Spojené veci C‑793/19 a C‑794/19
Bundesrepublik Deutschland
proti
SpaceNet AG
a
Telekom Deutschland GmbH
(návrhy na začatie prejudiciálneho konania, ktoré podal Bundesverwaltungsgericht)
Rozsudok Súdneho dvora (veľká komora) z 20. septembra 2022
„Návrh na začatie prejudiciálneho konania – Spracovávanie osobných údajov v sektore elektronických komunikácií – Dôvernosť správy – Poskytovatelia elektronických komunikačných služieb – Všeobecné a nediferencované uchovávanie údajov o prenose dát a polohe – Smernica 2002/58/ES – Článok 15 ods. 1 – Charta základných práv Európskej únie – Články 6, 7, 8 a 11, ako aj článok 52 ods. 1 – Článok 4 ods. 2 ZEÚ“
1. Aproximácia právnych predpisov – Sektor telekomunikácií – Spracovávanie osobných údajov a ochrana súkromia v sektore elektronických komunikácií – Smernica 2002/58 – Pôsobnosť – Vnútroštátna právna úprava, ktorá poskytovateľom elektronických komunikačných služieb ukladá povinnosť uchovávať údaje o prenose dát a polohe – Ciele ochrany národnej bezpečnosti a boja proti trestnej činnosti – Zahrnutie
(Článok 4 ods. 2 ZEÚ; smernica Európskeho parlamentu a Rady 2002/58, zmenená smernicou 2009/136, článok 1 ods. 1 a 3, článok 3 a článok 15 ods. 1)
(pozri bod 48)
2. Aproximácia právnych predpisov – Sektor telekomunikácií – Spracovávanie osobných údajov a ochrana súkromia v sektore elektronických komunikácií – Smernica 2002/58 – Možnosť členských štátov obmedziť rozsah niektorých práv a povinností – Vnútroštátne opatrenia, ktoré poskytovateľom elektronických komunikačných služieb ukladajú povinnosť všeobecného a nediferencovaného uchovávania údajov o prenose dát a polohe – Cieľ boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť – Neprípustnosť – Dĺžka obdobia všeobecného a nediferencovaného uchovávania týchto údajov – Neexistencia vplyvu – Vnútroštátne opatrenia týkajúce sa uchovávania určitých kategórií údajov – Ciele ochrany národnej bezpečnosti, boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť – Prípustnosť – Podmienky
(Charta základných práv Európskej únie, články 7, 8, 11 a článok 52 ods. 1; smernica Európskeho parlamentu a Rady 2002/58, zmenená smernicou 2009/136, článok 15 ods. 1)
(pozri body 49 – 75, 77 – 81, 83 – 85, 87 – 94, 97 – 99, 110, 113, 116 – 121, 127 – 131 a výrok)
Zhrnutie
V posledných rokoch Súdny dvor v niekoľkých rozsudkoch rozhodol o uchovávaní a prístupe k osobným údajom v oblasti elektronických komunikácií.(1)
Súdny dvor nedávno v rozsudku La Quadrature du net a i.(2), ktorý bol vyhlásený veľkou komorou 6. októbra 2020, potvrdil svoju judikatúru vyplývajúcu z rozsudku Tele2 Sverige a Watson a i.(3) o neprimeranej povahe všeobecného a nediferencovaného uchovávania údajov o prenose dát a polohe týkajúcich sa elektronických komunikácií. Súdny dvor tiež poskytol spresnenia, najmä pokiaľ ide o rozsah právomocí, ktoré smernica „o súkromí a elektronických komunikáciách“ priznáva členským štátom v oblasti uchovávania takýchto údajov na účely ochrany národnej bezpečnosti, boja proti trestnej činnosti a ochrany verejnej bezpečnosti.
V týchto spojených veciach boli podané dva návrhy na začatie prejudiciálneho konania zo strany Bundesverwaltungsgericht (Spolkový správny súd, Nemecko), na ktorý Spolková republika Nemecko podala opravný prostriedok „Revision“ proti dvom rozsudkom, ktorými sa vyhovelo žalobám podaným dvoma spoločnosťami, SpaceNet AG (vec C‑793/19) a Telekom Deutschland GmbH (vec C‑794/19), ktoré poskytujú služby prístupu k internetu. Týmito žalobami tieto spoločnosti napadli povinnosť, ktorú ukladá nemecká právna úprava,(4) uchovávať údaje o prenose dát a polohe týkajúce sa elektronických komunikácií ich zákazníkov.
Pochybnosti vnútroštátneho súdu sa týkajú najmä toho, či je so smernicou „o súkromí a elektronických komunikáciách“(5) v spojení s Chartou základných práv Európskej únie (ďalej len „Charta“)(6) zlučiteľná vnútroštátna právna úprava, ktorá ukladá poskytovateľom verejne dostupných elektronických komunikačných služieb, a to najmä na účely stíhania závažných trestných činov alebo odvrátenia konkrétnej hrozby pre národnú bezpečnosť, všeobecné a nediferencované uchovávanie zásadných údajov o prenose dát a polohe koncových užívateľov týchto služieb, pričom stanovuje dobu uchovávania v dĺžke niekoľkých týždňov a pravidlá, ktoré majú zabezpečiť účinnú ochranu uchovávaných údajov pred rizikami zneužitia, ako aj pred akýmkoľvek neoprávneným prístupom k týmto údajom.
Vo svojom rozsudku Súdny dvor zasadajúci vo veľkej komore potvrdil judikatúru vyplývajúcu z rozsudku La Quadrature du Net a i. a nedávno z rozsudku Commissioner of An Garda Síochána a i.(7), a zároveň spresnil jej dosah. Pripomenul najmä, že všeobecné a nediferencované uchovávanie údajov o prenose dát a polohe týkajúcich sa elektronických komunikácií nie je preventívne povolené na účely boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť.
Posúdenie Súdnym dvorom
Súdny dvor najprv potvrdil uplatniteľnosť smernice „o súkromí a elektronických komunikáciách“ na dotknutú vnútroštátnu právnu úpravu, následne didakticky pripomenul zásady vyplývajúce z jeho judikatúry a potom pristúpil k podrobnému preskúmaniu charakteristík predmetnej vnútroštátnej právnej úpravy, na ktoré poukázal vnútroštátny súd.
Pokiaľ ide v prvom rade o rozsah uchovávaných údajov, Súdny dvor uviedol, že povinnosť uchovávania stanovená predmetnou vnútroštátnou právnou úpravou sa vzťahuje na veľmi široký súbor údajov o prenose dát a polohe a že sa týka takmer všetkých osôb v populácii bez toho, aby sa tieto osoby, hoci aj nepriamo, nachádzali v situácii, ktorá by mohla viesť k trestnému stíhaniu. Uviedol tiež, že táto právna úprava stanovuje bezdôvodné, všeobecné a osobne, časovo a miestne nediferencované uchovávanie podstatnej časti údajov o prenose dát a polohe, ktorých rozsah v podstate zodpovedá rozsahu uchovávaných údajov vo veciach, v ktorých bol vydaný rozsudok La Quadrature du net a i. Vzhľadom na túto judikatúru Súdny dvor tak konštatoval, že povinnosť uchovávať údaje, o akú ide v prejednávanej veci, nemožno považovať za cielené uchovávanie údajov.
V druhom rade, pokiaľ ide o dobu uchovávania údajov, Súdny dvor pripomenul, že zo smernice „o súkromí a elektronických komunikáciách“(8) vyplýva, že doba uchovávania stanovená vnútroštátnym opatrením, ktoré ukladá všeobecnú a nediferencovanú povinnosť uchovávania, je nepochybne jedným z relevantných faktorov na účely určenia, či právo Únie bráni takému opatreniu, pričom uvedená veta vyžaduje, aby táto doba bola „obmedzená“. Závažnosť zásahu však vyplýva z rizika, najmä vzhľadom na ich počet a rôznorodosť, že uchovávané údaje ako celok umožňujú vyvodiť veľmi presné závery o súkromnom živote osoby alebo osôb, ktorých údaje boli uchovávané, a najmä poskytujú prostriedky na vytvorenie profilu dotknutej osoby alebo osôb, ktorý je z hľadiska práva na rešpektovanie súkromného života rovnako citlivou informáciou ako samotný obsah komunikácií. Uchovávanie údajov o prenose dát a polohe má teda v každom prípade závažnú povahu bez ohľadu na dĺžku obdobia uchovávania, množstvo či povahu uchovávaných údajov, pokiaľ z uchovávaného súboru údajov možno vyvodiť takéto závery.(9)
Napokon, pokiaľ ide o záruky, ktorých cieľom je chrániť uchovávané údaje pred rizikami zneužitia a pred akýmkoľvek neoprávneným prístupom, Súdny dvor na základe skoršej judikatúry uviedol, že uchovávanie údajov a prístup k nim predstavujú samostatné zásahy do základných práv dotknutých osôb, ktoré si vyžadujú samostatné odôvodnenie. Z toho vyplýva, že vnútroštátna právna úprava, ktorá zabezpečuje plné dodržiavanie podmienok vyplývajúcich z judikatúry, pokiaľ ide o prístup k uchovávaným údajom, nemôže svojou povahou obmedziť alebo dokonca napraviť závažný zásah do práv dotknutých osôb, ktorý by vyplýval zo všeobecného uchovávania týchto údajov.
Okrem toho s cieľom odpovedať na tvrdenia, ktoré mu boli predložené, Súdny dvor po prvé uviedol, že hrozba pre národnú bezpečnosť musí byť skutočná a aktuálna, alebo prinajmenšom predvídateľná, čo predpokladá existenciu dostatočne konkrétnych okolností, aby bolo možné odôvodniť opatrenie všeobecného a nediferencovaného uchovávania údajov o prenose dát a polohe počas obmedzeného obdobia. Takáto hrozba sa teda svojou povahou, závažnosťou a osobitnou povahou okolností, ktoré ju tvoria, odlišuje od všeobecného a trvalého rizika vzniku napätia alebo narušenia, a to aj závažného, v oblasti verejnej bezpečnosti, alebo rizika závažných trestných činov. Trestnú činnosť, a to ani obzvlášť závažnú, teda nemožno prirovnať k hrozbe pre národnú bezpečnosť.
Po druhé uviedol, že ak by sa na účely boja proti závažnej trestnej činnosti umožnil prístup k údajom o prenose dát a polohe, ktoré boli uchovávané všeobecným a nediferencovaným spôsobom, aby sa mohlo čeliť vážnej hrozbe pre národnú bezpečnosť, bolo by to v rozpore s hierarchiou cieľov všeobecného záujmu, ktoré môžu odôvodniť opatrenie prijaté na základe smernice „o súkromí a elektronických komunikáciách“.(10) To by totiž znamenalo, že by sa prístup mohol odôvodniť cieľom menšieho významu, než je cieľ, ktorý odôvodňoval uchovávanie, konkrétne ochrana národnej bezpečnosti, čo by mohlo spôsobiť, že zákaz vykonať všeobecné a nediferencované uchovávanie na účely boja proti závažnej trestnej činnosti by bol zbavený akéhokoľvek potrebného účinku.
Súdny dvor dospel k záveru, ktorý potvrdzuje jeho predchádzajúcu judikatúru, že smernica „o súkromí a elektronických komunikáciách“ v spojení s Chartou bráni vnútroštátnym legislatívnym opatreniam, ktoré na účely boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť preventívne stanovujú všeobecné a nediferencované uchovávanie údajov o prenose dát a polohe.
Naopak nebráni vnútroštátnym legislatívnym opatreniam, ktoré na účely ochrany národnej bezpečnosti umožňujú prikázať poskytovateľom elektronických komunikačných služieb, aby vykonali všeobecné a nediferencované uchovávanie údajov o prenose dát a polohe v situáciách, keď dotknutý členský štát čelí vážnej hrozbe pre národnú bezpečnosť, ktorá sa javí ako skutočná a aktuálna alebo predvídateľná. V tejto súvislosti Súdny dvor spresnil, že rozhodnutie o vydaní takéhoto príkazu môže byť účinne preskúmané zo strany súdu alebo nezávislého správneho orgánu, ktorého rozhodnutie má záväzný účinok, a cieľom tohto preskúmania bude overiť existenciu jednej z týchto situácií a dodržanie podmienok a záruk, ktoré musia byť stanovené, a uvedený príkaz možno vydať len na časovo obmedzené obdobie, ktoré je striktne nevyhnutné, s možnosťou jeho predĺženia, pokiaľ takáto hrozba pretrváva.
Táto smernica v spojení s Chartou nebráni ani vnútroštátnym legislatívnym opatreniam, ktoré na účely ochrany národnej bezpečnosti, boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť stanovujú cielené uchovávanie údajov o prenose dát a polohe, ktoré je vymedzené na základe objektívnych a nediskriminačných faktorov, podľa kategórií dotknutých osôb alebo prostredníctvom geografického kritéria, na časovo obmedzené obdobie, ktoré je striktne nevyhnutné, s možnosťou jeho predĺženia.
To isté platí pre vnútroštátne legislatívne opatrenia, ktoré na účely ochrany národnej bezpečnosti, boja proti závažnej trestnej činnosti a predchádzania vážnym hrozbám pre verejnú bezpečnosť stanovujú všeobecné a nediferencované uchovávanie IP adries pridelených zdroju spojenia na časovo obmedzené obdobie, ktoré je striktne nevyhnutné, ako aj údajov týkajúcich sa totožnosti užívateľov prostriedkov elektronickej komunikácie, v prípade ktorých je nesporné, že ich uchovávanie môže prispieť k boju proti závažnej trestnej činnosti, pokiaľ tieto údaje umožňujú identifikovať osoby, ktoré použili takéto prostriedky v súvislosti s prípravou alebo spáchaním činu spadajúceho pod závažnú trestnú činnosť.
Inak to nie je v prípade vnútroštátnych legislatívnych opatrení, ktoré na účely boja proti závažnej trestnej činnosti a a fortiori ochrany národnej bezpečnosti umožňujú prostredníctvom rozhodnutia príslušného orgánu, ktoré podlieha účinnému súdnemu preskúmaniu, prikázať poskytovateľom elektronických komunikačných služieb, aby urýchlene uchovali na potrebný čas údaje o prenose dát a polohe, ktoré majú k dispozícii.
Súdny dvor pritom uviedol, že všetky vyššie uvedené opatrenia musia prostredníctvom jasných a presných pravidiel zabezpečiť, že uchovávanie dotknutých údajov podlieha dodržiavaniu príslušných hmotnoprávnych a procesných podmienok a že dotknuté osoby majú účinné záruky proti rizikám zneužitia. Tieto rôzne opatrenia sa môžu podľa voľby vnútroštátneho zákonodarcu a pri dodržaní toho, čo je striktne nevyhnutné, uplatniť spoločne.