Uznanie dyrektywy retencyjnej za nieważną przez TSUE w kwietniu 2014 r. spowodowało powstanie wątpliwości dot. ustaw, które implementowały ją do porządków prawnych państw członkowskich. Nieważność dyrektywy nie oznacza bowiem automatycznie utraty mocy obowiązującej tych aktów prawnych. Nie trzeba było jednak długo czekać, aby zostały one zakwestionowane przez obywateli, a finał spraw znalazł miejsce przed Trybunałem. Choć wyrok nie został jeszcze wydany, według Rzecznika Generalnego, ogólny obowiązek retencji danych, który nakładają krajowe ustawy, jest dopuszczalny, ale pod pewnymi warunkami.

****

Tło sprawy – nieważna dyrektywa retencyjna

Sprawy obecnie rozpoznawane przed Trybunałem zostały zainicjowane niemal tuż po wyroku Trybunału Sprawiedliwości  z dnia 8 kwietnia 2014 r. w sprawie Digital Rights Ireland i in., sygn. C-293/12 i C-594/12 (dalej „wyrok w sprawie Digital Rights Ireland”). Wyrok ten ma istotne znaczenie z perspektywy zasad retencji danych telekomunikacyjnych – TSUE uznał w nim, że dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. (dalej: „dyrektywa retencyjna”) jest niezgodna z Kartą praw podstawowych. Według Trybunału, środki i zasady zatrzymywania danych przez operatorów telekomunikacyjnych w dyrektywie retencyjnej, naruszały prywatność i nie były niezbędne dla osiągnięcia celów wyznaczonych w  tej dyrektywie ingerując tym samym w prawa obywateli w zbyt dalekim zakresie.

Sprawy w toku przed Trybunałem – sygn. C-203/15 oraz C-698/15

Uznanie dyrektywy retencyjnej za nieważną doprowadziło do zakwestionowania ustaw krajowych, które implementowały dyrektywę – obywatele zaczęli podważać ogólny obowiązek retencji danych wynikający z tych aktów. Sprawy, połączone obecnie do wspólnego rozstrzygnięcia przez TSUE, zostały zainicjowane w Szwecji oraz w Wielkiej Brytanii (sygn. C-203/15 oraz C-698/15).

Przedmiotem tych spraw jest odpowiedź na pytanie, czy państwa członkowskie mogą zobowiązać dostawców telekomunikacyjnych do zatrzymywania danych (takich jak dane o połączeniach, nadawcach, odbiorcach itd.) – czy też taki obowiązek jest niezgodny z Kartą praw podstawowych. Jeśli natomiast jest on dopuszczalny, powstaje pytanie o zakres gwarancji, które muszą towarzyszyć retencji, aby nie doszło do naruszenia praw obywateli UE.

Opinia Rzecznika Generalnego: co do zasady, retencja dopuszczalna

Odpowiedzi na powyższe pytania udzielił w dniu 19 lipca 2016 r. Rzecznik Generalny TSUE – Henrik Saugmandsgaard Øe. Chociaż jego opinia nie jest wiążąca, to ma stanowić pewnego rodzaju wskazówkę dla Trybunału, którego wyroki często zgodne są z przedstawionymi wcześniej opiniami.

Dlatego też warto przyjrzeć się bliżej opinii, która potwierdza co do zasady dopuszczalność wprowadzenia obowiązku retencji danych telekomunikacyjnych na poziomie krajowym – mimo nieważności dyrektywy retencyjnej. Z Opinii Rzecznika Generalnego wynika, że zakres tej retencji nie może być dowolny, a krajowi ustawodawcy muszą zastosować się do poniższych wymogów i zapewnić, aby obowiązek zatrzymywania danych:

  • został nałożony przez ustawę lub przepisy wykonawcze, które będą przystępne, przewidywalne i zapewnią ochronę przed arbitralnością,
  • szanował prawa uznane w Karcie praw podstawowych – prawo do prywatności i ochrony danych osobowych,
  • był absolutnie konieczny do walki z poważnymi przestępstwami, co oznacza że nie istnieją inne równie skuteczne środki, w mniejszy sposób ingerujące w prawa podstawowe,
  • został obwarowany gwarancjami opisanymi w wyroku w sprawie Digital Rights Ireland, takimi jak ograniczenie liczby osób uprawnionych do dostępu do danych i ich późniejszego wykorzystania do przypadków, kiedy jest to absolutnie konieczne, a także wprowadzenie kontroli sądowej w tym zakresie, określenie okresu przechowywania danych w sposób ściśle oznaczony i odpowiedni do ich kategorii oraz zapewnienie ochrony i bezpieczeństwa danych przed nadużyciami i bezprawnym wykorzystaniem,
  • był proporcjonalny do celu walki z poważnymi przestępstwami – zagrożenia związane z zatrzymywaniem danych telekomunikacyjnych nie mogą przeważać nad korzyściami w walce z tymi przestępstwami

Powyższe wymogi, jeśli zostaną potwierdzone w wyroku Trybunału, będą stanowić pewien wzorzec, który powinien być stosowany przez sądy krajowe, oceniające dopuszczalność nałożenia obowiązku retencyjnego na gruncie aktów prawa państw członkowskich.

Praktyczne znaczenie opinii i oczekiwanego wyroku

Temat retencji danych ma istotne znaczenie zarówno z perspektywy operatorów telekomunikacyjnych, (których dotyczą obowiązki zatrzymywania danych), jak i obywateli (w zakresie ich praw do ochrony prywatności i danych osobowych). Rozszerzenie obowiązków w tym przedmiocie, związane głównie z obawami przed przestępstwami terrorystycznymi i chęcią zapobieżenia im, obecnie jest coraz szerzej kwestionowane. Wyrok TSUE w sprawie Digital Rights Ireland oraz omawiana opinia Rzecznika Generalnego TSUE wpisują się w tę tendencję, która dąży do ograniczenia retencji danych do niezbędnego – absolutnie koniecznego minimum, przy jednoczesnym wprowadzeniu gwarancji dla jednostek celem poszanowania ich praw.

Retencja danych w Polsce – ustawa „inwigilacyjna”

Tendencja ta widoczna jest także w Polsce. Szeroka dyskusja nad uprawnieniami służb, zaowocowała wyrokiem Trybunału Konstytucyjnego z 30 lipca 2014 r. (sygn. K 23/11), który podważył część przepisów o retencji danych telekomunikacyjnych. Zostały one jednakże znowelizowane – poprzez ustawę z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw, którą szybko okrzyknięto „ustawą inwigilacyjną”.

Już podczas prac parlamentarnych wskazywano, że nie jest ona zgodna z wytycznymi wyroku w sprawie Digital Rights Ireland i narusza prawo do prywatności i ochrony danych osobowych. Opinia wydana przez rzecznika generalnego w omawianych sprawach, dodatkowo potwierdza to stanowisko – ustawa nie wypełnia bowiem warunków, które przedstawił rzecznik, a które w jego ocenie pozwalają uznać warunki obowiązek retencji danych za nałożony w prawidłowy sposób. Niemniej jednak, ostatnie zdanie w przedmiocie dopuszczalności nałożenia obowiązku retencji danych telekomunikacyjnych na poziomie krajowym będzie należeć do TS UE – pozostaje więc czekać na wydanie wyroku.