CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:258

Sprawa C‑140/20

G.D.

przeciwko

Commissioner of An Garda Síochána i in.

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Supreme Court (Irlandia)]

Wyrok Trybunału (wielka izba) z dnia 5 kwietnia 2022 r.

Odesłanie prejudycjalne – Przetwarzanie danych osobowych w sektorze łączności elektronicznej – Poufność komunikacji – Dostawcy usług łączności elektronicznej – Uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji – Dostęp do zatrzymanych danych – Następcza kontrola sądowa – Dyrektywa 2002/58 WE – Artykuł 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 – Możliwość ograniczenia przez sąd krajowy skutków w czasie stwierdzenia nieważności dotyczącego uregulowania krajowego niezgodnego z prawem Unii – Wyłączenie

1. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Cel polegający na zwalczaniu poważnej przestępczości i zapobieganiu poważnym zagrożeniom dla bezpieczeństwa publicznego – Niedopuszczalność – Środki krajowe przewidujące ukierunkowane zatrzymywanie tych danych na podstawie obiektywnych i niedyskryminacyjnych przesłanek na określony czas ograniczony do tego, co ściśle konieczne – Środki krajowe przewidujące uogólnione i niezróżnicowane zatrzymywanie adresów IP przypisanych do źródła połączenia na określony czas ograniczony do tego, co ściśle konieczne – Środki krajowe przewidujące uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej – Środki krajowe przewidujące posłużenie się skierowanym do dostawców usług łączności elektronicznej nakazem szybkiego zatrzymania na określony czas danych o ruchu i danych o lokalizacji – Cel polegający na zwalczaniu poważnej przestępczości i zapobieganiu poważnym zagrożeniom dla bezpieczeństwa publicznego – Dopuszczalność – Warunki

(Karta praw podstawowych Unii Europejskiej, art. 7, art. 8, art. 11, art. 52 ust. 1; dyrektywa Parlamentu Europejskiego i Rady 2002/58, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

(zob. pkt 51–57, 62–65, 71–74, 83–87, 91–93, 97–101; pkt 1 sentencji)

2. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Dostęp organów państwowych do zatrzymywanych danych do celów dochodzenia karnego – Zezwolenie na dostęp udzielone przez funkcjonariusza policji, wspieranego przez ustanowioną w obrębie policji jednostkę, której przysługuje pewien stopień autonomii w wykonywaniu powierzonego jej zadania – Dostęp poddany następczej kontroli sprawowanej przez sąd – Niedopuszczalność

(Karta praw podstawowych Unii Europejskiej, art. 7, art. 8, art. 11, art. 52 ust. 1; dyrektywa Parlamentu Europejskiego i Rady 2002/58, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

(zob. pkt 106–112; pkt 2 sentencji)

3. Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Cel polegający na zwalczaniu poważnej przestępczości i zapobieganiu poważnym zagrożeniom dla bezpieczeństwa publicznego – Niedopuszczalność – Stwierdzenie nieważności dotyczące uregulowania krajowego przewidującego te środki z powodu jego niezgodności z prawem Unii – Możliwość ograniczenia przez sąd krajowy skutków w czasie tego stwierdzenia – Brak

(Karta praw podstawowych Unii Europejskiej, art. 7, art. 8, art. 11, art. 52 ust. 1; dyrektywa Parlamentu Europejskiego i Rady 2002/58, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

(zob. pkt 118, 119, 122–128; pkt 3 sentencji)

Streszczenie

W ostatnich latach Trybunał w licznych wyrokach wypowiedział się na temat zatrzymywania danych osobowych i dostępu do nich w dziedzinie łączności elektronicznej(1).

W szczególności w obu wyrokach wydanych przez wielką izbę w dniu 6 października 2020 r.(2). Trybunał potwierdził swoje orzecznictwo wynikające z wyroku Tele2 Sverige w przedmiocie nieproporcjonalnego charakteru uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji. Dokonał on także uściśleń między innymi w odniesieniu do zakresu uprawnień, jakie dyrektywa o prywatności i łączności elektronicznej przyznaje państwom członkowskim w zakresie zatrzymywania takich danych do celów ochrony bezpieczeństwa narodowego i zwalczania przestępczości.

W niniejszej sprawie wniosek o wydanie orzeczenia w trybie prejudycjalnym został przedstawiony przez Supreme Court (sąd najwyższy, Irlandia) w ramach postępowania cywilnego wszczętego przez osobę skazaną na karę dożywotniego pozbawienia wolności za zabójstwo popełnione w Irlandii. Osoba ta kwestionowała zgodność z prawem Unii niektórych przepisów ustawy krajowej dotyczącej zatrzymywania danych generowanych w ramach łączności elektronicznej(3). Na podstawie tej ustawy(4) dane o ruchu i dane o lokalizacji dotyczące rozmów telefonicznych oskarżonego zostały zatrzymane przez dostawców usług łączności elektronicznej i udostępnione organom policji. Wątpliwości wyrażone przez sąd odsyłający dotyczyły w szczególności zgodności z dyrektywą o prywatności i łączności elektronicznej(5), interpretowaną w świetle karty(6), systemu uogólnionego i niezróżnicowanego zatrzymywania tych danych w związku z walką z poważną przestępczością.

W wyroku, wydanym w składzie wielkiej izby, Trybunał potwierdził, uściślając zarazem jego zakres, orzecznictwo wynikające z wyroku La Quadrature du Net i in., przypominając, że uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji dotyczących łączności elektronicznej nie jest dozwolone do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego. Potwierdził również orzecznictwo wynikające z wyroku Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej)(7), w szczególności w odniesieniu do obowiązku uzależnienia dostępu właściwych organów krajowych do owych zatrzymanych danych od uprzedniej kontroli sprawowanej wobec funkcjonariusza policji bądź przez sąd, bądź przez niezależną jednostkę administracyjną.

Ocena Trybunału

Trybunał orzekł w pierwszej kolejności, że dyrektywa o prywatności i łączności elektronicznej, interpretowana w świetle karty, stoi na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji. Biorąc bowiem pod uwagę, po pierwsze, zniechęcający wpływ na wykonywanie praw podstawowych(8), jaki może wywrzeć to zatrzymywanie danych, a po drugie, wagę ingerencji, jaką ono za sobą pociąga, takie zatrzymywanie musi stanowić wyjątek, a nie regułę, od systemu ustanowionego w tej dyrektywie, tak aby dane te nie mogły być zatrzymywane w sposób systemowy i stały. Przestępczość, nawet szczególnie poważna, nie może być utożsamiana z zagrożeniem dla bezpieczeństwa narodowego, gdyż takie utożsamienie mogłoby wprowadzić kategorię pośrednią między bezpieczeństwem narodowym a bezpieczeństwem publicznym w celu zastosowania do tego drugiego wymogów właściwych dla tego pierwszego.

Natomiast dyrektywa o prywatności i łączności elektronicznej, interpretowana w świetle karty, nie stoi na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kategorii osób, których dane dotyczą, lub za pomocą kryterium geograficznego, przez okres ograniczony do tego, co ściśle niezbędne, ale odnawialny. Trybunał dodał, że taki środek polegający na zatrzymywaniu danych odnoszący się do miejsc lub infrastruktury, w których regularnie przebywa bardzo wiele osób, lub też do miejsc strategicznych, takich jak porty lotnicze, dworce, porty morskie lub strefy poboru opłat za przejazd, może pozwolić właściwym organom na uzyskanie informacji na temat obecności w tych miejscach lub strefach geograficznych osób korzystających tam ze środka łączności elektronicznej oraz na wyciągnięcie, do celów zwalczania poważnej przestępczości, wniosków co do ich obecności i ich działalności w tych miejscach lub strefach geograficznych. W każdym wypadku ewentualne istnienie trudności w dokładnym określeniu przesłanek i warunków, na jakich można dokonać ukierunkowanego zatrzymywania danych, nie może uzasadniać wprowadzenia przez państwa członkowskie uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji.

Dyrektywa ta, interpretowana w świetle karty, nie stoi również na przeszkodzie środkom ustawodawczym przewidującym, do tych samych celów, uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia przez okres ograniczony do tego, co ściśle niezbędne oraz danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej. W tym ostatnim aspekcie Trybunał wyjaśnił w szczególności, że ani dyrektywa o prywatności i łączności elektronicznej, ani żaden inny akt prawa Unii nie stoją na przeszkodzie uregulowaniu krajowemu, mającemu na celu zwalczanie poważnej przestępczości, na podstawie którego nabycie środka łączności elektronicznej, takiego jak opłaconej z góry karty SIM, jest uzależnione od sprawdzenia urzędowych dokumentów ustalających tożsamość nabywcy i od zarejestrowania przez sprzedawcę wynikających z nich informacji, gdyż sprzedawca jest w stosownym wypadku zobowiązany do udzielenia dostępu do tych informacji właściwym organom krajowym.

Nie inaczej jest w przypadku środków ustawodawczych przewidujących, również do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, posłużenie się skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, nakazem szybkiego zatrzymania („quick freeze”) przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług. Jedynie bowiem walka z poważną przestępczością i, a fortiori, ochrona bezpieczeństwa narodowego mogą uzasadniać takie zatrzymywanie danych, pod warunkiem że środek ten oraz dostęp do zatrzymanych danych przestrzegają granic tego, co ściśle niezbędne. Trybunał przypomniał, że taki środek polegający na szybkim zatrzymaniu danych może zostać rozszerzony na dane o ruchu i dane o lokalizacji dotyczące osób innych niż te, które są podejrzewane o planowanie lub popełnienie poważnego przestępstwa lub naruszenie bezpieczeństwa narodowego, o ile dane te mogą w oparciu o obiektywne i niedyskryminacyjne kryteria przyczynić się do wyjaśnienia takiego przestępstwa lub takiego naruszenia bezpieczeństwa narodowego, takie jak dane ofiary tego przestępstwa lub naruszenia, jej otoczenia społecznego lub zawodowego.

Trybunał wskazał jednak następnie, że wszystkie wymienione wyżej środki ustawodawcze muszą za pomocą jasnych i precyzyjnych przepisów zapewniać, że odnośne zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych warunków oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć. Różne środki polegające na zatrzymywaniu danych o ruchu i danych o lokalizacji mogą – zgodnie z wyborem ustawodawcy krajowego i przy poszanowaniu granic tego, co ściśle niezbędne – znaleźć wspólnie zastosowanie.

Ponadto Trybunał wyjaśnił, że zezwolenie, do celów zwalczania poważnej przestępczości, na dostęp do takich danych zatrzymywanych w uogólniony i niezróżnicowany sposób, aby stawić czoła poważnemu zagrożeniu dla bezpieczeństwa narodowego, pozostawałoby w sprzeczności z tą hierarchią celów interesu ogólnego mogących uzasadniać środek przyjęty na podstawie dyrektywy o prywatności i łączności elektronicznej(9). Oznaczałoby to bowiem dopuszczenie sytuacji, w której dostęp mógłby zostać uzasadniony celem o mniejszym znaczeniu niż cel, który uzasadniał zatrzymanie danych, czyli ochrona bezpieczeństwa narodowego, grożąc tym samym pozbawieniem wszelkiej skuteczności (effet utile) zakazu uogólnionego i niezróżnicowanego zatrzymywania danych do celów zwalczania poważnej przestępczości.

W drugiej kolejności Trybunał orzekł, że dyrektywa o prywatności i łączności elektronicznej, interpretowana w świetle karty, stoi na przeszkodzie uregulowaniu krajowemu, na podstawie którego scentralizowane rozpatrywanie wniosków o udzielenie dostępu do danych zatrzymanych przez dostawców usług łączności elektronicznej, pochodzących od policji w ramach wykrywania i ścigania poważnych przestępstw, należy do funkcjonariusza policji, nawet jeżeli jest on wspierany przez ustanowioną w obrębie policji jednostkę, której przysługuje pewien stopień autonomii w wykonywaniu powierzonego jej zadania i której decyzje mogą być następnie przedmiotem kontroli sądowej. Po pierwsze, taki funkcjonariusz nie spełnia bowiem wymogów niezależności i bezstronności, które obowiązują organ administracyjny sprawujący uprzednią kontrolę wniosków o udzielenie dostępu do danych pochodzących od właściwych organów krajowych, ponieważ nie ma on statusu osoby trzeciej w stosunku do tych organów. Po drugie, choć decyzja takiego funkcjonariusza może być przedmiotem dokonanej a posteriori kontroli sądowej, kontrola ta nie może jednak zastąpić niezależnej i – z wyjątkiem pilnych i należycie uzasadnionych przypadków – uprzedniej kontroli.

Wreszcie, w trzeciej kolejności Trybunał potwierdził swoje orzecznictwo, zgodnie z którym prawo Unii stoi na przeszkodzie temu, by sąd krajowy ograniczył w czasie skutki stwierdzenia nieważności, którego ma on dokonać na podstawie prawa krajowego w odniesieniu do uregulowania krajowego nakładającego na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji ze względu na niezgodność tego uregulowania z dyrektywą o prywatności i łączności elektronicznej. Niezależnie od powyższego Trybunał przypomniał, że kwestia dopuszczalności dowodów uzyskanych za pomocą takiego uogólnionego i niezróżnicowanego zatrzymywania należy, zgodnie z zasadą autonomii proceduralnej państw członkowskich, do prawa krajowego, z zastrzeżeniem poszanowania w szczególności zasad równoważności i skuteczności.

1 I tak w wyroku z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in. (C‑293/12 i C‑594/12, EU:C:2014:238) Trybunał stwierdził nieważność dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz.U. 2006, L 105, s. 54) z tego powodu, że ingerencja w prawa do poszanowania życia prywatnego i do ochrony danych osobowych, uznane w Karcie praw podstawowych Unii Europejskiej (zwanej dalej „kartą”), wynikająca z ogólnego obowiązku zatrzymywania danych o lokalizacji i danych o ruchu przewidzianego w tej dyrektywie, nie była ograniczona do tego, co ściśle niezbędne. Następnie w wyroku z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970) Trybunał orzekł, że art. 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37) (zwanej dalej „dyrektywą o prywatności i łączności elektronicznej”), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11), stoi on na przeszkodzie uregulowaniu krajowemu przewidującemu do celów zwalczania przestępczości uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji. Wreszcie w wyroku z dnia 2 października 2018 r., Ministerio Fiscal (C‑207/16, EU:C:2018:788) Trybunał dokonał wykładni tego samego art. 15 ust. 1 w sprawie, która dotyczyła dostępu organów publicznych do danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej.

2 Wyroki z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790) i La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791).

3 Communications (Retention of Data) Act 2011 [ustawa z 2011 r. o łączności (zatrzymywanie danych)]. Ustawa ta została wydana, aby przetransponować do irlandzkiego porządku prawnego dyrektywę 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającą dyrektywę 2002/58/WE (Dz.U. L 105, s. 54).

4 Ustawa zezwala – z powodów wykraczających poza te nieodłącznie związane z ochroną bezpieczeństwa narodowego – na prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji wszystkich abonentów przez okres dwóch lat.

5 Mówiąc dokładniej, art. 15 ust. 1 dyrektywy 2002/58.

6 W szczególności art. 7, art. 8, art. 11 i art. 52 ust. 1 karty.

7 Wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej) (C‑746/18, EU:C:2021:152).

8 Ustanowionych w art. 7–11 karty.

9 Ta hierarchia została ustalona w orzecznictwie Trybunału, a w szczególności w wyroku z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791), pkt 135, 136. Na podstawie tej hierarchii walka z poważną przestępczością ma mniejsze znaczenie niż ochrona bezpieczeństwa narodowego.