Wydanie tymczasowe
WYROK TRYBUNAŁU (wielka izba)
z dnia 30 kwietnia 2024 r.(*)
Odesłanie prejudycjalne – Przetwarzanie danych osobowych w sektorze łączności elektronicznej – Poufność komunikacji – Dostawcy usług łączności elektronicznej – Dyrektywa 2002/58/WE – Artykuł 15 ust. 1 – Artykuł 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej – Dostęp do tych danych żądany przez właściwy organ krajowy w celu karania przestępstw kradzieży kwalifikowanej – Definicja pojęcia „poważnego przestępstwa”, którego karanie może uzasadniać ingerencję w prawa podstawowe – Kompetencje państw członkowskich – Zasada proporcjonalności – Zakres uprzedniej kontroli dokonywanej przez sąd dotyczącej wniosków o udzielenie dostępu do danych zatrzymywanych przez dostawców usług łączności elektronicznej
W sprawie C‑178/22
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Giudice delle indagini preliminari presso il Tribunale di Bolzano (sędziego ds. dochodzeń wstępnych sądu w Bolzano, Włochy) postanowieniem z dnia 20 lutego 2022 r., które wpłynęło do Trybunału w dniu 8 marca 2022 r., w postępowaniach karnych przeciwko:
Nieznanym sprawcom,
przy udziale:
Procura della Repubblica presso il Tribunale di Bolzano,
TRYBUNAŁ (wielka izba),
w składzie: K. Lenaerts, prezes, L. Bay Larsen, wiceprezes, A. Arabadjiev, A. Prechal, K. Jürimäe, T. von Danwitz i Z. Csehi, prezesi izb, J.‑C. Bonichot, S. Rodin, P.G. Xuereb (sprawozdawca), D. Gratsias, M.L. Arastey Sahún i M. Gavalec, sędziowie,
rzecznik generalny: A.M. Collins,
sekretarz: C. Di Bella, administrator,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 21 marca 2023 r.,
rozważywszy uwagi, które przedstawili:
– w imieniu Procura della Repubblica presso il Tribunale di Bolzano – F. Iovene, sostituto procuratore della Repubblica,
– w imieniu rządu włoskiego – G. Palmieri, w charakterze pełnomocnika, którą wspierał S. Faraci, avvocato dello Stato,
– w imieniu rządu czeskiego – A. Edelmannová, O. Serdula, M. Smolek, T. Suchá i J. Vláčil, w charakterze pełnomocników,
– w imieniu rządu estońskiego – M. Kriisa, w charakterze pełnomocnika,
– w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i M. Tierney, w charakterze pełnomocników, których wspierał D. Fennelly, BL,
– w imieniu rządu francuskiego – A. Daniel, A.‑L. Desjonquères, B. Fodda i J. Illouz, w charakterze pełnomocników,
– w imieniu rządu cypryjskiego – E. Neophytou, w charakterze pełnomocnika,
– w imieniu rządu węgierskiego – Zs. Biró-Tóth i M.Z. Fehér, w charakterze pełnomocników,
– w imieniu rządu niderlandzkiego – M.K. Bulterman, A. Hanje i J. Langer, w charakterze pełnomocników,
– w imieniu rządu austriackiego – A. Posch, J. Schmoll, C. Gabauer, K. Ibili i E. Samoilova, w charakterze pełnomocników,
– w imieniu rządu polskiego – B. Majczyna, D. Lutostańska i J. Sawicka, w charakterze pełnomocników,
– w imieniu Komisji Europejskiej – S.L. Kalėda, H. Kranenborg, L. Malferrari i F. Wilman, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 8 czerwca 2023 r.,
wydaje następujący
Wyrok
1 Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11) (zwanej dalej „dyrektywą 2002/58”), w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą”).
2 Wniosek ten został przedstawiony w ramach skierowania sprawy przez Procura della Repubblica presso il Tribunale di Bolzano (prokuraturę przy sądzie w Bolzano, Włochy) (zwaną dalej „prokuraturą”) do Giudice delle indagini preliminari presso il Tribunale di Bolzano (sędziego prowadzącego postępowanie przygotowawcze sądu w Bolzano, Włochy), aby udzielił on zgody na dostęp do danych osobowych zatrzymywanych przez dostawców usług łączności elektronicznej w celu ustalenia sprawców dwóch kwalifikowanych kradzieży telefonów komórkowych.
Ramy prawne
Prawo Unii
Dyrektywa 2002/58
3 Motywy 2 i 11 dyrektywy 2002/58 mają następujące brzmienie:
„(2) Niniejsza dyrektywa dąży do poszanowania fundamentalnych praw i jest zgodna z zasadami uznanymi w szczególności przez [Kartę]. W szczególności niniejsza dyrektywa zmierza do zapewnienia pełnego poszanowania praw określonych w art. 7 i 8 tej Karty.
[…]
(11) Niniejsza dyrektywa, podobnie jak dyrektywa 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)], nie odnosi się do kwestii ochrony podstawowych praw i wolności związanych z działalnością, która nie jest regulowana prawem wspólnotowym. Dyrektywa nie zmienia zatem istniejącej równowagi między prawem do prywatności osoby fizycznej a możliwością państw członkowskich do podejmowania środków, określonych w art. 15 ust. 1 niniejszej dyrektywy, niezbędnych do ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając gospodarczy dobrobyt państwa, gdy działania dotyczą zagadnień bezpieczeństwa państwa) i wykonywania prawa karnego. Wskutek tego, niniejsza dyrektywa nie wpływa na możliwości państw członkowskich do zgodnego z prawem przejmowania danych w łączności elektronicznej lub podejmowania innych środków, jeżeli jest to konieczne dla któregokolwiek z tych celów i zgodne z europejską Konwencją o ochronie praw człowieka i podstawowych wolności [podpisaną w Rzymie w dniu 4 listopada 1950 r.], dla której wykładnię stanowi orzecznictwo Europejskiego Trybunału Praw Człowieka. Środki tego rodzaju muszą być właściwe, [ściśle] współmierne do zamierzonego celu i niezbędne w ramach społeczeństwa demokratycznego oraz powinny podlegać stosownym zabezpieczeniom zgodnie z europejską Konwencją o ochronie praw człowieka i podstawowych wolności”.
4 Zgodnie z art. 2 tej dyrektywy, zatytułowanym „Definicje”:
„Z zastrzeżeniem innych przepisów, stosuje się definicje z dyrektywy [95/46] i dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) [(Dz.U. 2002, L 108, s. 33)].
Stosuje się również następujące definicje:
a) »użytkownik« oznacza każdą osobę fizyczną korzystającą z publicznie dostępnych usług łączności elektronicznej, do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu za te usługi;
b) »dane o ruchu« oznaczają wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi;
c) »dane dotyczące lokalizacji« oznaczają wszelkie dane przetwarzane w sieci łączności elektronicznej lub w ramach usług łączności elektronicznej, wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług łączności elektronicznej;
d) »komunikat« oznacza każdą informację wymienianą lub przekazaną między określoną liczbą stron za pośrednictwem usług publicznie dostępnej łączności elektronicznej. Nie obejmuje on informacji przekazanej jako część publicznych usług nadawczych przez sieć łączności elektronicznej, z wyjątkiem zakresu, w jakim informacja może się odnosić do możliwego do zidentyfikowania abonenta lub użytkownika otrzymującego informację;
[…]”.
5 Artykuł 5 wspomnianej dyrektywy, zatytułowany „Poufność komunikacji”, stanowi:
„1. Państwa członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1 [chyba że osoby te są do tego upoważnione przez prawo zgodnie z art. 15 ust. 1]. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przekazania komunikatu bez uszczerbku dla zasady poufności.
[…]
3. Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą [95/46] po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.
6 Artykuł 6 tej dyrektywy, zatytułowany „Dane o ruchu”, stanowi:
„1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.
2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.
3. Do celów wprowadzania na rynek usług łączności elektronicznej lub świadczenia usług tworzących wartość wzbogaconą, dostawca publicznie dostępnych usług łączności elektronicznej może przetwarzać dane określone w ust. 1, w zakresie i przez czas niezbędny dla tego rodzaju usług lub wprowadzania ich na rynek, jeżeli abonent lub użytkownik, których dane dotyczą, uprzednio wyraził na to zgodę. Użytkownicy lub abonenci mają w każdej chwili możliwość odwołania swojej zgody na przetwarzanie danych o ruchu.
[…]
5. Przetwarzanie danych o ruchu, zgodnie z ust. 1–3 i 4, musi być ograniczone do osób działających z upoważnienia dostawców publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej, zajmujących się naliczaniem opłat lub ruchem, obsługą klienta, systemem wykrywania nadużyć finansowych, marketingiem usług łączności elektronicznej lub świadczeniem usług tworzących wartość dodaną, oraz musi być ograniczone do celów niezbędnych przy takich działaniach.
[…]”.
7 Artykuł 9 dyrektywy 2002/58, zatytułowany „Dane dotyczące lokalizacji inne niż dane o ruchu”, w ust. 1 przewiduje:
„W przypadku gdy dane dotyczące lokalizacji inne niż dane o ruchu, odnoszące się do użytkowników lub abonentów publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej, mogą być przetwarzane, przetwarzanie może mieć miejsce tylko wówczas gdy dane te są anonimowe, lub za zgodą użytkowników lub abonentów, w zakresie i przez okres niezbędny do świadczenia usługi tworzącej wartość dodaną. Przed uzyskaniem zgody użytkowników lub abonentów dostawca usług musi ich poinformować o rodzaju danych dotyczących lokalizacji innych niż dane o ruchu, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane stronie trzeciej do celów świadczenia usługi tworzącej wartość dodaną. […]”
8 Artykuł 15 tej dyrektywy, zatytułowany „Stosowanie niektórych przepisów dyrektywy [95/46]”, stanowi w ust. 1:
„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego ([tj.] bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy [95/46]. W tym celu, państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 [TUE]”.
Prawo włoskie
Dekret ustawodawczy nr 196/2003
9 Artykuł 132 ust. 3 decreto legislativo n. 196 – Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE [dekretu ustawodawczego nr 196 ustanawiającego kodeks ochrony danych osobowych – przepisy dostosowujące prawo krajowe do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE] z dnia 30 czerwca 2003 r. (dodatek zwyczajny do GURI nr 174 z dnia 29 lipca 2003 r.), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanego dalej „dekretem ustawodawczym nr 196/2003”), stanowi, co następuje:
„W przewidzianym w ustawie okresie zatrzymywania, jeśli istnieją wystarczające przesłanki popełnienia przestępstw, w odniesieniu do których ustawa przewiduje karę dożywotniego pozbawienia wolności lub karę pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata, określoną zgodnie z art. 4 [codice di procedura penale (kodeksu postępowania karnego)], a także przestępstw groźby karalnej i nękania lub niepokojenia osób za pomocą telefonu, w przypadku gdy groźba karalna, nękanie lub niepokojenie są poważne, o ile są one istotne dla ustalenia okoliczności faktycznych, dane pozyskuje się za uprzednią zgodą sądu wydaną w drodze uzasadnionego postanowienia na wniosek prokuratury lub na wniosek obrońcy oskarżonego, osoby objętej postępowaniem przygotowawczym, pokrzywdzonego oraz innych osób prywatnych”.
10 Ustęp 3 bis tego artykułu stanowi:
„Jeżeli zachodzi pilna potrzeba i istnieje uzasadnione przypuszczenie, że zwłoka mogłaby spowodować poważny uszczerbek dla postępowania przygotowawczego, prokuratura zarządza pozyskanie danych w drodze uzasadnionego postanowienia, które jest niezwłocznie, a w każdym razie nie później niż w ciągu 48 godzin, doręczane sądowi właściwemu do wydania zgody w zwykłym trybie. Sąd podejmuje decyzję co do zatwierdzenia tego postanowienia w ciągu kolejnych 48 godzin, wydając uzasadnione postanowienie”.
11 Wreszcie, zgodnie z ust. 3 quater wspomnianego artykułu „[d]ane pozyskane z naruszeniem przepisów ust. 3 i 3 bis nie mogą być wykorzystane”.
Kodeks karny
12 Artykuł 624 codice penale (kodeksu karnego), zatytułowany „Kradzież”, stanowi:
„Kto w celu przywłaszczenia zabiera rzecz ruchomą posiadaczowi tej rzeczy, aby uzyskać osobiste korzyści, podlega karze pozbawienia wolności od sześciu miesięcy do lat trzech oraz karze grzywny w wysokości od 154 do 516 EUR.
[…]
Przestępstwo podlega karze na wniosek pokrzywdzonego, chyba że jest spełniony co najmniej jeden z warunków, o których mowa w art. 61 ust. 7 i w art. 625”.
13 Artykuł 625 akapit pierwszy kodeksu karnego, zatytułowany „Okoliczności obciążające”, stanowi:
„Czyn, o którym mowa w art. 624, jest zagrożony karą od dwóch do sześciu lat pozbawienia wolności i karą grzywny w wysokości od 927 do 1500 EUR:
[…]
2) w przypadku gdy osoba uznana za winną stosuje siłę wobec rzeczy lub posługuje się jakimkolwiek środkami stanowiącymi oszustwo;
3) w przypadku gdy osoba uznana za winną posiadała przy sobie broń lub środki odurzające, przy czym ich nie użyła;
4) w przypadku kradzieży kieszonkowej;
5) w przypadku gdy czyn popełniły co najmniej trzy osoby lub jedna osoba przebrana lub podająca się za urzędnika publicznego lub osobę pełniącą funkcję publiczną;
6) w przypadku gdy czyn dotyczy bagaży podróżnych w dowolnym pojeździe, na dworcach, portach lotniczych lub na peronach, w hotelach lub w jakimkolwiek zakładzie wprowadzającym do obrotu środki spożywcze lub napoje;
7) w przypadku gdy czyn dotyczy rzeczy znajdujących się w urzędach lub instytucjach publicznych, lub skonfiskowanych, czy też zajętych, lub wyeksponowanych z konieczności lub ze względu na zwyczaj lub przeznaczenie, czy też przeznaczonych do celów świadczenia usługi publicznej lub do użyteczności publicznej, do obrony lub do oddawania czci;
7 bis) w przypadku gdy czyn dotyczy elementów metalowych lub innych materiałów usuniętych z urządzeń przeznaczonych do dostarczania energii elektrycznej, świadczenia usług transportowych, telekomunikacyjnych lub innych usług publicznych i wykorzystywanych przez podmioty publiczne lub prywatne na podstawie koncesji publicznej;
8) w przypadku gdy czyn dotyczy co najmniej trzech sztuk zwierząt gospodarskich w stadzie lub bydła albo koniowatych także niewchodzących w skład stada;
8 bis) w przypadku gdy czyn został popełniony w środkach transportu publicznego;
8 ter) w przypadku gdy czyn został popełniony wobec osoby korzystającej z usług instytucji kredytowej, placówki pocztowej albo bankomatu albo osoby, która właśnie skorzystała z takich usług”.
Kodeks postępowania karnego
14 Zgodnie z art. 4 kodeksu postępowania karnego, zatytułowanym „Zasady ustalania właściwości”:
„W celu ustalenia właściwości bierze się pod uwagę karę przewidzianą w ustawie w odniesieniu do każdego popełnionego przestępstwa lub usiłowania przestępstwa. Nie bierze się pod uwagę ciągłości popełnienia przestępstwa, recydywy i okoliczności popełnienia przestępstwa, z wyjątkiem okoliczności obciążających, w odniesieniu do których ustawa przewiduje karę innego rodzaju niż zwykła kara za przestępstwo, oraz okoliczności o skutku szczególnym”.
15 Artykuł 269 ust. 2 tego kodeksu przewiduje:
„[…] nagrania są przechowywane do chwili wydania wyroku kończącego postępowanie w sprawie. W interesie poufności zainteresowane strony mogą jednak, gdy dokumenty nie są niezbędne do przeprowadzenia postępowania, zwrócić się do sędziego, który wydał zgodę na przejęcie lub je zatwierdził, o zniszczenie nagrań”.
Postępowanie główne i pytanie prejudycjalne
16 W następstwie dwóch skarg wniesionych w sprawie kradzieży telefonów komórkowych popełnionych odpowiednio w dniach 27 października i 20 listopada 2021 r. prokuratura wszczęła przeciwko nieznanym sprawcom dwa postępowania karne w sprawie kradzieży kwalifikowanych na podstawie art. 624 i 625 kodeksu karnego.
17 Aby ustalić sprawców powyższych kradzieży, prokuratura wystąpiła odpowiednio w dniach 7 grudnia i 30 grudnia 2021 r., na podstawie art. 132 ust. 3 dekretu ustawodawczego nr 196/2003, do Giudice delle indagini preliminari presso il Tribunale di Bolzano (sędziego prowadzącego postępowanie przygotowawcze sądu w Bolzano), będącego sądem odsyłającym, o wydanie zgody na pozyskanie od wszystkich operatorów telefonicznych wyciągów telefonicznych ze skradzionych telefonów. Wnioski te dotyczyły „wszystkich danych będących [w posiadaniu operatorów telefonicznych] wraz z metodami śledzenia i lokalizacji {w szczególności dotyczących użytkowników i ewentualnie kodów [dotyczących międzynarodowego identyfikatora urządzenia ruchomego (IMEI) urządzeń] wywoływanych/wywołujących, odwiedzanych/odbieranych stron, czasu i długości wywołania/połączenia oraz wskazania odpowiednich stacji przekaźnikowych lub anten, użytkowników i kodów IMEI [urządzeń] będących nadawcami/odbiorcami wiadomości SMS lub MMS oraz, w miarę możliwości, ogólnych danych odpowiednich odbiorców} przychodzących i wychodzących rozmów/połączeń telefonicznych oraz wykonanych połączeń, w tym w roamingu, nawet w przypadku połączeń bez naliczania opłat (nieodebranych połączeń), od dnia kradzieży do dnia sporządzenia wniosku”.
18 Sąd odsyłający ma wątpliwości co do zgodności art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 z art. 15 ust. 1 dyrektywy 2002/58, zgodnie z jego wykładnią dokonaną przez Trybunał w wyroku z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152.
19 Ów sąd przypomina, że zgodnie z pkt 45 tego wyroku przepisy krajowe umożliwiające dostęp organów władzy publicznej do wyciągów telefonicznych zawierających zbiór danych o ruchu lub danych o lokalizacji mogących pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego danego użytkownika są uzasadnione ze względu na przewidzianą w art. 52 ust. 1 Karty zasadę proporcjonalności i wagę ingerencji w prawa podstawowe do życia prywatnego, ochrony danych osobowych oraz wolności wypowiedzi i informacji zagwarantowane odpowiednio w art. 7, 8 i 11 Karty jedynie w przypadku ścigania poważnych przestępstw, takich jak poważne zagrożenia bezpieczeństwa publicznego, rozumianego jako bezpieczeństwo państwa, i inne formy poważnej przestępczości.
20 W tym względzie sąd odsyłający wskazuje, że w swym wyroku nr 33116 z dnia 7 września 2021 r. Corte di cassazione (sąd kasacyjny, Włochy) uznał, iż ze względu na swobodę w zakresie wykładni w odniesieniu do określenia przestępstw stanowiących poważne zagrożenie dla bezpieczeństwa publicznego lub inne formy poważnej przestępczości w rozumieniu orzecznictwa Trybunału orzecznictwo to nie ma charakteru wymaganego do bezpośredniego stosowania przez sądy krajowe. W konsekwencji włoski prawodawca zmienił art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 w celu zakwalifikowania jako poważnych przestępstw, w przypadku których możliwe jest pozyskanie wyciągów telefonicznych, przestępstw, w odniesieniu do których ustawa przewiduje karę pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi „nie mniej niż trzy lata”.
21 Zdaniem sądu odsyłającego powyższy, wynoszący trzy lata próg, od którego grożąca za przestępstwo maksymalna kara pozbawienia wolności uzasadnia, aby owo przestępstwo mogło stać się podstawą przekazania wyciągów telefonicznych organom krajowym, ma taki charakter, że owe wyciągi można przekazać tym organom w celu ścigania przestępstw, których szkodliwość społeczna jest niewielka i które są ścigane jedynie na wniosek, w szczególności kradzieży rzeczy o niskiej wartości takich jak kradzieże telefonów komórkowych lub rowerów.
22 Rozpatrywany przepis krajowy narusza zatem przewidzianą w art. 52 ust. 1 Karty zasadę proporcjonalności wymagającą dokonania wyważenia między wagą ściganego przestępstwa a prawami podstawowymi, które zostały naruszone w celu jego ścigania. Zasada ta stoi bowiem na przeszkodzie temu, by naruszenie praw podstawowych gwarantowanych w art. 7, 8 i 11 Karty mogło być uzasadnione ściganiem takiego przestępstwa jak kradzież.
23 Sąd odsyłający wyjaśnia, że zakres swobody sądów włoskich w zakresie odmowy wydania zgody na uzyskanie wyciągów telefonicznych jest bardzo ograniczony, ponieważ na podstawie rozpatrywanego przepisu zgoda musi zostać udzielona, jeśli istnieją „wystarczające przesłanki popełnienia przestępstw” oraz jeśli będące przedmiotem wniosku żądane dane są „istotne dla ustalenia okoliczności faktycznych”. Sądom włoskim nie przysługuje zatem żadna swoboda oceny, jeżeli chodzi o konkretną wagę przestępstwa będącego przedmiotem postępowania przygotowawczego. Ocena ta została dokonana w sposób ostateczny przez włoskiego ustawodawcę, gdy postanowił on, że zgody na uzyskanie danych należy udzielać w szczególności w odniesieniu do wszystkich przestępstw zagrożonych karą pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata.
24 W tych okolicznościach Giudice delle indagini preliminari presso il Tribunale di Bolzano (sędzia prowadzący postępowanie przygotowawcze sądu w Bolzano) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym:
„Czy art. 15 ust. 1 dyrektywy [2002/58] sprzeciwia się uregulowaniu krajowemu zawartemu w art. 132 [ust. 3] dekretu ustawodawczego [nr 196/2003], [który] stanowi, co następuje:
»3. W przewidzianym w ustawie okresie zatrzymywania, jeśli istnieją wystarczające przesłanki popełnienia przestępstw, w odniesieniu do których ustawa przewiduje karę dożywotniego pozbawienia wolności lub karę pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata, określoną zgodnie z art. 4 kodeksu postępowania karnego, a także przestępstw groźby karalnej i nękania lub niepokojenia osób za pomocą telefonu, w przypadku gdy groźba karalna, nękanie lub niepokojenie są poważne, o ile są one istotne dla ustalenia okoliczności faktycznych, dane pozyskuje się za uprzednią zgodą sądu wydaną w drodze uzasadnionego postanowienia na wniosek prokuratury lub na wniosek obrońcy oskarżonego, osoby objętej postępowaniem przygotowawczym, pokrzywdzonego oraz innych osób prywatnych«?”.
W przedmiocie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym
25 Rząd włoski i Irlandia uważają, że wniosek o wydanie orzeczenia w trybie prejudycjalnym jest częściowo niedopuszczalny. Podnoszą one, że wnioski o udzielenie dostępu do danych zatrzymywanych przez dostawców usług łączności elektronicznej zostały przedstawione przez prokuraturę na podstawie art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 w celu karania przestępstw kradzieży kwalifikowanej telefonu komórkowego. Tymczasem poprzez swoje pytanie prejudycjalne sąd odsyłający zwraca się również do Trybunału o ustalenie, czy art. 15 ust. 1 dyrektywy 2002/58 stoi na przeszkodzie przepisowi krajowemu, który pozwala na uzyskanie dostępu do danych zatrzymywanych przez dostawców usług łączności elektronicznej w celu karania innych niż będące przedmiotem postępowania głównego przestępstw objętych zakresem art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 takich jak kradzież mniejszej wagi lub nękanie osób za pomocą telefonu. W związku z powyższym wniosek o wydanie orzeczenia w trybie prejudycjalnym ma charakter hipotetyczny, ponieważ dotyczy owych innych przestępstw.
26 W tym względzie należy przypomnieć, że zgodnie z utrwalonym orzecznictwem w ramach współpracy pomiędzy Trybunałem a sądami krajowymi ustanowionej na mocy art. 267 TFUE jedynie do sądu krajowego, przed którym zawisł spór i na którym spoczywa odpowiedzialność za przyszły wyrok, należy, przy uwzględnieniu okoliczności konkretnej sprawy, zarówno ocena, czy dla wydania wyroku jest niezbędne uzyskanie orzeczenia prejudycjalnego, jak również ocena znaczenia pytań, z którymi zwraca się do Trybunału. W związku z tym, jeśli postawione pytania dotyczą wykładni prawa Unii, Trybunał jest co do zasady zobowiązany do wydania orzeczenia [wyrok z dnia 21 marca 2023 r., Mercedes-Benz Group (Odpowiedzialność producentów pojazdów wyposażonych w urządzenia ograniczające skuteczność działania), C‑100/21, EU:C:2023:229, pkt 52 i przytoczone tam orzecznictwo].
27 Oznacza to, że pytania dotyczące prawa Unii korzystają z domniemania posiadania znaczenia dla sprawy. Odmowa wydania przez Trybunał orzeczenia w przedmiocie złożonego przez sąd krajowy pytania prejudycjalnego jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem postępowania głównego, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na postawione mu pytania [wyrok z dnia 21 marca 2023 r., Mercedes-Benz Group (Odpowiedzialność producentów pojazdów wyposażonych w urządzenia ograniczające skuteczność działania), C‑100/21, EU:C:2023:229, pkt 53 i przytoczone tam orzecznictwo].
28 Otóż poprzez przywołanie w całości art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 pytanie prejudycjalne, mimo że nie wyodrębniono w nim rodzajów przestępstw, do których artykuł ten ma zastosowanie, nieuchronnie obejmuje przestępstwa kradzieży kwalifikowanej, w odniesieniu do których przedstawiono w postępowaniu głównym wnioski o udzielenie dostępu do danych osobowych.
29 W związku z powyższym pytanie to nie ma charakteru hipotetycznego i jest zatem dopuszczalne.
W przedmiocie pytania prejudycjalnego
30 Jak podkreślił rząd francuski w swoich uwagach na piśmie, pytanie przedstawione przez sąd odsyłający w postaci, w jakiej zostało ono sformułowane, skłania Trybunał do wypowiedzenia się w przedmiocie zgodności art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 z art. 15 ust. 1 dyrektywy 2002/58.
31 W tym względzie należy przypomnieć, że w ramach postępowania ustanowionego w art. 267 TFUE Trybunał nie jest właściwy do orzekania w przedmiocie wykładni krajowych przepisów ustawowych lub wykonawczych ani w przedmiocie zgodności takich przepisów z prawem Unii. Z utrwalonego orzecznictwa wynika bowiem, że w ramach odesłania prejudycjalnego na podstawie art. 267 TFUE Trybunał może jedynie dokonywać wykładni prawa Unii w granicach przyznanych Unii kompetencji [wyrok z dnia 14 grudnia 2023 r., Getin Noble Bank (Termin przedawnienia roszczeń restytucyjnych), C‑28/22, EU:C:2023:992, pkt 53 i przytoczone tam orzecznictwo].
32 Wobec powyższego z utrwalonego orzecznictwa wynika, że w wypadku pytań sformułowanych w sposób niewłaściwy lub wykraczający poza zakres zadań powierzonych Trybunałowi na mocy art. 267 TFUE musi on wyodrębnić z całości informacji dostarczonych przez sąd krajowy, a zwłaszcza z uzasadnienia postanowienia odsyłającego, normy prawa Unii, które z uwagi na przedmiot sporu wymagają dokonania wykładni. W tym aspekcie do Trybunału należy – gdy zajdzie taka potrzeba – przeformułowanie przedstawionych mu pytań (wyrok z dnia 14 grudnia 2023 r., Sparkasse Südpfalz, C‑206/22, EU:C:2023:984, pkt 20 i przywołane tam orzecznictwo).
33 Ponadto Trybunał może wziąć pod rozwagę normy prawa Unii, na które sąd krajowy nie powołał się w swym pytaniu (wyrok z dnia 17 listopada 2022 r., Harman International Industries, C‑175/21, EU:C:2022:895, pkt 31 i przytoczone tam orzecznictwo).
34 W świetle powyższych rozważań należy stwierdzić, że poprzez swe pytanie sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że stoi on na przeszkodzie przepisowi krajowemu zobowiązującemu sąd krajowy orzekający w ramach uprzedniej kontroli dokonywanej po przedstawieniu przez właściwy organ krajowy w ramach karnego postępowania przygotowawczego uzasadnionego wniosku o dostęp do zbioru danych o ruchu lub danych o lokalizacji mogących pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego użytkownika środka łączności elektronicznej, które to dane są zatrzymywane przez dostawców usług łączności elektronicznej, do udzielenia tego dostępu, jeżeli jest on żądany do celów dochodzenia przestępstw zagrożonych w prawie krajowym karą pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata, z zastrzeżeniem, że istnieją wystarczające przesłanki popełnienia takich przestępstw i że dane te są istotne dla ustalenia okoliczności faktycznych.
35 Na wstępie należy przypomnieć, że w odniesieniu do warunków, na jakich organy władzy publicznej mogą, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, uzyskać dostęp do danych o ruchu i danych o lokalizacji zatrzymywanych przez dostawców usług łączności elektronicznej na podstawie środka podjętego zgodnie z art. 15 ust. 1 dyrektywy 2002/58, Trybunał orzekł, że taki dostęp może zostać przyznany tylko wtedy, gdy dane te są zatrzymywane przez tych dostawców w sposób zgodny z tą dyrektywą [zob. podobnie wyrok z dnia 30 kwietnia 2024 r., La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej), C‑470/21, pkt 65 i przytoczone tam orzecznictwo]. Orzekł on również, że ów art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty stoi na przeszkodzie środkom ustawodawczym przewidującym w tych celach prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji [wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 30 i przytoczone tam orzecznictwo].
36 Należy również przypomnieć orzecznictwo Trybunału, zgodnie z którym jedynie cele w postaci zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać poważną ingerencję w prawa podstawowe ustanowione w art. 7 i 8 Karty wynikającą z dostępu organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanych przez niego urządzeń końcowych i umożliwiają wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą, przy czym inne czynniki związane z proporcjonalnością wniosku o udzielenie dostępu, takie jak długość okresu, na jaki wniesiono o dostęp do takich danych, nie mogą skutkować tym, by cel polegający na zapobieganiu, dochodzeniu, wykrywaniu i karaniu ogółu przestępstw mógł uzasadniać taki dostęp [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 35 i przytoczone tam orzecznictwo].
37 Poprzez swoje pytanie prejudycjalne sąd odsyłający dąży w istocie do ustalenia, czy taka poważna ingerencja może być dozwolona w odniesieniu do przestępstw określonych w uregulowaniu krajowym rozpatrywanym w postępowaniu głównym.
38 Co się tyczy przede wszystkim kwestii, czy przypadki dostępu takie jak w niniejszej sprawie można uznać za poważną ingerencję w prawa podstawowe gwarantowane w art. 7 i 8 Karty, należy zauważyć, że w celu ustalenia sprawców domniemanych kradzieży leżących u podstaw tego sporu, w odniesieniu do każdego z omawianych telefonów komórkowych prokuratura wystąpiła do sądu odsyłającego na podstawie art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 o wydanie zgody na pozyskanie wszystkich danych będących w posiadaniu operatorów telefonicznych, uzyskanych w drodze metody śledzenia i lokalizacji rozmów/połączeń telefonicznych oraz połączeń wykonanych przy użyciu tych telefonów. Wnioski te dotyczyły w szczególności użytkowników i kodów IMEI urządzeń wywoływanych lub wywołujących, odwiedzanych lub odbieranych stron, czasu i długości wywołań/połączeń, wskazania odpowiednich stacji przekaźnikowych lub anten oraz użytkowników i kodów IMEI urządzeń będących nadawcami/odbiorcami wiadomości SMS lub MMS.
39 Dostęp do takiego zbioru danych o ruchu lub danych o lokalizacji może rzeczywiście pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego osób, których dane są zatrzymywane, takich jak ich codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, podejmowane czynności, relacje towarzyskie tych osób i środowiska społeczne, w których osoby te się obracają [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 36 i przytoczone tam orzecznictwo]. Wydaje się zatem, że ingerencja w prawa podstawowe gwarantowane w art. 7 i 8 Karty, spowodowana dostępem do takich danych, może być uznana za poważną.
40 Jak wynika z pkt 39 wyroku z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), (C‑746/18, EU:C:2021:152), tej oceny nie można pominąć z tego tylko powodu, że dwa rozpatrywane wnioski o udzielenie dostępu do danych o ruchu lub do danych o lokalizacji dotyczą jedynie krótkich okresów, poniżej dwóch miesięcy, od dnia domniemanych kradzieży telefonów komórkowych do dnia, w którym wnioski te sporządzono, ze względu na to, że wspomniane wnioski dotyczyły zbioru owych danych mogących dostarczyć precyzyjnych informacji na temat życia prywatnego osób korzystających z danych telefonów komórkowych.
41 Podobnie bez znaczenia dla celów oceny istnienia poważnej ingerencji w prawa gwarantowane w art. 7 i 8 Karty jest okoliczność, że dane, o dostęp do których wystąpiła prokuratura, nie są danymi właścicieli przedmiotowych telefonów komórkowych, lecz danymi osób porozumiewających się ze sobą przy użyciu tych telefonów po ich domniemanych kradzieżach. Z art. 5 ust. 1 dyrektywy 2002/58 wynika bowiem, że mający zasadnicze znaczenie obowiązek zapewnienia poufności łączności elektronicznej i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej dotyczy połączeń wykonywanych przez użytkowników tej sieci. Tymczasem w art. 2 lit. a) tej dyrektywy zdefiniowano pojęcie „użytkownika” jako oznaczające każdą osobę fizyczną korzystającą z publicznie dostępnych usług łączności elektronicznej, do celów prywatnych lub handlowych, niekoniecznie na podstawie abonamentu za te usługi.
42 W konsekwencji, biorąc pod uwagę orzecznictwo przytoczone w pkt 36 niniejszego wyroku, ze względu na to, że spowodowane dostępem do danych takich jak dane będące przedmiotem postępowania głównego ingerencje w prawa podstawowe można uznać za poważne, mogą one być uzasadnione jedynie celami w postaci zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego.
43 Następnie, o ile do prawa krajowego należy określenie warunków, na jakich dostawcy usług łączności elektronicznej powinni udzielać właściwym organom krajowym dostępu do danych będących w ich posiadaniu, o tyle takie uregulowanie musi zawierać jasne i precyzyjne przepisy regulujące zakres i przesłanki stosowania takiego dostępu. Biorąc pod uwagę cel w postaci zwalczania poważnej przestępczości, co do zasady dostęp ten może zostać przyznany jedynie w odniesieniu do danych dotyczących osób podejrzewanych o udział w poważnym przestępstwie. W celu zapewnienia w praktyce pełnej zgodności z tymi warunkami gwarantującymi, że ingerencja zostanie ograniczona do tego, co ściśle niezbędne, ważne jest, aby dostęp właściwych organów krajowych do zatrzymanych danych był, z wyjątkiem należycie uzasadnionych pilnych przypadków, uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), C‑746/18, EU:C:2021:152, pkt 48–51].
44 Co się tyczy, wreszcie, definicji pojęcia „poważnego przestępstwa”, z utrwalonego orzecznictwa wynika, że w zakresie, w jakim Unia nie uregulowała tej dziedziny, ustawodawstwo karne i normy postępowania karnego mieszczą się w kompetencji państw członkowskich. Państwa te muszą jednak wykonywać ową kompetencję z poszanowaniem prawa Unii (zob. podobnie wyrok z dnia 26 lutego 2019 r., Rimšēvičs i EBC/Łotwa, C‑202/18 i C‑238/18, EU:C:2019:139, pkt 57 i przytoczone tam orzecznictwo).
45 W tym względzie należy zauważyć, że określanie przestępstw, okoliczności łagodzących i obciążających oraz kar odzwierciedla zarówno realia społeczne, jak i tradycje prawne, które nie tylko różnią się od siebie w poszczególnych państwach członkowskich, lecz także ulegają ewolucji w czasie. Tymczasem te realia i tradycje mają określone znaczenie dla określania przestępstw uważanych za mające poważny charakter.
46 W związku z tym, biorąc pod uwagę podział kompetencji między Unię i państwa członkowskie na podstawie traktatu FUE i istotne różnice istniejące w systemach prawnych między państwami członkowskimi w dziedzinie prawa karnego, należy uznać, że do państw członkowskich należy określenie „poważnych przestępstw” do celów stosowania art. 15 ust. 1 dyrektywy 2002/58.
47 Jednakże dokonane przez państwa członkowskie określenie „poważnych przestępstw” musi spełniać wymogi wynikające z owego art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty.
48 Należy przypomnieć w tym względzie, że w zakresie, w jakim pozwala on państwom członkowskim przyjmować środki ustawodawcze mające na celu „ograniczeni[e] zakresu” praw i obowiązków przewidzianych w szczególności w art. 5, 6 i 9 dyrektywy 2002/58, wynikających z zasad poufności komunikacji i zakazu przechowania związanych z nią danych, art. 15 ust. 1 tej dyrektywy ustanawia wyjątek od ogólnej reguły przewidzianej w szczególności w tych art. 5, 6 i 9 i powinien zatem – zgodnie z utrwalonym orzecznictwem – być interpretowany ściśle. Taki przepis nie może zatem uzasadniać tego, że odstępstwo od zasadniczego obowiązku zapewnienia poufności łączności elektronicznej i danych z nią związanych stanie się regułą, gdyż w znacznym stopniu pozbawiłoby to art. 5 wspomnianej dyrektywy jego znaczenia (zob. podobnie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 40).
49 Ponadto z art. 15 ust. 1 zdanie trzecie dyrektywy 2002/58 wynika, że środki ustawodawcze przyjmowane przez państwa członkowskie na podstawie tego przepisu muszą przestrzegać zasad ogólnych prawa Unii, do których należy zasada proporcjonalności, i zapewniać poszanowanie praw podstawowych gwarantowanych w art. 7, 8 i 11 Karty (zob. podobnie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 42).
50 Z powyższego wynika, że państwa członkowskie nie mogą wypaczać pojęcia „poważnego naruszenia” i, co za tym idzie, pojęcia „poważnej przestępczości” poprzez objęcie ich zakresem do celów zastosowania art. 15 ust. 1 przestępstw, które w sposób oczywisty są przestępstwami mniejszej wagi w świetle warunków społecznych panujących w danym państwie, ponieważ ustawodawca tego państwa członkowskiego przewidział za nie maksymalną karę trzech lat pozbawienia wolności.
51 W szczególności w celu weryfikacji, czy nie doszło do takiego wypaczenia, ważne jest, by jeżeli dostęp właściwych organów krajowych do zatrzymanych danych wiąże się z ryzykiem poważnej ingerencji w prawa podstawowe osoby, której dane dotyczą, był uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego [zob. podobnie ogłoszony w dniu dzisiejszym wyrok, La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej), C‑470/21, pkt 124–131].
52 W niniejszej sprawie z postanowienia odsyłającego wynika, że w art. 132 ust. 3 dekretu ustawodawczego nr 196/2003 określono warunki, w jakich sąd, do którego organ publiczny zwrócił się z uzasadnionym wnioskiem, może przyznać dostęp do danych zatrzymywanych przez dostawców usług łączności elektronicznej. W przepisie tym przestępstwa, w celu karania których można przyznać dostęp do danych zatrzymywanych przez dostawców łączności elektronicznej, określono poprzez odniesienie do kary pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata. W owym przepisie uzależniono ten dostęp od podwójnego warunku, aby istniały „wystarczające przesłanki popełnienia przestępstw” i aby owe dane były „istotne dla ustalenia okoliczności faktycznych”.
53 Sąd odsyłający dąży jednak do ustalenia, czy wynikająca z tego przepisu definicja „poważnych przestępstw”, w celu karania których można przyznać dostęp do danych, nie jest zbyt szeroka, ponieważ obejmuje ona przestępstwa, których szkodliwość społeczna jest niewielka.
54 W tym względzie należy zauważyć, po pierwsze, że definicja, zgodnie z którą „poważne przestępstwa”, w celu karania których można przyznać dostęp do danych, są przestępstwami zagrożonymi karą pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż przewidziany w ustawie okres, jest oparta na kryterium obiektywnym. Jest to zgodne z wymogiem, że dane uregulowanie krajowe powinno opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu właściwym organom krajowym do spornych danych (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 105 i przytoczone tam orzecznictwo).
55 Po drugie, z orzecznictwa przytoczonego w pkt 48 niniejszego wyroku wynika, że ponieważ przyjęta w prawie krajowym definicja „poważnych przestępstw” może pozwolić na dostęp do danych zatrzymanych przez dostawców usług łączności elektronicznej i umożliwia wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą, nie powinna być ona na tyle szeroka, by dostęp do danych stał się regułą, a nie wyjątkiem. Nie może ona zatem obejmować większości przestępstw, co miałoby miejsce, gdyby próg, powyżej którego grożąca za przestępstwo maksymalna kara pozbawienia wolności uzasadnia uznanie owego przestępstwa za poważne, był ustalony na zbyt niskim poziomie.
56 Próg ustalony poprzez odniesienie do maksymalnej kary trzech lat pozbawienia wolności nie wydaje się zaś w tym względzie zbyt niski (zob. podobnie wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains, C‑817/19, EU:C:2022:491, pkt 150).
57 Nie ma wątpliwości co do tego, że ponieważ definicja „poważnych przestępstw”, w przypadku których można wystąpić o dostęp do danych zatrzymywanych przez dostawców usług łączności elektronicznej, jest ustalona przez odniesienie nie do minimalnego, lecz do maksymalnego wymiaru kary, nie jest wykluczone, że o dostęp do danych stanowiący poważną ingerencję w prawa podstawowe można wystąpić w celu karania przestępstw, które w rzeczywistości nie wchodzą w zakres poważnej przestępczości (zob. analogicznie wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains, C‑817/19, EU:C:2022:491, pkt 151).
58 Ustalenie progu, od którego grożąca za przestępstwo maksymalna kara pozbawienia wolności uzasadnia, że owo przestępstwo można uznać za poważne, niekoniecznie jest jednak sprzeczne z zasadą proporcjonalności.
59 Z jednej strony wydaje się tak być w przypadku przepisu takiego jak będący przedmiotem postępowania głównego, gdyż dotyczy on, jak wynika z postanowienia odsyłającego, w sposób ogólny dostępu do danych zatrzymywanych przez dostawców usług łączności elektronicznej, bez szczegółowego wskazania charakteru tych przepisów. Tym samym przepis ten zdaje się obejmować w szczególności wypadki, w których dostępu nie można uznać za poważną ingerencję, gdyż nie dotyczy on zbioru danych mogących pozwolić na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą.
60 Z drugiej strony sąd lub niezależny organ administracyjny działający w ramach uprzedniej kontroli dokonywanej po przedstawieniu uzasadnionego wniosku o dostęp powinien być uprawniony do odmowy lub ograniczenia tego dostępu, jeżeli stwierdzi, że ingerencja w prawa podstawowe, jaką stanowiłby taki dostęp, jest poważna, podczas gdy jest oczywiste, że rozpatrywane przestępstwo nie wchodzi faktycznie w zakres poważnej przestępczości (zob. analogicznie wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains, C‑817/19, EU:C:2022:491, pkt 152).
61 Sąd lub organ zajmujący się kontrolą musi być bowiem w stanie zapewnić właściwą równowagę pomiędzy z jednej strony interesami związanymi z potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane [ogłoszony w dniu dzisiejszym wyrok, La Quadrature du Net i in. (Dane osobowe i walka z naruszeniami praw własności intelektualnej), C‑470/21, pkt 125 i przytoczone tam orzecznictwo].
62 W szczególności w ramach dokonywanego badania proporcjonalności ingerencji w prawa podstawowe osoby, której dotyczy wniosek o dostęp do danych, ten sąd lub ten organ musi być w stanie wykluczyć taki dostęp, jeżeli jest on wnioskowany w ramach ścigania przestępstwa, które w sposób oczywisty jest przestępstwem mniejszej wagi w rozumieniu pkt 50 niniejszego wyroku.
63 Z powyższego wynika, że na pytanie prejudycjalne należy odpowiedzieć, iż art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty należy interpretować w ten sposób, że nie stoi on na przeszkodzie przepisowi krajowemu zobowiązującemu sąd krajowy orzekający w ramach uprzedniej kontroli dokonywanej po przedstawieniu przez właściwy organ krajowy w ramach karnego postępowania przygotowawczego uzasadnionego wniosku o dostęp do zbioru danych o ruchu lub danych o lokalizacji mogących pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego użytkownika środka łączności elektronicznej, które to dane są zatrzymywane przez dostawców usług łączności elektronicznej, do wydania zgody na udzielenie tego dostępu, jeżeli zażądano go do celów dochodzenia przestępstw zagrożonych w prawie krajowym karą pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata, z zastrzeżeniem, że istnieją wystarczające przesłanki popełnienia takich przestępstw i że dane te są istotne dla ustalenia okoliczności faktycznych, pod warunkiem jednak, iż ów sąd jest uprawniony do odmowy udzielenia wspomnianego dostępu, jeżeli jest on wnioskowany w ramach dochodzenia dotyczącego przestępstwa, które w sposób oczywisty jest przestępstwem mniejszej wagi w świetle warunków społecznych panujących w danym państwie.
W przedmiocie kosztów
64 Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (wielka izba) orzeka, co następuje:
Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r., w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej
należy interpretować w ten sposób, że:
nie stoi on na przeszkodzie przepisowi krajowemu zobowiązującemu sąd krajowy orzekający w ramach uprzedniej kontroli dokonywanej po przedstawieniu przez właściwy organ krajowy w ramach karnego postępowania przygotowawczego uzasadnionego wniosku o dostęp do zbioru danych o ruchu lub danych o lokalizacji mogących pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego użytkownika środka łączności elektronicznej, które to dane są zatrzymywane przez dostawców usług łączności elektronicznej, do wydania zgody na udzielenie tego dostępu, jeżeli zażądano go do celów dochodzenia przestępstw zagrożonych w prawie krajowym karą pozbawienia wolności, której górna granica ustawowego zagrożenia wynosi nie mniej niż trzy lata, z zastrzeżeniem, że istnieją wystarczające przesłanki popełnienia takich przestępstw i że dane te są istotne dla ustalenia okoliczności faktycznych, pod warunkiem jednak, iż ów sąd jest uprawniony do odmowy udzielenia wspomnianego dostępu, jeżeli jest on wnioskowany w ramach dochodzenia dotyczącego przestępstwa, które w sposób oczywisty jest przestępstwem mniejszej wagi w świetle warunków społecznych panujących w danym państwie.
Podpisy