Pagaidu versija
ĢENERĀLADVOKĀTA MACEJA ŠPUNARA [MACIEJ SZPUNAR]
SECINĀJUMI,
sniegti 2023. gada 28. septembrī (1)
Lieta C‑470/21
La Quadrature du Net,
Fédération des fournisseurs d’accès au Internet associatifs,
Franciliens.net,
French Data Network
pret
Premier ministre,
Ministère de la Culture
(Conseil d’État (Valsts padome, Francija) lūgums sniegt prejudiciālu nolēmumu)
Lūgums sniegt prejudiciālu nolēmumu – Personas datu apstrāde un privātās dzīves aizsardzība elektronisko sakaru nozarē – Direktīva 2002/58/EK – 15. pants 1. punkts – Dalībvalstu tiesības ierobežot noteiktu tiesību un pienākumu piemērošanas jomu – Prasība pēc iepriekšējas pārbaudes, ko veic vai nu tiesa, vai neatkarīga administratīva iestāde, kuras lēmumam ir saistoša iedarbība – IP adresei piesaistītie personas identitātes dati
I. Ievads
1. Pēc virspalātas lūguma, kas iesniegts saskaņā ar Tiesas Reglamenta 60. panta 3. punktu, Tiesa 2023. gada 7. martā nolēma nodot šo lietu plēnumam.
2. Ar 2023. gada 23. marta rīkojumu Tiesa (plēnums) nolēma atkārtoti sākt tiesvedības mutvārdu daļu un aicināja Eiropas Savienības Tiesas statūtu 23. pantā minētās ieinteresētās personas, Eiropas Datu aizsardzības uzraudzītāju (EDAU) un Eiropas Savienības Kiberdrošības aģentūru (ENISA) piedalīties jaunā tiesas sēdē.
3. Pirms tiesvedības mutvārdu daļas pabeigšanas 2022. gada 27. oktobrī sniedzu savus pirmos secinājumus šajā lietā. Tāpēc pašreizējie secinājumi, manuprāt, ir iespēja padziļināt dažus manas argumentācijas elementus šajā lietā, runājot par galvenajiem izaicinājumiem saistībā ar personas datu glabāšanu un piekļuvi tiem.
II. Atbilstošās tiesību normas
A. Savienības tiesības
4. Direktīvas 2002/58/EK (2) 2., 6., 7., 11., 22., 26. un 30. apsvērumā ir teikts:
“(2) Šī direktīva respektē pamattiesības un ievēro principus, kas jo īpaši ir atzīti Eiropas Savienības Pamattiesību hartā [(turpmāk tekstā – “Harta”)]. Šī direktīva jo īpaši nodrošina pilnībā tiesības, kas izklāstītas minētās hartas 7. un 8. pantā.
[..]
(6) Internets maina tradicionālās tirgus struktūras, nodrošinot kopēju, globālu infrastruktūru plaša elektronisko komunikāciju pakalpojumu klāsta piedāvājumam. Publiski pieejami elektronisko telekomunikāciju pakalpojumi internetā atklāj jaunas iespējas lietotājiem, taču rada jaunu risku to personas datiem un privātajai dzīvei.
(7) Attiecībā uz publisko komunikāciju tīklu jāizstrādā īpaši normatīvi un tehniskie noteikumi, lai aizsargātu fizisku personu pamattiesības un pamatbrīvības, kā arī juridisku personu likumīgās intereses, jo īpaši ņemot vērā arvien lielāku jaudu abonentu un lietotāju datu automatizētai glabāšanai un apstrādei.
[..]
(11) Tāpat kā Direktīva [95/46/EK (3)], arī šī direktīva neattiecas uz pamattiesību un pamatbrīvību aizsardzības jautājumiem, kas saistīti ar darbībām, kuras neregulē Kopienas tiesību akti. Tāpēc tā nemaina esošo līdzsvaru starp fizisku personu tiesībām uz privāto dzīvi un iespēju dalībvalstīm pieņemt šīs direktīvas 15. panta 1. punktā minētos pasākumus, kas nepieciešami sabiedrības drošībai, aizsardzībai, valsts drošībai (tostarp valsts ekonomisko labklājību, ja darbības attiecas uz valsts drošības jautājumiem) un krimināltiesību aktu piemērošanai. Tādējādi šī direktīva neietekmē dalībvalstu iespēju veikt komunikāciju likumīgu pārtraukšanu [pārtveršanu] vai pieņemt citus pasākumus, ja tie nepieciešami jebkuram no šiem nolūkiem un ir saskaņā ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju, [kas parakstīta Romā 1950. gada 4. novembrī,] kā skaidrots Eiropas Cilvēktiesību tiesas nolēmumos. Šādiem pasākumiem jābūt atbilstošiem, stingri samērīgiem ar paredzēto nolūku un nepieciešamiem demokrātiskā sabiedrībā, un tiem jāatbilst attiecīgajiem drošības pasākumiem saskaņā ar Eiropas Cilvēktiesību un pamatbrīvību aizsardzības konvenciju.
[..]
(22) Aizliegums personām, kas nav lietotāji, vai bez to piekrišanas glabāt informāciju par komunikācijām un ar tām saistītu informāciju par datu plūsmu, nav paredzēts, lai aizliegtu jebkādu automātisku, pagaidu vai īslaicīgu šīs informācijas uzglabāšanu, ja to dara tikai tādēļ, lai veiktu pārraidīšanu elektronisko komunikāciju tīklā, un ar noteikumu, ka informāciju neuzglabā ilgāk, kā nepieciešams, lai veiktu pārraidīšanu un datu plūsmas pārvaldi, un ka uzglabāšanas laikā ir garantēta konfidencialitāte. [..]
[..]
(26) Tādi dati, kas attiecas uz abonentiem un ir apstrādāti elektronisko komunikāciju tīklos, lai izveidotu savienojumu un pārraidītu informāciju, iekļauj informāciju par fizisku personu privāto dzīvi un attiecas uz tiesībām ievērot [skar tiesības uz viņu korespondences neaizskaramību, kā arī] juridisku personu likumīgās intereses. Šādus datus drīkst uzglabāt tikai tādā apmērā, cik vajadzīgs, lai sniegtu pakalpojumu ar nolūku sagatavot rēķinus un veikt norēķinus par starpsavienojumiem, un tos glabā ierobežotu laiku. Jebkuru tālāku šādu datu apstrādi [..] var atļaut tikai tad, ja abonents ir tam piekritis, pamatojoties uz publiski pieejamu komunikāciju pakalpojumu sniedzēja dotu precīzu un pilnīgu informāciju par tādas tālākas apstrādes veidiem, ko tas nodomājis veikt, un par abonenta tiesībām nesniegt vai atsaukt savu piekrišanu šādai apstrādei. [..]
[..]
(30) Sistēmas elektronisko komunikāciju tīklu nodrošināšanai un pakalpojumu sniegšanai jāveido tā, lai ierobežotu nepieciešamo personas datu apjomu līdz stingri noteiktam minimumam. [..]”
5. Saskaņā ar šīs direktīvas 2. pantu “Definīcijas”:
“[..]
Piemēro arī šādas definīcijas:
a) “lietotājs” ir jebkura fiziska persona, kas izmanto publiski pieejamu elektronisko komunikāciju pakalpojumu personīgiem vai uzņēmējdarbības mērķiem, ne vienmēr būdama šā pakalpojuma abonents;
b) “informācija par datu plūsmu” ir jebkuri dati, kas apstrādāti ar nolūku pārsūtīt komunikāciju elektronisko komunikāciju tīklā vai ar nolūku sagatavot rēķinu;
c) “atrašanās vietas dati” ir jebkuri dati, kuri apstrādāti elektronisko komunikāciju tīklā vai kurus apstrādā elektronisko komunikāciju pakalpojuma sniedzējs, norādot publiski pieejamu elektronisko komunikāciju pakalpojuma lietotāja gala iekārtas ģeogrāfisko atrašanās vietu;
d) “komunikācija” ir jebkāda informācija, ar kuru apmainās vai kuru pārsūta starp noteiktu skaitu personu, izmantojot publiski pieejamu elektronisko komunikāciju pakalpojumu. Tajā neiekļauj informāciju, kas, izmantojot elektronisko komunikāciju tīklu, [pārraidīta] sabiedrībai kā apraides pakalpojuma daļa, izņemot līdz līmenim, kad informāciju var attiecināt uz identificējamu abonentu vai lietotāju, kas saņem šo informāciju;
[..].”
6. Minētās direktīvas 3. pantā “Attiecīgie pakalpojumi” ir noteikts:
“Šī direktīva attiecas uz personas datu apstrādi saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu publiskos komunikāciju tīklos Kopienā, tostarp publiskos komunikāciju tīklos, kuros var izmantot datu vākšanas un identifikācijas ierīces.”
7. Šīs pašas direktīvas 5. pants “Komunikāciju konfidencialitāte” noteic:
“1. Dalībvalstis nodrošina komunikāciju un saistītās informācijas par datu plūsmu konfidencialitāti ar publisko komunikāciju tīkla un publiski pieejamu elektronisko komunikāciju pakalpojumiem, ievērojot valsts tiesību aktus. Īpaši tās aizliedz komunikāciju un saistītās informācijas par datu plūsmu noklausīšanos, ierakstīšanu, uzglabāšanu vai cita veida aizturēšanu [pārtveršanu] vai pārraudzību personām, kas nav lietotāji, bez attiecīgo lietotāju piekrišanas, izņemot gadījumus, kad to darīt ir ar likumu atļauts saskaņā ar 15. panta 1. punktu. Šis punkts neliedz tehnisko uzglabāšanu, kas nepieciešama komunikāciju pārsūtīšanai, neierobežojot konfidencialitātes principu.
[..]
3. Dalībvalstis nodrošina, ka informācijas uzglabāšana abonenta vai lietotāja gala iekārtā vai piekļuves iegūšana šādā iekārtā jau uzglabātai informācijai ir atļauta tikai ar nosacījumu, ka attiecīgais abonents vai lietotājs ir devis savu piekrišanu un saskaņā ar Direktīvu [95/46] nodrošināts ar skaidru un visaptverošu informāciju, tostarp par apstrādes nolūku. Tas neliedz jebkādu tehnisku uzglabāšanu vai piekļuvi, kas paredzēta vienīgi, lai veiktu saziņas pārraidīšanu elektronisko sakaru tīklā, vai kas noteikti nepieciešama tā informācijas sabiedrības pakalpojuma sniedzējam, kuru skaidri pieprasījis abonents vai lietotājs.”
8. Saskaņā ar Direktīvas 2002/58 6. pantu “Informācija par datu plūsmu”:
“1. Informācija par datu plūsmu, kas attiecas uz abonentiem un lietotājiem un ko publisko komunikāciju tīkla pakalpojumu sniedzējs vai publiski pieejamu elektronisko komunikāciju pakalpojuma sniedzējs apstrādā vai uzglabā, ir jādzēš vai jāpadara anonīma, kad tā vairs nav nepieciešama komunikāciju pārraidīšanai, neierobežojot šā panta 2., 3. un 5. [punktu] un 15. panta 1. punktu.
2. Var apstrādāt informāciju par datu plūsmu, kas nepieciešama, lai abonentam sagatavotu rēķinu un veiktu norēķinus par starpsavienojumiem. Šāda apstrāde ir pieļaujama tikai tik ilgi, kamēr nav beidzies termiņš, kura laikā var likumīgi apstrīdēt rēķinu vai saņemt maksājumu.
[..]”
9. Šīs direktīvas 15. panta “Direktīvas [95/46] dažu noteikumu piemērošana” 1. punktā ir noteikts:
“Dalībvalstis var pieņemt tiesību aktus, lai ierobežotu šīs direktīvas 5. un 6. pantā, 8. panta 1., 2., 3. un 4. punktā un 9. pantā minēto tiesību un pienākumu darbības jomu, ja šādi ierobežojumi ir vajadzīgi saskaņā ar nepieciešamiem, atbilstīgiem un samērīgiem pasākumiem demokrātiskā sabiedrībā, lai garantētu valsts drošību, aizsardzību, sabiedrības drošību un kriminālpārkāpumu vai elektroniskās komunikāciju sistēmas nevēlamas izmantošanas novēršanu, izmeklēšanu, [atklāšanu] un kriminālvajāšanu, kā noteikts Direktīvas [95/46] 13. panta 1. punktā. Tālab dalībvalstis, cita starpā, var pieņemt tiesību aktus, paredzot datu saglabāšanu ierobežotā laikposmā, kas pamatots ar šajā punktā noteiktajiem iemesliem. Visi šajā punktā minētie pasākumi ir saskaņā ar [Savienības] tiesību aktu vispārējiem principiem, tostarp tie[m], kas minēti [LES] 6. panta 1. un 2. punktā.”
B. Francijas tiesības
1. Intelektuālā īpašuma kodekss
10. Code de la propriété intellectuelle [Intelektuālā īpašuma kodekss], redakcijā, kas piemērojama pamatlietā (turpmāk tekstā – “CPI”), L. 331‑12. pantā ir noteikts:
“Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [Augstā iestāde darbu izplatīšanai un tiesību aizsardzībai internetā; turpmāk tekstā – “Hadopi”] ir neatkarīga publiska iestāde.”
11. CPI L. 331‑13. pantā ir noteikts:
“[Hadopi] nodrošina:
[..]
2° [elektronisko komunikāciju tīklos ar autortiesībām vai blakustiesībām aizsargātu darbu un priekšmetu] aizsardzību pret pārkāpumiem elektronisko komunikāciju tīklos, ko izmanto publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanai tiešsaistē; [..].”
12. Šā kodeksa L. 331‑15. pantā noteikts:
“[Hadopi] veido kolēģija un tiesību aizsardzības komisija. [..]
[..]
Īstenojot savas pilnvaras, kolēģijas un tiesību aizsardzības komisijas locekļi nesaņem norādījumus no nevienas iestādes.”
13. Minētā kodeksa L. 331‑17. pantā ir noteikts:
“Tiesību aizsardzības komisija ir atbildīga par L. 331‑25. pantā paredzēto pasākumu veikšanu.”
14. Saskaņā ar šā paša kodeksa L. 331‑21. pantu:
“Tiesību aizsardzības komisijas pienākumu izpildes vajadzībām [Hadopi] nodarbina zvērinātas valsts amatpersonas, kurām [tās] priekšsēdētājs ir piešķīris pilnvaras atbilstoši Conseil d’État [Valsts padome] dekrēta nosacījumiem. [..]
Tiesību aizsardzības komisijas locekļiem un pirmajā daļā minētajām amatpersonām nosūta minētajai komisijai adresētos pieteikumus atbilstoši L. 331‑24. pantā paredzētajiem nosacījumiem. Šie locekļi un amatpersonas veic faktu pārbaudi.
Procedūras vajadzībām viņiem ir tiesības iegūt visus dokumentus neatkarīgi no informācijas nesēja, ieskaitot informāciju, ko uzglabā un apstrādā elektronisko komunikāciju tīklu uzņēmumi saskaņā ar Code des postes et des communications électroniques [Pasta un elektronisko komunikāciju kodekss] L. 34‑1. pantu un pakalpojumu sniedzēji, kas ir minēti loi n.º 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [2004. gada 21. jūnija Likuma Nr. 2004‑575 par uzticēšanās veicināšanu digitālajā ekonomikā] 6. panta I sadaļas 1. un 2. punktā.
Viņi var saņemt arī iepriekšējā daļā minēto dokumentu kopijas.
Viņi tostarp no elektronisko komunikāciju operatoriem var pieprasīt tāda abonenta identitātes datus, pasta adresi, elektronisko adresi un tālruņa numuru, kura piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem ir tikusi izmantota, lai reproducētu, attēlotu, publiskotu vai izziņotu sabiedrībai aizsargātus darbus vai priekšmetus bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.”
15. CPI L. 331‑24. pantā ir noteikts:
“Tiesību aizsardzības komisija izskata pieteikumus, ko iesniegušas zvērinātas un apstiprinātas amatpersonas [..], kuras ieceļ:
– likumā paredzētajā kārtībā izveidotas profesionālās tiesību aizsardzības organizācijas;
– kolektīvā pārvaldījuma organizācijas;
– Centre national du cinéma et de l’image animée (Nacionālais kino un animācijas centrs, Francija).
Tiesību aizsardzības komisija drīkst rīkoties, pamatojoties arī uz informāciju, ko tai nosūtījusi Prokuratūra.
Tā neaizskata pieteikumus par faktiem, kas norisinājušies vairāk nekā pirms sešiem mēnešiem.”
16. Saskaņā ar šā kodeksa L. 331‑25. pantu, kas reglamentē tā saukto “pakāpeniskās reakcijas” procedūru:
“Ja tiek iesniegts pieteikums par nodarījumiem, kas var būt kvalificējami kā [CPI] L. 336‑3. pantā noteiktā pienākuma neizpilde, tiesību aizsardzības komisija var nosūtīt abonentam [..] ieteikumu, atgādinot viņam L. 336‑3. pantā paredzētos noteikumus, liekot ievērot viņam uzlikto pienākumu un brīdinot par sodiem, kas piemērojami saskaņā ar L. 335‑7. un L. 335‑7‑1. pantu. Šajā ieteikumā iekļauj arī informāciju abonentam par kultūras satura likumīgu piedāvājumu tiešsaistē, par L. 336‑3. pantā noteikto pienākumu neizpildes novēršanai pieejamo drošības līdzekļu esamību, kā arī par to, kā darbības, ar kurām netiek ievērotas autortiesības un blakustiesības, apdraud māksliniecisko jaunradi un kultūras nozares ekonomiku.
Ja sešu mēnešu laikā no šā panta pirmajā daļā minētā ieteikuma nosūtīšanas tiek atkārtoti veikti nodarījumi, kas kvalificējami kā L. 336‑3. pantā noteiktā pienākumu neizpilde, komisija var elektroniski nosūtīt atkārtotu ieteikumu, sniedzot tādu pašu informāciju kā iepriekšējā ieteikumā [..]. Šim ieteikumam tā pievieno vēstuli, ko izsniedz pret parakstu vai izmantojot jebkuru citu līdzekli, lai pierādītu šā ieteikuma saņemšanas datumu.
Ieteikumos, kas izdoti, pamatojoties uz šo pantu, norāda datumu un laiku, kurā tika konstatēti nodarījumi, kas ir kvalificējami kā L. 336‑3. pantā noteikto pienākumu neizpilde. Tajos turpretim neizpauž to darbu un priekšmetu saturu, uz kuriem attiecas šo pienākumu neizpilde. Tajos norāda tālruņa numurus, pasta un elektroniskās adreses, uz kurām to adresāts, ja viņš to vēlas, var paziņot vai nosūtīt apsvērumus tiesību aizsardzības komisijai un, ja viņš tieši iesniedz pieprasījumu, var saņemt precizējumus par to aizsargāto darbu vai priekšmetu saturu, uz kuriem attiecas viņam pārmestā pienākumu neizpilde.”
17. Minētā kodeksa L. 331‑29. pantā ir noteikts:
“[Hadopi] ir atļauts izveidot sistēmu tādu personas datu automatizētai apstrādei, kuri attiecas uz personām, kurām piemēro šajā apakšsadaļā minēto procedūru.
Šī apstrāde ir veicama tālab, lai tiesību aizsardzības komisija varētu veikt šajā apakšsadaļā paredzētos pasākumus, visas ar šiem pasākumiem saistītās procesuālās darbības, kā arī procedūras profesionālās tiesību aizsardzības organizāciju un kolektīvā pārvaldījuma organizāciju informēšanai par iespējamo vēršanos tiesā, kā arī par L. 335‑7. panta piektajā daļā paredzētajiem paziņojumiem.
Šā panta piemērošanas kārtība ir noteikta [..] dekrētā. Tajā tostarp precizē:
– reģistrēto datu kategorijas un to glabāšanas ilgumu;
– adresātus, kuri ir tiesīgi saņemt šos datus, tostarp personas, kas piedāvā piekļuvi publiskiem tiešsaistes komunikāciju pakalpojumiem;
– nosacījumus, atbilstoši kuriem ieinteresētās personas var [Hadopi] īstenot savas tiesības piekļūt saviem datiem [..].”
18. Tā paša kodeksa R. 331.‑37. pantā ir noteikts:
“Elektronisko komunikāciju operatori [..] un [..] pakalpojumu sniedzēji, izmantojot starpsavienojumu ar L. 331‑29. pantā minēto automatizēto personas datu apstrādes sistēmu vai izmantojot uzticamības un drošības prasībām atbilstošu ierakstīšanas ierīci, nosūta personas datus un informāciju, kas minēta [2010. gada 5. marta Dekrēta Nr. 2010‑236 par personas datu automatizētu apstrādi, kas ir atļauta ar [CPI] L. 331‑29. pantu “Vadības sistēma pasākumiem darbu aizsardzībai internetā” (4) (turpmāk tekstā – “2010. gada 5. marta dekrēts”)] 2. punktā, [..] astoņu dienu laikā pēc tam, kad tiesību aizsardzības komisija ir pārsūtījusi tehniskos datus, kas nepieciešami, lai identificētu abonentu, kura piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem ir tikusi izmantota ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez [..] tiesību īpašnieku atļaujas, ja šāda atļauja ir jāsaņem.
[..]”
19. CPI R. 335‑5. pantā ir noteikts:
I.– Rupja neuzmanība, par kuru persona ir sodāma ar naudas sodu par piektās kategorijas kriminālpārkāpumiem, ir tad, ja persona – kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem – bez leģitīma iemesla un apstākļos, kad ir izpildīti II daļā paredzētie nosacījumi:
1° vai nu nav sarūpējusi līdzekli šīs piekļuves kontrolei;
2° vai šā līdzekļa lietošanā rīkojusies nevērīgi.
II.– Šā panta I daļā minētie noteikumi ir piemērojami tikai tad, ja ir izpildīti šādi divi nosacījumi:
1° Atbilstoši L. 331‑25. pantam un minētajā pantā paredzētajā veidā personai, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem, tiesību aizsardzības komisija ir ieteikusi sarūpēt līdzekli savas piekļuves kontrolei, lai novērstu šīs piekļuves atkārtotu izmantošanu ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.
2° Nākamajā gadā pēc šā ieteikuma nosūtīšanas šī piekļuve tiek no jauna izmantota šīs II daļas 1. punktā minētajiem mērķiem.”
20. Šā kodeksa L. 336‑3. pantā ir noteikts:
“Personai, kurai ir piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem, ir jārūpējas, lai šī piekļuve netiktu izmantota ar autortiesībām vai blakustiesībām aizsargātu darbu vai priekšmetu reproducēšanai, attēlošanai, publiskošanai vai izziņošanai sabiedrībai bez attiecīgo tiesību īpašnieku atļaujas [..], ja šāda atļauja ir jāsaņem.
Par šā panta pirmajā daļā noteiktā pienākuma neizpildi persona, kurai ir piekļuve, pie kriminālatbildības nav saucama [..].”
2. 2010. gada 5. marta dekrēts
21. 2010. gada 5. marta dekrēta, tā redakcijā, kas piemērojama pamatlietas faktiem, 1. pants noteic:
“Personas datu apstrādes ar nosaukumu “Vadības sistēma pasākumiem darbu aizsardzībai internetā” mērķis ir ļaut [Hadopi] tiesību aizsardzības komisijai:
1° veikt pasākumus, kas paredzēti [CPI] leģislatīvās daļas III grāmatā (III daļas I nodaļas 3. iedaļas 3. apakšiedaļa) un šā kodeksa regulatīvās daļas III grāmatā (III daļas I nodaļas 2. iedaļas 2. apakšiedaļa);
2° nodot Prokuratūrai lietas par nodarījumiem, kas ir iespējami kvalificējami kā šā kodeksa L. 335‑2., L. 335‑3., L. 335‑4. un R. 335‑5. pantā paredzētie noziedzīgie nodarījumi, kā arī par šo nodošanu informēt profesionālās tiesību aizsardzības organizācijas un kolektīvā pārvaldījuma organizācijas;
[..].”
22. Šā dekrēta 4. pantā ir noteikts:
“I.– Tieša piekļuve šā dekrēta pielikumā minētajiem personas datiem un informācijai ir zvērinātajām valsts amatpersonām, kuras ir pilnvarojis [Hadopi] priekšsēdētājs saskaņā ar [CPI] L. 331‑21. pantu, kā arī šā dekrēta 1. pantā minētās tiesību aizsardzības komisijas locekļiem.
II.– Elektronisko komunikāciju operatori un pakalpojumu sniedzēji, kas minēti šā dekrēta pielikuma 2. punktā, saņem:
– abonenta identifikācijai nepieciešamos tehniskos datus;
– ieteikumus, kas paredzēti [CPI] L. 331‑25. pantā, lai tos elektroniski nosūtītu saviem abonentiem;
– papildsodu – piekļuves publiskiem tiešsaistes komunikāciju pakalpojumiem apturēšanas – piemērošanai vajadzīgo informāciju, ar kuru tiesību aizsardzības komisiju ir iepazīstinājusi Prokuratūra.
III.– Profesionālās tiesību aizsardzības organizācijas un kolektīvās pārvaldības organizācijas saņem informāciju par lietas nodošanu Prokuratūrai.
IV.– Tiesu iestādes saņem protokolus, kuros konstatēti nodarījumi, kas iespējami ir kvalificējami kā [CPI] L. 335‑2., L. 335‑3., L. 335‑4., L. 335‑7., R. 331‑37., R. 331‑38. un R. 335‑5. pantā paredzētie noziedzīgie nodarījumi.
Automatizētajā sodu reģistrā iekļauj informāciju par piekļuves apturēšanas soda izpildi.”
23. 2010. gada 5. marta dekrēta pielikumā ir paredzēts:
“Veicot apstrādi, kas tiek saukta par “Vadības sistēmu pasākumiem darbu aizsardzībai internetā”, reģistrē šādus personas datus un informāciju:
1° Personas datus un informāciju, ko likumā paredzētajā kārtībā izveidotas profesionālās tiesību aizsardzības organizācijas, kolektīvā pārvaldījuma organizācijas, Centre national du cinéma et de l’image animé, kā arī Prokuratūra sniedz:
saistībā ar nodarījumiem, kas iespējami ir kvalificējami kā [CPI] L. 336‑3. pantā noteikto pienākumu neizpilde:
nodarījuma datums un laiks;
attiecīgo abonentu IP adrese;
izmantotais vienādranga protokols;
abonenta izmantotais pseidonīms;
informācija par aizsargātajiem darbiem vai priekšmetiem, uz kuriem attiecas minētie nodarījumi;
datnes nosaukums abonenta datorā (gadījumā, ja tā tiek izmantota);
internetpiekļuves pakalpojumu sniedzējs, pie kura tika abonēta piekļuve vai kurš nodrošināja tehnisko IP resursu.
[..]
2° Personas datus un informāciju par abonentu, ko ievākuši elektronisko komunikāciju operatori [..] un pakalpojumu sniedzēji [..]:
uzvārds, vārds(-i);
pasta adrese un elektroniskā pasta adreses;
tālruņa numuri;
abonenta tālruņa ierīces adrese;
internetpiekļuves pakalpojumu sniedzējs, kas izmanto 1. punktā minētā piekļuves pakalpojumu sniedzēja tehniskos resursus, ar ko abonents noslēdzis līgumu; lietas materiālu numurs;
datums, kurā apturēta piekļuve publiskiem tiešsaistes komunikāciju pakalpojumiem.
[..]”
3. Pasta un elektronisko komunikāciju kodekss
24. Code des postes et des communications électroniques (Pasta un elektronisko komunikāciju kodekss) L. 34‑1. panta – redakcijā ar grozījumiem, kas izdarīti ar 2021. gada 30. jūlija Likuma Nr. 2021‑998 (5) 17. pantu – II bis daļā ir noteikts:
“Elektronisko komunikāciju operatoriem ir pienākums glabāt:
1° kriminālprocesu, sabiedrības drošības apdraudējumu novēršanas un valsts drošības aizsardzības vajadzībām: informāciju par lietotāja personas identitāti – piecus gadus pēc viņa līguma beigām;
2° tiem pašiem mērķiem, kas minēti šīs II bis daļas 1. apakšpunktā: citu informāciju, ko sniedzis lietotājs līguma noslēgšanas vai konta izveides brīdī, kā arī maksājumu informāciju – vienu gadu pēc viņa līguma darbības beigām vai konta slēgšanas;
3° smagas noziedzības, nopietnu sabiedrības drošības apdraudējumu novēršanas un valsts drošības aizsardzības vajadzībām: tehniskos datus, kas ļauj identificēt savienojuma avotu, vai datus par izmantotajām galaiekārtām – līdz vienam gadam pēc savienojuma vai galaiekārtu lietošanas.”
III. Tiesvedība Tiesā
25. Atbildot uz Eiropas Savienības Tiesas statūtu 23. pantā minētajām ieinteresētajām personām adresēto aicinājumu, prasītāji pamatlietā, Francijas, Dānijas, Igaunijas, Īrijas, Nīderlandes, Somijas, Zviedrijas valdības, kā arī Eiropas Komisija atbildēja uz Tiesas uzdotajiem rakstveida jautājumiem.
26. Šie paši lietas dalībnieki – izņemot Somijas valdību –, Čehijas, Spānijas, Kipras, Latvijas un Norvēģijas valdības, kā arī EDAU un ENISA piedalījās tiesas sēdē, kas notika 2023. gada 15. maijā.
IV. Juridiskā analīze
27. Pirmajos secinājumos veiktās prejudiciālo jautājumu analīzes iznākumā ierosināju Tiesai nospriest, ka Direktīvas 2002/58 15. panta 1. punkts ir jāinterpretē tādējādi, ka tam nav pretrunā tāds valsts tiesiskais regulējums, ar ko elektronisko komunikāciju pakalpojumu sniedzējiem ir atļauts glabāt IP adresēm piesaistītos personas identitātes datus un tādai par autortiesību un blakustiesību aizsardzību pret pārkāpumiem internetā atbildīgajai administratīvajai iestādei kā Hadopi (6) piekļūt šiem un tikai un vienīgi šiem datiem tālab, lai šī iestāde varētu identificēt par autortiesību vai blakus tiesību pārkāpumu izdarīšanu aizdomās turētos šo adrešu īpašniekus un vajadzības gadījumā attiecībā uz viņiem rīkoties, bez vajadzības šīs piekļuves iespēju pakārtot tiesas vai neatkarīgas administratīvās iestādes iepriekš veiktai pārbaudei, ja šie dati ir vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personu, kurai šī adrese tika piešķirta pārkāpuma izdarīšanas brīdī.
28. Šajos secinājumos centīšos padziļināti aplūkot dažus manā iepriekšējā analīzē minētos elementus un jautājumus, kas tika apspriesti tiesas sēdē, kas notika 2023. gada 15. maijā, lai izklāstītu iemeslus, kuru dēļ atstāju spēkā gan savu priekšlikumu atbildei uz prejudiciālajiem jautājumiem, gan to pamatā esošo argumentu kopumu (7).
29. Konkrētāk, pierādīšu, ka tas, ka tiek atļauts glabāt IP adresei piesaistītus personas identitātes datus un piekļūt tiem bez iepriekšējas pārbaudes, lai identificētu pārkāpumu izdarītājus, ja šie dati ir vienīgais to identifikācijas līdzeklis, atbilst Tiesas izvirzītajām prasībām attiecībā uz pasākumu, kas veikti saskaņā ar Direktīvas 2002/58 15. panta 1. punktu, pārbaudi (B iedaļa).
30. To darot, parādīšu, ka šāds risinājums ir nevis atkāpe no prasīgās un pamattiesības aizsargājošās judikatūras, ko Tiesa izstrādājusi kopš spriedumiem Tele2 Sverige un Watson u.c. (8) un La Quadrature du Net u.c. (9), bet gan vēlams šīs judikatūras pilnveidojums, kas, manuprāt, iekļaujas Tiesas noteikto principu izvēršanā. Šis nošķīrums nav tikai semantisks vien. Proti, manis piedāvātais risinājums nav vērsts uz to, lai apšaubītu pastāvošo judikatūru, bet gan uz to, lai zināma pragmatisma vārdā ļautu to pielāgot īpašiem un ļoti šauri specificētiem apstākļiem (C iedaļa).
31. Skaidrības labad un tāpēc, ka debatēs tiesas sēdē parādījās vajadzība šajā ziņā sniegt precizējumus, savu analīzi sākšu ar atgādinājumu par Hadopi izmantotā pakāpeniskās reakcijas mehānisma darbību (A iedaļa).
A. Hadopi izmantotais pakāpeniskās reakcijas mehānisms
32. Hadopi ir neatkarīga administratīva iestāde, kas ir atbildīga par autortiesību un blakustiesību aizsardzību pret šo tiesību pārkāpumiem internetā. Šim nolūkam ir ieviests tā dēvētais “pakāpeniskās reakcijas” mehānisms, kura īstenošana ir uzticēta Hadopi tiesību aizsardzības komisijai.
33. Šajā komisijā vēršas tiesību īpašnieku organizācijas, kurās dažas zvērinātas kultūras ministra apstiprinātas amatpersonas vāc tādu interneta lietotāju IP adreses vienādranga (peer to peer) tīklos, kuri publisko darbus bez to īpašnieku atļaujas. Pēc tam tiek sagatavoti protokoli. Šajos protokolos it īpaši tiek iekļauta internetpiekļuves IP adrese, kas tiek izmantota šo autortiesību pārkāpumu izdarīšanai, konstatētā pārkāpuma datums un laiks, kā arī attiecīgā darba nosaukums, un tie tiek nodoti Hadopi tiesību aizsardzības komisijai. Šajā ziņā jāuzsver, kā to norādījis arī EDAU, ka personas datu apstrādei, ko veic tiesību īpašnieku organizāciju amatpersonas, ir jāsaņem atļauja no Commission nationale de l’informatique et des libertés (CNIL), kas ir Francijas datu aizsardzības uzraudzības iestāde (10).
34. Pēc protokolu saņemšanas un pēc automatizētas pārbaudes, lai nodrošinātu, ka tajos ir ietverti visi vajadzīgie dati, Hadopi tiesību aizsardzības komisija no elektronisko komunikāciju pakalpojumu sniedzējiem var iegūt autortiesību pārkāpuma izdarīšanai izmantotā pieslēguma abonementa īpašnieka identitāti, pasta adresi, e‑pasta adresi un tālruņa kontaktinformāciju.
35. Tad Hadopi var nosūtīt šai personai “ieteikumu”, informējot viņu par to, ka tās internetpiekļuve ir izmantota veidā, kas pārkāpj autortiesības, un nosakot pienākumu šīs tiesības ievērot personai, kura tiek turēta aizdomās par sava rūpības pienākuma nepildīšanu attiecībā uz ar autortiesībām vai blakustiesībām aizsargāto darbu tiesību ievērošanu internetā. Citiem vārdiem sakot, ieteikums ir adresēts internetpiekļuves īpašniekam, kas faktiski var būt kāda cita persona, nevis tā persona, kura ir padarījusi darbu pieejamu, pārkāpjot autortiesības. Otrs ieteikums var tikt nosūtīts gadījumā, ja tiek konstatēts atkārtots autortiesību pārkāpums, izmantojot to pašu internetpiekļuvi. Turpmāku atkārtotu pārkāpumu gadījumā Hadopi tiesību aizsardzības komisija var pieņemt lēmumu nodot lietu Prokuratūrai kriminālvajāšanas uzsākšanai. Šajā ziņā, kā Francijas valdība norādīja savos sākotnējos apsvērumos, Hadopi amatpersonas, kuras ir atbildīgas par pakāpeniskās reakcijas mehānismu, ir zvērinātas un Hadopi priekšsēdētāja pilnvarotas, un tām ir jāievēro dienesta noslēpums, kā arī ir vienīgās no Hadopi amatpersonām, kurām ir ļauts piekļūt personas datiem, kas tiek apstrādāti saskaņā ar šo mehānismu.
36. Šajā ziņā jāprecizē, ka tiek ievākti un nodoti Hadopi nevis visu vienādranga tīklu lietotāju dati, kuri vienīgi ir lejupielādējuši šādu saturu (11), bet tikai to personu dati, kuras ir darījušas pieejamu autortiesības pārkāpjošu saturu, proti, to personu dati, kuras ir augšupielādējušas šādu saturu.
37. Piemēram, attiecībā uz 2021. gadu Hadopi no tiesību īpašnieku organizācijām saņēma gandrīz četrus miljonus protokolu, nosūtīja 210 595 pirmos ieteikumus un 53 564 atkārtotos ieteikumus un 1484 gadījumos vērsās Prokuratūrā.
38. Atgādinājis iepriekš minēto, parādīšu, kādā veidā šāds mehānisms, kas paredz glabāt personas IP adresei piesaistītos personas identitātes datus un tiem piekļūt, manuprāt, atbilst prasībām, kas noteiktas judikatūrā par valsts pasākumiem, kuri pieņemti saskaņā ar Direktīvas 2002/58 15. panta 1. punktu.
B. Atbilstība prasībām, kas izriet no Tiesas judikatūras par Direktīvas 2002/58 15. panta 1. punkta interpretāciju
39. Tā kā Tiesas judikatūru par pieslēguma avotam piešķirto IP adrešu glabāšanu un piekļuvi tām esmu atgādinājis jau savos pirmajos secinājumos (12), šajos secinājumos koncentrēšos uz to, kas, manuprāt, veido šīs judikatūras kodolu, proti, pirmkārt, uz samērīguma prasību un, otrkārt – saistībā ar piekļuvi šiem datiem –, uz iespējamo nepieciešamību veikt iepriekšēju pārbaudi tiesā vai neatkarīgā administratīvā iestādē.
1. Par attiecīgā pasākuma samērīgumu
40. Lai noteiktu, vai pasākums, kurā notiek IP adresei piesaistītu personas identitātes datu glabāšana vai piekļuve tiem, ir saderīgs ar Savienības tiesībām, kā Tiesa to atkārtoti uzsver, ir jāsaslāgo dažādās skartās leģitīmās intereses un tiesības, proti, no vienas puses, Hartas 7. un 8. pantā garantētās tiesības uz privātās dzīves aizsardzību, kā arī personas datu aizsardzību (13) un, no otras puses, citu personu tiesību un brīvību, kā arī Hartas 3., 4., 6. un 7. pantā nostiprināto tiesību aizsardzība (14). Piebildīšu, ka šajā lietā tiesības uz privātās dzīves aizsardzību un personas datu aizsardzību ir jāsalāgo arī ar Hartas 17. pantā nostiprinātajām tiesībām uz īpašumu, jo pakāpeniskās reakcijas mehānisma mērķis galu galā ir autortiesību un blakustiesību aizsardzība.
41. Šajā ziņā Tiesa precizē, ka šī saskaņā ar Direktīvas 2002/58 15. panta 1. punktu veicamā salāgošana ļauj dalībvalstīm pieņemt pasākumu, kas paredz atkāpi no konfidencialitātes principa, ja šāds pasākums ir “nepieciešams, atbilstīgs un samērīgs demokrātiskā sabiedrībā” (mans izcēlums). Šīs direktīvas 11. apsvērumā ir precizēts, ka šādam pasākumam ir jābūt “stingri” samērīgam ar paredzēto nolūku (15).
42. Turklāt uz samērīguma principu Tiesa norāda visā savā argumentācijā par Direktīvas 2002/58 15. panta 1. punkta interpretāciju un tādējādi padara šo principu par stūrakmeni saskaņā ar šo tiesību normu pieņemta personas datu glabāšanu vai piekļuvi tiem noteicoša valsts pasākuma izvērtējumā.
43. Šīs argumentācijas padziļināta izpēte atklāj, ka samērīguma princips Direktīvas 2002/58 15. panta 1. punkta kontekstā ietver dažādus aspektus, kas attiecas, pirmkārt, uz informācijas par datu plūsmu glabāšanas vai piekļuves tai radītās iejaukšanās pamattiesībās smagumu un, otrkārt, uz attiecīgā pasākuma nepieciešamību.
44. Runājot par Hadopi veikto IP adresei piesaistīto personas identitātes datu glabāšanu un piekļuvi tiem, uzskatu, ka gan iejaukšanās smagumam, gan šo datu nepieciešamībai būtu jāliek Tiesai niansēt savu samērīguma pārbaudi valsts pasākumam, kas pieņemts saskaņā ar Direktīvas 2002/58 15. panta 1. punktu.
a) Iejaukšanās pamattiesībās relatīvais smagums
45. No Tiesas pastāvīgās judikatūras skaidri izriet, ka atbilstoši samērīguma principam pasākuma, kas pieņemts saskaņā ar Direktīvas 2002/58 15. panta 1. punktu, mērķa nozīmīgumam ir jābūt samērīgam ar iejaukšanās smagumu, kas no tā izriet (16).
46. Konkrētāk, kā esmu uzsvēris savos pirmajos secinājumos, Tiesa ir nospriedusi, ka noziedzīgu nodarījumu novēršanas, izmeklēšanas, atklāšanas un kriminālvajāšanas jomā smagu iejaukšanos var pamatot vienīgi ar cīņu pret noziedzību, kas arī ir kvalificējama kā “smaga” (17).
47. Attiecībā uz IP adresēm Tiesa norāda, ka, lai gan to sensitivitātes pakāpe ir mazāka nekā citai informācijai par datu plūsmu, to glabāšana un analīze tomēr ir smaga iejaukšanās pamattiesībās, jo tās var tikt izmantotas, lai izsmeļoši izsekotu interneta lietotāja tīklklejošanai un līdz ar to noteiktu interneta lietotāja detalizētu profilu un izdarītu precīzus secinājumus par viņa privāto dzīvi (18).
48. Pamatlietā IP adresēm piesaistītu personas identitātes datu glabāšana un piekļuve tiem ir paredzēta, lai apkarotu autortiesību un blakustiesību pārkāpumus. Taču, manuprāt, ir skaidrs, ka pat tad, ja šo pārkāpumu apjoms būtu ļoti liels, to apkarošana nav uzskatāma par smagas noziedzības (19) apkarošanu. Tādējādi attiecīgā pasākuma izraisītās iejaukšanās pamattiesībās smagums nebūtu samērīgs ar šā pasākuma mērķi.
49. Savos pirmajos secinājumos saskaņā ar Tiesas judikatūru uzskatīju, ka Hadopi piekļuve IP adresei piesaistītajiem personas identitātes datiem patiešām ir smaga iejaukšanās pamattiesībās. Lai gan arī secināju, ka šādu datu glabāšana un piekļuve tiem šajā lietā tomēr ir jāatļauj, pēc tiesas sēdes uzskatu par vajadzīgu izdarīt vēl dažus papildu precizējumus.
50. Pakāpeniskās reakcijas mehānisms ļauj Hadopi sasaistīt tiesību īpašnieku organizāciju paziņoto tādu personu – kuras tiek turētas aizdomās par savas internetpiekļuves izmantošanu nolūkā veikt autortiesību pārkāpumu vienādranga tīklā – IP adresi ar šīs personas identitātes datiem, kā arī izrakstu no datnes, kas augšupielādēta, pārkāpjot autortiesības. Kā tiesas sēdē norādīja Komisija un EDAU, šādi elementi, lai gan tie noteikti ļauj iegūt vairāk informācijas nekā tikai iespējamā pārkāpuma izdarītāja identitāti, tomēr nedod iespēju izdarīt ļoti precīzus secinājumus par šīs personas privāto dzīvi. Proti, kā jau minēju savos pirmajos secinājumos (20), tiek atklāta vienīgi informācija par kādu konkrētā brīdī notikušu satura aplūkošanu, kas pati par sevi vien vēl neļauj noteikt detalizētu šo saturu aplūkojušās personas profilu.
51. Tā ir vēl jo vairāk tāpēc, ka visupirms jau lielākā daļa Hadopi paziņoto IP adrešu ir tā sauktās “dinamiskās” IP adreses, kuras pēc savas būtības ir mainīgas un atbilst kādai konkrētai identitātei tikai vienā brīdī, kas sakrīt ar attiecīgā satura publiskošanu. Tādējādi tās izslēdz jebkādu izsmeļošu izsekošanu.
52. Turpinājumā vēlos uzsvērt, ka pamattiesību aizsardzība internetā, manuprāt, nevar pamatot to, ka piekļuve datiem, kas attiecas tikai un vienīgi uz IP adresi, darba saturu un tās personas identitāti, kura to darījusi pieejamu, pārkāpjot autortiesības, būtu liedzama, bet gan nozīmē tikai to, ka šo datu glabāšanā un piekļuvē tiem jānodrošina garantijas. To, manuprāt, uzskatāmi parāda kāda analoģija ar reālo pasauli, proti, persona, kas tiek turēta aizdomās par zādzību, nedrīkstētu atsaukties uz savām tiesībām uz privātās dzīves aizsardzību tālab, lai personas, kas ir atbildīgas par šā noziedzīgā nodarījuma izmeklēšanu, nevarētu iepazīties ar nozagto saturu. Turpretī šī persona pamatoti varētu atsaukties uz savām pamattiesībām, lai tiesvedības laikā liegtu piekļuvi tādam datu kopumam, kas ir plašāks nekā tikai tie dati, kas ir vajadzīgi iespējamā nodarījuma kvalifikācijai.
53. Visbeidzot vēlos norādīt, ka pretēji tam, ko apgalvo prasītājas, pakāpeniskās reakcijas mehānisms, šķiet, neizraisa vienādranga tīklu lietotāju vispārēju uzraudzību. Proti, lai noteiktu, vai tie ir publiskojuši darbu, pārkāpjot autortiesības, nav jāpārbauda visas viņu darbības attiecīgajā tīklā, bet drīzāk, pamatojoties uz datni, kas identificēta kā autortiesību pārkāpums, jānosaka tās internetpiekļuves īpašnieks, no kuras interneta lietotājs darbu ir darījis pieejamu. Tāpat, kā tiesas sēdē uzsvēra EDAU, runa nav par visu vienādranga tīklu lietotāju darbību uzraudzību, bet gan tikai par to personu darbības uzraudzību, kuras augšupielādē datnes, pārkāpjot autortiesības, jo šo datņu augšupielāde vēl mazāk atklāj elementus, kas attiecas uz personas privāto dzīvi, tāpēc, ka tā notiek tikai tālab, lai ļautu šiem interneta lietotājiem pēc tam lejupielādēt citas datnes.
54. Šādos apstākļos iemesli, kas lika Tiesai uzskatīt IP adrešu glabāšanu un piekļuvi tām par smagu iejaukšanos pamattiesībās, man nešķiet piemērojami tādam pakāpeniskās reakcijas mehānismam, kādu izmanto Hadopi. No tā izriet, ka samērīguma principa izvērtējumā šīs glabāšanas un piekļuves radītās iejaukšanās smagums ir jāniansē.
55. Citiem vārdiem sakot, uzskatu, ka Tiesas judikatūra attiecībā uz tādas iejaukšanās pamattiesībās smagumu, ko rada IP adrešu glabāšana un piekļuve tām, ir jāinterpretē nevis kā tāda, kas nozīmē, ka šī iejaukšanās vienmēr ir smaga, bet gan, ka tā ir smaga tikai tad, ja IP adreses var būt iemesls attiecīgā interneta lietotāja tīklklejošanas izsmeļošai izsekošanai, tādējādi izdarot ļoti precīzus secinājumus par viņa privāto dzīvi.
56. Ņemot vērā, ka tādā situācijā kā pamatlietā aplūkotā tas tā nav, secināms, ka iejaukšanās, ko rada tādu personas identitātes datu – kuri ir piesaistīti IP adresei, kas izmantota, lai padarītu pieejamu saturu, ar kuru tiek pārkāptas autortiesības – glabāšana un piekļuve tiem, būtu jāpamato ar mērķi apkarot noziedzību plašākā izpratnē, nevis vienīgi smagu noziedzību.
57. Turklāt precizēšu, ka iejaukšanos pamattiesībās, ko rada IP adresei piesaistītu personas identitātes datu glabāšana un piekļuve tiem tādā situācijā kā pamatlietā aplūkotā, nepadara smagāku apstāklis, ka tās internetpiekļuves īpašnieks, kura tiek izmantota, lai darītu pieejamu pārkāpjošu saturu, ne vienmēr ir šīs publiskošanas autors, līdz ar to Hadopi adresētais ieteikums varētu izpaust šim īpašniekam minēto saturu, kuram varēja piekļūt trešā persona. Pirmkārt, atgādināšu, ka Hadopi izmeklētais nodarījums ir pārkāpums, kas saistīts ar pienākuma nodrošināt, lai internetpiekļuve netiktu izmantota autortiesības pārkāpjoša satura publicēšanai, neizpildi. Tādēļ ir nepieciešams, lai informācija, kas ļauj šādu nodarījumu kvalificēt, tiktu nodota tās iespējamajam izdarītājam. Otrkārt, kā jau esmu norādījis, uzskatu, ka informācija par attiecīgo darbu neļauj izdarīt precīzus secinājumus par tās personas privāto dzīvi, kura to ir darījusi pieejamu. Tātad iespējamā šīs informācijas pārsūtīšana interneta pieslēguma īpašniekam nepārsniedz to, kas ir nepieciešams, lai nodrošinātu attiecīgā autortiesību pārkāpuma izmeklēšanu.
b) Attiecīgo datu nepieciešamība pārkāpuma atklāšanai un saukšanai pie atbildības par to
58. Lai nodrošinātu, ka saskaņā ar Direktīvas 2002/58 15. panta 1. punktu pieņemts pasākums, kas noteic tādas informācijas par datu plūsmu kā IP adresei piesaistītie personas identitātes dati glabāšanu un piekļuvi tai, ir samērīgs, saskaņā ar Tiesas judikatūru ir nepieciešams, lai šā pasākuma radītā iejaukšanās nepārsniegtu to, kas ir absolūti nepieciešams, lai sasniegtu izvirzīto mērķi (21). Man šķiet, ka tieši tā tas ir pamatlietā aplūkotā pasākuma gadījumā.
59. Kā uzsvēru jau savos pirmajos secinājumos (22), no pašas Tiesas judikatūras izriet, ka gadījumā, ja nodarījums ir izdarīts tikai tiešsaistē, kā autortiesību pārkāpums vienādranga tīklā, IP adrese var būt vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personu, kurai šī adrese bija piešķirta tā izdarīšanas brīdī (23). No tā, manuprāt, izriet, ka IP adresēm piesaistīto personas identitātes datu glabāšana un piekļuve tiem tālab, lai atklātu tiešsaistē izdarītus autortiesību pārkāpumus un sauktu pie atbildības par tiem, saskaņā ar judikatūru ir stingri nepieciešama, lai sasniegtu izvirzīto mērķi.
60. Ikviena personas datu aizsardzības prasība patiešām ierobežo izmeklēšanas pilnvaras. Tas izriet jau no paša pretējo interešu salāgošanas principa, un šāds iznākums pats par sevi nav apstrīdams. Tomēr tad, ja IP adrese ir vienīgais līdzeklis, lai identificētu personu, kas tiek turēta aizdomās par intelektuālā īpašuma tiesību pārkāpuma izdarīšanu tiešsaistē, šāda situācija atšķiras no vairuma kriminālvajāšanu, attiecībā uz kurām Tiesa norāda, ka “[..] efektivitāte parasti ir atkarīga nevis no kāda viena izmeklēšanas līdzekļa, bet gan no visiem valsts kompetento iestāžu rīcībā tālab esošajiem izmeklēšanas līdzekļiem” (24). Atzīstot, ka IP adresei piesaistītie personas identitātes dati nedrīkst tikt glabāti un tiem nedrīkst piekļūt tādā situācijā kā pamatlietā aplūkotā, nevis – tāpat kā jebkura datu plūsmas aizsardzību nodrošinoša pasākuma gadījumā – vienkārši tiktu ierobežotas izmeklēšanas pilnvaras, bet gan valsts iestādēm tiktu atņemts vienīgais līdzeklis dažu nodarījumu atklāšanai un saukšanai pie atbildības par tiem.
61. Citiem vārdiem sakot, atbilstoši manis piedāvātajai Direktīvas 2002/58 15. panta 1. punkta interpretācijai runa nav par to, lai, izvērtējot šāda pasākuma nepieciešamību, atļautu tādu datu glabāšanu un piekļuvi tiem datiem, kas tikai atvieglo nodarījumu atklāšanu un saukšanu pie atbildības par tiem, ja šos nodarījumus var atklāt un pie atbildības par tiem saukt arī citiem līdztekus pastāvošiem līdzekļiem, pat ja tie ir mazāk efektīvi. Drīzāk runa ir par pieļaujamību glabāt šos datus un piekļūt tiem, ja tie ir nepieciešami, lai identificētu personu, kas tiek turēta aizdomās par nodarījuma izdarīšanu un kuru bez šiem līdzekļiem nevarētu saukt pie atbildības tāpēc, ka attiecīgie dati ir vienīgais interneta lietotāja identifikācijas instruments, jo nodarījums ir izdarīts vienīgi tiešsaistē.
62. Interpretācijai, manuprāt, neizbēgami ir jābūt šādai, jo pretējā gadījumā būtu jāatzīst, ka par virkni noziedzīgu nodarījumu nekad nebūtu iespējams veikt kriminālvajāšanu (25).
63. No visa iepriekš minētā izriet, ka, manuprāt, valsts tiesiskais regulējums, kas ļauj elektronisko komunikāciju pakalpojumu sniedzējiem glabāt un administratīvai iestādei piekļūt tikai tiem personas identitātes datiem, kuri ir piesaistīti IP adresēm, ir pilnībā samērīgs ar sasniedzamo mērķi, proti, saukt pie atbildības par autortiesību un blakustiesību pārkāpumiem internetā, jo šo pasākumu radītā iejaukšanās pamattiesībās ir ierobežota un šie dati ir vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personu, kurai šī adrese bijusi piešķirta noziedzīgā nodarījuma izdarīšanas brīdī.
64. Līdz ar to uzskatu, ka Direktīvas 2002/58 15. panta 1. punkts būtu jāinterpretē tādējādi, ka tam nav pretrunā šāds tiesiskais regulējums.
2. Par atbilstošu materiāltiesisko un procesuālo garantiju esamību
65. Konkrēti attiecībā uz piekļuvi IP adresei piesaistītajiem personas identitātes datiem no Tiesas judikatūras izriet, ka ar pasākuma stingro samērīgumu vien nepietiek, lai to padarītu saderīgu ar Direktīvas 2002/58 15. panta 1. punktu.
66. Proti, lai nodrošinātu, ka piekļuve informācijai par datu plūsmu un atrašanās vietu nepārsniegtu to, kas ir ar absolūti nepieciešams, Tiesa ir nospriedusi, ka ir būtiski, lai šī piekļuve būtu pakļauta iepriekšējai pārbaudei, ko veic vai nu tiesa, vai neatkarīga administratīva iestāde, kurai ir visas pilnvaras un kura sniedz visas nepieciešamās garantijas, lai nodrošinātu dažādo attiecīgo leģitīmo interešu un tiesību salāgošanu (26).
67. Līdz ar to šaura judikatūras interpretācija liktu domāt, ka Hadopi piekļuve tādu personu IP adresei piesaistītajiem personas identitātes datiem, kuras tiek turētas aizdomās par autortiesību pārkāpuma izdarīšanu internetā, būtu jāpakļauj šādai iepriekšējai pārbaudei, kuras nav pašreizējā pakāpeniskās reakcijas mehānismā.
68. Tomēr, kā to tiesas sēdē norādīja Īrijas valdība un kā esmu minējis savos pirmajos secinājumos, uzskatu, ka prasība par iepriekšēju pārbaudi, ko veic tiesa vai neatkarīga administratīva iestāde, nav sistemātiska, bet gan ir atkarīga no attiecīgā pasākuma visaptverošākas analīzes, ņemot vērā gan šā pasākuma radītās iejaukšanās smagumu, gan tajā paredzētās garantijas.
69. Proti, jāuzsver, ka katrā no spriedumiem, kuros ir izklāstīta šī prasība par tiesas vai neatkarīgas administratīvas iestādes veiktu iepriekšēju pārbaudi, runa bija par valsts tiesisko regulējumu, kas ļāva piekļūt visai informācijai par lietotāju datu plūsmu un atrašanās vietas datiem attiecībā uz visiem lietotāju elektroniskās komunikācijas līdzekļiem (27) vai vismaz identificēto lietotāju fiksēto un mobilo telefoniju (28).
70. No tā secinu, ka šādas iepriekšējas pārbaudes prasība ir balstīta uz attiecīgajās lietās aplūkotās iejaukšanās smagumu. Kā Tiesa ir uzsvērusi, šie dati “tiešām var ļaut izdarīt precīzus, pat ļoti precīzus secinājumus par to personu privāto dzīvi, [..], piemēram, ikdienas dzīves paradumiem, pastāvīgajām vai pagaidu uzturēšanās vietām, ikdienas vai citām gaitām, veiktajām darbībām, šo personu sociālajām attiecībām un sociālajām aprindām, kurās tās mēdz uzturēties” (29). Turklāt tas attiecās uz to personu datiem, kuras jau ir identificētas un tiek turētas aizdomās par nodarījuma izdarīšanu, pamatojoties uz citām pazīmēm, un attiecīgie dati tad ļauj nostiprināt pierādījumus pret konkrēto lietotāju, paplašinot datu apjomu par viņu.
71. Savukārt pamatlietā aplūkotā tiesiskā regulējuma gadījumā, kā jau esmu uzsvēris, iejaukšanās, ko rada personas identitātes datu sasaistīšana ar IP adresi, smagums ir daudz mazāks nekā no piekļuves visai personas informācijai par datu plūsmu un atrašanās vietu izrietošās iejaukšanās smagums, jo šī sasaistīšana nesniedz nekādas ziņas, kas ļautu izdarīt precīzus secinājumus par attiecīgās personas privāto dzīvi.
72. Turklāt, kā esmu norādījis savos pirmajos secinājumos (30), šie dati attiecas tikai uz personām, kuras saskaņā ar tiesību īpašnieku organizācijas objektīvu konstatējumu par IP adreses izmantošanu autortiesību pārkāpuma izdarīšanai ir veikušas darbības, kuras iespējami ir kvalificējamas kā CPI L.336‑3. pantā paredzētā rūpības pienākuma neizpilde. Tās iepriekš nav identificētas ar citiem līdzekļiem, jo IP adreses sasaistīšana ar personas identitātes datiem ir vienīgais līdzeklis, kā identificēt attiecīgo personu. Tādējādi – atšķirībā no tā, kā bija Tiesas agrāk izskatītajās lietās – piekļuve šiem datiem neļauj iegūt papildu un precīzu informāciju par to personu darbību, par kurām jau ir aizdomas, pamatojoties uz citiem elementiem, bet tikai ļauj izmantot IP adresi, kas citādi nebūtu svarīga. Šādos apstākļos dati, kuriem Hadopi ir piekļuve, ir de facto ierobežoti.
73. Manuprāt, piekļuve par nodarījuma izdarīšanu aizdomās turētas personas datiem nolūkā pierādīt tās vainu būtiski atšķiras no piekļuves, kas dod iespēju atklāt jau konstatēta noziedzīgā nodarījuma izdarītāja identitāti.
74. Manuprāt, tas tā ir vēl jo vairāk tāpēc, ka uz IP adrešu vākšanu vienādranga tīklos attiecas iepriekšēja atļauja, kas ir piešķirta vienīgi attiecībā uz šiem datiem, līdz ar to Hadopi rīcībā nekad nav neierobežots datu kopums par interneta lietotājiem, kuri tiek turēti aizdomās par autortiesību pārkāpuma izdarīšanu internetā (31).
75. Tāpēc loģika, kas ir pamatā prasībai par tiesas vai neatkarīgas administratīva iestādes veiktu iepriekšēju pārbaudi, nav piemērojama tādam pakāpeniskās reakcijas mehānismam kā pamatlietā aplūkotais, un līdz ar to šāda prasība man nešķiet vajadzīga, lai nodrošinātu, ka šā mehānisma radītā iejaukšanās pamattiesībās aprobežojas ar to, kas ir absolūti nepieciešams.
76. No visa iepriekš minētā izriet, ka tādā valsts tiesiskajā regulējumā – ar kuru tādai neatkarīgai administratīvai iestādei kā Hadopi ir atļauts glabāt IP adresei piesaistītus personas identitātes datus un piekļūt tiem, lai identificētu šo adrešu īpašniekus, kuri tiek turēti aizdomās par autortiesību pārkāpumiem, un šī piekļuve nav pakļauta tiesas vai neatkarīgas administratīvas iestādes veiktai iepriekšējai pārbaudei – galu galā tiek ievēroti Tiesas judikatūrā noteiktie principi, ja šie dati ir vienīgais tās personas identifikācijas līdzeklis, kurai pārkāpuma izdarīšanas brīdī bija piešķirta IP adrese, līdz ar to Direktīvas 2002/58 15. panta 1. punkts būtu jāinterpretē tādējādi, ka tam nav pretrunā šāds tiesiskais regulējums.
77. Papildus šiem apsvērumiem, kas attiecas konkrēti uz šo lietu, man vēl ir jāizsaka vispārīgākas piezīmes par nepieciešamību pilnveidot šo Tiesas judikatūru.
C. Nepieciešama un ierobežota judikatūras pilnveide
78. Vairāki argumenti liecina par labu tam, lai izkoptu Tiesas judikatūru par tādu datu glabāšanu un piekļuvi tādiem datiem kā ar personas identitātes datiem sasaistītas IP adreses.
79. Pirmkārt, kā jau uzsvēru (32), pamatlietā aplūkotajā situācijā IP adresei piesaistītu personas identitātes datu iegūšana ir vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personu, kurai šī adrese bija piešķirta attiecīgā nodarījuma izdarīšanas brīdī.
80. No tā noteikti izriet, ka, ja Tiesa sliektos uzskatīt, ka Direktīvas 2002/58 15. panta 1. punktam tomēr ir pretrunā šo datu glabāšana un piekļuve tiem, valsts iestādēm de facto tiktu atņemts šis vienīgais identifikācijas līdzeklis un tādējādi attiecīgā nodarījuma izdarītājus nekad nevarētu saukt pie atbildības (33). Tas lika man pirmajos secinājumos norādīt uz risku, ka varētu valdīt sistēmiska nesodāmība attiecībā uz šo nodarījumu (34).
81. Sistēmiskas nesodāmības risks attiecas ne tikai uz tiem autortiesību pārkāpumiem, kas izdarīti vienādranga tīklos, bet, kā tiesas sēdē norādīja Čehijas valdība, tas attiecas uz visiem nodarījumiem, kas tiek izdarīti tikai un vienīgi tiešsaistē.
82. Proti, par noziedzīgiem nodarījumiem, kuru izdarītājs var vienīgi tikt identificēts, izmantojot viņa IP adresi, nekad nevarētu veikt kriminālvajāšanu un piemērot tiesību aktus, kuros tie ir kriminalizēti, ja tiktu nospriests, ka gan datu glabāšana, gan piekļuve tiem ir pretrunā Savienības tiesībām.
83. Šajā ziņā jāteic – kā minējušas prasītājas pamatlietā –, ka tos, kas izdarījuši pārkāpumus tikai un vienīgi tiešsaistē, teorētiski patiešām varētu identificēt arī ar citiem līdzekļiem. Tās norāda konkrēti uz sociālajos tīklos izmantoto identifikatoru un ar lietotāja kontu saistītajiem datiem, viņa elektroniskā pasta adresi, tālruņa numuru vai kādu viņa privātās dzīves aspektu, ko attiecīgā persona būtu atklājusi. Tomēr šādiem datiem, lai tos sasaistītu ar personas identitāti, ir nepieciešama padziļināta izmeklēšana, kuras laikā tiek pārbaudīta interneta lietotāja darbība tiešsaistē. Šādu izmeklēšanas līdzekļu izmantošana, manuprāt – atšķirībā no informācijas par IP adresi vien –, ļauj izdarīt ļoti precīzus secinājumus par personu privāto dzīvi, un tāpēc šo datu glabāšana un piekļuve tiem šajā ziņā būtu pretrunā Direktīvas 2002/58 15. panta 1. punktam.
84. Šādos apstākļos piekļuve interneta lietotāja IP adresei piesaistītajiem personas identitātes datiem, protams, nav vienīgais teorētiski iespējamais izmeklēšanas līdzeklis, kas ļauj identificēt šīs adreses īpašnieku noziedzīgā nodarījuma izdarīšanas brīdī, taču tas ļauj saukt šo personu pie atbildības, vienlaikus radot tikai nelielu iejaukšanos viņas pamattiesībās un tādējādi novēršot vispārēju nesodāmību.
85. Otrkārt, vēlreiz uzsveru, ka šāds risinājums, manuprāt, ļautu salāgot divus Tiesas judikatūras virzienus, kuru starpā valda zināmas spriedzes attiecības, uz ko esmu norādījis gan savos pirmajos secinājumos (35), gan secinājumos lietā M.I.C.M. (36), proti, judikatūru par datu glabāšanu un piekļuvi tiem salāgot ar judikatūru par savienojuma avotam piešķirto IP adrešu paziņošanu saistībā ar privātpersonu celtām prasībām intelektuālo tiesību aizsardzības jomā.
86. Treškārt, lai gan Tiesas judikatūra kopš spriedumiem Tele2 un La Quadrature du Net u.c. ir vērtējama atzinīgi, jo ir ļāvusi ieviest elektronisko komunikāciju pakalpojumu lietotāju pamattiesību aizsardzības ietvaru, tai tomēr ir raksturīga zināma kazuistika. Proti, izskatīto lietu gaitā Tiesa ir pakāpeniski pilnveidojusi savu judikatūru, kas tai ļauj dažādus valstu tiesiskos regulējumus izvērtēt, ņemot vērā Direktīvas 2002/58 15. panta 1. punktu. Tomēr Tiesai nav iespējams praktiski iepriekš paredzēt visus pasākumus, kas būtu izvērtējami šīs tiesību normas gaismā. To apliecina arī kopš sprieduma Tele2 par šo normu iesniegto lūgumu sniegt prejudiciālu nolēmumu (37) skaits, kas, manuprāt, norāda uz grūtībām, ar kādām valsts tiesas var sastapties, piemērojot Tiesas judikatūrā noteiktos principus situācijās, kas atšķiras no tām, kurās tika pasludināti attiecīgie spriedumi (38).
87. Tādējādi no tā izriet, ka, manuprāt, ir nepieciešama zināma elastība, Tiesā izvērtējot pasākumus, kas agrākajos spriedumos nebija iepriekš paredzami – piemēram, tiesiskie regulējumi, kas attiecas uz noziedzīgiem nodarījumiem, par kuriem kriminālvajāšanu ir iespējams veikt tikai tad, ja personas identitātes dati, kas piesaistīti IP adresēm, ir saglabāti un pieejami – un par kuriem Tiesai līdz šim nekad nav bijis jālemj.
88. Tātad ir nevis – kā apgalvo Dānijas valdība – jāpārdomā Tiesas judikatūra, bet gan jāatzīst, ka, balstoties uz tās pamatā esošajiem principiem, ļoti šauri specificētos apstākļos varētu rast niansētāku risinājumu.
89. Proti, manis piedāvātā Direktīvas 2002/58 15. panta 1. punkta interpretācija ļauj glabāt IP adresēm piesaistītos personas identitātes datus un piekļūt tiem tikai attiecībā uz kriminālvajāšanu par noziedzīgiem nodarījumiem, kuru izdarītāji šo datu neesamības gadījumā nevarētu tikt identificēti. Tātad tas attiecas vien uz nodarījumiem, kas izdarīti tikai un vienīgi internetā, un ar to netiek apšaubīti judikatūrā rastie risinājumi attiecībā uz plašāka apjoma datu glabāšanu un piekļuvi šiem datiem citos nolūkos.
V. Secinājumi
90. Ņemot vērā visus iepriekš izklāstītos apsvērumus, ierosinu Tiesai uz Conseil d’État (Valsts padome, Francija) uzdotajiem prejudiciālajiem jautājumiem atbildēt šādi:
Eiropas Parlamenta un Padomes Direktīvas 2002/58/EK (2002. gada 12. jūlijs) par personas datu apstrādi un privātās dzīves aizsardzību elektronisko komunikāciju nozarē (direktīva par privāto dzīvi un elektronisko komunikāciju), redakcijā ar grozījumiem, kas izdarīti ar Eiropas Parlamenta un Padomes 2009. gada 25. novembra Direktīvu 2009/136/EK, 15. panta 1. punkts, lasot to Eiropas Savienības Pamattiesību hartas 7., 8., 11. panta, kā arī 52. panta 1. punkta gaismā,
ir jāinterpretē tādējādi, ka
tam nav pretrunā tāds valsts tiesiskais regulējums, ar ko elektronisko komunikāciju pakalpojumu sniedzējiem ir atļauts glabāt IP adresēm piesaistītos personas identitātes datus un administratīvajai iestādei, kas ir atbildīga par autortiesību un blakustiesību aizsardzību pret pārkāpumiem internetā, piekļūt šiem un tikai un vienīgi šiem datiem tālab, lai šī iestāde varētu identificēt par šo pārkāpumu izdarīšanu aizdomās turētos šo adrešu īpašniekus un vajadzības gadījumā attiecībā uz viņiem rīkoties, bez vajadzības šīs piekļuves iespēju pakārtot tiesas vai neatkarīgas administratīvās iestādes iepriekš veiktai pārbaudei, ja šie dati ir vienīgais izmeklēšanas līdzeklis, kas ļauj identificēt personas, kurām šīs adreses bija piešķirtas pārkāpuma izdarīšanas brīdī.