OPINIA RZECZNIKA GENERALNEGO
PRIITA PIKAMÄE
przedstawiona w dniu 15 czerwca 2023 r.(1)
Sprawa C‑118/22
NG
Postępowanie administracyjne
przeciwko
Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia,
przy udziale
Varhovna administrativna prokuratura
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Varhoven administrativen sad (najwyższy sąd administracyjny, Bułgaria)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa (UE) 2016/680 – Artykuły 4, 5, 8, 10 i 16 – Przechowywanie danych osobowych osoby fizycznej skazanej za popełnienie umyślnego przestępstwa do czasu jej śmierci – Osoba fizyczna, która została skazana prawomocnym wyrokiem, a następnie wobec której nastąpiło zatarcie skazania – Oddalenie wniosku o usunięcie danych – Niezbędny i proporcjonalny charakter ingerencji w prawa podstawowe ustanowione w art. 7 i 8 Karty praw podstawowych Unii Europejskiej
1. Czy powinniśmy być zaniepokojeni przechowywaniem danych osobowych w aktach policyjnych, które skutkuje przypisaniem zarejestrowanej osobie, w stosownym przypadku na resztę życia, statusu osoby naruszającej normy społeczne i uznanej za niebezpieczną na nieograniczony czas? Czy też przeciwnie, powinniśmy się cieszyć z tej policyjnej bazy danych, biorąc pod uwagę, że organy śledcze rozwiązują dzięki temu dawne, niewyjaśnione sprawy, lepiej znane dziś jako „cold cases”, przynosząc wielką ulgę rodzinom ofiar?
2. Niniejsza sprawa wpisuje się właśnie w to antagonistyczne zagadnienie, które polega na pogodzeniu interesu publicznego w zwalczaniu przestępczości z interesem jednostki w ochronie jej danych osobowych i życia prywatnego. Sprawa ta daje Trybunałowi sposobność wypowiedzenia się co do kwestii przetwarzania tych danych do celów ścigania przestępstw w wymiarze czasowym w świetle odpowiednich przepisów dyrektywy (UE) 2016/680(2).
I. Ramy prawne
A. Prawo Unii
3. W ramach niniejszej sprawy znaczenie mają art. 4, 5, 8, 10 i 16 dyrektywy 2016/680, a także art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”).
B. Prawo bułgarskie
4. Artykuł 26 ust. 1 i 2 zakon za Ministerstvo na vatreshnite raboti (ustawy o ministerstwie spraw wewnętrznych, zwanej dalej „ZMVR”), stanowi:
„1) Podczas przetwarzania danych osobowych w związku z ochroną bezpieczeństwa narodowego, zwalczaniem przestępczości, utrzymaniem porządku publicznego i prowadzeniem postępowań karnych organy ministerstwa spraw wewnętrznych:
[…]
3. mogą przetwarzać wszystkie niezbędne kategorie danych osobowych;
[…]
2) Terminy przechowywania danych, o których mowa w ust. 1, lub okresowego przeglądu konieczności ich przechowywania określa minister spraw wewnętrznych. Dane te są również usuwane na mocy aktu sądowego lub decyzji komisji ds. ochrony danych osobowych”.
5. Artykuł 27 ZMVR stanowi:
„Dane pochodzące z wpisu osób do policyjnej bazy danych dokonanego na podstawie art. 68 są wykorzystywane wyłącznie do celów ochrony bezpieczeństwa narodowego, zwalczania przestępczości i utrzymania porządku publicznego”.
6. Artykuł 68 ZMVR przewiduje, co następuje:
„1) Organy policji wpisują do policyjnej bazy danych osoby ścigane za umyślne przestępstwo podlegające ściganiu z oskarżenia publicznego. Organy prowadzące postępowanie przygotowawcze są zobowiązane do podjęcia niezbędnych kroków w celu zapewnienia dokonania przez organy policji wpisu do rejestru.
2) Wpis do policyjnej bazy danych stanowi rodzaj przetwarzania danych osobowych osób, o których mowa w ust. 1, które odbywa się na warunkach określonych w niniejszej ustawie.
3) Do celów dokonania wpisu do policyjnej bazy danych organ policji powinien:
1. gromadzić dane osobowe osób, o których mowa w art. 18 ustawy o bułgarskich dokumentach tożsamości;
2. pobierać odciski palców i sfotografować te osoby;
3. pobierać próbki w celu ustalenia profilu DNA osób.
[…]
6) Wpis w policyjnej bazie danych jest usuwany na podstawie pisemnego nakazu podmiotu odpowiedzialnego za przetwarzanie danych osobowych lub upoważnionych przez niego urzędników, z urzędu lub na uzasadniony pisemny wniosek zarejestrowanej osoby, w przypadku gdy:
1. zarejestrowanie nastąpiło z naruszeniem prawa;
2. postępowanie karne zostało umorzone, z wyjątkiem przypadków, o których mowa w art. 24 ust. 3 [Nakazatelno-protsesualen kodeks (kodeksu postępowania karnego)];
3. postępowanie karne zakończyło się uniewinnieniem;
4. osoba została uwolniona od odpowiedzialności karnej i nałożono na nią karę administracyjną;
5. osoba zmarła, w którym to przypadku wniosek może zostać złożony przez jej spadkobierców.
7) Szczegółowe zasady wpisu do rejestru policyjnego i wykreślenia tego wpisu określa rozporządzenie rady ministrów”.
II. Okoliczności faktyczne leżące u podstaw sporu, postępowanie główne i pytanie prejudycjalne
7. NG został zarejestrowany w aktach policyjnych w ramach dochodzenia w sprawie złożenia fałszywych zeznań, co stanowi przestępstwo zgodnie z art. 290 ust. 1 Nakazatelen Kodeks (kodeksu karnego). W następstwie tego dochodzenia w dniu 2 lipca 2015 r. wniesiono przeciwko niemu oskarżenie, a wyrokiem z dnia 28 czerwca 2016 r., utrzymanym w mocy w postępowaniu odwoławczym wyrokiem z dnia 2 grudnia 2016 r., został on uznany za winnego i skazany na karę roku pozbawienia wolności, której wykonanie zawieszono. Kara ta została odbyta w dniu 14 marca 2018 r.
8. W dniu 15 lipca 2020 r. NG złożył wniosek o usunięcie owego wpisu do bazy danych do właściwej komendy rejonowej policji przy Ministerstvo na vatreshnite raboti (ministerstwie spraw wewnętrznych, Bułgaria), przedkładając zaświadczenie o niekaralności, potwierdzające, że nie był wcześniej karany.
9. Decyzją z dnia 2 września 2020 r. właściwy organ administracyjny oddalił ten wniosek z tego względu, że wydanie prawomocnego wyroku skazującego nie należy do wyczerpująco wymienionych w art. 68 ust. 6 ZMVR podstaw usunięcia wpisu w aktach policyjnych, nawet jeśli nastąpiło zatarcie skazania w rozumieniu art. 85 kodeksu karnego. W dniu 8 października 2020 r. NG wniósł skargę na tę decyzję do Administrativen sad Sofia grad (sądu administracyjnego miasta Sofii, Bułgaria). Orzeczeniem z dnia 2 lutego 2021 r. sąd ów oddalił tę skargę.
10. NG wniósł skargę kasacyjną na orzeczenie Administrativen sad Sofia grad (sądu administracyjnego miasta Sofii) do Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria). Główny zarzut skargi kasacyjnej dotyczy naruszenia zasady wynikającej z art. 5, 13 i 14 dyrektywy 2016/680, zgodnie z którą nie można przetwarzać danych osobowych poprzez ich przechowywanie przez nieograniczony okres. Jednakże wobec braku podstawy prawnej do usunięcia danych wpisanych do akt policyjnych skazany nie może zażądać, po zatarciu jego skazania, usunięcia jego danych osobowych zgromadzonych w związku z popełnionym przez niego przestępstwem, za które odbył karę, w związku z czym przechowywanie tych danych miałoby nieograniczony charakter.
11. Z uwagi na wątpliwości co do zgodności uregulowania krajowego regulującego rozpatrywane akta policyjne z prawem Unii sąd odsyłający postanowił zawiesić postępowanie główne i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy wykładnia art. 5 [dyrektywy 2016/680] w związku z art. 13 ust. 2 lit. b) i art. 13 ust. 3 rzeczonej dyrektywy zezwala na stosowanie krajowych aktów prawnych, prowadzących do praktycznie nieograniczonego prawa do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar lub do zniesienia prawa osoby, której dane dotyczą, do ograniczenia przetwarzania, usunięcia lub zniszczenia jej danych?”.
III. Postępowanie przed Trybunałem
12. Rządy bułgarski, czeski, irlandzki, hiszpański i polski oraz Komisja Europejska przedstawiły uwagi na piśmie. Na rozprawie, która odbyła się w dniu 7 lutego 2023 r., strona skarżąca w postępowaniu głównym, rządy bułgarski, irlandzki, hiszpański, niderlandzki i polski oraz Komisja przedstawiły również uwagi ustne.
IV. Analiza
A. W przedmiocie możliwości zastosowania dyrektywy 2016/680
13. Z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, iż sąd odsyłający wyraźnie uznaje za oczywiste, że sporne uregulowanie krajowe wchodzi w zakres stosowania ratione materiae dyrektywy 2016/680, co wydaje mi się uzasadniać kilka uwag.
14. Zgodnie z brzmieniem art. 1 ust. 1 w związku z art. 2 ust. 1 dyrektywy 2016/680 dyrektywa ta ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Artykuł 2 ust. 3 lit. a) dyrektywy 2016/680 wyklucza z jej zakresu stosowania przetwarzanie danych osobowych dokonywane „w ramach działalności nieobjętej zakresem prawa Unii”. Motywy 12 i 14 tej dyrektywy określają treść tego wyjątku od stosowania, wskazując, że obejmuje on w szczególności czynności w zakresie bezpieczeństwa narodowego, w odróżnieniu od czynności dotyczących utrzymywania prawa i porządku jako zadania powierzonego policji lub innym organom ścigania, gdy jest to konieczne do ochrony przed zagrożeniami dla bezpieczeństwa publicznego i dla prawnie chronionych podstawowych interesów społecznych i do zapobiegania takim zagrożeniom, które mogą prowadzić do popełnienia czynu zabronionego.
15. Dokonując wykładni art. 2 ust. 2 lit. a) rozporządzenia (UE) 2016/679(3), który przewiduje wyjątek od stosowania tego rozporządzenia sformułowany w taki sam sposób jak art. 2 ust. 3 lit. a) dyrektywy 2016/680, Trybunał orzekł, że ten pierwszy przepis w związku z motywem 16 rzeczonego rozporządzenia należy uznać za mający na celu jedynie wyłączenie z zakresu stosowania tej normy przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej samej kategorii, wobec czego sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyjątek ten można było automatycznie stosować do takiej działalności. Trybunał wskazał, że działalność, której celem jest ochrona bezpieczeństwa narodowego, obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa(4).
16. Tymczasem w niniejszym przypadku dane zarejestrowane i przechowywane przez policję na podstawie art. 68 ZMVR służą, zgodnie z art. 27 tej ustawy, ochronie bezpieczeństwa narodowego, zwalczaniu przestępczości i utrzymaniu porządku publicznego. Wydaje się zatem, że rozpatrywane akta policyjne stanowią jedną, hybrydową bazę danych, ponieważ gromadzą one informacje, które mogą być przetwarzane w różnych celach, w tym w celu ochrony bezpieczeństwa narodowego, co nie jest objęte przedmiotowym zakresem stosowania dyrektywy 2016/680. W tych okolicznościach zgodności z prawem przechowywania danych zawartych w takich aktach nie można badać w świetle wymogów tej dyrektywy, o ile dane te są wykorzystywane wyłącznie do celów, o których mowa w art. 1 ust. 1 rzeczonej dyrektywy, czego sprawdzenie należy do sądu odsyłającego(5). Na podstawie akt przedłożonych Trybunałowi nie wydaje się, aby przechowywanie danych w aktach policyjnych NG, o których usunięcie wnosi, można było uznać za przetwarzanie wykraczające poza przedmiotowy zakres stosowania dyrektywy 2016/680.
17. Na tym etapie należy podkreślić, że rozpatrywane w sprawie w postępowaniu głównym uregulowanie krajowe było już przedmiotem wyroku Trybunału w następstwie pytania zadanego przez sąd bułgarski, do którego należała ocena odmowy osoby, której przedstawiono zarzuty popełnienia przestępstwa oszustwa podatkowego, poddania się gromadzeniu jej danych. W szczególności Trybunał orzekł o zgodności z prawem zbierania danych w odniesieniu do wymogów art. 10 dyrektywy 2016/680, stwierdzając, że ten ostatni przepis w związku z art. 4 ust. 1 lit. a)–c) oraz z art. 8 ust. 1 i 2 tej dyrektywy należy interpretować w ten sposób, że stoi on na przeszkodzie przepisom krajowym przewidującym systematyczne zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, dla celów ich rejestracji, bez przewidzenia obowiązku weryfikacji ze strony właściwego organu i wykazania, po pierwsze, czy to zbieranie danych jest bezwzględnie niezbędne dla realizacji zamierzonych konkretnych celów i, po drugie, czy tych celów nie można osiągnąć za pomocą środków stanowiących ingerencję mniejszej wagi w prawa i wolności osoby, której dane dotyczą(6). Niniejsza sprawa wymaga od Trybunału zbadania zgodności z prawem innej ingerencji, a mianowicie przechowywania informacji dotyczących skazanych osób fizycznych, zidentyfikowanych na podstawie ich imion i nazwisk w rozpatrywanych aktach policyjnych, co stanowi przetwarzanie danych osobowych przez właściwy organ publiczny do celów zapobiegania przestępczości oraz wykrywania i ścigania czynów zabronionych, czyli przez bułgarskie ministerstwo spraw wewnętrznych, w rozumieniu art. 3 pkt 1 i 2 oraz art. 3 pkt 7 lit. a) dyrektywy 2016/680.
B. W przedmiocie przeformułowania pytania prejudycjalnego
18. Na wstępie należy przypomnieć, że w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. Mając to na uwadze, Trybunał powinien w razie potrzeby przeformułować przedłożone mu pytania. Zadaniem Trybunału jest bowiem dokonanie wykładni wszystkich przepisów prawa Unii, jakie są niezbędne sądom krajowym do rozstrzygnięcia zawisłych przed nimi sporów, nawet jeżeli przepisy te nie są wyraźnie wskazane w pytaniach skierowanych do niego przez te sądy(7).
19. Okoliczności faktyczne sprawy w postępowaniu głównym dotyczą wniosku o usunięcie z akt policyjnych danych osobowych policji złożonego przez osobę fizyczną, która po skazaniu za składanie fałszywych zeznań odbyła karę i jej skazanie zostało zatarte w dniu 14 marca 2020 r., prawie pięć lat po dokonaniu wspomnianego wpisu. Wniosek ten został oddalony decyzją właściwego organu administracyjnego, utrzymaną w mocy w pierwszej instancji orzeczeniem Administrativen sad Sofia grad (sądu administracyjnego w Sofii), zaskarżonym następnie przed sądem odsyłającym, który ma wątpliwości co do zgodności uregulowania krajowego z dyrektywą 2016/680 w odniesieniu do przechowywania danych w aktach policyjnych. Sprawa w postępowaniu głównym wyraźnie dotyczy zatem prawa do usunięcia danych osobowych bez zbędnej zwłoki, zgodnie z art. 16 ust. 2 dyrektywy 2016/680, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10 lub jeżeli te dane muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze.
20. Artykuł 4 ust. 1 lit. c) i e) dyrektywy 2016/680 stanowi, iż państwa członkowskie muszą zapewnić, że dane są, zgodnie z zasadami minimalizacji danych i ograniczenia przechowywania danych, adekwatne, stosowne i nienadmierne w stosunku do celów, dla których są przetwarzane, oraz przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania(8). Jeśli chodzi o art. 8 tej dyrektywy, jest on poświęcony zgodności przetwarzania z prawem, która jest uwarunkowana niezbędnym charakterem przetwarzania do wykonania zadania przez właściwy organ w celach określonych w art. 1 ust. 1 rzeczonej dyrektywy oraz europejską lub krajową podstawą prawną, przy czym ta ostatnia musi określać co najmniej powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania. Wreszcie, w odniesieniu do art. 10 dyrektywy 2016/680, przepis ten określa system prawny przetwarzania szczególnych kategorii danych osobowych, takich jak dane biometryczne i genetyczne wykorzystywane w aktach policyjnych do celów jednoznacznej identyfikacji osoby fizycznej.
21. Należy stwierdzić, że pytanie prejudycjalne nie odnosi się do przywołanych w punkcie powyżej przepisów, chociaż są one oczywiście istotne do celów odpowiedzi, której Trybunał ma udzielić w niniejszej sprawie. Sąd odsyłający wystąpił o dokonanie wykładni art. 5 oraz art. 13 ust. 2 lit. b) i art. 13 ust. 3 dyrektywy 2016/680, które nie należą do przepisów wyraźnie wskazanych w art. 16 ust. 2 tej dyrektywy, a których naruszenie przez uregulowanie krajowe uzasadnia wykonanie prawa do usunięcia danych przyznanego osobie, której dane dotyczą. Niemniej prawo to jest również uznawane w przypadku, gdy dane muszą zostać usunięte w celu wypełnienia obowiązku prawnego, któremu podlega administrator, co może odpowiadać sytuacjom przewidzianym w art. 5 i art. 13 ust. 2 lit. b) wspomnianej dyrektywy, a mianowicie i odpowiednio: ustalenia maksymalnych terminów przechowywania danych lub okresowych przeglądów konieczności takiego przechowywania(9) i przekazania osobie, której dane dotyczą, przez administratora, w szczególnych przypadkach, informacji dodatkowych w stosunku do informacji, o których mowa w art. 13 ust. 1, w celu umożliwienia tej osobie wykonywania przysługujących jej praw. Natomiast art. 13 ust. 3 dotyczy możliwości przyjęcia przez państwa członkowskie, pod pewnymi warunkami, aktów prawnych pozwalających opóźnić, ograniczyć informowanie osoby, której dane dotyczą, na podstawie ust. 2, a nawet je pominąć, co nie może stanowić obowiązku prawnego nałożonego na administratora.
22. W każdym wypadku z postanowienia odsyłającego nie wynika, aby w postępowaniu głównym pojawiło się pytanie, czy NG został poinformowany o swoich prawach, ponieważ zainteresowany wyraźnie mógł z nich skorzystać, o czym świadczy skarga, którą złożył do organów administracyjnych, a następnie sądowych w sprawie przechowywania jego danych. Pytanie skierowane do Trybunału nie wydaje się zatem wymagać wykładni art. 13 ust. 2 lit. b) i art. 13 ust. 3 dyrektywy 2016/680. W konsekwencji to w szczególności art. 16 ust. 2 dyrektywy 2016/680 oraz art. 4, 5, 8 i 10 tej dyrektywy są rozpatrywane w postępowaniu głównym.
23. Ponadto, jak wskazano w motywie 104 dyrektywy 2016/680, dyrektywa ta nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w karcie, które zostały ustanowione w traktacie FUE, w szczególności z prawem do poszanowania życia prywatnego i rodzinnego oraz prawem do ochrony danych osobowych. Zgodnie z motywem 46 owej dyrektywy każde ograniczenie praw osoby, której dane dotyczą, musi być zgodne z kartą i europejską Konwencją o ochronie praw człowieka i podstawowych wolności, podpisaną w Rzymie w dniu 4 listopada 1950 r. (zwaną dalej „EKPC”) w myśl wykładni zawartej odpowiednio w orzecznictwie Trybunału i Europejskiego Trybunału Praw Człowieka (zwanego dalej „ETPC”), a zwłaszcza musi odbywać się z poszanowaniem istoty tych praw i wolności. Należy przypomnieć, że gwarantowane w art. 7 i 8 karty prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych nie są prerogatywami absolutnymi, lecz należy je postrzegać w kontekście ich funkcji społecznej i wyważyć względem innych praw podstawowych. Można więc wprowadzić ograniczenia, pod warunkiem że zgodnie z art. 52 ust. 1 karty są one przewidziane ustawą i szanują istotę praw podstawowych oraz zasadę proporcjonalności. Na podstawie tej ostatniej zasady ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. Powinny one odbywać się w granicach tego, co absolutnie konieczne, a uregulowanie dotyczące ingerencji musi zawierać jasne i precyzyjne zasady regulujące zakres i stosowanie danego środka(10).
24. W tych okolicznościach należy stwierdzić, iż sąd odsyłający zmierza w istocie do ustalenia, czy art. 4, 5, 8, 10 i art. 16 ust. 2 dyrektywy 2016/680 w związku ze sobą nawzajem i w świetle art. 52 ust. 1 karty należy interpretować w ten sposób, że stoją one na przeszkodzie przepisom krajowym przewidującym przechowywanie danych osobowych w aktach policyjnych, w tym danych biometrycznych i genetycznych osoby, której dane dotyczą, aż do jej śmierci i uniemożliwiającym tej osobie uzyskanie usunięcia tych danych po zatarciu skazania, które nastąpiło po wyroku skazującym(11).
C. W przedmiocie przechowywania danych osobowych do celów ścigania
25. Przed przystąpieniem do badania zgodności uregulowania krajowego dotyczącego rozpatrywanych akt policyjnych konieczne wydaje mi się rozważenie kwestii przechowywania danych do celów ścigania w świetle niektórych przepisów dyrektywy 2016/680 oraz orzecznictwa Trybunału i ETPC.
26. W pierwszej kolejności należy zauważyć, że dyrektywa 2016/680 ma na celu przyczynienie się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości w Unii, a jednocześnie ustanowienie ram solidnej i spójnej ochrony danych osobowych dla zapewnienia poszanowania prawa podstawowego osób fizycznych do ochrony w odniesieniu do przetwarzania danych osobowych, uznanego w art. 8 ust. 1 karty i w art. 16 ust. 1 TFUE, które to prawo jest ściśle związane z ustanowionym w art. 7 karty prawem do poszanowania życia prywatnego(12). W tym kontekście rozdziały II i III dyrektywy 2016/680 ustanawiają odpowiednio zasady regulujące przetwarzanie danych osobowych oraz prawa osoby, której dane dotyczą, których należy przestrzegać przy każdym przetwarzaniu takich danych. W szczególności każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania danych i kryteriów zgodności przetwarzania z prawem, ustanowionymi w art. 4 i 8 tej dyrektywy. Ponieważ wymogi zawarte w tym ostatnim przepisie stanowią wyraz wymogów wynikających z art. 52 ust. 1 karty, należy je interpretować w świetle tego postanowienia(13).
27. W odpowiedzi, jakiej należy udzielić sądowi odsyłającemu, należy zatem uwzględnić zasadę „minimalizacji danych” ustanowioną w art. 4 ust. 1 lit. c) dyrektywy 2016/680, która wyraża zasadę proporcjonalności(14). To samo dotyczy zawartej w art. 4 ust. 1 lit. e) tej dyrektywy zasady ograniczenia przechowywania, która wymaga oceny proporcjonalności przetwarzania w stosunku do jego celu, z uwzględnieniem upływu czasu. Przechowywanie danych przez okres dłuższy, niż jest to niezbędne, czyli dłużej, niż jest to niezbędne do osiągniecia celów, dla których dane przechowywano, jest sprzeczne z tą zasadą(15). Wynika stąd, że nawet początkowo zgodne z prawem przetwarzanie danych może wraz z upływem czasu stać się niezgodne z dyrektywą 2016/680, jeśli owe dane nie są już niezbędne do osiągnięcia takich celów, oraz że dane te powinny zostać usunięte, gdy rzeczone cele zostały osiągnięte(16).
28. Kwestia czasowego przechowywania danych została również poruszona w art. 5 dyrektywy 2016/680 w formie uzupełnienia i doprecyzowania wymogów zawartych w art. 4 tej dyrektywy(17). Jak wskazano w motywie 26 rzeczonej dyrektywy, aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy stwierdzić, że art. 5 dyrektywy 2016/680, po pierwsze, pozostawia państwom członkowskim ocenę i ustalenie odpowiedniego okresu przechowywania, a po drugie, przewiduje okresowy przegląd konieczności przechowywania danych jako alternatywę dla wcześniejszego ustalenia maksymalnego okresu przechowywania. To drugie spostrzeżenie wydaje mi się mieć niewątpliwe znaczenie w niniejszej sprawie, ponieważ odzwierciedla uznanie przez prawodawcę Unii możliwości bezterminowego przechowywania danych do celów ścigania(18). Stwierdzenie to należy powiązać z brzmieniem art. 16 ust. 3 dyrektywy 2016/680, który przewiduje możliwość ograniczenia przetwarzania danych jako alternatywę dla ich usunięcia, w szczególności w przypadku określonym w lit. b), gdy dane osobowe muszą zostać zachowane „do celów dowodowych”, co wskazuje na to, że nie istnieje bezwzględne prawo do usunięcia danych(19).
29. Kwestia zgodności z prawem przechowywania danych nieuchronnie zawiera kwestię charakteru tych danych, które w tym przypadku obejmują odciski palców, zdjęcia i próbkę DNA pobraną od osoby podejrzanej o popełnienie przestępstwa lub skazanej za przestępstwo; ten rodzaj danych powoduje, że przetwarzanie wchodzi w zakres stosowania art. 10 dyrektywy 2016/680. Należy zauważyć, że o ile reżim prawny określony w tym przepisie nie obejmuje, w przeciwieństwie do tego przewidzianego w art. 9 RODO, co do zasady zakazu przetwarzania takich danych, o tyle przetwarzanie to jest dozwolone „wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne”, z zastrzeżeniem odpowiednich gwarancji dla praw i wolności osoby, której dane dotyczą, oraz gdy w szczególności jest ono dopuszczone prawem Unii lub prawem państwa członkowskiego.
30. Zgodnie z orzecznictwem celem tego przepisu jest zapewnienie wzmocnionej ochrony w odniesieniu do tego przetwarzania, które ze względu na szczególną wrażliwość rozpatrywanych danych i kontekstu, w jakim są one przetwarzane, może skutkować, jak wynika z motywu 37 wspomnianej dyrektywy, powstaniem poważnego zagrożenia dla wolności i praw podstawowych, takich jak prawo do poszanowania życia prywatnego i prawo do ochrony danych osobowych, zagwarantowanych w art. 7 i 8 karty. Jak wynika z samego brzmienia art. 10 dyrektywy 2016/680, wymóg, zgodnie z którym przetwarzanie takich danych jest dopuszczalne „wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne”, należy interpretować jako definiujący bardziej rygorystyczne warunki zgodności z prawem przetwarzania danych wrażliwych w porównaniu z warunkami wynikającymi z art. 4 ust. 1 lit. b) i c) oraz art. 8 ust. 1 tej dyrektywy, które odnoszą się jedynie do „niezbędności” przetwarzania danych objętych w sposób ogólny zakresem stosowania wspomnianej dyrektywy. A zatem, po pierwsze, użycie przysłówka „wyłącznie” przed wyrażeniem „wtedy, jeżeli jest bezwzględnie niezbędne”, kładzie nacisk na to, że przetwarzanie szczególnych kategorii danych w rozumieniu art. 10 dyrektywy 2016/680 można uznać za niezbędne wyłącznie w ograniczonej liczbie wypadków. Po drugie, charakter „bezwzględnej” niezbędności przetwarzania takich danych wymaga, by tę niezbędność oceniać w sposób szczególnie rygorystyczny(20).
31. W drugiej kolejności pragnę zauważyć, że chociaż Trybunał już kilkakrotnie orzekał w sprawie zgodności z prawem przechowywania danych do celów ścigania, czynił to w kontekstach normatywnych i faktycznych, które znacznie różnią się od tych w niniejszej sprawie. I tak Trybunał orzekł(21), iż prawo Unii wynikające z dyrektywy 2002/58/WE(22), z którego wynika, że użytkownicy środków łączności elektronicznej mają prawo co do zasady oczekiwać, że ich komunikacja i związane z nią dane pozostaną anonimowe i nie będą mogły być rejestrowane bez ich zgody, stoi na przeszkodzie uogólnionemu, niezróżnicowanemu i prewencyjnemu przechowywaniu danych o ruchu i lokalizacji w celu zwalczania przestępczości, niezależnie od stopnia jej wagi, przy czym takie przechowywanie jest dozwolone pod pewnymi warunkami tylko w przypadku poważnego, rzeczywistego i aktualnego lub przewidywalnego zagrożenia dla bezpieczeństwa narodowego. Trybunał dodał, iż prawo Unii nie stoi natomiast na przeszkodzie przepisom przewidującym, do celów zwalczania poważnej przestępczości, uogólnione i niezróżnicowane przechowywanie danych dotyczących tożsamości cywilnej użytkowników, a przez okres ograniczony do tego, co ściśle niezbędne – ich adresów IP, ukierunkowanemu przechowywaniu danych, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego, na okres ograniczony do tego, co ściśle niezbędne, ale odnawialny, oraz szybkiemu przechowywaniu przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują dostawcy usług, przy czym wszystkie te środki powinny zapewniać za pomocą jasnych i precyzyjnych przepisów, że odnośne przechowywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć.
32. Trybunał zastosował również kryterium przestrzegania granic tego, co ściśle niezbędne do przetwarzania danych osobowych w kontekście przekazywania, przechowywania i wykorzystywania danych dotyczących przelotu pasażera w ramach lotów pozaunijnych sporządzanych przez przewoźników lotniczych (zwanych dalej „danymi PNR”), dla zapobiegania przestępstwom terrorystycznym i poważnej przestępczości oraz ich wykrywania(23). Trybunał miał okazję zaznaczyć, że ponieważ zgodnie z umową UE–Kanada o danych PNR okres przechowywania danych PNR może wynosić do pięciu lat, umowa ta pozwala na dysponowanie informacjami na temat życia prywatnego pasażerów lotniczych przez szczególnie długi okres oraz że w odniesieniu do pasażerów lotniczych, w przypadku których zagrożenie w zakresie terroryzmu lub poważnych przestępstw międzynarodowych nie zostało zidentyfikowane w momencie ich przybycia do Kanady i do momentu ich wylotu z tego państwa trzeciego, nie wydaje się, aby po ich wylocie istniał związek, nawet pośredni, między ich danymi PNR i celem realizowanym przez rzeczoną umowę, który uzasadniałby przechowywanie tych danych. Trybunał stwierdził zatem, że trwałe przechowywanie danych PNR wszystkich pasażerów lotniczych po opuszczeniu przez nich Kanady do celów ewentualnego dostępu do rzeczonych danych, niezależnie od jakiegokolwiek związku ze zwalczaniem terroryzmu i poważnych przestępstw międzynarodowych, nie jest uzasadnione(24).
33. Trybunał wypowiedział się – w ramach odesłania prejudycjalnego – co do ważności i wykładni dyrektywy (UE) 2016/681(25), która zobowiązuje przewoźników lotniczych do przekazywania danych każdego pasażera lotu pozaunijnego, odbywającego się między państwem trzecim a Unią Europejską, do jednostki do spraw informacji o pasażerach państwa członkowskiego miejsca docelowego lub odlotu danego lotu, w celu zwalczania terroryzmu i poważnej przestępczości. Przekazane w ten sposób dane PNR podlegają wstępnej ocenie przez jednostkę do spraw informacji o pasażerach przez okres sześciu miesięcy, a następnie są one przechowywane przez pięć lat w celu ewentualnej późniejszej oceny przez właściwe organy państw członkowskich, co może prowadzić do prowadzenia analiz przez znaczny okres, a nawet bezterminowo, w przypadku osób, które podróżują samolotem częściej niż raz na pięć lat. Trybunał stwierdził, że dyrektywa ta przewiduje istotną ingerencję w prawa zagwarantowane w art. 7 i 8 karty, w szczególności z tego względu, że zmierza do stworzenia systemu ciągłego, nieukierunkowanego i systematycznego nadzoru, zakładającego zautomatyzowane przetwarzanie danych osobowych wszystkich osób korzystających z usług transportu lotniczego, dokonując przy tym wykładni zgodnej z art. 7, 8 i 21, a także art. 52 ust. 1 karty. Trybunał wyjaśnił, że po upływie pierwotnego okresu przechowywania wynoszącego sześć miesięcy przechowywanie danych PNR nie wydaje się ograniczone do tego, co ściśle niezbędne, w odniesieniu do pasażerów lotniczych, w odniesieniu do których ani wcześniejsza ocena, ani żadne kontrole przeprowadzone podczas początkowego sześciomiesięcznego okresu przechowywania, ani żadne inne okoliczności nie wykazały istnienia jakichkolwiek obiektywnych przesłanek wskazujących na to, że mogą oni stanowić ryzyko w zakresie przestępstw terrorystycznych lub poważnej przestępczości, które mają obiektywny związek, choćby pośredni, z lotniczym przewozem tych pasażerów. Trybunał uznał natomiast, że w pierwotnym okresie sześciu miesięcy przechowywanie danych PNR wszystkich pasażerów lotniczych podlegających systemowi wprowadzonemu tą dyrektywą nie wydaje się co do zasady wykraczać poza to, co ściśle niezbędne.
34. W przeciwieństwie do powyżej przywołanego orzecznictwa należy podkreślić, po pierwsze, że wbrew temu, co zostało ustalone w odniesieniu do przetwarzania danych w dyrektywie 2002/58(26), zgoda osoby, której dane dotyczą, nie stanowi podstawy prawnej dla przetwarzania danych osobowych dokonywanego przez właściwe organy do celów określonych w art. 1 ust. 1 dyrektywy 2016/680. Jak wskazano w motywie 35 tej dyrektywy, wykonywanie zadań polegających na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych, instytucjonalnie powierzonych na mocy prawa właściwym organom, pozwala tym organom wymagać lub nakazywać, aby osoby fizyczne zastosowały się do stawianych żądań. Po drugie, w niniejszej sprawie nie chodzi o przechowywanie i zautomatyzowaną analizę „morza danych”(27) generowanych w sektorach łączności elektronicznej lub transportu lotniczego, przechowywanych przez prywatnych operatorów i przekazywanych służbom dochodzeniowym, lecz o pojedyncze akta policyjne zawierające dane osób, w odniesieniu do których istnieją poważne podstawy, aby sądzić, że popełniły przestępstwo, podejrzanych i skazanych za przestępstwo, pozostające pod wyłączną kontrolą organu publicznego i ściśle poufne.
35. Moim zdaniem szczególny kontekst prawny i faktyczny wspomnianego orzecznictwa wyklucza jakąkolwiek czystą i prostą transpozycję przyjętych tam rozwiązań w celu udzielenia odpowiedzi na niniejsze pytanie prejudycjalne, zwłaszcza w odniesieniu do rozróżnienia między celami przechowywania danych (ochrona bezpieczeństwa narodowego, zwalczanie poważnej przestępczości lub przestępstw, które nie wchodzą w zakres tej przestępczości) oraz niezbędnej korelacji między znaczeniem tych celów a stopniem wagi ingerencji w prawa podstawowe, która może być uzasadniona(28). Inaczej rzecz ujmując, stwierdzenia, że zwalczanie przestępczości zasadniczo może uzasadniać jedynie ingerencję, która nie ma poważnego charakteru(29), nie można przyjąć w niniejszej sprawie, gdyż w przeciwnym razie skuteczność dyrektywy 2016/680 i krajowych instrumentów dochodzeniowych/bezpieczeństwa publicznego, takich jak rozpatrywane akta policyjne, wchodzących w zakres stosowania tej normy, której cel wyraża właśnie potrzebę możliwości proporcjonalnego przetwarzania danych do celów policyjnych, zostałaby znacznie ograniczona. Należy zauważyć, że jak wynika z motywów 10 i 11 dyrektywy 2016/680, prawodawca Unii zamierzał przyjąć przepisy uwzględniające specyficzny charakter dziedziny objętej tą dyrektywą. W tym względzie motyw 12 stanowi, że czynności policji lub innych organów ścigania koncentrują się na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu przestępstw, bez dodatkowego uściślenia, i ściganiu czynów zabronionych, wraz z czynnościami policji podejmowanymi, gdy nie wiadomo, czy dane zdarzenie jest czynem zabronionym(30).
36. W trzeciej kolejności należy zauważyć, że art. 7 karty, dotyczący prawa do ochrony życia prywatnego i rodzinnego, określa prawa odpowiadające prawom gwarantowanym przez art. 8 ust. 1 EKPC i że ochrona danych osobowych odgrywa kluczową rolę przy wykonywaniu usankcjonowanego w art. 8 EKPC prawa do poszanowania życia prywatnego i rodzinnego. W konsekwencji należy zgodnie z art. 52 ust. 3 karty nadać wskazanemu art. 7 to samo znaczenie i ten sam zakres co prawom przyznanym w art. 8 ust. 1 EKPC, zgodnie z wykładnią przyjętą w orzecznictwie ETPC(31).
37. ETPC stoi na stanowisku, że ochrona danych osobowych odgrywa fundamentalną rolę w wykonywaniu prawa do poszanowania życia prywatnego ustanowionego w art. 8 EKPC, a sama czynność zapisania danych dotyczących życia prywatnego osoby fizycznej stanowi ingerencję w rozumieniu tego art. 8, niezależnie od tego, czy zapisane informacje są następnie wykorzystywane. Według tego trybunału prawo krajowe musi w szczególności zapewniać, że takie dane są stosowne i nienadmierne w stosunku do celów, dla których są rejestrowane, oraz że są przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej, niż jest to niezbędne do celów, dla których są rejestrowane. Prawo krajowe musi również zawierać gwarancje skutecznej ochrony zarejestrowanych danych osobowych przed niewłaściwym i stanowiącym nadużycie wykorzystaniem, zapewniając jednocześnie realną możliwość wniesienia wniosku o usunięcie zapisanych danych. ETPC wyraźnie wskazał jednak, że jest w pełni świadomy, że w celu ochrony ludności władze krajowe są zobowiązane tworzyć akta, co skutecznie przyczynia się do ścigania niektórym przestępstw, w szczególności tych najpoważniejszych, i do zapobiegania im. Jednakże rozwiązań takich nie można wdrażać zgodnie z przesadną logiką maksymalizacji informacji w nich umieszczanych i czasu ich przechowywania(32). W tej ostatniej kwestii ETPC stwierdza, że brak maksymalnego okresu przechowywania danych osobowych osób skazanych niekoniecznie jest niezgodny z art. 8 EKPC, ale istnienie i działanie pewnych gwarancji proceduralnych jest w takiej sytuacji tym bardziej konieczne(33).
D. W przedmiocie ingerencji w prawa podstawowe gwarantowane art. 7 i 8 karty
38. Jak wynika z art. 68 ZMVR i uwag przedstawionych przez rząd bułgarski na rozprawie, dane określone przez uregulowanie krajowe obejmują w szczególności stan cywilny osoby, której dane dotyczą, bezprawne czyny, o których popełnienie jest ona podejrzana lub za które została skazana, jej odciski palców, zdjęcia i próbki DNA pobrane do celów profilowania. Jako że dane te zawierają więc informacje o konkretnych osobach fizycznych, różne formy przetwarzania, jakim mogą być poddane te dane, mają wpływ na podstawowe prawo do poszanowania życia prywatnego zagwarantowane w art. 7 karty. Ponadto przetwarzanie tych danych, takie jak przewidziane w uregulowaniu krajowym, jest objęte także art. 8 karty z tego względu, że stanowi przetwarzanie danych osobowych w rozumieniu tego postanowienia, i tym samym powinno spełniać wymogi ochrony danych w nim przewidziane(34).
39. Idąc za przykładem ETPC, według którego sama czynność zapisania danych odnoszących się do życia prywatnego osoby fizycznej stanowi ingerencję w rozumieniu art. 8 EKPC(35), Trybunał stwierdził, iż przechowywanie danych stanowi samo w sobie ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, o których mowa w art. 7 i 8 karty, bez względu na to, czy rozpatrywane informacje dotyczące życia prywatnego są danymi szczególnie chronionymi, czy też nie, ani czy osoby, których dane dotyczą, ucierpiały z powodu ewentualnych niedogodności wynikających z tej ingerencji, jak również bez względu na to, czy przechowywane dane są następnie wykorzystywane(36).
40. W odniesieniu do poważnego charakteru ingerencji, jaką stanowi przechowywanie danych, został on wykazany w świetle natury niektórych danych, w szczególności danych biometrycznych i genetycznych zawartych w aktach policyjnych, przy czym Trybunał uznał ryzyko, jakie stanowi przetwarzanie danych wrażliwych dla praw i wolności osób, których dane dotyczą, w szczególności w kontekście zadań właściwych organów wykonywanych dla celów wskazanych w art. 1 ust. 1 dyrektywy 2016/680, za ryzyko poważne(37). W tym względzie w motywie 23 tej dyrektywy wskazano, iż biorąc pod uwagę złożoność i wrażliwość informacji genetycznych, istnieje wysokie ryzyko niewłaściwego i ponownego ich wykorzystania do nieuprawnionych celów przez administratora. Co się tyczy motywu 51 rzeczonej dyrektywy, stanowi on, że z przetwarzania danych może wynikać ryzyko naruszenia praw lub wolności osób fizycznych, to zaś może skutkować powstaniem uszczerbku fizycznego oraz szkód majątkowych i niemajątkowych, w szczególności gdy przetwarzane są dane genetyczne lub biometryczne w celu jednoznacznego zidentyfikowania osoby lub gdy przetwarzane są dane o wyrokach skazujących i czynach zabronionych.
41. Okres przechowywania danych w aktach policyjnych przyczynia się również do ustalenia wagi ingerencji, ponieważ przechowywanie to może być możliwe przez resztę życia osoby skazanej za przestępstwo. Wreszcie, z art. 26 ust. 6 ZMVR wynika, że dane osobowe mogą być przekazywane właściwym organom i odbiorcom w państwach członkowskich Unii, organom i agencjom Unii, państwom trzecim lub organizacjom międzynarodowym. W tym względzie należy przypomnieć, że dyrektywa 2016/680 ma na celu ułatwić swobodny przepływ danych osobowych między właściwymi organami do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom na terytorium Unii oraz przekazywania takich danych osobowych do państw trzecich i organizacji międzynarodowych w celu zapewnienia skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej(38). W tym zakresie przypominam, że prawo do ochrony danych osobowych wymaga w szczególności, by ciągłość wysokiego poziomu ochrony praw i wolności przyznanego prawem Unii była zapewniona w razie przekazywania danych osobowych z Unii do państwa trzeciego(39).
42. W świetle wszystkich powyższych rozważań należy stwierdzić, że rozpatrywane w postępowaniu głównym uregulowanie krajowe przewiduje istotną ingerencję w prawa gwarantowane w art. 7 i 8 karty, w szczególności w zakresie, w jakim ma ono na celu ustanowienie instrumentu trwałego przechowywania wrażliwych danych osób skazanych za przestępstwa, które to dane mogą przekroczyć granice danego państwa.
E. W przedmiocie uzasadnienia ingerencji
43. Jak wskazano, prawa podstawowe ustanowione w art. 7 i 8 karty nie wydają się stanowić prerogatyw o charakterze absolutnym, a z art. 52 ust. 1 karty wynika, że dopuszcza ona ograniczenia wykonywania tych praw, o ile ograniczenia te są przewidziane ustawą, szanują istotę omawianych praw i z poszanowaniem zasady proporcjonalności są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób(40). Zgodnie z motywem 26 dyrektywy 2016/680 organy ścigania mogą prowadzić czynności do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jeżeli czynności te są określone prawem i stanowią środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, z należytym uwzględnieniem uzasadnionych interesów danej osoby fizycznej.
44. W odniesieniu do poszanowania zasady proporcjonalności należy przypomnieć, iż ochrona prawa podstawowego do poszanowania życia prywatnego wymaga, zgodnie z utrwalonym orzecznictwem Trybunału, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były dokonywane w granicach tego, co bezwzględnie konieczne, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich środków do realizacji uzasadnionych celów, należy stosować najmniej dotkliwe. Ponadto nie można dążyć do celu interesu ogólnego bez uwzględnienia okoliczności, że należy pogodzić go z prawami podstawowymi, których dotyczy środek, dokonując wyważenia między celem interesu ogólnego z jednej strony a rozpatrywanymi prawami z drugiej strony w celu zapewnienia, by niedogodności spowodowane przez ten środek nie były nadmierne w stosunku do zamierzonych celów. Tym samym możliwość uzasadnienia ograniczenia praw i obowiązków przewidzianych w art. 7 i 8 karty należy oceniać poprzez przeprowadzenie badania wagi ingerencji, jaką stanowi takie ograniczenie, oraz sprawdzenie, czy znaczenie celu interesu ogólnego, któremu służy to ograniczenie, pozostaje w relacji do tej wagi(41).
1. W przedmiocie przestrzegania zasady legalności
45. Wymóg, zgodnie z którym wszelkie ograniczenia w korzystaniu z praw podstawowych muszą być przewidziane ustawą, oznacza, że podstawa prawna umożliwiająca ingerencję w te prawa powinna sama określać zakres ograniczenia wykonywania danego prawa. W tym względzie Trybunał orzekł ponadto, że uregulowanie zawierające środek umożliwiający taką ingerencję musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania takiego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, których dane osobowe zostały przekazane, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć. W konsekwencji podstawa prawna każdego przetwarzania danych osobowych wchodzącego w zakres stosowania dyrektywy 2016/680 powinna, jak podkreślił zresztą prawodawca Unii w motywie 33 owej dyrektywy, być jasna i precyzyjna, a jej stosowanie przewidywalne dla podmiotów prawa. W szczególności podmioty te powinny być w stanie określić okoliczności i warunki, w jakich zakres praw przyznanych im przez wspomnianą dyrektywę może podlegać ograniczeniu(42).
46. Analiza rozpatrywanego uregulowania krajowego, przedstawiona w postanowieniu odsyłającym i uzupełniona uwagami rządu bułgarskiego, pozwala,moim zdaniem stwierdzić, że wymóg dotyczący „jakości” prawa jest spełniony, przy czym należy pamiętać, że wymóg ten nie wyklucza, by to ograniczenie było sformułowane w sposób wystarczająco otwarty, tak aby można je było dostosować do zmieniających się sytuacji(43).
47. Oznacza to zatem, że zgodnie z art. 27 ZMVR jedynymi celami rejestrowania i przechowywania danych w aktach policyjnych jest ochrona bezpieczeństwa narodowego, zwalczanie przestępczości i utrzymanie porządku publicznego, a przetwarzanie to ma na celu ułatwienie operacyjnych czynności dochodzeniowych określonych szczegółowo w art. 8 ZMVR(44). Artykuł 68 ZMVR i art. 28 Naredba za reda za izvarshvane i snemane na politseyska registratsia (rozporządzenia dotyczącego zasad dokonywania wpisów w policyjnej bazie danych i usuwania tych wpisów, zwanego dalej „NRISPR”) określają wystarczająco szczegółowo zakres przetwarzania pod względem charakteru przestępstw, odnośnych danych, warunków, na jakich są one gromadzone, zbiorów informacji, w których są one przetwarzane, oraz okresu ich przechowywania. Uregulowanie krajowe przewiduje w sposób wyraźny i zgodnie z motywem 26 dyrektywy 2016/680 procedury gwarantujące integralność i poufność danych osobowych oraz ich niszczenie za pomocą informacji przekazywanych osobie, której dane dotyczą, zgodnie z art. 54 i 55 zakon za zashtita na lichnite danni (ustawy o ochronie danych osobowych), w szczególności w odniesieniu do prawa tej osoby do żądania od administratora dostępu do danych, ich sprostowania lub usunięcia. W tym względzie podstawy usunięcia danych, procedura i skutki tego usunięcia są określone w art. 68 ZMVR oraz art. 18 i nast. NRISPR. Przepisy te są sformułowane w sposób wystarczająco precyzyjny i jasny, aby umożliwić adresatom ustawy odpowiednie dostosowanie ich zachowania, a tym samym spełniają wymóg przewidywalności wynikający z orzecznictwa ETPC(45).
2. W przedmiocie przestrzegania zasadniczej treści praw podstawowych zagwarantowanych w art. 7 i 8 karty
48. W odniesieniu do zasadniczej treści prawa podstawowego do poszanowania życia prywatnego, ustanowionego w art. 7 karty, charakter informacji zawartych w aktach policyjnych jest ograniczony do konkretnego aspektu tego życia prywatnego, związanego z przeszłością kryminalną danej osoby, co nie pozwala na wyciągnięcie wniosków dotyczących w sposób ogólny życia prywatnego tej osoby, takich jak jej codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, prowadzona działalność, relacje towarzyskie tej osoby i środowiska społeczne, w których się ona obraca, a tym samym na ustalenie jej profilu. W odniesieniu do zasadniczej treści prawa do ochrony danych osobowych, ustanowionego w art. 8 karty, powyższe rozważania pokazują, że rozpatrywane uregulowanie krajowe określa cele przetwarzania danych i przewiduje wyczerpującą listę przechowywanych danych oraz zasady mające na celu zapewnienie dostępu do nich, ich sprostowanie lub usunięcie. W tych okolicznościach ingerencja, która obejmuje przewidziane przez to uregulowanie przechowywanie danych, nie narusza zasadniczej treści ustanowionych we wskazanych powyżej postanowieniach praw podstawowych(46).
3. W przedmiocie celu leżącego w interesie ogólnym i adekwatności przetwarzania danych w świetle tego celu
49. Jak stwierdzono w niniejszej opinii, dane pochodzące z wpisu osób w aktach policyjnych dokonanego na podstawie art. 68 ZMVR są wykorzystywane do celów ochrony bezpieczeństwa narodowego, zwalczania przestępczości i utrzymania porządku publicznego. Rząd bułgarski wskazał, że dane te są zbierane i przetwarzane do celów postępowania karnego, w ramach którego przedstawiono zarzuty osobie, której dane dotyczą, a także w celu ich skonfrontowania z innymi danymi zbieranymi w ramach dochodzeń dotyczących innych przestępstw. Cel ten dotyczy także skonfrontowania z danymi zbieranymi w pozostałych państwach członkowskich(47).
50. Zdaniem tego rządu przetwarzanie to wchodzi w zakres operacyjnych czynności dochodzeniowych opisanych w art. 8 ZMVR, których cele są zdefiniowane w następujący sposób: zapobieganie i wykrywanie przestępstw, zagrożeń dla bezpieczeństwa narodowego i naruszeń porządku publicznego; poszukiwanie osób, które uchylają się od odpowiedzialności karnej lub które uchyliły się od wykonania kary w sprawach karnych dotyczących ścigania z oskarżenia publicznego, a także poszukiwanie osób zaginionych; poszukiwanie przedmiotów będących przedmiotem lub narzędziem popełnienia przestępstwa lub mogących służyć jako dowód; przygotowanie i zabezpieczenie dowodów rzeczowych oraz ich przedstawienie właściwym organom sądowym.
51. Trybunał wskazał, że cel ochrony bezpieczeństwa publicznego stanowi cel interesu ogólnego Unii, który może uzasadniać ingerencje, nawet poważne, w prawa podstawowe ustanowione w art. 7 i 8 karty. Ponadto ochrona taka przyczynia się również do ochrony praw i wolności innych osób. W tym względzie wskazać należy, że art. 6 karty gwarantuje każdemu prawo nie tylko do wolności, ale też do bezpieczeństwa osobistego, a postanowienie to gwarantuje prawa odpowiadające prawom określonym w art. 5 EKPC(48). W sprawie dotyczącej zgodności zbierania danych wymienionych w tych samych aktach bułgarskiej policji Trybunał wyraźnie orzekł, że takie przetwarzanie dotyczące osób, którym przedstawiono zarzuty w ramach postępowania karnego, dla celów ich rejestracji, realizuje cele wskazane w art. 1 ust. 1 dyrektywy 2016/680, w szczególności cele związane z zapobieganiem czynom zabronionym i ich wykrywaniem oraz prowadzeniem dochodzeń i ściganiem w tej dziedzinie, które stanowią cele interesu ogólnego uznane przez Unię. Trybunał dodał, że takie zbieranie danych może przyczyniać się do realizacji celu wymienionego w motywie 27 dyrektywy 2016/680, zgodnie z którym zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe – zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania, a w szerszym kontekście dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi(49). Rozważania te mają oczywiście zastosowanie do środka przechowywania danych.
52. Fakt, że przechowywanie danych w aktach policyjnych jest formą przetwarzania, która umożliwia osiągnięcie celów interesu ogólnego polegających na wykrywaniu i – w konsekwencji – zapobieganiu przestępstwom, wydaje mi się trudny do zakwestionowania. Oczywiste jest, że akta policyjne zawierające tożsamość cywilną ujętych w nich osób, ich zdjęcia, dane biometryczne i genetyczne, a zatem niepowtarzalne i niemożliwe do podrobienia cechy fizyczne osoby, stanowią w pełni istotne narzędzie dochodzeniowe dla służb bezpieczeństwa służące do wyjaśnienia okoliczności przestępstw i zidentyfikowania ich sprawców. Pod tym względem rozpatrywane uregulowanie krajowe spełnia obiektywne kryteria wykazujące związek między danymi podlegającymi przechowywaniu a zamierzonym celem(50).
4. W przedmiocie koniecznego i proporcjonalnego charakteru rozpatrywanej ingerencji
53. O ile przechowywanie danych w rozpatrywanych aktach policyjnych jest odpowiednie do realizacji zamierzonego celu leżącego w interesie ogólnym, o tyle należy zbadać, czy wynikająca z takiego przechowywania ingerencja w prawa zagwarantowane w art. 7 i 8 karty jest ograniczona do tego, co bezwzględnie konieczne, w tym znaczeniu, że cel ten nie mógłby zostać racjonalnie osiągnięty w sposób równie skuteczny za pomocą innych środków w mniejszym stopniu naruszających te prawa podstawowe zainteresowanych osób, i czy ingerencja ta nie jest nieproporcjonalna w stosunku do tego celu, co oznacza między innymi wyważenie znaczenia celu i wagi tej ingerencji(51).
54. Przy sprawowaniu tej kontroli należy wziąć pod uwagę w niniejszej sprawie cel akt policyjnych, charakter odnośnych przestępstw i liczbę osób, które mogą zostać wpisane do tych akt, szczególnie wrażliwy charakter gromadzonych danych osobowych i czas ich przechowywania, gwarancje prawne lub techniczne przewidziane w uregulowaniu krajowym w zakresie wglądu do akt i kontroli utrzymywania w nich danych.
a) W przedmiocie akt
55. W uwagach na piśmie rząd irlandzki zauważył w istocie, że przechowywanie danych może być konieczne do celów powiązanej kontroli, służącej interesowi publicznemu w zapobieganiu przestępczości i ochronie bezpieczeństwa publicznego. Tym samym powinna istnieć możliwość zapoznania się z informacjami zawartymi w aktach policyjnych, nie tylko w celu poszukiwania sprawców przestępstw, ale także do celów administracyjnych policji, w ramach dochodzeń poprzedzających decyzje o rekrutacji lub zezwoleniu na określone stanowiska publiczne lub wrażliwe, aby sprawdzić, czy zachowanie zainteresowanych nie jest niezgodne z wykonywaniem tych funkcji.
56. Na rozprawie rząd bułgarski potwierdził to, co można wywnioskować z jasnego brzmienia art. 27 ZMVR, a mianowicie że rozpatrywane akta policyjne są narzędziem wspomagającym postępowania przygotowawcze, a nie administracyjne. Stwierdzenie to ma pewne znaczenie w odniesieniu do konsekwencji związanych z wpisem osoby do akt ewidencyjnych, ponieważ niekorzystne skutki związane z wpisem nie oznaczają niemożności podjęcia określonej działalności zawodowej(52). Wpis do rozpatrywanych akt policyjnych nie jest ani karą, ani karą uzupełniającą, jego cel jest wyraźnie ograniczony do postępowania przygotowawczego, a jego wykorzystanie jest zastrzeżone dla służb podlegających obowiązkowi zachowania poufności.
57. Faktem jest jednak, że są to jedyne akta policyjne służące niezwykle szerokim celom policji dochodzeniowo-śledczej, zawierające różnorodne informacje, od zwykłych informacji o stanie cywilnym po dane biometryczne i genetyczne, oraz obejmujące osoby, które nie podlegają temu samemu statusowi proceduralnemu. W innych przepisach uznano, że zamiast jednego i tego samego przetwarzania obejmującego wszystkie informacje lepiej jest przewidzieć szereg akt policyjnych służących określonym celom, mających jedno zastosowanie i rejestrujących jeden rodzaj danych.
b) W przedmiocie przestępstw i osób, których dane dotyczą
58. Przechowywanie danych w aktach policyjnych dotyczy osób oskarżonych i skazanych za umyślne przestępstwa ścigane z urzędu, w tym sensie, że oskarżenie składane jest przez prokuratora. Według rządu bułgarskiego kategoria ta nie obejmuje przestępstw nieumyślnych, wykroczeń i przestępstw ściganych z oskarżenia prywatnego, a także niektórych przestępstw, za które nałożono sankcję administracyjną. Zauważono już, że znaczna większość przestępstw przewidzianych w kodeksie karnym może być popełniona umyślnie i prawie wszystkie te przestępstwa są ścigane z urzędu(53).
59. Należy stwierdzić, że uregulowanie krajowe nie odnosi się do wymienionych w sposób wyczerpujący przestępstw, nie rozróżnia przestępstw w zależności od ich charakteru, co samo w sobie jest związane z wagą przestępstwa i stosowaną karą, oraz nie zawiera kryterium odnoszącego się do dokładnej wysokości kary pozbawienia wolności. W związku z tym w jednej, szerokiej kategorii znajdują się różnorodne przestępstwa, aczkolwiek z zastrzeżeniem, że muszą być one popełnione umyślnie, co oznacza, że a priori wykluczone są mniej poważne przestępstwa, w przypadku których sam fakt popełnienia przestępstwa jest wystarczający(54), a także przestępstwa charakteryzujące się zwykłą nieostrożnością lub zaniedbaniem. Poproszony na rozprawie o sprecyzowanie kategorii przestępstw, o których mowa, rząd bułgarski niestety ograniczył się do wskazania, że nie chodzi wyłącznie o przestępstwa zagrożone karą pozbawienia wolności na okres co najmniej pięciu lat.
60. W odniesieniu do zainteresowanych osób należy zauważyć, że kwestionowane przetwarzanie danych jest ograniczone pod względem wieku osób, których dane dotyczą, ponieważ z art. 4 NRISPR wynika, że nieletni nie podlegają rejestracji w aktach policyjnych, co odpowiednio powoduje zmniejszenie liczby osób wpisywanych do tych akt. Rozpatrywany środek wyróżnia dwie kategorie osób, a mianowicie osoby objęte dochodzeniem lub śledztwem i osoby, wobec których wydano wyroki skazujące. Osoby, których to dotyczy, zostały wcześniej zidentyfikowane w ramach właściwych procedur krajowych oraz na podstawie obiektywnych i niedyskryminacyjnych przesłanek jako stwarzające zagrożenie dla bezpieczeństwa publicznego lub dla utrzymania porządku publicznego. Państwa członkowskie mogą przyjąć środki polegające na przechowywaniu danych odnoszących się do osób, które – tytułem takiej identyfikacji – są objęte dochodzeniem lub śledztwem, czyli kategorii osób, w odniesieniu do których istnieją poważne podstawy, aby sądzić, że popełniły przestępstwo, lub wobec których został wydany wyrok skazujący, który odzwierciedla fakt, że ich odpowiedzialność karna została ustalona, które to sytuacje mogą wiązać się z wysokim ryzykiem recydywy(55). Recydywa, rozumiana w szerszym, potocznym znaczeniu jako ponowne popełnienie przestępstwa, jest zjawiskiem, które każde państwo członkowskie stara się zmierzyć i zrozumieć jego uwarunkowania, co jest zadaniem delikatnym, jako że zależy od dostępności obiektywnych i wiarygodnych danych statystycznych dotyczących przestępczości. Jeżeli takie dane istnieją, mogą one ujawnić, że przeszłość kryminalna danej osoby jest istotnym czynnikiem determinującym recydywę(56).
61. Należy również podkreślić, że dane osób, którym przedstawiono zarzuty, powinny „zniknąć” z akt policyjnych, gdy dotyczące ich postępowanie karne zakończy się orzeczeniem o umorzeniu lub uniewinnieniu zgodnie z art. 68 ZMVR, co oczywiście ma wpływ na liczbę osób wpisanych do akt, której rząd bułgarski nie był w stanie podać(57).
c) W przedmiocie charakteru danych i okresu przechowywania
62. W odniesieniu do rozpatrywanych danych Trybunał orzekł, iż biorąc pod uwagę wzmocnioną ochronę osób w zakresie przetwarzania danych wrażliwych, administrator powinien upewnić się, że celu tego nie można osiągnąć poprzez odniesienie się do kategorii danych innych niż kategorie wymienione w art. 10 dyrektywy 2016/680(58). Jak wyjaśniono, dane, które mają być przechowywane, mogą w sposób oczywisty przyczynić się do zapobiegania przestępstwom w ramach zwalczania przestępczości i utrzymania porządku publicznego, ich wykrywania lub ścigania. Podobnie trudno jest mi uznać, że cele te można osiągnąć w równie skuteczny sposób wyłącznie na podstawie informacji o stanie cywilnym lub zdjęć fotograficznych danej osoby, bez nadmiernego ograniczania zdolności śledczych do wyjaśnienia okoliczności przestępstw na podstawie porównania danych zebranych podczas dochodzenia z danymi zarejestrowanymi w aktach podczas poprzednich dochodzeń(59). Na szczęście minęły czasy, kiedy przyznanie się do winy było uważane za królową dowodów, a dowody zebrane przez policyjne służby techniczne i kryminalistyczne z korzyścią zastąpiły ów wątpliwy dowód w hierarchii dowodów. Można zatem stwierdzić, że rozpatrywane dane są zarówno istotne, jak i nienadmierne w stosunku do celów przypisanych do przetwarzania.
63. Należy ponadto zwrócić uwagę na brak w rozpatrywanym uregulowaniu krajowym dokładnego określenia maksymalnego okresu, przez który informacje zarejestrowane w aktach mogą być przechowywane, przy czym dane są przechowywane tylko przez czas trwania postępowania kończącego się orzeczeniem o umorzeniu lub uniewinnieniu wobec niektórych osób, którym przedstawiono zarzuty, lub do końca ich życia w przypadku osób prawomocnie skazanych. Zgodnie z wyjaśnieniami udzielonymi przez rząd bułgarski, których zweryfikowanie będzie należało do sądu, usunięcie następuje z urzędu po śmierci danej osoby, przy czym spadkobiercy mają również prawo zażądać wykreślenia wpisu zgodnie z art. 68 ust. 6 ZMVR. Czy należy uznać, iż sytuacja ta odpowiada, w związku z art. 5 dyrektywy 2016/680, brakowi określenia odpowiednich terminów usunięcia danych osobowych, w tym sensie, że pojęcie terminu powinno koniecznie odpowiadać okresowi wyrażonemu w latach, miesiącach lub dniach? Jeśli tak, to alternatywnie ten sam przepis wymagałby określenia w uregulowaniu krajowym terminów okresowego przeglądu konieczności przechowywania tych danych(60).
64. W odniesieniu do danych osób, którym przedstawiono zarzuty, i biorąc pod uwagę wybór ustawodawcy bułgarskiego dotyczący ich nieprzechowywania w przypadku braku wyroków skazujących po zakończeniu postępowania ich dotyczącego, z konieczności nieprzewidywalny czas trwania tego postępowania nie pozostawia innego wyboru niż sformalizowanie limitu czasowego, tak aby zapobiec zbyt długiemu czasowi trwania postępowania. Jeśli chodzi o osoby skazane, uważam, że odniesienie do śmierci jest w rzeczywistości ograniczeniem czasowym, związanym z biologicznym życiem danej osoby, wykluczającym jakąkolwiek kwalifikację nieokreślonego lub nieograniczonego czasu przechowywania danych(61). Wygaśnięcie okresu przechowywania jest z góry określone, nawet jeśli dokładna data jest z definicji nieokreślona. W każdym razie pragnę zauważyć, iż na rozprawie rząd bułgarski wskazał, iż istnieje okresowy wewnętrzny przegląd wpisów w aktach, przeprowadzany w niniejszym przypadku co trzy miesiące, co spełnia wymogi art. 5 dyrektywy 2016/680.
65. Bezsporne jest jednak, że w zależności od wieku, w którym osoba, której dane dotyczą, została zarejestrowana w aktach, oraz wieku, w którym zmarła, dane mogą być przechowywane przez bardzo długi czas, dłuższy niż wymagany do stwierdzenia recydywy lub przedawnienia karalności najpoważniejszego przestępstwa ściganego z oskarżenia publicznego(62). Ten okres przechowywania jest jednak uzasadniony celem przetwarzania przez policję dochodzeniowo-śledczą, którym jest gromadzenie poszlak i dowodów w celu zidentyfikowania sprawców przeszłych lub przyszłych przestępstw, biorąc pod uwagę, że ryzyko związane z przestępstwami, niezależnie od tego, czy są one poważne, czy nie, ma charakter ogólny i stały(63). Fakt, że nierozwiązane sprawy są czasami wyjaśniane bardzo późno, pokazuje zarówno ogromne trudności, z jakimi borykają się służby dochodzeniowo-śledcze, jak i znaczenie długoterminowego przechowywania danych biometrycznych i genetycznych zgromadzonych w aktach(64).
d) W przedmiocie istnienia gwarancji sądowych i technicznych w zakresie przechowywania danych i dostępu do nich
66. Proporcjonalności ingerencji, która wiąże się z przechowywaniem danych w aktach policyjnych, nie można badać niezależnie od zasad regulujących dostęp do tych akt i kontrolę zasadności utrzymywania w nich danych. Według ETPC, gdy państwo przyznaje sobie najszersze uprawnienie do przechowywania na czas nieokreślony, istnienie i działanie pewnych skutecznych gwarancji staje się decydujące. Prawo krajowe musi zatem zawierać gwarancje służące skutecznej ochronie przechowywanych zarejestrowanych danych osobowych przed niewłaściwym i stanowiącym nadużycie wykorzystaniem oraz umożliwiające usunięcie takich danych, gdy tylko ich dalsze przechowywanie stanie się nieproporcjonalne, w szczególności poprzez zapewnienie konkretnej możliwości złożenia wniosku o usunięcie przechowywanych danych(65).
1) W przedmiocie warunków wglądu do akt
67. Z motywów 28, 56 i 57 dyrektywy 2016/680 oraz z art. 24, 25 i 29 tej dyrektywy wynika, iż państwa członkowskie powinny przyjąć środki zapewniające, aby dane osobowe były przetwarzane tak, by zapewnić odpowiedni stopień bezpieczeństwa i poufności, w tym chronić przed nieuprawnionym dostępem do takich danych i do sprzętu służącego ich przetwarzaniu lub przed nieuprawnionym korzystaniem z takich danych i sprzętu. Środki te obejmują prowadzenie przez administratora rejestrów, które mogą dostarczyć organowi nadzorczemu, na jego żądanie, pewną ilość informacji na temat przeprowadzonego przetwarzania danych, a także ewidencji niektórych operacji przetwarzania, takich jak przeglądanie, przekazywanie i usuwanie danych. Zgodnie z motywem 60 dyrektywy 2016/680 administrator przetwarzający powinien wdrożyć środki minimalizujące uprzednio oszacowane ryzyko właściwe danemu przetwarzaniu, które to ryzyko wiąże się w szczególności z nieuprawnionym ujawnieniem danych i nieuprawnionym dostępem do nich.
68. Na rozprawie rząd bułgarski wskazał na zgodność uregulowania krajowego z tymi wymogami, wspominając o istnieniu zbioru przepisów przewidujących w szczególności sporządzanie imiennych list podmiotów mających dostęp do danych, konieczność wskazania przez każdego użytkownika uzasadnienia jego prawa dostępu, jego tożsamości, daty i godziny dostępu(66). Te gwarancje co do zakresu osób uprawnionych do wglądu do akt i warunków dotyczących wglądu do nich zdają się móc zapobiegać wszelkiemu stanowiącemu nadużycie lub nieuczciwemu wykorzystaniu dostępu do akt, a tym samym nadmiernemu naruszeniu praw podstawowych ustanowionych w art. 7 i 8 karty, czego weryfikacja będzie należała do sądu odsyłającego.
2) W przedmiocie kontroli przechowywania danych w aktach
69. Bezsporne jest, że wspomniana kontrola, przewidziana w art. 68 ust. 6 ZMVR, ma podwójny charakter, gdyż jest przeprowadzana z urzędu przez właściwe organy, w formie samokontroli, oraz na uzasadniony wniosek osoby zainteresowanej lub jej spadkobierców, przy czym podstawy wykreślenia wpisu z akt są w obu przypadkach wyczerpująco określone w owym przepisie. Podstawy te nie obejmują sytuacji osoby, wobec której zatarto skazanie, co skutkuje usunięciem danego wyroku skazującego z jej rejestru karnego, i jedynie podstawa, o której mowa w art. 68 ust. 6 pkt 1 ZMVR, dotycząca zarejestrowania dokonanego z naruszeniem prawa, może uzasadniać wniosek o usunięcie danych osoby skazanej za przestępstwo złożony, jak w niniejszej sprawie, za jej życia, a zatem przed upływem ustawowego okresu przechowywania określonego na moment jej śmierci.
70. Zapytany na rozprawie o zakres art. 68 ust. 6 ZMVR, w świetle jego zastosowania przez właściwe organy i sądy, rząd bułgarski wskazał, że przepis ten zezwala na zmianę wpisu dotyczącego osoby, której przedstawiono zarzuty, jeżeli stał się on nieprawidłowy w wyniku zmiany kwalifikacji przestępstwa przez sąd. Wykluczył on jakąkolwiek możliwość usunięcia wpisu z akt w następstwie zatarcia skazania wobec osoby skazanej. W tym względzie przypominam, że rozpatrywane akta są narzędziem dochodzeniowym mającym na celu ułatwienie działań operacyjnych policji dochodzeniowo-śledczej i nie są, ściśle rzecz biorąc, kartoteką karną, taką jak rejestr karny. Te dwa instrumenty nie służą temu samemu celowi: jeden jest pamięcią do wyłącznego użytku śledczych, aby umożliwić im w dłuższej perspektywie wyjaśnienie okoliczności przeszłych lub przyszłych przestępstw, podczas gdy drugi ma na celu ukierunkowanie pracy sędziów przy nakładaniu kary w danej sprawie. Tym samym, jeśli zatarcie skazania doprowadziło do usunięcia danego wyroku skazującego z rejestru karnego, dana osoba może znaleźć się w sytuacji osoby popełniającej przestępstwo po raz pierwszy, mogącej uzyskać łagodniejszy wyrok lub zmniejszenie kary. Przechowywanie jej danych w aktach pozostaje jednak zasadniczo konieczne ze względu na szerszy cel tych akt związany z wykrywaniem i wyjaśnianiem okoliczności przestępstw oraz zapobieganiem im.
71. Z uwag rządu bułgarskiego wynika jednak, że podstawa, o której mowa w art. 68 ust. 6 pkt 1 ZMVR, nie obejmuje oceny konieczności przechowywania danych w wymiarze czasowym. Nie wydaje się, aby istniał jakikolwiek przepis w uregulowaniu krajowym lub jakakolwiek praktyka administracyjna lub sądowa, które pozwalałyby właściwemu organowi na usunięcie wpisu z akt w ramach kwartalnych przeglądów lub które pozwalałyby zainteresowanej osobie na złożenie wniosku o usunięcie wpisu, jeśli przechowywanie danych osobowych nie wydaje się już konieczne w świetle czasu, który upłynął od ich zarejestrowania. Nie wydaje się również, aby sąd odsyłający, do którego zwrócono się o rozstrzygnięcie w przedmiocie zgodności z prawem decyzji oddalającej wniosek o usunięcie danych, był w stanie dokonać takiej oceny.
F. Wnioski pośrednie
72. Czy można uznać, że opisane powyżej kryteria stosowane do celów przechowywania danych są wystarczająco ukierunkowane, proporcjonalne i konkretne, a rozpatrywane przetwarzanie danych osobowych mieści się w granicach tego, co jest ściśle lub bezwzględnie niezbędne? Trybunał może udzielić odpowiedzi przeczącej na to pytanie z poniżej przedstawionych względów.
73. W pierwszej kolejności należy podkreślić, że kwestia niezbędności przechowywania danych osobowych pojawia się ze szczególną ostrością, gdy przetwarzanie takich danych jest dozwolone, jak w niniejszej sprawie, w celach prewencyjnych. W tym względzie rzeczywistym kryterium uzasadniającym rejestrowanie i przechowywanie danych w rozpatrywanych aktach policyjnych jest zagrożenie stwarzane przez osoby, których dane dotyczą, co wiąże się z oszacowaniem ryzyka. W niniejszej sprawie należy stwierdzić, że oszacowanie to ogranicza się do samego stwierdzenia istnienia podejrzenia lub udowodnionego popełnienia umyślnego przestępstwa, co nie jest zbyt szczególnym kryterium, biorąc pod uwagę, że jest to element znamion przestępstw, a nawet sama podstawa odpowiedzialności karnej. Tym samym wydaje mi się, że krajowy system przechowywania danych uwzględnia minimalny stopień wagi w odniesieniu do przestępstwa i obejmuje szeroki zakres przestępstw przeciwko porządkowi społecznemu, nie wymagając a priori kary polegającej na pozbawieniu wolności, co pozwala na uznanie, że ma on zastosowanie niezależnie od charakteru lub wagi przestępstwa(67). Przypominam, iż Trybunał stwierdził, że przepisy bułgarskie, takie jak rozpatrywane w sporze w postępowaniu głównym, które przewidują zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, są co do zasady niezgodne z wymogiem wskazanym w art. 10 dyrektywy 2016/680, gdyż przepisy te mogą prowadzić w sposób niezróżnicowany i ogólny do takiego zbierania, ponieważ pojęcie „umyślnego przestępstwa ściganego z oskarżenia publicznego” ma wyjątkowo ogólny charakter i może mieć zastosowanie do znacznej liczby czynów zabronionych – niezależnie od ich charakteru i wagi(68).
74. Podczas gdy badania statystyczne mogą wykazać, że przeszłość kryminalna jest ważnym czynnikiem determinującym recydywę, podkreślają one również istnienie obiektywnych czynników, które zwiększają ryzyko recydywy, związanych w szczególności z płcią, wiekiem i charakterem pierwotnego przestępstwa, czasem, jaki upłynął do ponownego popełnienia przestępstwa, oraz faktem, że ponowne popełnienie przestępstwa jest bardzo ściśle związane z charakterem przestępstwa, które doprowadziło do zatrzymania(69). Jednakże, skoro przyjmuje się każde skazanie za przestępstwo umyślne, w tym pierwsze przestępstwo, jako kryterium przechowywania danych do czasu śmierci zainteresowanego(70), wydaje się, że logiką leżącą u podstaw przetwarzania tych danych jest szczególnie szerokie spojrzenie na ścieżkę do przestępczości, zarówno pod względem charakteru lub wagi popełnionych przestępstw, jak i wieku sprawcy. Podobnie jak ETPC, można by się zastanawiać, czy tego rodzaju logika, doprowadzona do pewnej skrajności, nie oznacza w praktyce uzasadnienia przechowywania informacji o całej populacji i jej zmarłych krewnych, co z pewnością byłoby nadmierne i niestosowne(71). Zauważam, iż Trybunał stwierdził, że samej okoliczności, że osobie przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, nie można uznać za element umożliwiający sam w sobie przyjęcie założenia, że zbieranie jej danych biometrycznych i genetycznych jest bezwzględnie niezbędne w świetle zamierzonych w tej dyrektywie celów(72).
75. W drugiej kolejności okazuje się, że dane są przechowywane bez względu na konieczność ich zachowania aż do śmierci osoby, której dane dotyczą. Biorąc pod uwagę brzmienie art. 68 ust. 6 ZMVR i sposób jego interpretacji, właściwe organy mają prawo do usunięcia danych tylko w wyjątkowych okolicznościach, niezwiązanych ze zmianą sytuacji tej osoby od momentu zarejestrowania w aktach. To samo w sposób logiczny odnosi się do przewidzianego przez ten sam akt wniosku o usunięcie danych dostępnego owej osobie, który to wniosek nie jest wystarczająco skuteczny, ponieważ nie pozwala na weryfikację, czy okres przechowywania danych jest proporcjonalny do celu rozpatrywanej ingerencji. Ocena ta powinna uwzględniać różne kryteria, takie jak charakter i waga stwierdzonych czynów, czas, który upłynął od popełnienia czynów, ustawowy okres przechowywania, który ma jeszcze upłynąć, lub wiek wnioskodawcy w danej sprawie, i to biorąc pod uwagę jego sytuację osobistą, wiek, w którym popełnił czyny, jego zachowanie od tego czasu (integracja społeczna, zadośćuczynienie dla ofiar) i jego osobowość, przy czym w tym kontekście korzyść z zatarcia skazania może stanowić element ogólnej oceny. W tych okolicznościach kontrola, którą dysponuje w szczególności osoba wpisana do akt, jest tak wąska, że niemal hipotetyczna(73).
76. Powyższe ustalenia należy postrzegać w świetle faktu, że wrażliwe dane mogą być przechowywane przez bardzo długi okres, a rozpatrywane akta mogą oferować użytkownikom wysoce inwazyjne funkcje wykorzystywania takich danych, w szczególności do identyfikacji, analizy i uzgadniania. Należy zauważyć, że zgodnie z art. 68 ust. 3 ZMVR organy policji w celu dokonania wpisu w aktach policyjnych muszą pobierać próbki do celów profilowania DNA i zrobić zdjęcia osób, które to zdjęcia mogą w stosownych przypadkach podlegać technice rozpoznawania twarzy.
V. Wnioski
77. W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Varhoven administrativen sad (najwyższy sąd administracyjny, Bułgaria) odpowiedział następująco:
Artykuły 4, 5, 8, 10 i art. 16 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW w związku ze sobą nawzajem i w świetle art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej
należy interpretować w ten sposób, że:
stoją one na przeszkodzie przepisom krajowym przewidującym przechowywanie danych osobowych w aktach policyjnych, w tym danych biometrycznych i genetycznych, każdej osoby skazanej za umyślne przestępstwo, bez dalszego rozróżnienia co do charakteru lub wagi przestępstwa, i to aż do śmierci tej osoby, bez możliwości kontroli przechowywania danych znajdujących się w tych aktach w świetle czasu, który upłynął od ich zarejestrowania, oraz w stosownych przypadkach późniejszego usunięcia takich danych.
Weryfikacja proporcjonalności okresu przechowywania danych do celu przetwarzania w stosunku do sytuacji osoby skazanej może obejmować sprawdzenie, czy zatarto skazanie tej osoby.