Dyrektywa ws. zatrzymywania danych niezgodna z Kartą praw podstawowych UE

Taką opinię przedłożył dzisiaj Trybunałowi Sprawiedliwości UE rzecznik generalny Pedro Cruz Villalón w ramach dwóch postępowań prejudycjalnych wszczętych na wniosek irlandzkiego Sądu Najwyższego i austriackiego Trybunału Konstytucyjnego (sygn. sprawy: C-293/12 i C-594/12).

... przedmiot wątpliwości

Sąd Najwyższy w Irlandii skierował pytanie prawne w związku ze sporem pomiędzy spółką Digital Rights Ireland Ltd, której przedmiotem działalności, określonym w jej akcie założycielskim, jest promowanie i ochrona praw obywatelskich i praw człowieka, w szczególności w kontekście nowoczesnych technologii łączności, a władzami irlandzkimi. W ramach tego sporu spółka Digital Rights, będąca zgodnie z jej oświadczeniem właścicielem telefonu komórkowego, podnosi, że władze irlandzkie nielegalnie przetwarzały, zatrzymywały i kontrolowały dane związane z wykonywanymi przez nią połączeniami.

Natomiast pytanie Trybunału Konstytucyjnego w Austrii było następstwem wątpliwości, które pojawiły się podczas rozpoznawania trzech skarg wniesionych odpowiednio przez rząd kraju związkowego Karyntii, Michaela Seitlingera oraz 11 130 skarżących, którzy podnieśli, że austriacka ustawa o telekomunikacji jest niezgodna z konstytucją.

...wyczerpująca mapa

Zdaniem rzecznika generalnego dyrektywa  z 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności, stanowi daleko posuniętą ingerencję w przysługujące obywatelom prawo podstawowe do poszanowania życia prywatnego, ustanawiając ciążący na dostawcach usług telekomunikacyjnych i usług łączności elektronicznej obowiązek zbierania i zatrzymywania danych o ruchu i lokalizacji w odniesieniu do połączeń.

Rzecznik generalny podkreślił w tym względzie, że wykorzystanie tych danych jest w stanie umożliwić opracowanie mapy, równie wiernej co wyczerpującej, sporej części działań określonej osoby należących ściśle do jej życia prywatnego, wręcz stworzenie kompletnego i dokładnego wizerunku jej prywatnej tożsamości. Istnieje poza tym istotne ryzyko, że przechowywane dane zostaną użyte do nielegalnych celów, potencjalnie naruszających życie prywatne lub, ogólniej, nieuczciwych, wręcz wrogich. Dane te nie są bowiem przechowywane przez organy publiczne, ani nawet pod ich bezpośrednim nadzorem, lecz jedynie przez dostawców usług łączności elektronicznej. Ponadto dyrektywa nie przewiduje, by dane musiały być przechowywane na terytorium państwa członkowskiego. W rezultacie dane te mogą być gromadzone w nieokreślonych miejscach w cyberprzestrzeni.

W świetle tej daleko idącej ingerencji dyrektywa powinna była przede wszystkim ustalić podstawowe zasady, które powinny regulować definiowanie minimalnych gwarancji normujących dostęp do zgromadzonych i przechowywanych danych oraz ich wykorzystanie.

Prawodawca Unii powinien był w szczególności:

- ukształtować opis działalności przestępczej, która może dawać podstawy do uzyskania przez właściwe organy krajowe dostępu do zgromadzonych i przechowywanych danych, wprowadzając stopień szczegółowości wykraczający poza sformułowanie „poważne przestępstwa";

- ukierunkować reglamentowanie przez państwa członkowskie zezwoleń na dostęp do zgromadzonych i przechowywanych danych, ograniczając go, jeśli nie do samych tylko organów sądowniczych, to przynajmniej do organów niezależnych, albo jeszcze inaczej, poddając każdy wniosek o dostęp kontroli organów sądowniczych lub organów niezależnych;

- nakazać zindywidualizowane badanie wniosków o dostęp w celu ograniczenia przekazywania danych do niezbędnego minimum;

- ustanowić, jako zasadę, możliwość wprowadzenia przez państwa członkowskie wyjątków od dostępu do zatrzymanych danych w niektórych szczególnych okolicznościach lub też zaostrzone warunki dostępu w sytuacjach, gdy taki dostęp może naruszać prawa podstawowe gwarantowane Kartą, jak na przykład w kontekście prawa do tajemnicy lekarskiej;

- ustanowić zasadę, że organy upoważnione do dostępu do danych mają obowiązek, po pierwsze, usunięcia ich, kiedy już przestaną być potrzebne, a po drugie, informowania osób, których dane są udostępniane, przynajmniej po fakcie, kiedy już nie będzie żadnego ryzyka, że taka informacja może zaszkodzić skuteczności środków uzasadniających korzystanie z tych danych.

Tymczasem dyrektywa – która nie reglamentuje zresztą dostępu do zebranych i przechowywanych danych ani ich wykorzystania – przekazuje państwom członkowskim zadanie określenia tych gwarancji. Z tego względu dyrektywa nie przestrzega wymogu, ustanowionego w Karcie, aby wszelkie ograniczenia w korzystaniu z prawa podstawowego były przewidziane ustawą. Warunek ten wykracza bowiem poza czysto formalny wymóg. Zatem prawodawca Unii, wydając akt prawny, który nakłada obowiązki skutkujące daleko posuniętą ingerencją w prawa podstawowe obywateli Unii – jak w przypadku dyrektywy w sprawie zatrzymywania danych – powinien wypełnić swoją część obowiązków, ustalając przynajmniej zasady, które powinny kierować określaniem, ustanawianiem, stosowaniem oraz kontrolą poszanowania niezbędnych gwarancji. To właśnie takie unormowanie pozwala ocenić zakres tego, co ingerencja w prawo podstawowe konkretnie pociąga za sobą, i może zatem uczynić ją konstytucyjnie dopuszczalną lub nie.

Rzecznik generalny P. Cruz Villalón ocenił następnie, że dyrektywa w sprawie zatrzymywania danych jest niezgodna z zasadą proporcjonalności w zakresie, w jakim wymaga od państw członkowskich zagwarantowania, żeby dane były przechowywane przez okres, którego górna granica jest ustalona na dwa lata.

W jego ocenie dyrektywa realizuje cel jak najbardziej uzasadniony, a mianowicie zapewnienie dostępności danych zgromadzonych i przechowywanych do celów dochodzenia, wykrywania i ścigania poważnych przestępstw, i może zostać uznana za odpowiednią, a nawet – z zastrzeżeniem gwarancji, jakimi powinna być obwarowana – za konieczną do realizacji tego celu.

Rzecznik generalny nie znalazł jednak w różnych przedstawionych Trybunałowi stanowiskach, w których broniono proporcjonalności okresu przechowywania danych, żadnego uzasadnienia wystarczającego do tego, aby okres przechowywania danych do ustalenia przez państwa członkowskie miał nie pozostawać w granicach jednego roku.

W odniesieniu do skutków w czasie stwierdzonej nieważności, po wyważeniu różnych istniejących interesów, rzecznik generalny zaproponował zawieszenie skutków stwierdzenia nieważności dyrektywy, do czasu, aż prawodawca Unii będzie mógł podjąć działania konieczne do usunięcia stwierdzonej nieprawidłowości, z zastrzeżeniem, że działania te powinny nastąpić w rozsądnym terminie.

Zauważył w tym względzie, że z jednej strony istotne znaczenie i wręcz pilny charakter ostatecznych celów ograniczenia rozpatrywanych praw podstawowych nie budzi wątpliwości. Z drugiej strony, stwierdzone nieprawidłowości mają szczególny charakter. Po pierwsze, dyrektywa jest wadliwa z powodu braku wystarczającego unormowania gwarancji regulujących dostęp do zgromadzonych i przechowywanych danych oraz ich wykorzystanie (jakość prawa), co można było jednak skorygować w ramach przepisów transponujących wydawanych przez państwa członkowskie. Po drugie, państwa członkowskie generalnie – jak wynika z informacji przekazanych Trybunałowi – z umiarem korzystały ze swoich kompetencji, jeśli chodzi o maksymalną długość okresu przechowywania danych.