Sprawy połączone C‑203/15 i C‑698/15

Tele2 Sverige AB

przeciwko

Post- och telestyrelsen

oraz

Secretary of State for the Home Department

przeciwko

Tom Watson i in.

[wnioski o wydanie orzeczenia w trybie prejudycjalnym złożone przez Kammarrätten i Stockholm i Court of Appeal (England & Wales) (Civil Division)]

Odesłanie prejudycjalne – Łączność elektroniczna – Przetwarzanie danych osobowych – Poufność łączności elektronicznej – Ochrona – Dyrektywa 2002/58/WE – Artykuły 5, 6 i 9 oraz art. 15 ust. 1 – Karta praw podstawowych Unii Europejskiej – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 – Ustawodawstwo krajowe – Dostawcy usług łączności elektronicznej – Obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Organy władz krajowych – Dostęp do danych – Brak uprzedniej kontroli sądowej lub niezależnego organu administracyjnego – Zgodność z prawem Unii

Streszczenie – wyrok Trybunału (wielka izba) z dnia 21 grudnia 2016 r.

1. Zbliżanie ustawodawstw–Sektor telekomunikacji–Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej–Dyrektywa 2002/58–Możliwość ograniczenie przez państwa członkowskie zakresu pewnych praw i obowiązków–Zakres stosowania–Środek ustawowy nakładający na dotyczące usług łączności elektronicznej obowiązek zatrzymywania danych o ruchu i danych o lokalizacji użytkowników–Włączenie

   (dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 5 ust. 1, art. 15 ust. 1)

2. Zbliżanie ustawodawstw–Sektor telekomunikacji–Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej–Dyrektywa 2002/58–Możliwość ograniczenie przez państwa członkowskie zakresu pewnych praw i obowiązków–Ścisła wykładnia–Powody mogące uzasadniać przyjęcie ograniczenia–Charakter wyczerpujący

   (dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 5 ust. 1, art. 15 ust. 1)

3. Zbliżanie ustawodawstw–Sektor telekomunikacji–Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej–Dyrektywa 2002/58–Możliwość ograniczenie przez państwa członkowskie zakresu pewnych praw i obowiązków–Uregulowanie krajowe przewidujące uogólnione i niezróżnicowane zatrzymywanie danych o ruchu oraz danych dotyczących lokalizacji użytkowników, w celu walki z przestępczością–Niedopuszczalność–Poważna ingerencja w prawa do poszanowania życia prywatnego, ochrony danych osobowych i wolności wypowiedzi

   (Karta praw podstawowych Unii Europejskiej, art. 8, art. 11 ust. 1, art. 52 ust. 1; dyrektywa Parlamentu Europejskiego i Rady 2009/136, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

4. Zbliżanie ustawodawstw–Sektor telekomunikacji–Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej–Dyrektywa 2002/58–Możliwość ograniczenie przez państwa członkowskie zakresu pewnych praw i obowiązków–Uregulowanie krajowe pozwalające na indywidualne zatrzymywanie danych o ruchu oraz danych dotyczących lokalizacji użytkowników, w celu walki z przestępczością–Dopuszczalność–Przesłanki

   (Karta praw podstawowych Unii Europejskiej, art. 8, art. 11 ust. 1, art. 52 ust. 1; dyrektywa Parlamentu Europejskiego i Rady 2009/136, zmieniona dyrektywą 2009/136, art. 15 ust. 1)

5. Zbliżanie ustawodawstw–Sektor telekomunikacji–Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej–Dyrektywa 2002/58–Możliwość ograniczenie przez państwa członkowskie zakresu pewnych praw i obowiązków–Uregulowanie krajowe dotyczące ochrony i bezpieczeństwa danych o ruchu i danych o lokalizacji użytkowników–Możliwość dostępu władz krajowych do tych danych bez uprzedniej kontroli sądowej lub administracyjnej–Niedopuszczalność–Brak obowiązku zatrzymywania tych danych na terytorium Unii przez dostawców usług łączności elektronicznej–Niedopuszczalność

   (Karta praw podstawowych Unii Europejskiej, art. 8, 11, art. 52 ust. 1; dyrektywy Parlamentu Europejskiego i Rady: 95/46, art. 22; 2009/136 zmieniona dyrektywą 2009/136, art. 15 ust. 1, 2)

6. Prawa podstawowe–Europejska konwencja praw człowieka–Akt prawny nieobowiązujący formalnie w porządku prawnym Unii

   (art. 6 ust. 3 TUE; Karta praw podstawowych Unii Europejskiej, art. 52 ust. 3)

7. Pytania prejudycjalne–Właściwość Trybunału–Granice–Pytania ogólne lub hipotetyczne–Pytanie mające charakter abstrakcyjny i całkowicie hipotetyczny w odniesieniu do przedmiotu sporu postępowania głównego–Niedopuszczalność

   (art. 267 TFUE)

1.  Artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136, pozwala państwom członkowskim uchwalić, z poszanowaniem przewidzianych w nim warunków, środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy.

   W szczególności do zakresu stosowania tego przepisu należy środek ustawodawczy, który nakłada na dostawców łączności elektronicznej obowiązek zatrzymywania danych o ruchu i danych o lokalizacji, ponieważ taka działalność niewątpliwie wiąże się z przetwarzaniem przez nich danych osobowych. Należy również do tego zakresu stosowania środek ustawodawczy dotyczący dostępu organów władz krajowych do danych zatrzymywanych przez wspomnianych dostawców. Zagwarantowana w art. 5 ust. 1 dyrektywy 2002/58 ochrona poufności łączności elektronicznej i związanych z nimi danych dotyczących ruchu znajduje bowiem zastosowanie do środków stosowanych przez podmioty inne niż użytkownicy, niezależnie od tego, czy są to podmioty prywatne, czy też państwowe.

   (zob. pkt 71, 75–77)

2.  Artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136, stwarza państwom członkowskim możliwość wprowadzenia wyjątków od ustanowionego w art. 5 ust. 1 tej dyrektywy zasadniczego obowiązku zapewnienia poufności danych osobowych oraz od związanych z nim obowiązków, o których mowa w szczególności w art. 6 i 9 tej dyrektywy. Niemniej jednak, w zakresie, w jakim art. 15 ust. 1 dyrektywy 2002/58 zezwala państwom członkowskim na ograniczenie zakresu tego mającego zasadnicze znaczenie obowiązku, podlega on wykładni zawężającej. Taki przepis nie może zatem uzasadniać uczynienia reguły z odstępstwa od tego mającego zasadnicze znaczenie obowiązku, a szczególności od zakazu przechowywania tych danych, ustanowionego w art. 5 tej dyrektywy, gdyż w znacznym stopniu pozbawiłoby to ten przepis jego znaczenia.

   W tym względzie art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 przewiduje, że środki ustawodawcze, których dotyczy i które stanowią odstępstwo od zasady poufności łączności i związanych z nią danych o ruchu, powinny prowadzić do celu w postaci zapewnienia bezpieczeństwa narodowego (tzn. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej lub winny realizować jeden z innych celów, o których mowa w art. 13 ust. 1 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Takie wyliczenie celów ma charakter wyczerpujący, jak jasno wynika z art. 15 ust. 1 zdanie drugie tej dyrektywy, zgodnie z którym środki ustawodawcze muszą być uzasadnione na podstawie zasad ustanowionych w tym art. 15 ust. 1 zdanie pierwsze dyrektywy. W związku z tym państwa członkowskie nie mogą przyjmować takich środków dla celów innych niż te wymienione w tym ostatnim przepisie.

   (zob. pkt 88–90)

3.  Artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136, w związku z art. 7, 8, 11 i art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej, należy interpretować w ten sposób, że stoi on na przeszkodzie uregulowaniu krajowemu przewidującemu do celów zwalczania przestępczości uogólnione i niezróżnicowane zatrzymywanie wszystkich danych o ruchu oraz danych dotyczących lokalizacji wszystkich abonentów i zarejestrowanych użytkowników wszystkich środków łączności elektronicznej.

   Całokształt tych danych może bowiem dostarczyć bardzo precyzyjnych wskazówek dotyczących życia prywatnego osób, których dane są zatrzymywane, takich jak ich codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, podejmowane czynności, relacje społeczne i środowiska społeczne, w których osoby te się obracają. W szczególności, dane te dają możność ustalenia profilu danych osób, która to informacja jest z punktu widzenia prawa do poszanowania życia prywatnego równie newralgiczna co sama treść komunikatów. Uregulowanie takie stanowi szczególnie daleko posuniętą ingerencję w prawa podstawowe, o których mowa w art. 7 i 8 karty. Okoliczność, że użytkownicy usług łączności elektronicznej nie wiedzą o tym, że dane te są zatrzymywane, może pociągnąć za sobą powstanie po ich stronie wrażenia, iż ich prywatne życie podlega ciągłej obserwacji. Nawet jeżeli takie uregulowanie nie zezwala na zatrzymywanie treści komunikatu, a zatem nie jest w stanie naruszyć istoty tych praw, to obowiązek zatrzymywania danych o ruchu i danych o lokalizacji może mieć wpływ na korzystanie ze środków łączności elektronicznej, a w konsekwencji – na korzystanie przez użytkowników owych środków z zagwarantowanej w art. 11 karty swobody wypowiedzi.

   Ze względu na wagę ingerencji w rozpatrywane prawa podstawowe, jaką niosą ze sobą takie uregulowania krajowe, uzasadniać taki środek może jedynie walka z poważną przestępczością. Jednakże o ile skuteczność walki z poważną przestępczością, a zwłaszcza z przestępczością zorganizowaną i terroryzmem, może w znacznym stopniu zależeć od wykorzystania nowoczesnych technik dochodzeniowo-śledczych, tego rodzaju cel interesu ogólnego, niezależnie od jego fundamentalnego znaczenia, nie może sam w sobie uzasadniać stwierdzenia, że przepisy krajowe przewidujące uogólnione i niezróżnicowane zatrzymywanie wszystkich danych o ruchu oraz danych dotyczących lokalizacji należy uznać za konieczne do celów prowadzenia tej walki. Po pierwsze, takie uregulowanie prowadzi do tego, że zatrzymywanie danych o ruchu i danych o lokalizacji staje się regułą, podczas gdy system ustanowiony przez dyrektywę 2002/58 ustanawia wymóg, by takie zatrzymywanie danych było wyjątkiem. Po drugie, takie uregulowanie krajowe, które obejmuje w sposób uogólniony wszystkich abonentów i zarejestrowanych użytkowników i dotyczy wszystkich środków łączności elektronicznej i wszystkich danych o ruchu, nie przewiduje jakiegokolwiek zróżnicowania, ograniczenia ani wyjątku zależnego od zamierzonego celu. Ma ono zastosowanie nawet wobec tych osób, co do których brak jest dowodów mogących sugerować, że ich zachowanie może mieć związek, chociażby pośredni i daleki, z poważnymi przestępstwami. Takie uregulowanie krajowe wykracza więc poza granice tego, co jest absolutnie konieczne, i nie można go uznać za uzasadnione w demokratycznym społeczeństwie, jak tego wymaga art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty.

   (zob. pkt 99–105, 107, 112; pkt 1 sentencji)

4.  Artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty praw podstawowych Unii Europejskiej przyjęcie przez państwa członkowskie przepisów krajowych dopuszczających w ramach prewencji indywidualne zatrzymywanie danych dotyczących ruchu i danych o lokalizacji w celu zwalczania poważnej przestępczości, pod warunkiem że takie zatrzymywanie danych – w zakresie dotyczącym kategorii danych podlegających zatrzymywaniu, stosowanych środków łączności, zaangażowanych w ten proces podmiotów oraz przyjętego okresu przechowywania danych – nie będzie wykraczać poza to, co jest absolutnie konieczne.

   Aby spełniać te wymogi rozpatrywane uregulowanie krajowe musi, w pierwszej kolejności, zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanego środka związanego z zatrzymywaniem danych, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane zostały zatrzymane, miały wystarczające gwarancje rzeczywistej ochrony ich danych osobowych przed ryzykiem nadużyć. Uregulowanie to winno w szczególności wskazywać okoliczności i warunki, w których środek związany z zatrzymywaniem danych może zostać zastosowany tytułem prewencji, co pozwoli zagwarantować, by środek ów ograniczał się do tego, co jest absolutnie konieczne.

   Po drugie, jeżeli chodzi o materialne przesłanki, jakie musi spełnić takie uregulowanie krajowe aby zagwarantować, że będzie ono ograniczone do tego, co jest absolutnie konieczne, chociaż przesłanki te mogą się różnić w zależności od środków podjętych w celu zapobiegania, dochodzenia, wykrywania i ścigania poważnych przestępstw, to jednak zatrzymywanie danych musi zawsze spełniać obiektywne kryteria określające związek między danymi, które mają być zatrzymywane, a realizowanym celem. W szczególności przesłanki te muszą w praktyce umożliwiać określenie rzeczywistego zakresu środka, a w konsekwencji – grona objętych nim osób. Jeżeli chodzi o to ograniczenie, przepisy krajowe winny opierać się na obiektywnych elementach umożliwiających namierzenie osób, których dane mogą mieć związek, nawet pośredni, z poważną przestępczością, przyczyniać się w taki lub inny sposób do walki z ową przestępczością lub też zapobiegać powstawaniu poważnych zagrożeń dla bezpieczeństwa publicznego. Tego rodzaju określenie może być dokonane w oparciu o kryterium geograficzne, gdy właściwe władze krajowe na podstawie obiektywnych elementów uważają, że w jednym lub kilku obszarach geograficznych istnieje wysokie ryzyko przygotowania lub popełnienia takich czynów.

   (zob. pkt 108–111)

5.  Artykuł 15 ust. 1 dyrektywy 2002/58 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej), zmienionej dyrektywą 2009/136, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że stoi on na przeszkodzie obowiązywaniu uregulowań krajowych dotyczących ochrony i bezpieczeństwa danych o ruchu i danych o lokalizacji, a w szczególności dostępu właściwych organów władz krajowych do przechowywanych danych, które to przepisy, w ramach zwalczania przestępczości, nie ograniczają tego dostępu jedynie do celów walki z poważną przestępczością, nie uzależniają przyznania go od uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny i nie ustanawiają wymogu, aby dane te były przechowywane na obszarze Unii.

   W tym względzie aby zagwarantować, że dostęp właściwych organów władz krajowych do zatrzymanych danych jest ograniczony do tego, co ściśle niezbędne, warunki, w jakich dostawcy usług łączności elektronicznej udzielają owego dostępu, muszą być oczywiście określone w prawie krajowym. Niemniej jednak rozpatrywane przepisy krajowe nie mogą ograniczać się do ustanowienia wymogu, by dostęp ten uwzględniał jeden z realizowanych przez dyrektywę 2002/58 i określonych w jej art. 15 ust. 1 celów, nawet jeśli jest nim prowadzenie walki z poważną przestępczością. Takie uregulowanie krajowe powinno bowiem ustanawiać również materialne i proceduralne warunki regulujące dostęp odpowiednich organów władz krajowych do przechowywanych danych. I tak, jeśli powszechny dostęp do zatrzymanych danych, niezależnie od jakiegokolwiek związku, nawet pośredniego, z realizowanym celem, nie może być uważany za ograniczony do tego, co absolutnie konieczne, rozpatrywane przepisy krajowe winny opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu właściwym organom władz krajowych do danych abonentów lub zarejestrowanych użytkowników. W tym względzie, biorąc pod uwagę cel polegający na zwalczaniu poważnej przestępczości, dostęp ten może co do zasady zostać przyznany jedynie w odniesieniu do danych dotyczących osób podejrzewanych o planowanie, popełnianie czy też popełnienie już poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo. Niemniej jednak w szczególnych sytuacjach, takich jak te, w których istotne interesy związane z bezpieczeństwem narodowym, obroną czy też bezpieczeństwem publicznym są zagrożone wskutek działań terrorystycznych, dostęp do danych dotyczących innych osób może zostać przyznany również wówczas, gdy istnieją obiektywne elementy pozwalające uznać, że dane te mogłyby w konkretnym przypadku rzeczywiście przyczynić się do zwalczania takich działań.

   W celu zapewnienia w praktyce pełnej zgodności z tymi warunkami ważne jest, aby dostęp organów krajowych do zatrzymanych danych był co do zasady, z wyjątkiem należycie uzasadnionych pilnych przypadków, uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego, a decyzja tego sądu i organu była wydawana na uzasadniony wniosek owych organów, złożony w szczególności w ramach postępowań mających na celu zapobieganie, wykrywanie lub ściganie przestępstw. Podobnie ważne jest, aby właściwe organy władz krajowych, którym przyznano dostęp do przechowywanych danych, informowały o tym zainteresowane osoby w trybie właściwego postępowania krajowego, od chwili, w której informacja taka nie będzie mogła narazić na szwank prowadzonych przez te organy postępowań dochodzeniowo-śledczych. Informacja ta jest bowiem niezbędna do tego, aby umożliwić im w szczególności wykonanie prawa do wniesienia skargi, wyraźnie przewidziane w art. 15 ust. 2 dyrektywy 2002/58 w związku z art. 22 dyrektywy 95/46 w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, w przypadku naruszenia ich praw.

   Ponadto uwzględniając ilość zatrzymywanych danych, ich newralgiczny charakter oraz prawdopodobieństwo bezprawnego uzyskania dostępu do nich, dostawcy usług łączności elektronicznej, aby zapewnić integralność i poufność tych danych, muszą zapewnić za pomocą środków technicznych i organizacyjnych szczególnie wysoki poziom ochrony i bezpieczeństwa. W szczególności uregulowanie krajowe powinno ustanawiać zarówno wymóg przechowywania danych na terytorium Unii, jak też nieodwracalnego ich niszczenia po upływie okresu ich przechowywania.

   (zob. pkt 118–122, 125; pkt 2 sentencji)

6.  Zobacz tekst orzeczenia.

   (zob. pkt 127–129)

7.  Zobacz tekst orzeczenia.

   (zob. pkt 130)