1.

Trybunał Sprawiedliwości kontynuował w ostatnich latach utrwaloną linię orzeczniczą w zakresie ochrony i dostępu do danych osobowych, której kamieniami milowymi są następujące orzeczenia:

2.

Wyroki te (w szczególności drugi z nich) budzą niepokój władz niektórych państw członkowskich, bowiem ich zdaniem prowadzą one do pozbawienia ich instrumentu, który państwa te uważają za niezbędny dla zapewnienia bezpieczeństwa narodowego i walki z terroryzmem. Dlatego też niektóre z państw członkowskich opowiadają się za uchyleniem lub doprecyzowaniem tego orzecznictwa.

3.

Tę samą obawę wyraziły niektóre sądy państw członkowskich w czterech wnioskach o wydanie orzeczenia w trybie prejudycjalnym ( 7 ), w odniesieniu do których przedstawiam dziś opinie.

4.

Cztery wspomniane sprawy dotyczą przede wszystkim problemu zastosowania dyrektywy 2002/58 w stosunku do działań związanych z bezpieczeństwem narodowym i walką z terroryzmem. Gdyby dyrektywa ta miała mieć zastosowanie w tym zakresie, należałoby następnie wyjaśnić, w jakim stopniu państwa członkowskie mogą ograniczyć chronione przez nią prawo do prywatności. Wreszcie należy przeanalizować, w jakim zakresie różne uregulowania krajowe (brytyjskie ( 8 ), belgijskie ( 9 ) i francuskie ( 10 )) w tej dziedzinie są zgodne z prawem Unii w dokonanej przez Trybunał Sprawiedliwości wykładni.

5.

Odsyłam do odpowiedniego punktu mojej opinii przedstawionej w sprawach połączonych C‑511/18 i C‑512/18.

6.

Zgodnie z art. 94 tej ustawy sekretarz stanu może wydawać operatorowi publicznej sieci łączności elektronicznej takie ogólne lub szczegółowe polecenia, jakie uzna za konieczne w interesie bezpieczeństwa narodowego lub stosunków z rządem kraju lub terytorium znajdującego się poza Zjednoczonym Królestwem.

7.

Artykuł 1 tej ustawy stanowi:

„(1)   Sekretarz stanu może w drodze nakazu zatrzymania zażądać od publicznego operatora telekomunikacyjnego zatrzymania określonych danych dotyczących łączności, jeżeli uzna, że jest to niezbędne i proporcjonalne w odniesieniu do jednego lub więcej celów, o których mowa w art. 22 ust. 2 lit. a)–h) Regulation of Investigatory Powers Act 2000 [(ustawy regulującej uprawnienia dochodzeniowe z 2000 r.; zwanej dalej »RIPA«)].

(2)   Nakaz zatrzymania może:

(3)   Sekretarz stanu może w drodze rozporządzenia ustanowić kolejne przepisy dotyczące zatrzymywania określonych danych dotyczących łączności.

(4)   Przepisy te mogą dotyczyć w szczególności:

[…]

(5)   Maksymalny okres przewidziany w zastosowaniu ust. 4 lit. b) nie może przekraczać 12 miesięcy od daty wskazanej w odniesieniu do danych objętych uregulowaniami, o których mowa w ust. 3.

(6)   Publiczny operator telekomunikacyjny, który zatrzymuje określone dane dotyczące łączności na podstawie niniejszego artykułu, nie może ujawnić tych danych, chyba że:

(7)   Sekretarz stanu może w drodze rozporządzenia wydać przepisy odnoszące się do wszelkich przepisów wydanych (lub które mają zostać wydane) na podstawie ust. 4 lit. d)–g) lub ust. 6, związane z danymi dotyczącymi łączności zatrzymanymi przez dostawców usług telekomunikacyjnych na podstawie kodeksu dobrych praktyk zgodnie z art. 102 ustawy z 2001 r. o zwalczaniu terroryzmu i przestępczości oraz o bezpieczeństwie [Anti‑terrorism, Crime and Security Act 2001]”.

8.

Artykuł 21 tej ustawy stanowi:

„[…]

(4)   Do celów niniejszego rozdziału »dane dotyczące łączności« oznaczają:

[…]

(6)   W niniejszym artykule pojęcie »danych dotyczących ruchu« użyte w odniesieniu do dowolnego komunikatu oznacza:

[…]”.

9.

Artykuł 22 przewiduje:

„(1)   Artykuł ten ma zastosowanie w przypadku, kiedy osoba odpowiedzialna w rozumieniu niniejszego rozdziału uważa za konieczne, z przyczyn wymienionych w ust. 2 poniżej, uzyskanie dowolnych danych dotyczących łączności.

(2)   Z przyczyn wskazanych w niniejszym ustępie uzyskanie danych dotyczących łączności jest konieczne, jeżeli jest to niezbędne

(4)   Z zastrzeżeniem ust. 5, kiedy osoba odpowiedzialna uzna, że operator telekomunikacyjny lub pocztowy jest lub może być w posiadaniu danych lub może być w stanie je posiadać, może ona zażądać od operatora telekomunikacyjnego lub operatora pocztowego, aby ten:

(5)   Osoba odpowiedzialna może udzielić zgody na podstawie ust. 3 lub wystąpić z żądaniem na podstawie ust. 4 jedynie wtedy, gdy uzna, że uzyskanie określonych danych wynikające z działań prowadzonych na podstawie zezwolenia lub wymaganych na podstawie zezwolenia lub żądania jest proporcjonalne do zamierzonego celu uzyskania danych”.

10.

Jeżeli istnieje powód, aby sądzić, że dane zostały uzyskane w sposób nieprawidłowy, wówczas zgodnie z brzmieniem art. 65 można wnieść skargę do Investigatory Powers Tribunal (sądu ds. uprawnień dochodzeniowych, Zjednoczone Królestwo).

11.

Zdaniem sądu odsyłającego postępowanie główne dotyczy uzyskiwania i wykorzystywania masowych danych telekomunikacyjnych przez United Kingdom Security and Intelligence Agencies (służby bezpieczeństwa i wywiadu Zjednoczonego Królestwa; zwane dalej „SIA”).

12.

Dane te dotyczą tego, „kto” wykorzystuje telefon i Internet oraz „kiedy, gdzie, jak i z kim” je wykorzystuje. Obejmują one lokalizację telefonów komórkowych i stacjonarnych, z których wykonywane lub odbierane są połączenia, a także komputerów, z których uzyskuje się dostęp do Internetu. Nie obejmują one treści komunikatów, które mogą zostać uzyskane wyłącznie w drodze nakazu sądowego.

13.

Strona skarżąca w postępowaniu głównym (Privacy International, organizacja pozarządowa działająca na rzecz ochrony praw człowieka) wniosła skargę do sądu odsyłającego, ponieważ uznała, iż uzyskiwanie i wykorzystywanie wspomnianych danych przez SIA narusza prawo do poszanowania życia prywatnego ustanowione w art. 8 Europejskiej konwencji praw człowieka (zwanej dalej „EKPC”) oraz jest sprzeczne z prawem Unii.

14.

Strony, przeciwko którym wniesiono skargę ( 13 ), utrzymują, że korzystają ze swoich uprawnień w sposób zgodny z prawem i konieczny, w szczególności, w celu ochrony bezpieczeństwa narodowego.

15.

Zgodnie z informacjami zawartymi w postanowieniu odsyłającym na podstawie poleceń wydawanych przez sekretarza stanu w oparciu o art. 94 ustawy z 1984 r. SIA otrzymują masowe dane telekomunikacyjne od operatorów publicznych sieci łączności elektronicznej.

16.

Wspomniane dane obejmują informacje o ruchu i lokalizacji oraz informacje o działalności społecznej, handlowej i finansowej, połączeniach i podróżach użytkowników. SIA przechowują uzyskane dane w bezpieczny sposób, stosując techniki nieukierunkowane (na przykład ich filtrowanie, zestawianie i agregację), to znaczy nienakierowane na konkretne i znane cele.

17.

Sąd odsyłający uważa za udowodnione, iż techniki te są niezbędne w pracy SIA w celu zwalczania poważnych zagrożeń dla bezpieczeństwa publicznego, w szczególności terroryzmu, szpiegostwa i rozprzestrzeniania broni jądrowej. Możliwość uzyskiwania i wykorzystywania tych danych przez SIA ma kluczowe znaczenie dla ochrony bezpieczeństwa narodowego Zjednoczonego Królestwa.

18.

Zdaniem sądu odsyłającego rozpatrywane środki są zgodne z prawem krajowym oraz art. 8 EKPC. Jednak w świetle wyroku Tele2 Sverige i Watson powziął on wątpliwości w zakresie ich zgodności z prawem Unii.

19.

W tej sytuacji sąd odsyłający przedstawił Trybunałowi Sprawiedliwości następujące pytania prejudycjalne:

20.

Sąd odsyłający wyjaśnia kontekst zadanych przez siebie pytań w następujący sposób:

21.

Wniosek o wydanie orzeczenia w trybie prejudycjalnym wpłynął do Trybunału Sprawiedliwości w dniu 31 października 2017 r.

22.

Uwagi na piśmie przedstawiły rządy belgijski, cypryjski, czeski estoński, francuski, niemiecki, węgierski, irlandzki, łotewski, niderlandzki, norweski, polski, portugalski, hiszpański, szwedzki i rząd Zjednoczonego Królestwa oraz Komisja.

23.

Rozprawa odbyła się w dniu 9 września 2019 r. i dotyczyła również spraw połączonych C‑511/18 i C‑512/18 oraz sprawy C‑520/18. W rozprawie wzięły udział strony czterech postępowań prejudycjalnych, wskazane powyżej rządy oraz Komisja i Europejski Inspektor Ochrony Danych Osobowych.

24.

W przedstawionej dziś opinii w sprawach połączonych C‑511/18 i C‑512/18 wyjaśniam powody, dla których moim zdaniem dyrektywa 2002/58 „ma zastosowanie co do zasady w przypadku, gdy dostawcy usług elektronicznych są ustawowo zobowiązani do przechowywania danych ich abonentów i do umożliwienia dostępu do nich organom władzy publicznej. Bez znaczenia jest przy tym okoliczność, że obowiązki te są nakładane na dostawców ze względów związanych z bezpieczeństwem narodowym” ( 15 ).

25.

Rozwijając moją argumentację, przeanalizuję wpływ wyroków Trybunału Sprawiedliwości z dnia 30 maja 2006 r. w sprawach: Parlament Europejski/Rada i Komisja ( 16 ) oraz Tele2 Sverige i Watson, proponując przyjęcie ich całościowej wykładni ( 17 ).

26.

W niniejszej opinii, po stwierdzeniu, że dyrektywa 2002/58 znajduje zastosowanie, przeanalizuję zawarte w niej wyłączenie odnoszące się do bezpieczeństwa narodowego oraz wpływ art. 4 ust. 2 TUE ( 18 ).

27.

Z zastrzeżeniem poniższych wyjaśnień odsyłam do analiz przeprowadzonych w opinii przywołanej powyżej oraz opinii przedstawionej w sprawie C‑520/18.

28.

Zgodnie z rozpatrywanym w niniejszej sprawie uregulowaniami obowiązek obejmujący, poza zatrzymywaniem danych, przetwarzanie danych posiadanych przez nich w wyniku świadczenia usług na rzecz użytkowników publicznych sieci łączności w Unii jest nałożony na dostawców usług łączności elektronicznej ( 19 ).

29.

Wspomniani operatorzy są zobowiązani przekazywać te dane SIA. Powstaje zatem pytanie, czy art. 15 ust. 1 dyrektywy 2002/58 zezwala na to, aby takie przekazywanie, z uwagi na jego cel, zostało wyłączone z zakresu stosowania prawa Unii.

30.

Uważam, że nie. Zatrzymywanie, a następnie przekazywanie tych danych można uznać za przetwarzanie danych osobowych dokonywane przez dostawców usług łączności elektronicznej, co w naturalny sposób wpisuje się w zakres zastosowania dyrektywy 2002/58.

31.

Względy związane z bezpieczeństwem narodowym nie mogą przeważyć nad tym ustaleniem, jak to sugeruje sąd odsyłający, w rezultacie bowiem rozpatrywany obowiązek zostałby wyłączony z zakresu zastosowania prawa Unii. Moim zdaniem, powtarzam, dostawcy przetwarzają dane w związku ze świadczeniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności w Unii, co zgodnie z art. 3 ust. 1 dyrektywy 2002/58 mieści się dokładnie w zakresie jej zastosowania.

32.

Jeśli przyjąć to założenie, to spór nie dotyczy już działalności SIA (które, jak wskazałem powyżej, mogłyby zostać wyłączone z zakresu zastosowania prawa Unii, jeżeli nie wywierałyby wpływu na operatorów łączności elektronicznej), lecz zatrzymywania i późniejszego przekazywania danych posiadanych przez wspomnianych operatorów. Z tego punktu widzenia w grę wchodzą prawa podstawowe gwarantowane przez Unię.

33.

Elementem kluczowym dla rozstrzygnięcia tej kwestii jest, ponownie, obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych, do których dostęp jest następnie przekazywany organom władzy publicznej.

34.

Biorąc pod uwagę, iż w niniejszej sprawie sąd odsyłający kładzie szczególny nacisk na działania SIA mające wpływ na bezpieczeństwo narodowe, pozwalam sobie przytoczyć dotyczące tej kwestii punkty mojej przedstawionej dziś opinii w sprawach połączonych C‑511/18 i C‑512/18:

[…]

[…]

[…]

35.

Sąd odsyłający skupił się na wykładni dokonanej przez Trybunał Sprawiedliwości w wyroku Tele2 Sverige i Watson, podkreślając trudności, które jego zdaniem wiązałyby się z jej zastosowaniem w niniejszej sprawie.

36.

W wyroku Tele2 Sverige i Watson wskazano bowiem wymogi, jakie musi spełnić uregulowanie krajowe wprowadzające obowiązek zatrzymywania danych o ruchu i lokalizacji w celu ich późniejszego udostępnienia organom władzy publicznej.

37.

Podobnie jak w sprawach połączonych C‑511/18 i C‑512/18 i z analogicznych względów uważam, iż rozpatrywane w niniejszej sprawie przepisy prawa krajowego nie spełniają wymogów ustanowionych w wyroku Tele2 Sverige i Watson, gdyż prowadzą one do uogólnionego i niezróżnicowanego zatrzymywania danych osobowych, co umożliwia dostęp przez długi czas do szczegółowych informacji o życiu osób, których te dane dotyczą.

38.

W opinii przedstawionej w dwóch wspomnianych sprawach rozważam, czy byłoby możliwe zmodyfikowanie lub uzupełnienie stanowiska wyrażonego w tym wyroku, aby uwzględnić skutki, jakie pociąga ono dla walki z terroryzmem lub dla ochrony państwa przed innymi podobnymi zagrożeniami bezpieczeństwa narodowego.

39.

Pozwolę sobie również przytoczyć poniżej te punkty przywołanej opinii, w których utrzymuję w istocie, iż, choć istnieje możliwość zmodyfikowania przywołanego orzecznictwa, to należy je w jego istocie utrzymać w mocy:

40.

Sąd odsyłający zadaje swoje drugie pytanie na wypadek udzielenia przez Trybunał odpowiedzi twierdzącej na pytanie pierwsze. W takim przypadku sąd ten zmierza do ustalenia, jakie „inne wymogi, poza wymogami nałożonymi przez EKPC” czy też wymogami wynikającymi z wyroku Tele2 Sverige i Watson powinny mieć zastosowanie.

41.

Stwierdza on w tym względzie, iż narzucenie wymogów określonych w wyroku Tele2 Sverige i Watson „zniweczyłoby środki podjęte w celu ochrony bezpieczeństwa narodowego przez służby wywiadu i bezpieczeństwa”.

42.

Z uwagi na to, że odpowiedź, jakiej proponuję udzielić na pytanie pierwsze, jest przecząca, nie ma konieczności ustosunkowywania się do drugiego pytania. Jak wskazuje sam sąd odsyłający, jest ono bowiem uzależnione od stwierdzenia zgodności z prawem Unii „technik masowego uzyskiwania i automatycznego przetwarzania” danych osobowych wszystkich użytkowników ze Zjednoczonego Królestwa, które dostawcy usług łączności elektronicznej powinni przekazywać SIA.

43.

Gdyby Trybunał Sprawiedliwości uznał za konieczne udzielenie odpowiedzi na pytanie drugie, uważam, iż należałoby potwierdzić określone w wyroku Tele2 Sverige i Watson wskazane powyżej wymogi odnoszące się do:

44.

Wystarczyłoby zatem, powtórzę, potwierdzić konieczność spełnienia tych wymogów ze względów, które wyjaśniłem w opiniach przedstawionych w sprawach połączonych C‑511/18 i C‑512/18 oraz w sprawie C‑520/18, bez potrzeby wprowadzania „innych”, dodatkowych wymogów, w znaczeniu, do którego odnosi się sąd odsyłający.

45.

Mając na względzie powyższe rozważania, proponuję, aby Trybunał Sprawiedliwości udzielił Investigatory Powers Tribunal (sądowi ds. uprawnień dochodzeniowych, Zjednoczone Królestwo) następującej odpowiedzi:

Artykuł 4 TUE oraz art. 1 ust. 3 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, które zobowiązuje dostawcę sieci łączności elektronicznej do przekazywania służbom wywiadu i bezpieczeństwa państwa członkowskiego „masowych danych telekomunikacyjnych”, co wiąże się z uprzednim uogólnionym i niezróżnicowanym zbieraniem tych danych.

Tytułem ewentualnym:

Dostęp służb wywiadu i bezpieczeństwa państwa członkowskiego do danych przekazywanych przez dostawców sieci łączności elektronicznej powinien być zgodny z wymogami wynikającymi z wyroku z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in., C‑203/15 i C‑698/15, EU:C:2016:970.