TSUE w wyroku z dnia 21 grudnia 2016 r. przesądził, że nałożenie na operatorów telekomunikacyjnych obowiązku masowej i niekontrolowanej retencji danych przez państwa członkowskie jest niezgodne z prawem UE. Jednocześnie w wyroku Trybunał wyznaczył kryteria, zgodnie z którymi państwa członkowskie pod pewnymi warunkami mogą nakazać zatrzymywanie niektórych danych. Nie ulega wątpliwości, że przedmiotowy wyrok ma istotne znaczenie zarówno dla podmiotów przechowujących dane, jak i samych obywateli.
****
Sprawy rozpoznane przez TSUE (sygn. C-203/15 oraz C-698/15)
Sprawy, w których zapadł omawiany wyrok, dotyczyły zakwestionowania zgodności z prawem UE krajowych regulacji w Szwecji i Wielkiej Brytanii w zakresie ogólnego obowiązku retencji danych nałożonego na operatorów telekomunikacyjnych w celu przeciwdziałania przestępstwom. Impulsem do zainicjowania spraw było uznanie przez TSUE w wyroku z dnia 8 kwietnia 2014 r. w sprawie Digital Rights Ireland i in. (sygn. C-293/12 i C-594/12) tzw. dyrektywy retencyjnej za nieważną. Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r., bo o nią chodziło, określała zasady retencji danych telekomunikacyjnych, które według TSUE naruszały Kartę Praw Podstawowych. Niemniej jednak, przepisy dyrektywy retencyjnej zostały wcześniej implementowane do krajowych porządków prawnych – stąd powstała konieczność ich oceny z perspektywy prawa UE.
Pytania sądów krajowych, które stały się przedmiotem rozważań TSUE, dotyczyły rozstrzygnięcia, czy regulacje krajowe mogą zobowiązywać dostawców telekomunikacyjnych do ogólnej retencji danych (takich jak dane o połączeniach, nadawcach, odbiorcach) bez żadnych ograniczeń i bez wprowadzenia jej szczegółowego uzasadnienia (np. retencja danych w celu walki z przestępczością). W wypadku, gdyby taka ogólna retencja danych okazała się niezgodna z regulacjami unijnymi, sądy krajowe chciały dowiedzieć się, czy dane mogą być zatrzymywane w danym państwie UE pod warunkiem wprowadzenia konkretnych ograniczeń tej retencji oraz gwarancji praw obywateli.
Na powyższe pytania odpowiedział najpierw Rzecznik Generalny TSUE – Henrik Saugmandsgaard Øe, który w opinii z dnia 19 lipca 2016 r. uznał ogólny obowiązek retencji danych wprowadzany przez państwa członkowskie za – co do zasady – dopuszczalny. Jednocześnie, wyznaczył on kilka warunków takiej dopuszczalności, koniecznych do zapewnienia zgodności przepisów krajowych z Kartą Praw Podstawowych. Opinia Rzecznika była już omawiana na blogu, a artykuł dostępny jest tutaj.
Co na to Trybunał?
Innego zdania był jednak TSUE. W wyroku z dnia 21 grudnia 2016 r. wskazał, że masowe zatrzymywanie wszystkich danych dotyczących ruchu i lokalizacji wszelkich użytkowników w celu walki z przestępczością (jako ogólnie sformułowanych kryteriów) nie jest zgodne z prawem UE.
Jednocześnie w swoim orzeczeniu TSUE wskazał, że retencja danych jest dopuszczalna w pewnych przypadkach i pod precyzyjnie określonymi warunkami. Dostosowanie regulacji państw UE do przedstawionych kryteriów pozwoli na wprowadzenie odpowiedniego i jednolitego poziomu ochrony fundamentalnych praw i wolności dotyczących prywatności i poufności w zakresie przechowywania danych telekomunikacyjnych w UE.
TSUE wskazał również, że środki krajowe, które związane są z retencją danych telekomunikacyjnych i możliwym dostępem do tych informacji przez organy państwowe zajmujące się ściganiem przestępstw, wchodzą w zakres dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej: „dyrektywa o ochronie prywatności”). Dyrektywa o ochronie prywatności przewiduje natomiast generalną regułę poufności komunikacji, zgodnie z którą zabronione jest przechowywanie danych telekomunikacyjnych o danym użytkowniku bez jego zgody. Wyjątki od tej zasady, wynikające z art. 15 tej dyrektywy, muszą być więc wyraźnie uregulowane i ściśle interpretowane oraz zgodne z celem ich wprowadzenia.
Kryteria legalności przechowywania danych określone przez TSUE
Jak wskazano wyżej, Trybunał wyróżnił szereg kryteriów, które muszą być łącznie spełnione w celu zgodnego z prawem wprowadzenia w danym kraju UE obowiązku retencji danych telekomunikacyjnych przez operatorów:
Praktyczne znaczenie wyroku TSUE
Rozszerzenie obowiązków państw UE, które są zainteresowane jak najszerszym i najbardziej sprawnym dostępem do danych osób znajdujących się na ich terytorium w celu zwalczania przestępczości, może spowodować konieczność dostosowania regulacji krajowych związanych z wrażliwą tematyką retencji danych. Zmiany tych przepisów niewątpliwie będą miały też wpływ na obowiązki i prawa operatorów telekomunikacyjnych.
Należy jednak podkreślić, że wyrok TSUE wydaje się mieć najistotniejsze znaczenie z perspektywy obywateli UE. Orzeczenie to potwierdza także prezentowane już wcześniej stanowisko TSUE, który nie zgadza się na zbyt inwazyjne i dalekie ingerowanie w prawa i wolności obywateli UE, takie jak prywatność oraz poufność ich danych. Dane telekomunikacyjne w ocenie Trybunału mogą być bowiem przechowywane jedynie w zakresie absolutnie niezbędnym i tylko w bezwzględnie koniecznych przypadkach, w celu zapobieżenia poważnym przestępstwom. TSUE duży nacisk położył również na to, że treść regulacji krajowych w zakresie obowiązku retencji danych musi być formułowana w sposób dokładny i precyzyjny, tak by pod pretekstem ochrony bezpieczeństwa obywateli, dane nie były gromadzone w sposób niekontrolowany, ogólny i w stosunku do dowolnego kręgu osób.
Wpływ wyroku na polskie regulacje
Skutkiem omawianego wyroku TSUE będzie niewątpliwie konieczność weryfikacji przez państwa członkowskie UE i dostosowania krajowych aktów prawa do przedstawionych kryteriów retencji danych przy nakładaniu obowiązku retencyjnego na operatorów telekomunikacyjnych.
Odnosząc powyższe do polskich przepisów, trzeba zwrócić uwagę przede wszystkim na ustawę z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (potocznie nazywaną „ustawą inwigilacyjną”), której niektóre regulacje wydają się nie spełniać kryteriów ustalonych przez TSUE. Wątpliwości, co do zgodności przepisów z prawem UE budzi chociażby już sam cel, w którym służby będą mogły uzyskiwać dostęp do danych telekomunikacyjnych. Cel ten w polskiej ustawie został bowiem określony bardzo szeroko, jako zarówno zapobieganie oraz wykrywanie przestępstw, jak również „cel ratowania życia lub zdrowia ludzkiego”, oraz „wsparcie działań poszukiwawczych lub ratowniczych” (art. 20 c ustawy o policji z dnia z dnia 6 kwietnia 1990 r., t.j. Dz.U. z 2016 r. poz. 1782, dalej „ustawa o policji”). Tym samym, polski ustawodawca nie ograniczył retencji danych jedynie do celów zwalczania „poważnych przestępstw”, lecz uznał, że możliwość popełnienia każdego czynu zabronionego określonego w kodeksie karnym lub innych ustawach uzasadnia dostęp służb do danych telekomunikacyjnych. Tak ogólnie i szeroko określony cel może stanowić pole do nadużyć – gdyż pozornie może usprawiedliwiać niekontrolowany i nieograniczony dostęp do retencjonowanych danych.
Ponadto, dodatkowe obawy wzbudza również fakt, że w ustawa o Policji nie przewiduje mechanizmu uprzedniej kontroli sądu lub niezależnego organu i jego zgody na dostęp do danych telekomunikacyjnych przez służby krajowe. Przewidziany został jedynie mechanizm (art.20ca ustawy o policji), zgodnie z którym organ Policji ma co pół roku składać do właściwego sądu okręgowego sprawozdanie z pozyskiwania w tym okresie danych telekomunikacyjnych. W wyniku zapoznania się z takim sprawozdaniem, sąd okręgowy może, (ale nie musi) dodatkowo zapoznać się z materiałami uzasadniającymi udostępnienie Policji danych telekomunikacyjnych oraz ma poinformować organ o wyniku kontroli. Tak uregulowany system kontroli retencji danych wydaje się nie być zgodnym z wytycznymi określonymi przez TSUE, gdyż nie zapewnia gwarancji ochrony praw jednostki, której dane są retencjonowane. Zgodnie z tymi przepisami, służby krajowe mogą więc samodzielnie decydować o możliwości pozyskiwania danych, a dopiero po okresie pół roku ten dostęp podlega następczej kontroli sądu okręgowego, która w praktyce może zakończyć się jedynie zapoznaniem się przez sąd z protokołami przekazanymi mu przez organ krajowy, bez podjęcia dalszych działań – gdyż ustawodawca nie określił jej skutków i dopuszczalnych działań sądu.
Podsumowując, o ile na chwilę obecną brak jest informacji o pracach ustawodawcy nad nowelizacją omówionych wyżej przepisów, pozostaje mieć nadzieję że zostaną one dostosowane do standardu wyznaczonego przez TSUE. Z perspektywy przejrzystej listy kryteriów, dzięki którym ochrona prywatności i danych osobowych będą bardziej kompleksowe, takie zmiany są jak najbardziej pozytywnie i oczekiwane.