Sprawa C‑746/18

H.K.

przeciwko

Prokuratuur

(wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Riigikohus)

 Wyrok Trybunału (wielka izba) z dnia 2 marca 2021 r.

Odesłanie prejudycjalne – Przetwarzanie danych osobowych w sektorze łączności elektronicznej – Dyrektywa 2002/58/WE – Dostawcy usług łączności elektronicznej – Poufność komunikacji – Ograniczenia – Artykuł 15 ust. 1 – Artykuły 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej – Ustawodawstwo przewidujące uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji przez dostawców usług łączności elektronicznej – Dostęp organów państwowych do zatrzymanych danych do celów dochodzenia – Zwalczanie ogółu przestępczości – Zezwolenie udzielone przez prokuraturę – Wykorzystanie danych w ramach postępowania karnego jako dowodów – Dopuszczalność

1.        Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Dostęp organów państwowych do zatrzymywanych danych do celów dochodzenia karnego – Cel polegający na zwalczaniu ogółu przestępczości – Niedopuszczalność – Długość okresu dostępu do danych oraz ilość lub rodzaj danych dostępnych w takim okresie – Brak wpływu

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 5 ust. 1, art. 15 ust. 1)

(zob. pkt 29–35, 40, 45; pkt 1 sentencji)

2.        Zbliżanie ustawodawstw – Sektor telekomunikacji – Przetwarzanie danych osobowych i ochrona prywatności w sektorze łączności elektronicznej – Dyrektywa 2002/58 – Możliwość ograniczenia przez państwa członkowskie zakresu pewnych praw i obowiązków – Środki krajowe nakładające na dostawców usług łączności elektronicznej obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji – Dostęp organów państwowych do zatrzymywanych danych do celów dochodzenia karnego – Dostęp uzależniony od uprzedniej kontroli przeprowadzonej przez niezależny organ administracyjny – Zezwolenie udzielone przez prokuraturę – Niedopuszczalność

(Karta praw podstawowych Unii Europejskiej, art. 7, 8, 11, art. 52 ust. 1; dyrektywa 2002/58 Parlamentu Europejskiego i Rady, zmieniona dyrektywą 2009/136, art. 5 ust. 1, art. 15 ust. 1)

(zob. pkt 48–59, pkt 2 sentencji)

Streszczenie

Dostęp w celach karnych do zbioru danych pochodzących z łączności elektronicznej i dotyczących ruchu lub lokalizacji, które pozwalają na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego, jest dozwolony jedynie w celu zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom bezpieczeństwa publicznego.

Prawo Unii stoi ponadto na przeszkodzie przepisom krajowym przyznającym prokuraturze kompetencję do udzielania zezwoleń na dostęp organu władzy publicznej do tych danych w celu prowadzenia postępowania przygotowawczego.

W Estonii wszczęto postępowanie karne przeciwko H.K. pod zarzutem kradzieży, wykorzystania karty bankowej osoby trzeciej oraz przemocy wobec osób uczestniczących w postępowaniu sądowym. H.K. została skazana za popełnienie tych przestępstw na karę dwóch lat pozbawienia wolności przez sąd pierwszej instancji. Orzeczenie to zostało następnie utrzymane w mocy w postępowaniu apelacyjnym.

Protokoły, na których opiera się ustalenie popełnienia tych przestępstw, zostały w szczególności sporządzone na podstawie danych osobowych generowanych w ramach świadczenia usług łączności elektronicznej. Riigikohus (sąd najwyższy, Estonia), do którego H.K. wniosła skargę kasacyjną, wyraził wątpliwości co do zgodności z prawem Unii(1) warunków dostępu do tych danych przez służby prowadzące dochodzenie.

Wątpliwości te dotyczą w pierwszej kolejności kwestii tego, czy długość okresu, w którym służby prowadzące dochodzenie miały dostęp do danych, stanowi kryterium pozwalające ocenić wagę ingerencji, jaką stanowi ów dostęp, w prawa podstawowe zainteresowanych osób. Tak więc w sytuacji gdy okres ten jest bardzo krótki lub gdy ilość zebranych danych jest bardzo ograniczona, sąd odsyłający zastanawiał się nad tym, czy cel polegający na zwalczaniu ogółu przestępczości, a nie tylko zwalczaniu poważnej przestępczości, może uzasadniać taką ingerencję. W drugiej kolejności sąd odsyłający powziął wątpliwości co do możliwości uznania estońskiej prokuratury – biorąc pod uwagę różne zadania powierzone jej przez przepisy krajowe – za „niezależny” organ administracyjny, w rozumieniu wyroku Tele2 Sverige i Watson i in.(2), który może zezwolić organowi dochodzeniowemu na dostęp do rozpatrywanych danych.

W wyroku wydanym w składzie wielkiej izby Trybunał orzekł, że dyrektywa o prywatności i łączności elektronicznej, interpretowana w świetle karty praw podstawowych, stoi na przeszkodzie przepisom krajowym umożliwiającym dostęp organów władzy publicznej do danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanego przez niego urządzenia końcowego oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, bez ograniczania takiego dostępu do postępowań mających na celu zwalczanie poważnej przestępczości lub zapobieganie poważnym zagrożeniom bezpieczeństwa publicznego. Zdaniem Trybunału długość okresu, na jaki wniesiono o dostęp do tych danych, oraz ilość bądź rodzaj danych dostępnych przez taki okres, nie ma w tym względzie znaczenia. Ponadto Trybunał stwierdził, że dyrektywa ta, interpretowana w świetle karty praw podstawowych, stoi na przeszkodzie przepisom krajowym przyznającym prokuraturze kompetencję do udzielania zezwoleń na dostęp organu władzy publicznej do danych o ruchu i danych o lokalizacji w celu prowadzenia postępowania przygotowawczego.

Ocena Trybunału

W odniesieniu do warunków, na jakich organy władzy publicznej mogą, do celów dochodzenia, wykrywania i karania przestępstw lub zapobiegania im, uzyskać dostęp do danych o ruchu i danych o lokalizacji zatrzymywanych przez dostawców usług łączności elektronicznej na podstawie środka podjętego na podstawie dyrektywy o prywatności i łączności elektronicznej(3), Trybunał przypomniał to, co orzekł w wyroku La Quadrature du Net i in.(4). Dyrektywa ta zezwala zatem państwom członkowskim na uchwalanie, między innymi we wspomnianych celach, środków ustawodawczych zmierzających do ograniczenia zakresu praw i obowiązków przewidzianych w tej dyrektywie, w szczególności obowiązku zapewnienia poufności komunikacji i danych o ruchu(5), wyłącznie zgodnie z ogólnymi zasadami prawa Unii, wśród których znajduje się zasada proporcjonalności, oraz prawami podstawowymi zagwarantowanymi w karcie praw podstawowych(6). W tych ramach dyrektywa stoi na przeszkodzie środkom ustawodawczym nakładającym na dostawców usług łączności elektronicznej obowiązek prewencyjnego, uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu i danych o lokalizacji.

Jeśli chodzi o realizowany przez przepisy rozpatrywane w postępowaniu głównym cel polegający na dochodzeniu, wykrywaniu i karaniu przestępstw lub zapobieganiu im, Trybunał orzekł, że zgodnie z zasadą proporcjonalności jedynie cele w postaci zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać dostęp organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które umożliwiają wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą, przy czym inne czynniki związane z proporcjonalnością wniosku o udzielenie dostępu, takie jak długość okresu, na jaki wniesiono o dostęp do takich danych, nie mogą skutkować tym, by cel polegający na dochodzeniu, wykrywaniu i karaniu ogółu przestępstw lub zapobieganiu im mógł uzasadniać taki dostęp.

Odnośnie do przyznanej prokuraturze kompetencji do udzielania zezwoleń organowi władzy publicznej na dostęp do danych o ruchu i danych o lokalizacji w celu przeprowadzenia postępowania przygotowawczego, Trybunał przypominał, że do prawa krajowego należy określenie warunków, na jakich dostawcy usług łączności elektronicznej powinni udzielić właściwym organom państwowym dostępu do danych będących w ich posiadaniu. Jednakże, aby spełnić wymóg proporcjonalności, takie uregulowanie musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania rozpatrywanego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, o których dane osobowe chodzi, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć. To uregulowanie musi być prawnie wiążące w prawie wewnętrznym i wskazywać, w jakich okolicznościach i pod jakimi warunkami materialnymi i proceduralnymi można przyjąć środek przewidujący przetwarzanie takich danych, gwarantując w ten sposób, że ingerencja zostanie ograniczona do tego, co ściśle niezbędne.

Zdaniem Trybunału w celu zapewnienia w praktyce pełnej zgodności z tymi warunkami ważne jest, aby dostęp właściwych organów państwowych do zatrzymanych danych był uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego, a decyzja tego sądu lub organu była wydawana na uzasadniony wniosek owych organów państwowych, złożony w szczególności w ramach postępowań mających na celu wykrywanie lub karanie przestępstw lub zapobieganie im. W pilnych i należycie uzasadnionych przypadkach kontrola powinna nastąpić w krótkim czasie.

W tym względzie Trybunał wyjaśnił, że uprzednia kontrola wymaga między innymi, aby sąd lub organ odpowiedzialny za przeprowadzenie tej kontroli dysponował wszelkimi uprawnieniami i gwarancjami niezbędnymi do pogodzenia poszczególnych wchodzących w grę interesów i praw. Jeśli chodzi w szczególności o dochodzenie karne, taka kontrola wymaga, aby ten sąd lub organ był w stanie zapewnić właściwą równowagę pomiędzy z jednej strony interesami związanymi z potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane. Jeżeli kontrola ta jest dokonywana nie przez sąd, lecz przez niezależny organ administracyjny, musi on posiadać status pozwalający mu działać przy wykonywaniu swoich obowiązków w sposób obiektywny i bezstronny i w tym celu powinien on pozostawać poza jakimkolwiek wpływem z zewnątrz.

Według Trybunału z powyższego wynika, że wymóg niezależności, który powinien spełniać organ odpowiedzialny za przeprowadzenie uprzedniej kontroli, wymaga, aby organ ten miał status strony trzeciej w stosunku do organu wnoszącego o udzielenie dostępu do danych, tak aby ten pierwszy był w stanie przeprowadzić tę kontrolę w sposób obiektywny i bezstronny, poza jakimkolwiek wpływem z zewnątrz. W szczególności w dziedzinie prawa karnego wymóg niezależności oznacza, że organ odpowiedzialny za tę uprzednią kontrolę, po pierwsze, nie jest zaangażowany w prowadzenie omawianego dochodzenia karnego, a po drugie, zajmuje neutralną pozycję wobec stron postępowania karnego. Tymczasem nie jest tak w przypadku prokuratury, która, tak jak prokuratura estońska, kieruje dochodzeniem i, w stosownych przypadkach, sprawuje funkcję oskarżyciela publicznego. Prokuratura nie jest zatem w stanie przeprowadzić wspomnianej uprzedniej kontroli.

1      Dokładniej mówiąc, z art. 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r. (Dz.U. 2009, L 337, s. 11), (zwanej dalej „dyrektywą o prywatności i łączności elektronicznej”) w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą praw podstawowych”).

2      Wyrok z dnia 21 grudnia 2016 r., Tele2 Sverige i Watson i in. (C‑203/15 i C‑698/15, EU:C:2016:970, pkt 120).

3      Artykuł 15 ust. 1 dyrektywy 2002/58.

4      Wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 166–169).

5      Artykuł 5 ust. 1 dyrektywy 2002/58.

6      W szczególności art. 7, 8 i 11 oraz art. 52 ust. 1 karty.