Sprawa C‑291/12

Michael Schwarz

przeciwko

Stadt Bochum

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Gelsenkirchen)

„Odesłanie prejudycjalne — Przestrzeń wolności, bezpieczeństwa i sprawiedliwości — Paszport biometryczny — Odciski palców — Rozporządzenie (WE) nr 2252/2004 — Artykuł 1 ust. 2 — Ważność — Podstawa prawna — Procedura przyjęcia — Artykuły 7 i 8 Karty praw podstawowych Unii Europejskiej — Prawo do poszanowania życia prywatnego — Prawo do ochrony danych osobowych — Proporcjonalność”

Streszczenie – wyrok Trybunału (czwarta izba) z dnia 17 października 2013 r.

1. Kontrole graniczne, azyl i imigracja – Przekraczanie granic zewnętrznych państw członkowskich – Wspólne zasady dotyczące norm i procedur kontroli – Paszporty i dokumenty podróży wydawane przez państwa członkowskie – Rozporządzenie nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie – Podstawa prawna – Kompetencja prawodawcy Unii – Ustanowienie elementów zabezpieczenia paszportów zarówno obywateli państw trzecich, jak i obywateli Unii

   [art. 62 pkt 2 lit. a) WE; rozporządzenie Rady nr 2252/2004]

2. Akty instytucji – Procedura opracowania – Konsultacja z Parlamentem – Brak – Akt zastąpiony nowym aktem przyjętym w procedurze współdecydowania – Podstawa nieistotna dla sprawy

   [art. 62 pkt 2 lit. a) WE, art. 67 ust. 1 WE]

3. Prawa podstawowe – Karta praw podstawowych Unii Europejskiej – Poszanowanie życia prywatnego – Ochrona danych osobowych – Pojęcie danych osobowych – Pobieranie i przechowywanie obrazu odcisków palców w paszportach obywateli Unii – Włączenie – Naruszenie praw uznanych w art. 7 i 8 karty

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8; rozporządzenie Rady nr 2252/2004, art. 1 ust. 2)

4. Kontrole graniczne, azyl i imigracja – Przekraczanie granic zewnętrznych państw członkowskich – Wspólne zasady dotyczące norm i procedur kontroli – Paszporty i dokumenty podróży wydawane przez państwa członkowskie – Rozporządzenie nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie – Pobieranie i przechowywanie obrazu odcisków palców w paszportach obywateli Unii – Poszanowanie życia prywatnego – Ochrona danych osobowych – Ograniczenia – Warunki – Brak

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8, art. 52 ust. 1; rozporządzenie Rady nr 2252/2004, art. 1 ust. 2, art. 4 ust. 3)

1.  Z brzmienia art. 62 pkt 2 lit. a) WE, który wchodził w skład tytułu IV traktatu WE, oraz celu tego postanowienia łącznie wynika, że upoważniało ono Radę do regulowania przebiegu przeprowadzanych na granicach zewnętrznych Unii Europejskiej kontroli mających na celu sprawdzanie tożsamości przekraczających je osób. Skoro takie sprawdzanie w sposób konieczny wiązało się z okazaniem dokumentów pozwalających na ustalenie tej tożsamości, to art. 62 pkt 2 lit. a) WE w konsekwencji uprawniał Radę do przyjmowania aktów normatywnych dotyczących takich dokumentów, w szczególności paszportów.

   Co się tyczy kompetencji prawodawcy Unii w tym obszarze, należy, po pierwsze, zwrócić uwagę, że przepis ten, odnoszący się do kontroli „osób”, bez dalszych uściśleń obejmował nie tylko obywateli państw trzecich, ale także obywateli Unii, a konsekwencji również paszporty tych ostatnich.

   Po drugie, harmonizacja norm dotyczących bezpieczeństwa paszportów obywateli Unii może okazać się konieczna w celu uniknięcia sytuacji, w której paszporty posiadałyby zabezpieczenia mniej zaawansowane niż te przewidziane dla wiz w jednolitym formacie i dla jednolitych wzorów dokumentów pobytowych dla obywateli państw trzecich. W tych okolicznościach należy uznać, że prawodawca Unii posiada kompetencję do wprowadzenia do paszportów obywateli Unii równoważnych elementów dotyczących bezpieczeństwa, ponieważ kompetencja taka pozwala na uniknięcie sytuacji, w której paszporty te stałyby się obiektem fałszerstw i bezprawnego używania.

   (por. pkt 17–19)

2.  Zobacz tekst orzeczenia.

   (por. pkt 21, 22)

3.  Artykuł 7 Karty praw podstawowych Unii Europejskiej przewiduje, że każdy ma prawo do poszanowania życia prywatnego. Zgodnie z art. 8 ust. 1 karty każdy ma prawo do ochrony danych osobowych, które go dotyczą. Z postanowień tych, czytanych łącznie, wynika, że zasadniczo każde przetwarzanie danych osobowych przez osobę trzecią może stanowić naruszenie rzeczonych praw. Odciski palców mieszczą się w tym pojęciu, jako że obiektywnie zawierają one unikalne informacje o osobach fizycznych i pozwalają na ich dokładne zidentyfikowanie. Stosowanie art. 1 ust. 2 rozporządzenia nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie oznacza, że organy pobierają odciski palców zainteresowanych osób oraz że odciski te są przechowywane na nośniku pamięci stanowiącym integralną część paszportu. Środki takie należy uznać za przetwarzanie danych osobowych i naruszenie praw do poszanowania życia prywatnego oraz do ochrony danych osobowych.

   (por. pkt 24, 25, 27, 29, 30)

4.  Co się tyczy względów uzasadniających naruszenie praw ustanowionych w art. 7 i 8 Karty praw podstawowych Unii Europejskiej, które nie mają charakteru bezwzględnego, należy w pierwszej kolejności przypomnieć, że ograniczenie wynikające z pobrania i przechowywania odcisków palców w związku z wydawaniem paszportów powinno być uważane za przewidziane ustawą w rozumieniu art. 52 ust. 1 karty, skoro operacje te są przewidziane w art. 1 ust. 2 rozporządzenia nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie. Ponadto zapobiegając fałszowaniu paszportów i uniemożliwiając bezprawne z nich korzystanie, to jest korzystanie z nich przez osoby inne niż ich prawowity posiadacz, omawiany przepis zmierza do uniemożliwienia między innymi nielegalnego wjazdu osób na terytorium Unii i zmierza do realizacji celu interesu ogólnego uznanego przez Unię.

   Wreszcie pobieranie i przechowywanie odcisków palców, o czym mowa w art. 1 ust. 2 rozporządzenia nr 2252/2004, to operacje właściwe dla osiągnięcia celów rozporządzenia, a tym samym również celu polegającego na uniemożliwieniu nielegalnego wjazdu osób na terytorium Unii.

   Po pierwsze, chociaż metoda weryfikowania tożsamości za pomocą odcisków palców nie ma decydującego znaczenia, ponieważ nie wyklucza ona w pełni przypadków wpuszczenia osób nieuprawnionych, to w sposób znaczący zmniejsza ona ryzyko takich przypadków, które istniałoby, gdyby metoda ta nie była wykorzystywana. Po drugie, brak zgodności odcisków palców posiadacza paszportu z danymi umieszczonymi w tym dokumencie nie oznacza, że danej osobie automatycznie odmówi się wjazdu na terytorium Unii. Jedyną konsekwencją takiej niezgodności jest przeprowadzenie dokładniejszej kontroli w celu definitywnego ustalenia tożsamości danej osoby.

   Wreszcie co się tyczy tego, czy takie przetwarzanie jest konieczne, nie podano do wiadomości Trybunału, by istniały środki mogące w wystarczająco skuteczny sposób przyczynić się do celu związanego z ochroną paszportów przed bezprawnym użyciem i jednocześnie naruszające prawa uznane w art. 7 i 8 karty w stopniu mniejszym niż metoda związana z odciskami palców. Artykuł 1 ust. 2 rozporządzenia nr 2252/2004 nie skutkuje przetwarzaniem pobranych odcisków palców wykraczającym poza to, co jest konieczne do osiągnięcia rzeczonego celu. W istocie art. 4 ust. 3 omawianego rozporządzenia wyraźnie stwierdza, iż odciski palców mogą być wykorzystywane wyłącznie w celu sprawdzenia autentyczności dokumentu i tożsamości jego posiadacza, a z art. 1 ust. 2 rozporządzenia nr 2252/2004 wynika, że zapewnia on ochronę przed ryzykiem odczytania danych zawierających odciski palców przez osoby nieupoważnione oraz przewiduje przechowywanie odcisków palców wyłącznie w samym paszporcie, który znajduje się w wyłącznym posiadaniu osoby, na którą został wystawiony.

   (por. pkt 33, 35–38, 42–45, 53, 54, 56, 57, 60)

Sprawa C‑291/12

Michael Schwarz

przeciwko

Stadt Bochum

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Verwaltungsgericht Gelsenkirchen)

„Odesłanie prejudycjalne — Przestrzeń wolności, bezpieczeństwa i sprawiedliwości — Paszport biometryczny — Odciski palców — Rozporządzenie (WE) nr 2252/2004 — Artykuł 1 ust. 2 — Ważność — Podstawa prawna — Procedura przyjęcia — Artykuły 7 i 8 Karty praw podstawowych Unii Europejskiej — Prawo do poszanowania życia prywatnego — Prawo do ochrony danych osobowych — Proporcjonalność”

Streszczenie – wyrok Trybunału (czwarta izba) z dnia 17 października 2013 r.

1. Kontrole graniczne, azyl i imigracja — Przekraczanie granic zewnętrznych państw członkowskich — Wspólne zasady dotyczące norm i procedur kontroli — Paszporty i dokumenty podróży wydawane przez państwa członkowskie — Rozporządzenie nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie — Podstawa prawna — Kompetencja prawodawcy Unii — Ustanowienie elementów zabezpieczenia paszportów zarówno obywateli państw trzecich, jak i obywateli Unii

   [art. 62 pkt 2 lit. a) WE; rozporządzenie Rady nr 2252/2004]

2. Akty instytucji — Procedura opracowania — Konsultacja z Parlamentem — Brak — Akt zastąpiony nowym aktem przyjętym w procedurze współdecydowania — Podstawa nieistotna dla sprawy

   [art. 62 pkt 2 lit. a) WE, art. 67 ust. 1 WE]

3. Prawa podstawowe — Karta praw podstawowych Unii Europejskiej — Poszanowanie życia prywatnego — Ochrona danych osobowych — Pojęcie danych osobowych — Pobieranie i przechowywanie obrazu odcisków palców w paszportach obywateli Unii — Włączenie — Naruszenie praw uznanych w art. 7 i 8 karty

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8; rozporządzenie Rady nr 2252/2004, art. 1 ust. 2)

4. Kontrole graniczne, azyl i imigracja — Przekraczanie granic zewnętrznych państw członkowskich — Wspólne zasady dotyczące norm i procedur kontroli — Paszporty i dokumenty podróży wydawane przez państwa członkowskie — Rozporządzenie nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie — Pobieranie i przechowywanie obrazu odcisków palców w paszportach obywateli Unii — Poszanowanie życia prywatnego — Ochrona danych osobowych — Ograniczenia — Warunki — Brak

   (Karta praw podstawowych Unii Europejskiej, art. 7, 8, art. 52 ust. 1; rozporządzenie Rady nr 2252/2004, art. 1 ust. 2, art. 4 ust. 3)

1.  Z brzmienia art. 62 pkt 2 lit. a) WE, który wchodził w skład tytułu IV traktatu WE, oraz celu tego postanowienia łącznie wynika, że upoważniało ono Radę do regulowania przebiegu przeprowadzanych na granicach zewnętrznych Unii Europejskiej kontroli mających na celu sprawdzanie tożsamości przekraczających je osób. Skoro takie sprawdzanie w sposób konieczny wiązało się z okazaniem dokumentów pozwalających na ustalenie tej tożsamości, to art. 62 pkt 2 lit. a) WE w konsekwencji uprawniał Radę do przyjmowania aktów normatywnych dotyczących takich dokumentów, w szczególności paszportów.

   Co się tyczy kompetencji prawodawcy Unii w tym obszarze, należy, po pierwsze, zwrócić uwagę, że przepis ten, odnoszący się do kontroli „osób”, bez dalszych uściśleń obejmował nie tylko obywateli państw trzecich, ale także obywateli Unii, a konsekwencji również paszporty tych ostatnich.

   Po drugie, harmonizacja norm dotyczących bezpieczeństwa paszportów obywateli Unii może okazać się konieczna w celu uniknięcia sytuacji, w której paszporty posiadałyby zabezpieczenia mniej zaawansowane niż te przewidziane dla wiz w jednolitym formacie i dla jednolitych wzorów dokumentów pobytowych dla obywateli państw trzecich. W tych okolicznościach należy uznać, że prawodawca Unii posiada kompetencję do wprowadzenia do paszportów obywateli Unii równoważnych elementów dotyczących bezpieczeństwa, ponieważ kompetencja taka pozwala na uniknięcie sytuacji, w której paszporty te stałyby się obiektem fałszerstw i bezprawnego używania.

   (por. pkt 17–19)

2.  Zobacz tekst orzeczenia.

   (por. pkt 21, 22)

3.  Artykuł 7 Karty praw podstawowych Unii Europejskiej przewiduje, że każdy ma prawo do poszanowania życia prywatnego. Zgodnie z art. 8 ust. 1 karty każdy ma prawo do ochrony danych osobowych, które go dotyczą. Z postanowień tych, czytanych łącznie, wynika, że zasadniczo każde przetwarzanie danych osobowych przez osobę trzecią może stanowić naruszenie rzeczonych praw. Odciski palców mieszczą się w tym pojęciu, jako że obiektywnie zawierają one unikalne informacje o osobach fizycznych i pozwalają na ich dokładne zidentyfikowanie. Stosowanie art. 1 ust. 2 rozporządzenia nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie oznacza, że organy pobierają odciski palców zainteresowanych osób oraz że odciski te są przechowywane na nośniku pamięci stanowiącym integralną część paszportu. Środki takie należy uznać za przetwarzanie danych osobowych i naruszenie praw do poszanowania życia prywatnego oraz do ochrony danych osobowych.

   (por. pkt 24, 25, 27, 29, 30)

4.  Co się tyczy względów uzasadniających naruszenie praw ustanowionych w art. 7 i 8 Karty praw podstawowych Unii Europejskiej, które nie mają charakteru bezwzględnego, należy w pierwszej kolejności przypomnieć, że ograniczenie wynikające z pobrania i przechowywania odcisków palców w związku z wydawaniem paszportów powinno być uważane za przewidziane ustawą w rozumieniu art. 52 ust. 1 karty, skoro operacje te są przewidziane w art. 1 ust. 2 rozporządzenia nr 2252/2004 w sprawie norm dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży wydawanych przez państwa członkowskie. Ponadto zapobiegając fałszowaniu paszportów i uniemożliwiając bezprawne z nich korzystanie, to jest korzystanie z nich przez osoby inne niż ich prawowity posiadacz, omawiany przepis zmierza do uniemożliwienia między innymi nielegalnego wjazdu osób na terytorium Unii i zmierza do realizacji celu interesu ogólnego uznanego przez Unię.

   Wreszcie pobieranie i przechowywanie odcisków palców, o czym mowa w art. 1 ust. 2 rozporządzenia nr 2252/2004, to operacje właściwe dla osiągnięcia celów rozporządzenia, a tym samym również celu polegającego na uniemożliwieniu nielegalnego wjazdu osób na terytorium Unii.

   Po pierwsze, chociaż metoda weryfikowania tożsamości za pomocą odcisków palców nie ma decydującego znaczenia, ponieważ nie wyklucza ona w pełni przypadków wpuszczenia osób nieuprawnionych, to w sposób znaczący zmniejsza ona ryzyko takich przypadków, które istniałoby, gdyby metoda ta nie była wykorzystywana. Po drugie, brak zgodności odcisków palców posiadacza paszportu z danymi umieszczonymi w tym dokumencie nie oznacza, że danej osobie automatycznie odmówi się wjazdu na terytorium Unii. Jedyną konsekwencją takiej niezgodności jest przeprowadzenie dokładniejszej kontroli w celu definitywnego ustalenia tożsamości danej osoby.

   Wreszcie co się tyczy tego, czy takie przetwarzanie jest konieczne, nie podano do wiadomości Trybunału, by istniały środki mogące w wystarczająco skuteczny sposób przyczynić się do celu związanego z ochroną paszportów przed bezprawnym użyciem i jednocześnie naruszające prawa uznane w art. 7 i 8 karty w stopniu mniejszym niż metoda związana z odciskami palców. Artykuł 1 ust. 2 rozporządzenia nr 2252/2004 nie skutkuje przetwarzaniem pobranych odcisków palców wykraczającym poza to, co jest konieczne do osiągnięcia rzeczonego celu. W istocie art. 4 ust. 3 omawianego rozporządzenia wyraźnie stwierdza, iż odciski palców mogą być wykorzystywane wyłącznie w celu sprawdzenia autentyczności dokumentu i tożsamości jego posiadacza, a z art. 1 ust. 2 rozporządzenia nr 2252/2004 wynika, że zapewnia on ochronę przed ryzykiem odczytania danych zawierających odciski palców przez osoby nieupoważnione oraz przewiduje przechowywanie odcisków palców wyłącznie w samym paszporcie, który znajduje się w wyłącznym posiadaniu osoby, na którą został wystawiony.

   (por. pkt 33, 35–38, 42–45, 53, 54, 56, 57, 60)