzez powiązanie tych adresów IP ze zbiorem danych o ruchu lub danych dotyczących lokalizacji, które również mogły być przez tych dostawców przechowywane.
83 W związku z tym państwo członkowskie, które zamierza nałożyć na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego przechowywania adresów IP, aby osiągnąć cel związany ze zwalczaniem ogółu czynów zabronionych, musi zapewnić, by zasady przechowywania tych danych gwarantowały wykluczenie wszelkiej ewentualności powiązania wspomnianych adresów IP z innymi danymi przechowywanymi z poszanowaniem dyrektywy 2002/58, które pozwalałoby na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane byłyby w ten sposób przechowywane.
84 W celu zapewnienia, aby taka ewentualność powiązania danych pozwalającego na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego danej osoby była wykluczona, zasady przechowywania muszą odnosić się do samej struktury przechowywania, która zasadniczo musi być zorganizowana w taki sposób, aby gwarantować rzeczywiście szczelne odseparowanie poszczególnych kategorii przechowywanych danych.
85 W tym względzie prawdą jest, że to do państwa członkowskiego, które zamierza nałożyć na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego przechowywania adresów IP, aby osiągnąć cel związany ze zwalczaniem ogółu czynów zabronionych, należy ustanowienie w swoim prawie jasnych i precyzyjnych przepisów dotyczących wspomnianych zasad przechowywania, które to zasady muszą spełniać rygorystyczne wymogi. Trybunał może jednak udzielić wskazówek dotyczących tych zasad.
86 W pierwszej kolejności przepisy krajowe, o których mowa w poprzednim punkcie, muszą zapewniać, by każda kategoria danych, w tym dane dotyczące tożsamości cywilnej i adresy IP, była przechowywana w sposób w pełni odseparowany od pozostałych kategorii przechowywanych danych.
87 W drugiej kolejności przepisy te muszą gwarantować, by odseparowanie poszczególnych kategorii przechowywanych danych, w szczególności danych dotyczących tożsamości cywilnej, adresów IP, różnych danych o ruchu innych niż adresy IP i różnych danych dotyczących lokalizacji, było rzeczywiście szczelne z technicznego punktu widzenia dzięki wykorzystaniu bezpiecznego i niezawodnego systemu informatycznego.
88 W trzeciej kolejności, w zakresie, w jakim wspomniane przepisy przewidują możliwość powiązania przechowywanych adresów IP z tożsamością cywilną osoby, której dane dotyczą – z poszanowaniem wymogów wynikających z art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 Karty – muszą one pozwalać na dokonanie takiego powiązania wyłącznie poprzez zastosowanie efektywnego rozwiązania technicznego, które nie wpływa na skuteczność szczelnego odseparowania tych kategorii danych.
89 W czwartej kolejności – niezawodność tego szczelnego odseparowania musi podlegać regularnej kontroli organu publicznego innego niż ten, który ubiega się o dostęp do danych osobowych przechowywanych przez dostawców usług łączności elektronicznej.
90 Pod warunkiem, że we właściwych przepisach krajowych przewidziano takie rygorystyczne wymogi dotyczące zasad uogólnionego i niezróżnicowanego przechowywania adresów IP i innych danych przechowywanych przez dostawców usług łączności elektronicznej, wynikającej z tego przechowywania adresów IP ingerencji nie można – ze względu na samą strukturę owego przechowywania – uznać za „poważną”.
91 W przypadku przyjęcia takiej regulacji prawnej ustalone w ten sposób zasady przechowywania adresów IP wykluczają bowiem możliwość powiązania tych danych z innymi danymi przechowywanymi z poszanowaniem dyrektywy 2002/58, pozwalającego na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osoby, której dane dotyczą.
92 W konsekwencji w przypadku przyjęcia regulacji prawnej odpowiadającej wymogom przedstawionym w pkt 86–89 niniejszego wyroku, gwarantującej, że żadne powiązanie danych nie pozwala na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego danej osoby, art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 Karty nie stoi na przeszkodzie nałożeniu przez dane państwo członkowskie obowiązku uogólnionego i niezróżnicowanego przechowywania adresów IP do celów zwalczania ogółu czynów zabronionych.
93 Wreszcie taka regulacja prawna musi, jak wynika z pkt 168 wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), przewidywać okres przechowywania ograniczony do tego, co ściśle niezbędne, oraz zapewniać za pomocą jasnych i precyzyjnych przepisów, by rozpatrywane przechowywanie danych było uzależnione od spełnienia związanych z nim materialnych i proceduralnych warunków oraz by osoby, których dane dotyczą, dysponowały skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem.
94 Do sądu odsyłającego należy zweryfikowanie, czy uregulowanie krajowe rozpatrywane w postępowaniu głównym spełnia wymogi, o których mowa w pkt 85–93 niniejszego wyroku.
W przedmiocie wymogów związanych z dostępem do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
95 Z orzecznictwa Trybunału wynika, że w dziedzinie zwalczania czynów zabronionych jedynie cele w postaci zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać poważną ingerencję w prawa podstawowe zapisane w art. 7 i 8 Karty, z jaką wiąże się dostęp organów publicznych do zbioru danych o ruchu lub danych dotyczących lokalizacji, które mogą dostarczyć informacji o komunikacji prowadzonej przez użytkownika środka łączności elektronicznej lub o lokalizacji używanych przez niego urządzeń końcowych i umożliwiają wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą, przy czym inne czynniki związane z proporcjonalnością wniosku o udzielenie dostępu, takie jak długość okresu, na jaki wniesiono o dostęp do takich danych, nie mogą skutkować tym, by cel polegający na zapobieganiu ogółowi czynów zabronionych oraz ich dochodzeniu, wykrywaniu i ściganiu mógł uzasadniać taki dostęp [wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 35].
96 Jeżeli natomiast ingerencja w prawa podstawowe zapisane w art. 7 i 8 Karty, z jaką wiąże się dostęp organów publicznych do przechowywanych przez dostawców usług łączności elektronicznej danych dotyczących tożsamości cywilnej, bez możliwości powiązania tych danych z informacjami dotyczącymi prowadzonej komunikacji, nie jest poważna, ponieważ w ujęciu całościowym dane te nie pozwalają na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, o których dane chodzi, wspomniany dostęp może być uzasadniony celem polegającym na zapobieganiu ogółowi czynów zabronionych oraz ich dochodzeniu, wykrywaniu i ściganiu (zob. podobnie wyrok z dnia 2 października 2018 r., Ministerio Fiscal, C‑207/16, EU:C:2018:788, pkt 54, 57, 60).
97 Należy również dodać, że zgodnie z zasadą zapisaną w utrwalonym orzecznictwie Trybunału dostęp do danych o ruchu i danych dotyczących lokalizacji może być uzasadniony na podstawie art. 15 ust. 1 dyrektywy 2002/58 jedynie celem interesu ogólnego, dla którego na dostawców usług łączności elektronicznej nałożono obowiązek ich przechowywania, chyba że dostęp ten jest uzasadniony celem interesu ogólnego o większym znaczeniu. Z zasady tej wynika w szczególności, że nie można w żadnym wypadku udzielić takiego dostępu do celów zwalczania ogółu czynów zabronionych, jeżeli przechowywanie wspomnianych danych było uzasadnione celem zwalczania poważnej przestępczości lub, a fortiori, celem ochrony bezpieczeństwa narodowego (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 166).
98 Natomiast taki cel polegający na zwalczaniu ogółu czynów zabronionych pozwala uzasadnić udzielenie dostępu do danych o ruchu i danych dotyczących lokalizacji przechowywanych w zakresie niezbędnym do sprzedaży usług, do naliczania opłat i do świadczenia usług tworzących wartość dodaną i przez niezbędny do tego okres, na co zezwala art. 6 dyrektywy 2002/58 (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 108, 167).
99 W niniejszym wypadku, w pierwszej kolejności, z uregulowania krajowego rozpatrywanego w postępowaniu głównym wynika, że Hadopi nie ma dostępu do „zbioru danych o ruchu lub danych dotyczących lokalizacji” w rozumieniu orzecznictwa przypomnianego w pkt 95 niniejszego wyroku, wobec czego nie może on co do zasady wyciągać precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą. Otóż dostęp, który nie pozwala na wyciągnięcie takich wniosków, nie stanowi poważnej ingerencji w prawa podstawowe zagwarantowane w art. 7 i 8 Karty.
100 Zgodnie bowiem z owym uregulowaniem i z wyjaśnieniami przedstawionymi w tym względzie przez rząd francuski dostęp udzielany temu organowi publicznemu jest ściśle ograniczony do niektórych danych dotyczących tożsamości cywilnej posiadacza adresu IP i jest dozwolony wyłącznie w celu umożliwienia identyfikacji owego posiadacza podejrzewanego o podjęcie aktywności naruszającej prawa autorskie lub prawa pokrewne, w sytuacji gdy nielegalnie udostępnił on w Internecie chronione utwory do pobrania przez inne osoby. Udzielenie tego dostępu służy, w razie potrzeby, zastosowaniu wobec owego posiadacza jednego z przewidzianych w ramach procedury stopniowej odpowiedzi środków o charakterze pedagogicznym lub represyjnym, które obejmują wysłanie pierwszego i drugiego zalecenia, następnie pisma informującego go, że owa aktywność może stanowić naruszenie w postaci rażącego niedbalstwa, i wreszcie zawiadomienie prokuratury w celu ścigania tego wykroczenia lub występku w postaci naruszenia praw własności intelektualnej.
101 Konieczne jest również, aby wspomniane uregulowanie krajowe przewidywało jasne i precyzyjne przepisy zapewniające, by adresy IP przechowywane z poszanowaniem dyrektywy 2002/58 mogły być wykorzystywane wyłącznie do identyfikacji osoby, której przypisano określony adres IP, przy jednoczesnym wykluczeniu takiego ich wykorzystywania, które pozwalałoby na nadzorowanie, za pomocą jednego takiego adresu lub większej ich liczby, aktywności w Internecie osoby, której dane dotyczą. W przypadku gdy adres IP jest wykorzystywany w ten sposób wyłącznie w celu zidentyfikowania jego posiadacza w ramach konkretnej procedury administracyjnej mogącej prowadzić do wszczęcia przeciwko niemu postępowania karnego, a nie w celach, przykładowo, ujawnienia kontaktów lub lokalizacji owego posiadacza, dostęp do tego adresu wyłącznie w tym celu odnosi się do wspomnianego adresu jako stanowiącego dane dotyczące tożsamości cywilnej, a nie dane o ruchu.
102 Ponadto z zasady zapisanej w utrwalonym orzecznictwie przypomnianym w pkt 97 niniejszego wyroku wynika, że dostęp taki jak ten, z którego korzysta Hadopi na mocy uregulowania krajowego rozpatrywanego w postępowaniu głównym – z uwagi na to, że służy on zwalczaniu ogółu czynów zabronionych – może być uzasadniony tylko wtedy, gdy dotyczy adresów IP, które muszą być przechowywane przez dostawców usług łączności elektronicznej w tym właśnie celu, a nie do celów o większym znaczeniu, takich jak zwalczanie poważnej przestępczości, wszakże bez uszczerbku dla dostępu uzasadnionego takim celem polegającym na zwalczaniu ogółu czynów zabronionych, gdy dotyczy on adresów IP przechowywanych na warunkach określonych w art. 6 dyrektywy 2002/58.
103 Co więcej, jak wynika z pkt 85–92 niniejszego wyroku, przechowywanie adresów IP oparte na środku ustawodawczym na podstawie art. 15 ust. 1 dyrektywy 2002/58 do celów zwalczania ogółu czynów zabronionych może być uzasadnione, jeżeli określone w danej regulacji prawnej zasady tego przechowywania spełniają szereg wymogów mających w istocie zapewnić rzeczywiście szczelne odseparowanie poszczególnych kategorii przechowywanych danych, w taki sposób, że powiązanie danych należących do różnych kategorii jest rzeczywiście wykluczone. W przypadku bowiem gdy dostawcy usług łączności elektronicznej muszą przestrzegać takich zasad przechowywania, uogólnione i niezróżnicowane przechowywanie adresów IP nie stanowi poważnej ingerencji w życie prywatne ich posiadaczy, ponieważ dane te nie pozwalają na wyciągnięcie precyzyjnych wniosków na temat ich życia prywatnego.
104 W związku z tym, w świetle orzecznictwa przypomnianego w pkt 95–97 niniejszego wyroku, w przypadku gdy wprowadzono taką regulację prawną, dostęp do adresów IP przechowywanych do celów zwalczania ogółu czynów zabronionych może być uzasadniony na podstawie art. 15 ust. 1 dyrektywy 2002/58, jeżeli dostęp ten jest dozwolony wyłącznie w celu zidentyfikowania osoby podejrzewanej o udział w takich czynach.
105 Co więcej, zezwolenie organowi publicznemu takiemu jak Hadopi na uzyskanie dostępu do danych dotyczących tożsamości cywilnej odpowiadających publicznemu adresowi IP przekazanemu mu przez organizacje zrzeszające uprawnionych wyłącznie w celu zidentyfikowania posiadacza tego adresu wykorzystanego do aktywności w Internecie mogącej naruszać prawa autorskie lub prawa pokrewne, aby zastosować wobec niego jeden ze środków przewidzianych w ramach procedury stopniowej odpowiedzi, jest zgodne z orzecznictwem Trybunału dotyczącym „prawa do informacji” w kontekście postępowania sądowego dotyczącego naruszenia prawa własności intelektualnej, o którym mowa w art. 8 dyrektywy 2004/48 (zob. podobnie wyrok z dnia 29 stycznia 2008 r., Promusicae, C‑275/06, EU:C:2008:54, pkt 47 i nast.).
106 W ramach tego orzecznictwa Trybunał, podkreślając, że stosowanie środków przewidzianych w dyrektywie 2004/48 nie może negatywnie wpływać na RODO ani na dyrektywę 2002/58, orzekł bowiem, że art. 8 ust. 3 dyrektywy 2004/48 w związku z art. 15 ust. 1 dyrektywy 2002/58 i art. 7 lit. f) dyrektywy 95/46 nie stoi na przeszkodzie ustanowieniu przez państwa członkowskie obejmującego dostawców usług łączności elektronicznej obowiązku przekazania osobom prywatnym danych osobowych, tak aby umożliwić im wnoszenie do sądów cywilnych powództw o naruszenie praw autorskich, lecz nie nakłada też na te państwa zobowiązania do ustanowienia takiego obowiązku (zob. podobnie wyrok z dnia 17 czerwca 2021 r., M.I.C.M., C‑597/19, EU:C:2021:492, pkt 124, 125 i przytoczone tam orzecznictwo).
107 Poczyniwszy powyższe uwagi, należy w drugiej kolejności zauważyć, że przy dokonywaniu konkretnej oceny stopnia ingerencji w życie prywatne, z jaką wiąże się dostęp organu publicznego do danych osobowych, nie można pominąć szczególnego kontekstu, w którym dostęp ten ma miejsce, a w szczególności wszystkich danych i informacji przekazanych temu organowi na mocy właściwego uregulowania krajowego, w tym istniejących wcześniej danych i informacji ujawniających treść (zob. analogicznie wyrok ETPC z dnia 24 kwietnia 2018 r. w sprawie Benedik przeciwko Słowenii, CE:ECHR:2018:0424JUD006235714, § 109).
108 W niniejszym wypadku przy dokonywaniu wspomnianej oceny należy zatem uwzględnić okoliczność, że przed dostępem do rozpatrywanych danych dotyczących tożsamości cywilnej, z którego korzysta Hadopi, organ ten zgodnie z pkt 1 załącznika do dekretu nr 2010‑236 otrzymuje od organizacji zrzeszających uprawnionych w szczególności „informacje dotyczące utworów lub przedmiotów objętych ochroną, których zdarzenia dotyczą”, oraz, „w stosownych przypadkach”, „nazwę pliku znajdującego się na urządzeniu abonenta”.
109 Z akt sprawy, którymi dysponuje Trybunał, wynika – z zastrzeżeniem wszakże weryfikacji przez sąd odsyłający – że informacje o danym utworze odnotowywane w protokole, którego treść regulują uchwały CNIL z dnia 10 czerwca 2010 r., ograniczają się zasadniczo do tytułu danego utworu oraz do wycinka o nazwie „chunk”, mającego postać ciągu alfanumerycznego, nie zaś nagrania audio lub wideo utworu.
110 W tym względzie prawdą jest, że nie można w sposób ogólny wykluczyć, że dostęp organu publicznego do ograniczonej liczby danych dotyczących tożsamości cywilnej posiadacza adresu IP przekazanego mu przez dostawcę usług łączności elektronicznej wyłącznie w celu zidentyfikowania tego posiadacza, w przypadku gdy adres ten wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne, w połączeniu z analizą informacji, choćby o ograniczonym zakresie, na temat treści utworu nielegalnie udostępnionego w Internecie, które zostały mu wcześniej przekazane przez organizacje zrzeszające uprawnionych, może skutkować uzyskaniem przez ten organ publiczny informacji na temat pewnych aspektów życia prywatnego wspomnianego posiadacza, w tym informacji wrażliwych, takich jak te dotyczące orientacji seksualnej, poglądów politycznych, przekonań religijnych, filozoficznych, społecznych lub innych, jak również stanu zdrowia, zaś takie dane korzystają ponadto ze szczególnej ochrony w prawie Unii.
111 Jednakże w niniejszym wypadku mające ograniczony zakres dane i informacje, którymi dysponuje Hadopi, zważywszy na ich charakter, jedynie w nietypowych sytuacjach mogłyby prowadzić do ujawnienia informacji, potencjalnie wrażliwych, na temat pewnych aspektów życia prywatnego danej osoby, które to informacje, rozpatrywane we wzajemnym powiązaniu, mogłyby pozwolić temu organowi publicznemu na wyciągnięcie precyzyjnych wniosków na temat jej życia prywatnego, na przykład poprzez ustalenie jej szczegółowego profilu.
112 Mogłoby to w szczególności dotyczyć osoby, której adres IP wykorzystywano do aktywności naruszającej prawa autorskie lub prawa pokrewne w sieciach peer‑to‑peer wielokrotnie, czy wręcz na dużą skalę, w związku z chronionymi utworami określonego rodzaju, które można połączyć na podstawie zawartych w ich tytule słów mogących ujawniać informacje, potencjalnie wrażliwe, na temat pewnych aspektów jej życia prywatnego.
113 Niemniej jednak szereg czynników wskazuje na to, że w niniejszym wypadku stopień ingerencji w życie prywatne osoby podejrzewanej o podjęcie aktywności naruszającej prawa autorskie lub prawa pokrewne, na którą to ingerencję pozwala uregulowanie takie jak to rozpatrywane w postępowaniu głównym, niekoniecznie jest wysoki. Przede wszystkim zgodnie z owym uregulowaniem dostęp Hadopi do rozpatrywanych danych osobowych jest zarezerwowany dla ograniczonej liczby upoważnionych i zaprzysiężonych urzędników tego organu publicznego, który stosownie do art. L. 331‑12 CPI posiada ponadto status organu niezależnego. Co więcej, wyłącznym celem dostępu do tych danych jest zidentyfikowanie osoby podejrzewanej o podjęcie aktywności naruszającej prawa autorskie lub prawa pokrewne w przypadku stwierdzenia, że chroniony utwór został nielegalnie udostępniony przy wykorzystaniu jej dostępu do Internetu. Wreszcie dostęp Hadopi do rozpatrywanych danych osobowych jest ściśle ograniczony do danych niezbędnych do tego celu (zob. analogicznie wyrok ETPC z dnia 17 października 2019 r. w sprawie López Ribalda i in. przeciwko Hiszpanii, CE:ECHR:2019:1017JUD000187413, § 126, 127).
114 Kolejny czynnik mogący jeszcze bardziej zmniejszać stopień wynikającej z tego dostępu Hadopi ingerencji w prawa podstawowe do ochrony życia prywatnego i danych osobowych, który wydaje się wynikać z akt sprawy, którymi dysponuje Trybunał, lecz którego zweryfikowanie należy do sądu odsyłającego, ma związek z okolicznością, że na mocy właściwego uregulowania krajowego na urzędnikach Hadopi, którzy mają dostęp do odnośnych danych i informacji, spoczywa obowiązek zachowania poufności, który przekłada się na zakaz ujawniania tych danych i informacji w jakiejkolwiek formie, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, oraz wykorzystywania ich do celów innych niż zidentyfikowanie posiadacza adresu IP podejrzewanego o podjęcie aktywności naruszającej prawa autorskie lub prawa pokrewne, aby zastosować wobec niego jeden ze środków przewidzianych w ramach procedury stopniowej odpowiedzi (zob. analogicznie wyrok ETPC z dnia 17 grudnia 2009 r. w sprawie Gardel przeciwko Francji, CE:ECHR:2009:1217JUD001642805, § 70).
115 W związku z tym o ile uregulowanie krajowe spełnia warunki przypomniane w pkt 101 niniejszego wyroku, adresy IP przekazywane organowi publicznemu takiemu jak Hadopi nie umożliwiają prześledzenia historii treści przeglądanych przez ich posiadaczy, co zdaje się potwierdzać poczynione stwierdzenie, zgodnie z którym ingerencji, z jaką wiąże się dostęp tego organu do danych identyfikacyjnych rozpatrywanych w postępowaniu głównym, nie można uznać za poważną.
116 W trzeciej kolejności należy przypomnieć, że – do celów niezbędnego pogodzenia wchodzących w grę praw i interesów, jakiego należy dokonać w związku z wymogiem proporcjonalności określonym w art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 – chociaż wolność wypowiedzi i poufność danych osobowych są kwestiami o fundamentalnym znaczeniu, a użytkownicy usług telekomunikacyjnych i internetowych powinni mieć gwarancję, że ich prywatność oraz wolność wypowiedzi będą respektowane, to jednak owe prawa podstawowe nie mają charakteru absolutnego. Przy dokonywaniu wyważenia wchodzących w grę praw i interesów muszą one bowiem niekiedy ustąpić przed innymi prawami podstawowymi i nadrzędnymi względami interesu ogólnego, takimi jak ochrona porządku publicznego, zapobieganie czynom zabronionym czy ochrona praw i wolności innych osób. Jest tak zwłaszcza w przypadku, gdy nadrzędna rola przypisywana owym kwestiom o fundamentalnym znaczeniu mogłaby prowadzić do ograniczenia skuteczności dochodzenia karnego, w szczególności poprzez uniemożliwienie lub nadmierne utrudnienie skutecznej identyfikacji sprawcy czynu zabronionego i nałożenia na niego kary (zob. analogicznie wyrok ETPC z dnia 2 marca 2009 r. w sprawie K.U. przeciwko Finlandii, CE:ECHR:2008:1202JUD000287202, § 49).
117 W tym kontekście należy wziąć pod uwagę, że jak orzekł już Trybunał, w przypadku czynów zabronionych popełnianych w Internecie dostęp do adresów IP może stanowić jedyny środek dochodzeniowy umożliwiający skuteczne ustalenie tożsamości osoby, której adres ten był przypisany w chwili popełnienia tego czynu zabronionego (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 154).
118 Okoliczność ta skłania do stwierdzenia, jak zauważył również w istocie rzecznik generalny w pkt 59 opinii z dnia 28 września 2023 r., że przechowywanie tych adresów i dostęp do nich są – w zakresie zwalczania czynów zabronionych takich jak te naruszające prawa autorskie lub prawa pokrewne, do których dochodzi w Internecie – ściśle niezbędne do osiągnięcia zamierzonego celu, a zatem spełniają wymóg proporcjonalności określony w art. 15 ust. 1 dyrektywy 2002/58 w świetle jej motywu 11 oraz art. 52 ust. 2 Karty.
119 Jak podkreślił w istocie rzecznik generalny w pkt 78–80 opinii z dnia 27 października 2022 r. oraz w pkt 80 i 81 opinii z dnia 28 września 2023 r., nieumożliwienie takiego dostępu wiązałoby się ponadto z rzeczywistym ryzykiem systemowej bezkarności nie tylko w zakresie czynów zabronionych naruszających prawa autorskie lub prawa pokrewne, lecz również w zakresie innych rodzajów czynów zabronionych, które popełniono w Internecie bądź których popełnienie lub do których przygotowanie ułatwiają szczególne cechy Internetu. Otóż istnienie takiego ryzyka stanowi okoliczność istotną dla oceny, w ramach dokonywania wyważenia różnych wchodzących w grę praw i interesów, czy dana ingerencja w prawa zagwarantowane w art. 7, 8 i 11 Karty jest środkiem proporcjonalnym w świetle celu polegającego na zwalczaniu czynów zabronionych.
120 Prawdą jest, że dostęp organu publicznego takiego jak Hadopi do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP, z którego dopuszczono się czynu zabronionego w Internecie, niekoniecznie jest jedynym możliwym środkiem dochodzeniowym służącym zidentyfikowaniu osoby będącej posiadaczem tego adresu w chwili dopuszczenia się owego czynu zabronionego. Taką identyfikację mogłoby bowiem również a priori umożliwić prześledzenie całej aktywności w Internecie osoby, której dane dotyczą, w szczególności przeanalizowanie „śladów”, jakie osoba ta mogła pozostawić w sieciach społecznościowych, takich jak użyty w tych sieciach identyfikator lub jej dane kontaktowe.
121 Jednakże, jak zauważył rzecznik generalny w pkt 83 opinii z dnia 28 września 2023 r., taki środek dochodzeniowy byłby szczególnie inwazyjny, ponieważ mógłby prowadzić do ujawnienia precyzyjnych informacji na temat życia prywatnego osób, których dane dotyczą. Wiązałby się on zatem dla tych osób z poważniejszą ingerencją w prawa zagwarantowane w art. 7, 8 i 11 Karty niż ingerencja wynikająca z uregulowania takiego jak to rozpatrywane w postępowaniu głównym.
122 Z powyższego wynika, że art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że co do zasady nie stoi on na przeszkodzie uregulowaniu krajowemu zezwalającemu organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych i przechowywanych przez dostawców usług łączności elektronicznej w sposób odseparowany i rzeczywiście szczelny, wyłącznie w tym celu, aby ów organ publiczny mógł zidentyfikować posiadaczy tych adresów podejrzewanych o dopuszczenie się tych naruszeń i aby mógł on w razie potrzeby zastosować wobec nich środki. W takim przypadku właściwe uregulowanie krajowe musi zakazywać urzędnikom mającym taki dostęp, po pierwsze, ujawniania w jakiejkolwiek formie informacji na temat zawartości plików przeglądanych przez tych posiadaczy, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, po drugie, wszelkiego śledzenia historii treści przeglądanych przez owych posiadaczy, oraz po trzecie, wykorzystywania tych adresów IP do celów innych niż zastosowanie owych środków.
W przedmiocie wymogu dokonania kontroli przez sąd lub niezależny organ administracyjny przed uzyskaniem przez organ publiczny dostępu do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
123 Powstaje jednak pytanie, czy dostęp organu publicznego do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP musi być ponadto uzależniony od dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny.
124 W tym względzie Trybunał orzekł, że w celu zagwarantowania w praktyce pełnej zgodności z warunkami, które państwa członkowskie mają obowiązek przewidzieć, aby zapewnić, że dostęp będzie ograniczony do tego, co ściśle niezbędne, „ważne” jest, aby dostęp właściwych organów krajowych do danych o ruchu i danych dotyczących lokalizacji był uzależniony od dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny [zob. podobnie wyroki: z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in., C‑203/15 i C‑698/15, EU:C:2016:970, pkt 120; z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 189; z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 51; a także z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 106].
125 Ta uprzednia kontrola wymaga, po pierwsze, aby sąd lub niezależny organ administracyjny odpowiedzialny za jej przeprowadzenie dysponował wszelkimi uprawnieniami i gwarancjami niezbędnymi do pogodzenia różnych wchodzących w grę uzasadnionych interesów i praw. Jeśli chodzi w szczególności o dochodzenie karne, taka kontrola wymaga, aby ten sąd lub organ był w stanie zapewnić właściwą równowagę pomiędzy z jednej strony uzasadnionymi interesami związanymi z potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 107 i przytoczone tam orzecznictwo).
126 Po drugie, jeżeli kontrola ta jest dokonywana nie przez sąd, lecz przez niezależny organ administracyjny, organ ten musi posiadać status pozwalający mu działać w wykonywaniu swoich obowiązków w sposób obiektywny i bezstronny i w tym celu powinien on pozostawać poza jakimkolwiek wpływem z zewnątrz. A zatem wymóg niezależności, który powinien spełniać organ odpowiedzialny za przeprowadzenie uprzedniej kontroli, wiąże się z tym, że organ ten musi mieć status strony trzeciej w stosunku do organu wnoszącego o udzielenie dostępu do danych, tak aby ten pierwszy był w stanie przeprowadzić tę kontrolę w sposób obiektywny i bezstronny, poza jakimkolwiek wpływem z zewnątrz. W szczególności w dziedzinie prawa karnego wymóg niezależności oznacza, że organ odpowiedzialny za tę uprzednią kontrolę, primo, nie jest zaangażowany w prowadzenie danego dochodzenia karnego, oraz secundo, zajmuje neutralną pozycję wobec stron postępowania karnego (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 108 i przytoczone tam orzecznictwo).
127 Po trzecie, niezależna kontrola wymagana zgodnie z art. 15 ust. 1 dyrektywy 2002/58 powinna mieć miejsce przed uzyskaniem wszelkiego dostępu do odnośnych danych, z wyjątkiem pilnych i należycie uzasadnionych przypadków, w których powinna ona nastąpić w krótkim czasie. Późniejsza kontrola nie pozwala bowiem osiągnąć celu uprzedniej kontroli, polegającego na uniemożliwieniu udzielania zezwoleń na dostęp do rozpatrywanych danych, który wykraczałby poza granice tego, co ściśle niezbędne (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 110).
128 Niemniej jednak, o ile, jak wynika z orzecznictwa przypomnianego w pkt 124 niniejszego wyroku, Trybunał uznał, że „ważne” jest, aby dostęp właściwych organów krajowych do danych o ruchu i danych dotyczących lokalizacji był uzależniony od dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny, o tyle orzecznictwo to ukształtowało się w kontekście środków krajowych zezwalających, do celów związanych ze zwalczaniem poważnej przestępczości, na ogólny dostęp do wszystkich przechowywanych danych o ruchu i danych dotyczących lokalizacji, niezależnie od jakiegokolwiek, choćby pośredniego, związku z zamierzonym celem, które to środki wiązały się zatem z poważnymi, a nawet „szczególnie poważnymi” ingerencjami w odnośne prawa podstawowe.
129 Natomiast w odniesieniu do warunków, w jakich dostęp do danych dotyczących tożsamości cywilnej może być uzasadniony na podstawie art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 Karty, Trybunał nie wspomniał wprost o wymogu takiej uprzedniej kontroli [zob. podobnie wyroki: z dnia 2 października 2018 r., Ministerio Fiscal, C‑207/16, EU:C:2018:788, pkt 59, 60, 62; z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 157, 158; a także z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 34].
130 Otóż z orzecznictwa Trybunału dotyczącego zasady proporcjonalności, której art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 wymaga poszanowania – zwłaszcza tego orzecznictwa, stosownie do którego możliwość uzasadnienia przez państwa członkowskie ograniczenia praw i obowiązków przewidzianych w szczególności w art. 5, 6 i 9 tej dyrektywy należy oceniać, badając wagę ingerencji w prawa podstawowe zapisane w art. 7, 8 i 11 Karty, z jaką takie ograniczenie się wiąże, oraz sprawdzając, czy znaczenie celu interesu ogólnego, do którego zmierza to ograniczenie, pozostaje w relacji do tej wagi (wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 131) – wynika, że stopień ingerencji w odnośne prawa podstawowe, z jaką dostęp do rozpatrywanych danych osobowych się wiąże, a także stopień wrażliwości tych danych, również powinny mieć wpływ na gwarancje materialne i proceduralne, jakie muszą temu dostępowi towarzyszyć, do których należy wymóg uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
131 W związku z tym, uwzględniając wspomnianą zasadę proporcjonalności, należy uznać, że wymóg dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny znajduje zastosowanie, gdy w kontekście uregulowania krajowego przewidującego dostęp organu publicznego do danych osobowych dostęp ten wiąże się z ryzykiem poważnej ingerencji w prawa podstawowe osoby, której dane dotyczą, w tym znaczeniu, że mógłby on pozwolić temu organowi publicznemu na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tej osoby i, w stosownych przypadkach, na ustalenie jej szczegółowego profilu.
132 Ów wymóg uprzedniej kontroli nie ma natomiast zastosowania, gdy ingerencji w odnośne prawa podstawowe, z jaką dostęp organu publicznego do danych osobowych się wiąże, nie można uznać za poważną.
133 Jest tak w przypadku dostępu do danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej wyłącznie w celu zidentyfikowania danego użytkownika, bez możliwości powiązania tych danych z informacjami dotyczącymi prowadzonej komunikacji, ponieważ zgodnie z orzecznictwem Trybunału ingerencji, z jaką takie przetwarzanie wspomnianych danych się wiąże, nie można co do zasady uznać za poważną (zob. podobnie wyrok z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 157, 158).
134 Wynika stąd, że w razie wprowadzenia mechanizmu przechowywania takiego jak ten opisany w pkt 86–89 niniejszego wyroku dostęp organu publicznego do przechowywanych w ten sposób danych dotyczących tożsamości cywilnej odpowiadających adresom IP co do zasady nie jest uzależniony od wymogu uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
135 Niemniej jednak, jak zauważono już w pkt 110 i 111 niniejszego wyroku, nie można wykluczyć, że w nietypowych sytuacjach mające ograniczony zakres dane i informacje udostępnione organowi publicznemu w ramach procedury takiej jak procedura stopniowej odpowiedzi rozpatrywana w postępowaniu głównym mogą prowadzić do ujawnienia informacji, potencjalnie wrażliwych, na temat pewnych aspektów życia prywatnego osoby, której dane dotyczą, które to informacje, rozpatrywane we wzajemnym powiązaniu, mogłyby pozwolić temu organowi publicznemu na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tej osoby i, w stosownych przypadkach, na ustalenie jej szczegółowego profilu.
136 Jak wynika z pkt 112 niniejszego wyroku, takie ryzyko dla życia prywatnego może wystąpić w szczególności wtedy, gdy dana osoba podejmuje aktywność naruszającą prawa autorskie lub prawa pokrewne w sieciach peer‑to‑peer wielokrotnie, czy wręcz na dużą skalę, w związku z chronionymi utworami określonego rodzaju, które można połączyć na podstawie zawartych w ich tytule słów mogących ujawniać informacje, potencjalnie wrażliwe, na temat jej życia prywatnego.
137 A zatem w niniejszym wypadku w ramach procedury administracyjnej stopniowej odpowiedzi posiadacz adresu IP może być szczególnie narażony na takie ryzyko dla jego życia prywatnego wtedy, gdy procedura ta osiągnie etap, na którym Hadopi ma podjąć decyzję o ewentualnym zawiadomieniu prokuratury w celu ścigania tego posiadacza w związku z czynami, które mogą stanowić wykroczenie w postaci rażącego niedbalstwa lub występek w postaci naruszenia praw własności intelektualnej.
138 Wniesienie owego zawiadomienia zakłada bowiem, że do posiadacza adresu IP skierowano już dwa zalecenia i pismo informujące go, że jego aktywność może być przedmiotem ścigania, a środki te oznaczają, że Hadopi za każdym razem miał dostęp do danych dotyczących tożsamości cywilnej owego posiadacza, którego adres IP wykorzystano do aktywności naruszającej prawa autorskie lub prawa pokrewne, a także do związanego z owym utworem pliku zawierającego zwłaszcza jego tytuł.
139 Otóż nie można wykluczyć, że rozpatrywane we wzajemnym powiązaniu i w miarę przebiegu procedury administracyjnej stopniowej odpowiedzi dane przekazane w ten sposób na poszczególnych etapach tej procedury mogą prowadzić do ujawnienia zbieżnych i potencjalnie wrażliwych informacji na temat pewnych aspektów życia prywatnego osoby, której dane dotyczą, pozwalających, w stosownych przypadkach, na ustalenie jej profilu.
140 Intensywność naruszenia prawa do poszanowania życia prywatnego może zatem wzrastać w miarę osiągania przez procedurę stopniowej odpowiedzi, która przebiega w trybie sekwencyjnym, poszczególnych etapów, które się na nią składają.
141 W niniejszym wypadku dostęp Hadopi do wszystkich zgromadzonych na poszczególnych etapach tej procedury danych osoby, której one dotyczą, może, poprzez powiązanie tych danych, pozwolić na wyciągnięcie precyzyjnych wniosków na temat jej życia prywatnego. W związku z tym uregulowanie krajowe powinno również przewidywać, że na pewnym etapie procedury takiej jak procedura stopniowej odpowiedzi rozpatrywana w postępowaniu głównym sąd lub niezależny organ administracyjny dokonują uprzedniej kontroli, spełniającej warunki przypomniane w pkt 125–127 niniejszego wyroku, aby wykluczyć ryzyko nieproporcjonalnej ingerencji w prawa podstawowe do ochrony życia prywatnego i danych osobowych osoby, której one dotyczą. Oznacza to, że w praktyce taka kontrola powinna mieć miejsce, zanim Hadopi będzie mógł powiązać uzyskane od dostawcy usług łączności elektronicznej dane dotyczące tożsamości cywilnej danej osoby odpowiadające adresowi IP, do której skierowano już dwa zalecenia, z plikiem związanym z utworem, który udostępniono w Internecie do pobrania przez inne osoby. Wobec tego wspomniana kontrola powinna mieć miejsce przed ewentualnym wysłaniem pisma informującego, o którym mowa w art. R. 331‑40 CPI i w którym stwierdza się, że osoba ta dopuściła się czynów mogących stanowić naruszenie w postaci rażącego niedbalstwa. Dopiero po przeprowadzeniu przez sąd lub niezależny organ administracyjny takiej uprzedniej kontroli i udzieleniu przez ten sąd lub organ zezwolenia Hadopi będzie mógł wystosować takie pismo, a następnie, w stosownym wypadku, zawiadomić prokuraturę w celu ścigania tego naruszenia.
142 Hadopi powinien mieć możliwość zidentyfikowania przypadków, w których posiadacz danego adresu IP osiąga ten trzeci etap owej procedury stopniowej odpowiedzi. W związku z tym procedura ta powinna być zorganizowana i ustrukturyzowana w taki sposób, aby uzyskane od dostawców usług łączności elektronicznej dane dotyczące tożsamości cywilnej danej osoby odpowiadające zebranym wcześniej w Internecie adresom IP nie mogły być przez osoby odpowiedzialne w ramach Hadopi za analizę zdarzeń automatycznie powiązane z plikami zawierającymi elementy umożliwiające poznanie tytułów utworów chronionych, których udostępnienie w Internecie uzasadniało ich zebranie.
143 Dokonanie owego powiązania na potrzeby trzeciego etapu stopniowej odpowiedzi należy zatem zawiesić, gdy gromadzenie wspomnianych danych dotyczących tożsamości cywilnej odpowiadające przypadkowi możliwego drugiego ponowienia aktywności naruszającej prawa autorskie lub prawa pokrewne uruchamia wymóg dokonania uprzedniej kontroli przez sąd lub niezależny organ administracyjny, opisany w pkt 141 niniejszego wyroku.
144 Ponadto ukształtowanie wymogu uprzedniej kontroli, o której mowa w pkt 141–143 niniejszego wyroku, w ten sposób, że jest ona ograniczona do trzeciego etapu procedury stopniowej odpowiedzi i nie ma zastosowania do jej wcześniejszych etapów, pozwala również uwzględnić argument, zgodnie z którym konieczne jest utrzymanie wykonalności tej procedury, którą cechuje – zwłaszcza na etapach poprzedzających ewentualne wysłanie pisma informującego i, w stosownym wypadku, zawiadomienie prokuratury – ogromna liczba wniosków organu publicznego o udzielenie dostępu wynikająca z równie istotnej liczby protokołów przekazywanych mu przez organizacje zrzeszające uprawnionych.
145 Następnie, co się tyczy przedmiotu uprzedniej kontroli, o której mowa w pkt 141–143 niniejszego wyroku, z orzecznictwa przypomnianego w pkt 95 i 96 tego wyroku wynika, że w przypadku gdy osobę, której dane dotyczą, podejrzewa się o to, że dopuściła się zdefiniowanego w art. R. 335‑5 CPI naruszenia w postaci „rażącego niedbalstwa”, należącego do czynów zabronionych w ujęciu ogólnym, sąd lub niezależny organ administracyjny odpowiedzialny za tę kontrolę musi odmówić dostępu, gdyby dostęp ten pozwalał organowi publicznemu, który zawnioskował o jego udzielenie, na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby.
146 Należy natomiast dopuścić możliwość udzielenia nawet takiego dostępu, który pozwala na wyciągnięcie takich precyzyjnych wniosków, w przypadku gdy okoliczności podane do wiadomości tego sądu lub niezależnego organu administracyjnego dają podstawę do tego, by podejrzewać, że osoba, której dane dotyczą, dopuściła się występku w postaci naruszenia praw własności intelektualnej, o którym mowa w art. L. 335‑2 CPI względnie w art. L. 335‑4 tego kodeksu, zważywszy, że państwo członkowskie może uznać, iż taki występek – jako że narusza jeden z podstawowych interesów społeczeństwa – należy do form poważnej przestępczości.
147 Wreszcie, co się tyczy trybu tej uprzedniej kontroli, rząd francuski uważa, że ze względu na szczególne cechy dostępu Hadopi do rozpatrywanych danych, a w szczególności na jego masowy charakter, uprzednia kontrola, gdyby była wymagana, powinna być w pełni zautomatyzowana. Wspomniany rząd wskazuje, że taka kontrola, która ma charakter czysto obiektywny, ma bowiem głównie na celu sprawdzenie, czy skierowany do Hadopi protokół zawiera wszystkie wymagane informacje i dane, a organ ten nie dokonuje ich oceny.
148 Jednakże uprzednia kontrola w żadnym razie nie może być w pełni zautomatyzowana, ponieważ – jak wynika z orzecznictwa przypomnianego w pkt 125 niniejszego wyroku – w odniesieniu do dochodzenia karnego taka kontrola w każdym wypadku wymaga, aby dany sąd lub niezależny organ administracyjny był w stanie zapewnić właściwą równowagę pomiędzy z jednej strony uzasadnionymi interesami związanymi z potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane.
149 Takie wyważenie różnych wchodzących w grę uzasadnionych interesów i praw wymaga bowiem udziału osoby fizycznej, który jest tym bardziej niezbędny, że zautomatyzowanie i duża skala rozpatrywanego przetwarzania danych wiążą się z ryzykiem dla życia prywatnego.
150 Co więcej, kontrola w pełni zautomatyzowana nie może co do zasady zapewnić, że dostęp nie będzie wykraczał poza granice tego, co ściśle niezbędne, i że osoby, o których dane osobowe chodzi, będą dysponowały skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem.
151 O ile zatem zautomatyzowane kontrole mogą umożliwić sprawdzenie niektórych informacji zawartych w protokołach organizacji zrzeszających uprawnionych, o tyle kontrolom tym muszą w każdym wypadku towarzyszyć kontrole przeprowadzane przez osoby fizyczne, pod każdym względem spełniające wymogi przypomniane w pkt 125–127 niniejszego wyroku.
W przedmiocie wymogów dotyczących warunków materialnych i proceduralnych oraz gwarancji chroniących przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem, wiążących się z dostępem organu publicznego do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP
152 Z orzecznictwa Trybunału wynika, że dostęp do danych osobowych może być zgodny z wymogiem proporcjonalności określonym w art. 15 ust. 1 dyrektywy 2002/58 tylko wtedy, gdy zezwalający na niego środek ustawodawczy zawiera jasne i precyzyjne przepisy, które przewidują, że ów dostęp jest uzależniony od spełnienia związanych z nim materialnych i proceduralnych warunków oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem takiego dostępu do tych danych lub takiego ich wykorzystywania, które nosiłyby znamiona nadużycia lub byłyby niezgodne z prawem [zob. podobnie wyroki: z dnia 6 października 2020 r., La Quadrature du Net i in., C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 132, 173; a także z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 49 i przytoczone tam orzecznictwo].
153 Jak podkreślił Trybunał, konieczność dysponowania takimi gwarancjami jest istotna jeszcze bardziej wówczas, gdy dane osobowe są przetwarzane w sposób zautomatyzowany (wyrok z dnia 16 lipca 2020 r., Facebook Ireland i Schrems, C‑311/18, EU:C:2020:559, pkt 176 i przytoczone tam orzecznictwo).
154 W tym względzie, w odpowiedzi na zadane przez Trybunał w związku z rozprawą z dnia 5 lipca 2022 r. pytanie, rząd francuski potwierdził, że – jak wynika zresztą z art. L. 331‑29 CPI – dostęp Hadopi do danych dotyczących tożsamości cywilnej w ramach procedury stopniowej odpowiedzi wiąże się z przetwarzaniem danych, które jest zasadniczo zautomatyzowane, co wynika z ogromnej liczby naruszeń praw własności intelektualnej w sieciach peer‑to‑peer stwierdzanych przez organizacje zrzeszające uprawnionych, których ustalenia są przekazywane Hadopi w formie protokołów.
155 Z akt sprawy, którymi dysponuje Trybunał, wynika w szczególności, że w ramach tego przetwarzania danych urzędnicy Hadopi sprawdzają w sposób zasadniczo zautomatyzowany, nie dokonując oceny rozpatrywanych czynów jako takich, czy przekazane temu organowi protokoły zawierają wszystkie informacje i dane wymienione w pkt 1 załącznika do dekretu nr 2010‑236, w szczególności informacje o odnośnym nielegalnym udostępnieniu w Internecie i wykorzystane w tym celu adresy IP. Otóż takiemu przetwarzaniu muszą towarzyszyć kontrole przeprowadzane przez osoby fizyczne.
156 Z uwagi na to, że takie zautomatyzowane przetwarzanie może wiązać się z pewną liczbą „fałszywych alarmów” oraz, przede wszystkim, z ryzykiem niewłaściwego wykorzystania przez osoby trzecie potencjalnie bardzo dużej ilości danych osobowych w celach noszących znamiona nadużycia lub niezgodnych z prawem, ważne jest, by środek ustawodawczy przewidywał, że system przetwarzania danych wykorzystywany przez organ publiczny będzie podlegał w regularnych odstępach czasu kontroli niezależnego organu mającego status strony trzeciej w stosunku do tego organu publicznego, mającej na celu weryfikację integralności systemu – w tym skutecznych gwarancji chroniących przed ryzykiem nadużyć oraz przed wszelkim niezgodnym z prawem dostępem do tych danych i wszelkim niezgodnym z prawem ich wykorzystywaniem, które to gwarancje system ten musi zapewniać – oraz jego skuteczności i niezawodności w wykrywaniu uchybień, które w razie ponowienia mogłyby zostać uznane za rażące niedbalstwo lub naruszenie praw własności intelektualnej.
157 Wreszcie należy dodać, że przetwarzanie danych osobowych przez organ publiczny, takie jak to, którego dokonuje Hadopi w ramach procedury stopniowej odpowiedzi, musi być zgodne z dotyczącymi ochrony tych danych przepisami szczególnymi przewidzianymi w dyrektywie 2016/680, której celem jest, stosownie do jej art. 1, ustanowienie przepisów o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
158 W niniejszym wypadku należy bowiem uznać, że Hadopi – nawet jeżeli na podstawie właściwego prawa krajowego nie posiada on własnych uprawnień decyzyjnych – w sytuacji gdy w ramach procedury stopniowej odpowiedzi przetwarza dane osobowe i stosuje środki takie jak kierowanie zaleceń czy informowanie osoby, której dane dotyczą, że odnośne czyny mogą być przedmiotem ścigania, jest „organem publicznym” w rozumieniu art. 3 dyrektywy 2016/680, zaangażowanym w zapobieganie czynom zabronionym i wykrywanie takich czynów, a mianowicie wykroczeń w postaci rażącego niedbalstwa czy występków w postaci naruszenia praw własności intelektualnej, w związku z czym jest objęty zakresem stosowania tej dyrektywy zgodnie z jej art. 1.
159 W tym względzie, w odpowiedzi na zadane przez Trybunał w związku z rozprawą z dnia 5 lipca 2022 r. pytanie, rząd francuski wskazał, że ze względu na to, iż środki stosowane przez Hadopi w ramach wdrażania procedury stopniowej odpowiedzi „poprzedzają postępowanie karne, mając bezpośredni związek z postępowaniem sądowym”, wdrażany przez Hadopi system zarządzania środkami ochrony utworów w Internecie podlega, jak wynika z orzecznictwa sądu odsyłającego, przepisom prawa krajowego mającym na celu transpozycję dyrektywy 2016/680.
160 Takie przetwarzanie danych przez Hadopi nie jest natomiast objęte zakresem stosowania RODO. Artykuł 2 ust. 2 lit. d) tego rozporządzenia stanowi bowiem, że nie ma ono zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.
161 Jak zauważył rzecznik generalny w pkt 104 opinii z dnia 27 października 2022 r., z uwagi na to, że w ramach procedury stopniowej odpowiedzi Hadopi musi zatem przestrzegać dyrektywy 2016/680, osobom uczestniczącym w takiej procedurze musi przysługiwać szereg gwarancji materialnych i proceduralnych, obejmujących prawo dostępu do danych osobowych przetwarzanych przez Hadopi oraz prawo do żądania ich sprostowania lub usunięcia, a także możliwość wniesienia odwołania do niezależnego organu sprawującego kontrolę, a następnie, w razie potrzeby, skargi do sądu na zasadach ogólnych.
162 W tym kontekście z przepisów krajowych rozpatrywanych w postępowaniu głównym wynika, że w ramach procedury stopniowej odpowiedzi, konkretniej przy wysłaniu drugiego zalecenia oraz, następnie, pisma informującego, iż stwierdzony czyn może zostać uznany za czyn zabroniony, adresatowi tych komunikatów przysługują pewne gwarancje proceduralne, takie jak prawo do przedstawienia uwag, prawo do uzyskania wyjaśnień co do zarzucanego mu uchybienia, a także, w odniesieniu do wspomnianego pisma informującego, prawo do wystąpienia z wnioskiem o przesłuchanie i do skorzystania ze wsparcia doradcy.
163 W każdym wypadku do sądu odsyłającego należy zweryfikowanie, czy wspomniane przepisy krajowe przewidują wszystkie gwarancje materialne i proceduralne, jakich wymaga dyrektywa 2016/680.
164 Mając na względzie całość powyższych rozważań, na trzy zadane pytania prejudycjalne trzeba odpowiedzieć, iż art. 15 ust. 1 dyrektywy 2002/58 w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu, które zezwala organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do przechowywanych przez dostawców publicznie dostępnych usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych, aby ów organ mógł zidentyfikować posiadaczy tych adresów wykorzystywanych do aktywności mogącej stanowić takie naruszenia i aby mógł on w razie potrzeby zastosować wobec nich środki, pod warunkiem że na mocy tego uregulowania:
– dane te przechowywane są w warunkach i zgodnie z zasadami technicznymi, które gwarantują, że wykluczone jest, by ich przechowywanie mogło pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tych posiadaczy, na przykład poprzez ustalenie ich szczegółowego profilu, co można osiągnąć w szczególności poprzez nałożenie na dostawców usług łączności elektronicznej obowiązku przechowywania poszczególnych kategorii danych osobowych, takich jak dane dotyczące tożsamości cywilnej, adresy IP oraz dane o ruchu i dane dotyczące lokalizacji, gwarantującego rzeczywiście szczelne odseparowanie tych poszczególnych kategorii danych, które uniemożliwia na etapie przechowywania wszelkie powiązanie tych poszczególnych kategorii danych, przez okres nieprzekraczający tego, co ściśle niezbędne;
– dostęp tego organu publicznego do takich danych przechowywanych w sposób odseparowany i rzeczywiście szczelny służy wyłącznie zidentyfikowaniu osoby podejrzewanej o dopuszczenie się czynu zabronionego i towarzyszą mu gwarancje niezbędne do wykluczenia, by, poza sytuacjami nietypowymi, dostęp ten mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego posiadaczy adresów IP, na przykład poprzez ustalenie ich szczegółowego profilu, co wymaga w szczególności, by upoważnionych do posiadania takiego dostępu urzędników owego organu obowiązywał zakaz ujawniania w jakiejkolwiek formie informacji na temat zawartości plików przeglądanych przez tych posiadaczy, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, zakaz śledzenia historii treści przeglądanych przez owych posiadaczy oraz, ogólniej, zakaz wykorzystywania tych adresów IP do celów innych niż zidentyfikowanie ich posiadaczy, aby zastosować wobec nich ewentualne środki;
– możliwość powiązania przez osoby odpowiedzialne w ramach wspomnianego organu publicznego za analizę zdarzeń takich danych z plikami zawierającymi elementy umożliwiające poznanie tytułów utworów chronionych, których udostępnienie w Internecie uzasadniało zebranie adresów IP przez organizacje zrzeszające uprawnionych, jest uzależniona – w przypadkach kolejnego ponowienia aktywności naruszającej prawa autorskie lub prawa pokrewne przez tę samą osobę – od dokonania przez sąd lub niezależny organ administracyjny kontroli, która nie może być w pełni zautomatyzowana i powinna mieć miejsce przed dokonaniem takiego powiązania, ponieważ powiązanie to może w takich przypadkach pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby, której adres IP wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne;
– system przetwarzania danych wykorzystywany przez organ publiczny podlega w regularnych odstępach czasu kontroli niezależnego organu mającego status strony trzeciej w stosunku do tego organu publicznego, mającej na celu weryfikację integralności systemu, w tym skutecznych gwarancji chroniących przed ryzykiem takiego dostępu do tych danych lub takiego ich wykorzystywania, które nosiłyby znamiona nadużycia lub byłyby niezgodne z prawem, oraz jego skuteczności i niezawodności w wykrywaniu ewentualnych uchybień.
W przedmiocie kosztów
165 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (w pełnym składzie) orzeka, co następuje:
Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r., w świetle art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej
należy interpretować w ten sposób, że:
nie stoi on na przeszkodzie uregulowaniu krajowemu, które zezwala organowi publicznemu odpowiedzialnemu za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw, do których dochodzi w Internecie, na dostęp do przechowywanych przez dostawców publicznie dostępnych usług łączności elektronicznej danych dotyczących tożsamości cywilnej odpowiadających adresom IP zbieranym wcześniej przez organizacje zrzeszające uprawnionych, aby ów organ mógł zidentyfikować posiadaczy tych adresów wykorzystywanych do aktywności mogącej stanowić takie naruszenia i aby mógł on w razie potrzeby zastosować wobec nich środki, pod warunkiem że na mocy tego uregulowania:
– dane te przechowywane są w warunkach i zgodnie z zasadami technicznymi, które gwarantują, że wykluczone jest, by ich przechowywanie mogło pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego tych posiadaczy, na przykład poprzez ustalenie ich szczegółowego profilu, co można osiągnąć w szczególności poprzez nałożenie na dostawców usług łączności elektronicznej obowiązku przechowywania poszczególnych kategorii danych osobowych, takich jak dane dotyczące tożsamości cywilnej, adresy IP oraz dane o ruchu i dane dotyczące lokalizacji, gwarantującego rzeczywiście szczelne odseparowanie tych poszczególnych kategorii danych, które uniemożliwia na etapie przechowywania wszelkie powiązanie tych poszczególnych kategorii danych, przez okres nieprzekraczający tego, co ściśle niezbędne;
– dostęp tego organu publicznego do takich danych przechowywanych w sposób odseparowany i rzeczywiście szczelny służy wyłącznie zidentyfikowaniu osoby podejrzewanej o dopuszczenie się czynu zabronionego i towarzyszą mu gwarancje niezbędne do wykluczenia, by, poza sytuacjami nietypowymi, dostęp ten mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego posiadaczy adresów IP, na przykład poprzez ustalenie ich szczegółowego profilu, co wymaga w szczególności, by upoważnionych do posiadania takiego dostępu urzędników owego organu obowiązywał zakaz ujawniania w jakiejkolwiek formie informacji na temat zawartości plików przeglądanych przez tych posiadaczy, z jedynym wyjątkiem wiążącym się z ujawnieniem ich w celu zawiadomienia prokuratury, zakaz śledzenia historii treści przeglądanych przez owych posiadaczy oraz, ogólniej, zakaz wykorzystywania tych adresów IP do celów innych niż zidentyfikowanie ich posiadaczy, aby zastosować wobec nich ewentualne środki;
– możliwość powiązania przez osoby odpowiedzialne w ramach wspomnianego organu publicznego za analizę zdarzeń takich danych z plikami zawierającymi elementy umożliwiające poznanie tytułów utworów chronionych, których udostępnienie w Internecie uzasadniało zebranie adresów IP przez organizacje zrzeszające uprawnionych, jest uzależniona – w przypadkach kolejnego ponowienia aktywności naruszającej prawa autorskie lub prawa pokrewne przez tę samą osobę – od dokonania przez sąd lub niezależny organ administracyjny kontroli, która nie może być w pełni zautomatyzowana i powinna mieć miejsce przed dokonaniem takiego powiązania, ponieważ powiązanie to może w takich przypadkach pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego wspomnianej osoby, której adres IP wykorzystano do aktywności mogącej naruszać prawa autorskie lub prawa pokrewne;
– system przetwarzania danych wykorzystywany przez organ publiczny podlega w regularnych odstępach czasu kontroli niezależnego organu mającego status strony trzeciej w stosunku do tego organu publicznego, mającej na celu weryfikację integralności systemu, w tym skutecznych gwarancji chroniących przed ryzykiem takiego dostępu do tych danych lub takiego ich wykorzystywania, które nosiłyby znamiona nadużycia lub byłyby niezgodne z prawem, oraz jego skuteczności i niezawodności w wykrywaniu ewentualnych uchybień.
Podpisy