1.

Niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym, które zostały połączone w tym postępowaniu, łączą się ściśle z wnioskami o wydanie orzeczenia w trybie prejudycjalnym w sprawach połączonych C‑793/19, SpaceNet i C‑794/19, Telekom Deutschland oraz w sprawie C‑140/20, Commissioner of the Garda Síochána i in., w przedmiocie których również przedstawiam moją opinię w tym samym dniu ( 2 ).

2.

W opiniach w sprawach połączonych SpaceNet i Telekom Deutschland oraz w sprawie Commissioner of the Garda Síochána przedstawiam powody, które skłaniają mnie do zasugerowania Trybunałowi Sprawiedliwości, aby ten udzielił na pytania Bundesverwaltungsgericht (federalnego sądu administracyjnego, Niemcy) i Supreme Court (sądu najwyższego, Irlandia) odpowiedzi zgodnej z orzecznictwem dotyczącym dyrektywy 2002/58/WE ( 3 )„podsumowanym” w wyroku La Quadrature du Net ( 4 ).

3.

Niewątpliwie prawdą jest, że przedmiotem dwóch wniosków o wydanie orzeczenia w trybie prejudycjalnym skierowanych do Trybunału przez Cour de cassation (sąd kasacyjny, Francja) nie jest bezpośrednio dyrektywa 2002/58, lecz dyrektywa 2003/6/WE ( 5 ) i rozporządzenie (UE) nr 596/2014 ( 6 ).

4.

Przedmiot tych dwóch postępowań jest zaś w istocie taki sam jak w przypadku pozostałych wniosków o wydanie orzeczenia w trybie prejudycjalnym, a mianowicie jest to kwestia, czy państwa członkowskie mogą ustanawiać obowiązek zatrzymywania w sposób uogólniony i niezróżnicowany danych dotyczących ruchu połączeń elektronicznych ( 7 ).

5.

Dlatego też, mimo że w niniejszych sprawach w grę wchodzą dyrektywa 2003/6 i rozporządzenie nr 596/2014 (mające na celu zwalczanie transakcji, które można zakwalifikować jako nadużycie na rynku) ( 8 ), uważam, że orzecznictwo Trybunału Sprawiedliwości podsumowane w wyroku La Quadrature du Net znajduje w tym kontekście zastosowanie.

6.

Zgodnie z art. 1 tej dyrektywy (zatytułowanym „Zakres i cel”):

„1.   Niniejsza dyrektywa przewiduje harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu [w Unii] tego typu danych oraz urządzeń i usług łączności elektronicznej.

2.   Przepisy niniejszej dyrektywy dookreślają i uzupełniają dyrektywę 95/46/WE [Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. 1995, L 281, s. 31)] zgodnie z celami przedstawionymi w ust. 1. Ponadto zapewniają ochronę uzasadnionych interesów abonentów będących osobami prawnymi.

3.   Niniejsza dyrektywa nie ma zastosowania do działalności, która wykracza poza zakres [TFUE], takiej jak działalność określona w tytułach V i VI Traktatu o Unii Europejskiej, ani, w żadnym wypadku, do działalności dotyczącej bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając dobrobyt gospodarczy państwa, gdy działalność odnosi się do spraw bezpieczeństwa państwa) i działalności państwa w dziedzinie prawa karnego”.

7.

Artykuł 2 tej samej dyrektywy (zatytułowany „Definicje”) stanowi:

„Z zastrzeżeniem innych przepisów, stosuje się definicje z dyrektywy 95/46/WE i dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) [(Dz.U. 2002, L 108, s. 33)].

Stosuje się również następujące definicje:

[…]

[…]”.

8.

W art. 15 ust. 1 tej dyrektywy wyjaśniono:

„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (np. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 traktatu o Unii Europejskiej”.

9.

Zgodnie z art. 11 tej dyrektywy:

„Bez uszczerbku dla kompetencji organów sądowych każde państwo członkowskie wyznacza jeden właściwy organ administracyjny w celu zapewnienia stosowania przepisów przyjętych zgodnie z niniejszą dyrektywą.

[…]”.

10.

Zgodnie z brzmieniem jej art. 12:

„1.   Właściwe organy są wyposażone w uprawnienia nadzorcze i śledcze niezbędne do wypełniania ich funkcji […].

2.   Bez uszczerbku dla art. 6 ust. 7 uprawnienia określone w ust. 1 niniejszego artykułu wykonywane są zgodnie z prawem krajowym i obejmują przynajmniej prawo do:

[…]

[…]”.

11.

Rozporządzenie to zawiera następujące motywy:

[…]

[…]

[…]

[…]”.

12.

Artykuł 1 tego rozporządzenia (zatytułowany „Przedmiot”) stanowi:

„Niniejsze rozporządzenie ustanawia wspólne ramy regulacyjne dotyczące wykorzystywania informacji poufnych, bezprawnego ujawniania informacji poufnych i manipulacji na rynku (nadużyć na rynku), a także środki mające zapobiegać nadużyciom na rynku w celu zapewnienia integralności rynków finansowych w Unii oraz poprawy ochrony inwestorów i zwiększenia zaufania do tych rynków”.

13.

Artykuł 3 tego samego rozporządzenia (zatytułowany „Definicje”) stanowi w ust. 27, że do celów tego rozporządzenia „zapisy danych o ruchu” oznaczają „zapisy danych o ruchu w rozumieniu art. 2 akapit drugi lit. b) dyrektywy 2002/58 […]”;

14.

Artykuł 22 (zatytułowany „Właściwe organy”) stanowi:

„Bez uszczerbku dla kompetencji organów sądowych każde państwo członkowskie wyznacza jeden właściwy organ administracyjny do celów niniejszego rozporządzenia […]”.

15.

Zgodnie z art. 23 tego rozporządzenia (zatytułowanym „Uprawnienia właściwych organów”):

„[…]

2.   W celu wykonywania swoich obowiązków wynikających z niniejszego rozporządzenia właściwe organy posiadają zgodnie z prawem krajowym co najmniej uprawnienia w zakresie nadzoru i czynności wyjaśniających do:

[…]

[…]

3.   Państwa członkowskie gwarantują odpowiednie środki umożliwiające właściwym organom posiadanie wszystkich uprawnień w zakresie nadzoru i czynności wyjaśniających, koniecznych do wykonywania ich obowiązków.

[…]

4.   Uznaje się, że osoba udostępniająca informacje właściwemu organowi zgodnie z niniejszym rozporządzeniem nie narusza jakichkolwiek ograniczeń w ujawnianiu informacji nałożonych przez umowę lub jakiekolwiek przepisy ustawowe, wykonawcze lub administracyjne, oraz nie obciąża się jej żadną odpowiedzialnością związaną z tym powiadomieniem”.

16.

Zgodnie z art. 28 tego samego rozporządzenia (zatytułowanym „Ochrona danych”):

„W zakresie przetwarzania danych osobowych w ramach niniejszego rozporządzenia właściwe organy wypełniają swoje zadania do celów niniejszego rozporządzenia zgodnie z krajowymi przepisami ustawowymi, wykonawczymi i administracyjnymi transponującymi dyrektywę 95/46/WE. W przetwarzaniu danych osobowych przez [Europejski Urząd Nadzoru Giełd i Papierów Wartościowych (EUNGiPW)] w ramach niniejszego rozporządzenia EUNGiPW stosuje przepisy rozporządzenia [Parlamentu Europejskiego i Rady] (WE) nr 45/2001 z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001 L 8, s. 1)].

Dane osobowe przechowuje się przez okres maksymalnie pięciu lat”.

17.

Artykuł L. 621‑10 akapit pierwszy CMF w wersji obowiązującej w momencie zaistnienia okoliczności faktycznych niniejszej sprawy stanowił:

„Gdy jest to niezbędne do prowadzenia czynności wyjaśniających lub kontroli, organy prowadzące czynności wyjaśniające i kontrolerzy mogą żądać udostępnienia wszelkich dokumentów, niezależnie od nośnika, na jakim zostały one utrwalone. Organy prowadzące czynności wyjaśniające mogą również żądać udostępnienia oraz przekazania kopii danych zatrzymywanych i przetwarzanych przez operatorów telekomunikacyjnych na podstawie art. L. 34‑1 code des postes et des communications électroniques [(francuskiego kodeksu pocztowego i łączności elektronicznej, zwanego dalej »CPCE«)] i przez usługodawców, o których mowa w art. 6 ust. I pkt 1 i 2 loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(francuskiej ustawy nr 2004‑575 z dnia 21 czerwca 2004 r. o zaufaniu w gospodarce cyfrowej, zwanej dalej »ustawą nr 2004‑575«)]”.

18.

Zgodnie z mającym zastosowanie do niniejszego przypadku art. L. 621‑10‑2 tego samego aktu:

„W celu badania nadużyć na rynku […] organy prowadzące czynności wyjaśniające mogą żądać danych zatrzymywanych i przetwarzanych przez operatorów telekomunikacyjnych, na warunkach i w granicach określonych w art. L. 34‑1 [CPCE], oraz przez usługodawców, o których mowa w art. 6 ust. I pkt 1 i 2 [ustawy nr 2004‑575].

Przekazywanie danych, o których mowa w akapicie pierwszym niniejszego artykułu, wymaga uzyskania uprzedniego zezwolenia kontrolera wniosków o ujawnienie danych dotyczących połączeń.

[…]”.

19.

Zgodnie z brzmieniem art. L. 34‑1 tego aktu w wersji obowiązującej w momencie zaistnienia okoliczności faktycznych niniejszej sprawy:

„[…]

II. Operatorzy łączności elektronicznej są obowiązani do usuwania lub anonimizowania wszystkich danych o ruchu, z zastrzeżeniem przepisów ust. III.

[…]

III. Do celów wykrywania, stwierdzania i ścigania przestępstw […] działania zmierzające do usunięcia lub anonimizacji określonych kategorii danych technicznych mogą zostać odroczone na okres maksymalnie jednego roku […].

[…]

VI. Dane zatrzymywane i przetwarzane zgodnie z warunkami określonymi w ust. III, IV i V dotyczą wyłącznie identyfikacji użytkowników usług świadczonych przez operatorów, cech technicznych komunikacji dostarczanej przez operatorów oraz lokalizacji urządzeń końcowych.

W żadnym wypadku nie mogą one odnosić się do treści wymienianej korespondencji lub do informacji, z którymi się zapoznano, w jakiejkolwiek formie, w ramach tej komunikacji.

[…]”.

20.

Artykuł R. 10‑13 CPCE stanowił:

„I. Na mocy art. L. 34‑1 ust. III operatorzy łączności elektronicznej obowiązani są zatrzymywać do celów wykrywania, stwierdzania i ścigania przestępstw następujące dane:

II. W przypadku usług telefonicznych operator zatrzymuje dane, o których mowa w ust. [I], a ponadto dane, które pozwalają na identyfikację pochodzenia i lokalizacji połączenia.

III. Okres zatrzymywania danych, o których mowa w niniejszym artykule, wynosi jeden rok, licząc od dnia ich zarejestrowania.

[…]”.

21.

Sąd odsyłający wyjaśnia, że wspomniane dane dotyczące połączeń są to dane generowane lub przetwarzane w następstwie połączenia, odnoszące się do okoliczności, w jakich doszło do tego połączenia oraz do użytkowników usługi, z wyłączeniem jakichkolwiek informacji co do przekazywanych treści.

22.

Okoliczności faktyczne leżące u podstaw dwóch badanych tu wniosków o wydanie orzeczeń w trybie prejudycjalnym są w swej istocie takie same.

23.

Aktem oskarżenia z dnia 22 maja 2014 r. wszczęto postępowanie sądowe w przedmiocie czynów mających znamiona przestępstwa polegającego na wykorzystywaniu i ukrywaniu informacji poufnych.

24.

W dniach 23 i 25 września 2015 r. Autorité des marchés financiers (francuski urząd nadzoru rynków finansowych; zwany dalej „AMF”) skierował do prokuratury pismo, do którego załączono pochodzące z prowadzonego przez niego dochodzenia dokumenty zawierające w szczególności dane osobowe dotyczące korzystania z linii telefonicznych.

25.

W celu zgromadzenia danych dotyczących korzystania z tych linii telefonicznych urzędnicy AMF oparli się na art. L. 621‑10 CMF.

26.

W następstwie skierowania do prokuratury tego pisma, w drodze trzech uzupełniających aktów oskarżenia z dnia 29 września, 22 grudnia 2015 r. i 23 listopada 2016 r., przedmiot postępowania przygotowawczego został rozszerzony w celu objęcia nim, w odniesieniu do tych samych czynów zabronionych oraz kwalifikacji współsprawstwa, korupcji i prania pieniędzy, pewnych powiązanych papierów wartościowych i instrumentów finansowych.

27.

VD i SR, oskarżeni o popełnienie przestępstw polegających na wykorzystywaniu informacji poufnych i praniu pieniędzy w związku z tymi papierami wartościowymi, wnieśli skargę o stwierdzenie nieważności, domagając się wyłączenia dokumentów procesowych z powodu naruszenia między innymi art. 7, 8, 11 i 52 karty oraz art. 15 dyrektywy 2002/58.

28.

Po oddaleniu ich żądań wyrokami z dnia 20 grudnia 2018 r. i z dnia 7 marca 2019 r. wydanymi przez izbę śledczą cour d’appel de Paris, 2e section (sądu apelacyjnego w Paryżu, 2. sekcja, Francja) VD i SR odwołali się od tych wyroków do Cour de cassation (sądu kasacyjnego), który kieruje do Trybunału Sprawiedliwości następujące pytania prejudycjalne:

29.

Niniejsze wnioski o wydanie orzeczenia w trybie prejudycjalnym wpłynęły do Trybunału, odpowiednio, w dniu 24 lipca 2020 r. i w dniu 20 sierpnia 2020 r.

30.

Uwagi na piśmie zostały przedłożone przez VD, SR, rządy hiszpański, estoński, francuski, irlandzki, polski i portugalski oraz Komisję Europejską.

31.

Na rozprawie, która odbyła się w dniu 14 września 2021 r., stawili się VD, SR, rządy francuski, duński, estoński, hiszpański i irlandzki, Komisja Europejska i Europejski Inspektor Ochrony Danych.

32.

Przepisy krajowe odnoszące się do tych dwóch postępowań były przedmiotem pewnych orzeczeń sądów krajowych, o których należy wspomnieć.

33.

Sąd odsyłający wskazał, że Conseil constitutionnel (rada konstytucyjna) wyrokiem z dnia 21 lipca 2017 r. ( 9 ) uznała akapit pierwszy art. L. 621‑10 CMF za niezgodny z konstytucją.

34.

Conseil constitutionnel (rada konstytucyjna) odroczyła jednak skutki tego stwierdzenia niekonstytucyjności do dnia 31 grudnia 2018 r.

35.

W międzyczasie ustawodawca krajowy wprowadził do CMF art. L. 621‑10‑2, w którym ustanowił system udzielania przez niezależny organ administracyjny uprzedniego zezwolenia na dostęp do danych dotyczących połączeń.

36.

Zdaniem sądu odsyłającego:

37.

W tym kontekście Cour de cassation (sąd kasacyjny) dochodzi do wniosku, że „[j]edyne pytanie, jakie się pojawia, dotyczy możliwości odroczenia w czasie skutków niezgodności z konstytucją art. L. 621‑10 [CMF]” ( 12 ).

38.

Sąd odsyłający nie zastanawia się zatem nad zgodnością art. L. 621‑10 CMF z prawem Unii, lecz, ze względu na jego niezgodność z szeregiem postanowień karty, zmierza jedynie do ustalenia, czy, podobnie jak miało to miejsce na gruncie prawa krajowego, w przypadku skutków stwierdzenia niekonstytucyjności tego przepisu możliwe jest również opóźnienie skutków prawnych związanych z jego niezgodnością z prawem Unii. Taki jest przedmiot trzeciego pytania prejudycjalnego.

39.

Po złożeniu niniejszych dwóch wniosków o wydanie orzeczenia w trybie prejudycjalnym Conseil d’État (rada stanu) wydała w dniu 21 kwietnia 2021 r. ( 13 ) wyrok w postępowaniu, w którym złożono wniosek o wydanie orzeczenia w trybie prejudycjalnym, na podstawie którego wydano wyrok La Quadrature du Net.

40.

W wyroku tym Conseil d’État (rada stanu) postanowiła odstąpić od stosowania art. L. 34‑1 CPCE i nakazać rządowi uchylenie w terminie sześciu miesięcy art. R. 10‑13 CPCE, ponieważ nie ogranicza on należycie celów, ze względu na które nakładany jest obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji ( 14 ).

41.

Conseil d’État (rada stanu) odniosła się do zgodności będących przedmiotem niniejszej sprawy spornych przepisów krajowych z dyrektywą 2002/58. Jej zdaniem, z odpowiedzi udzielonej przez Trybunał Sprawiedliwości w wyroku La Quadrature du Net wynika, że powinny one albo nie być stosowane (fr. écarter) w postępowaniu głównym (art. L. 34‑1 CPCE) ( 15 ) albo zostać uchylone (art. R. 10‑13 CPCE) ( 16 ).

42.

Znaczenie, jakie ma wyrok La Quadrature du Net dla udzielenia odpowiedzi na pierwsze z pytań zawartych w niniejszych wnioskach o wydanie orzeczenia w trybie prejudycjalnym, jest tym większe, że w wyroku tym uwzględniono między innymi art. R. 10‑13 CPCE ( 17 ), który, łącznie z art. L. 34‑I tego samego CPCE, ma kluczowe znaczenie dla zastosowania art. L. 621‑10 CMF.

43.

Przypominam, że w celu uzyskania informacji dotyczących korzystania z linii telefonicznych używanych przez podejrzanych o naruszenia, które były przedmiotem dochodzenia w sprawie możliwych nadużyć na rynku, urzędnicy organu administracyjnego powołali się na art. L. 621‑10 CMF.

44.

Jak już wyjaśniłem, sąd odsyłający dąży do ustalenia, czy sporne uregulowanie krajowe jest zgodne z dyrektywą 2003/6 i rozporządzeniem nr 596/2014 w zakresie, w jakim mogą one stanowić szczególną podstawę obowiązku zatrzymywania danych, odmienną od tej zawartej w dyrektywie 2002/58.

45.

W takiej sytuacji uważam, że owe wnioski o wydanie orzeczenia w trybie prejudycjalnym nie stały się bezprzedmiotowe, niezależnie od skutków, jakie wspomniane wyroki sądów francuskich mogłyby pociągnąć za sobą dla tego uregulowania krajowego:

46.

Conseil d’État (rada stanu) nie ograniczyła się zatem do nałożenia na rząd obowiązku uchylenia art. R. 10‑13 CPCE w terminie sześciu miesięcy, lecz wyraźnie wzywa go do „ograniczenia celów, którym służą te artykuły, i dostosowania ram prawnych dotyczących zatrzymywania danych o połączeniach” ( 19 ).

47.

W związku z tym orzeczenie Trybunału Sprawiedliwości co do istoty sprawy może być pomocne dla sądu odsyłającego, ponieważ:

48.

Pierwsze pytanie prejudycjalne dotyczy art. 12 ust. 2 lit. a) i d) dyrektywy 2003/6 oraz art. 23 ust. 2 lit. g) i h) rozporządzenia nr 596/2014.

49.

Przepisy te umożliwiają właściwym organom administracyjnym zażądanie od przedsiębiorstw łączności elektronicznej (oraz, w stosownych przypadkach, od przedsiębiorstw inwestycyjnych, instytucji kredytowych lub instytucji finansowych) istniejących zapisów ( 20 ) danych dotyczących ruchu i danych telefonicznych, gdy zachodzi uzasadnione podejrzenie popełnienia przestępstwa polegającego na nadużyciu na rynku, a zapisy te mogą mieć znaczenie dla czynności dochodzeniowych.

50.

Sąd krajowy wychodzi z założenia, że dostęp do tych rejestrów zakłada „możliwoś[ć] nałożenia przez krajowego prawodawcę na operatorów łączności elektronicznej obowiązku czasowego przechowywania wszystkich danych o połączeniach w celu umożliwienia organowi administracji […] żądania wydania przez operatora istniejących zapisów danych o ruchu […] poprzez umożliwienie w szczególności prześledzenia kontaktów nawiązanych przez zainteresowanych przed pojawieniem się podejrzeń”.

51.

Orzecznictwo Trybunału Sprawiedliwości, podsumowane w wyroku La Quadrature du Net, jest zatem w pełni obowiązujące jeśli chodzi o obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących połączeń w dziedzinach innych niż bezpieczeństwo narodowe (co jest w tym przypadku istotne – do celów zwalczania nadużyć na rynku).

52.

Niewątpliwie rozumowanie zawarte w wyroku La Quadrature du Net zostało sformułowane w odniesieniu do dyrektywy 2002/58, podczas gdy przepisy, na które obecnie powołuje się Cour de cassation (sąd kasacyjny), to dyrektywa 2093/6 i rozporządzenie nr 596/2014.

53.

Jednakże dyrektywa 2002/58 stanowi uregulowanie stanowiące punkt odniesienia w zakresie, w jakim dotyczy, jak wskazuje jej tytuł, „przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej”.

54.

Zarówno dyrektywa 2003/6 (której przedmiotem jest wykorzystywanie poufnych informacji i manipulacje na rynku), jak i rozporządzenie nr 596/2014 (które dotyczy nadużyć na rynku) zawierają przepisy, które, podobnie jak te wskazane w pierwszym z pytań zawartych w niniejszych odesłaniach, dotyczą przetwarzania zapisów o ruchu danych.

55.

Są to zatem przepisy, które w tym szczególnym zakresie, mającym czysto instrumentalny charakter ze względu na ich cel i przedmiot, należy interpretować w kontekście systemu ustanowionego dyrektywą 2002/58.

56.

Wynika to moim zdaniem z art. 12 ust. 2 lit. d) dyrektywy 2003/6 oraz art. 23 ust. 2 lit. g) i h) rozporządzenia nr 596/2014:

57.

Moim zdaniem żaden z tych przepisów nie przyznaje szczególnych uprawnień – innych niż te, o których mowa w dyrektywie 2002/58 – do zatrzymywania danych. Przepisy te ograniczają się do upoważnienia właściwych organów administracji do uzyskania dostępu do danych zatrzymanych (istniejących) na mocy przepisów, które w sposób ogólny regulują przetwarzanie takich danych osobowych w sektorze łączności elektronicznej, a mianowicie dyrektywy 2002/58.

58.

Również art. 28 rozporządzenia nr 596/2014 (o którego wykładnię zresztą sąd odsyłający nie wnosi) nie mógłby być wykorzystany jako potencjalna autonomiczna podstawa prawna do nałożenia obowiązku zatrzymywania danych w tym zakresie.

59.

Artykuł ten, zatytułowany „Ochrona danych”, ponownie w odniesieniu do „przetwarzania danych osobowych”:

60.

To, że autor dyrektywy 2003/6 i rozporządzenia nr 596/2014 nie zajął stanowiska w zakresie obowiązkowego dla operatorów łączności elektronicznej zatrzymywania danych, jest zrozumiałe ze względu na ich chronologię w stosunku do dyrektywy 2002/58. Prawodawca europejski dysponował już tym ostatnim dokumentem, stanowiącym kompleksowe ramy odniesienia dla nakreślenia granic (i wyjątków) tego obowiązku, efektem czego odrębny system zatrzymywania danych służący zwalczaniu nadużyć na rynku był zbędny.

61.

Dokonaną przez Trybunał Sprawiedliwości wykładnię dyrektywy 2002/58 należy zatem naturalnie rozszerzyć na profile oparte na zatrzymywaniu danych, które, ze względu na to, że znajdują się w posiadaniu operatorów łączności elektronicznej, mogą być wykorzystywane przez organy prowadzące dochodzenie w ramach zwalczania nadużyć na rynku.

62.

„Istniejące zapisy”, o których mowa w dyrektywie 2003/6 i rozporządzeniu nr 596/2014, mogą być jedynie „zapisami istniejącymi zgodnie z prawem”, tj. dokonanymi zgodnie z dyrektywą 2002/58. To właśnie ta dyrektywa jest tym aktem prawa Unii, który „przewiduje między innymi harmonizację przepisów krajowych wymaganych do zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do ochrony życia prywatnego i poufności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej” ( 26 ).

63.

Zgodność z prawem„istniejących zapisów” może być uzasadniona tylko wtedy, gdy ich istnienie jest ostatecznie uzasadnione na mocy przepisów dyrektywy 2002/58.

64.

Rząd francuski sprzeciwia się takiemu podejściu. Podnosi, że odpowiedź Trybunału Sprawiedliwości powinna ograniczać się do wykładni dyrektywy 2003/6 i rozporządzenia nr 596/2014. Oba te akty w sposób dorozumiany upoważniają państwa członkowskie do wprowadzenia obowiązku uogólnionego i niezróżnicowanego zatrzymywania danych. W przeciwnym razie ich skuteczność zostałaby poważnie osłabiona.

65.

Nie podzielam argumentów rządu francuskiego, lecz nawet gdyby należało je uwzględnić, niewątpliwie to rzekome „dorozumiane upoważnienie” nadal musiałoby spełniać warunki, którym zgodnie z orzecznictwem Trybunału Sprawiedliwości podlegają państwa członkowskie, gdy korzystają z możliwości nałożenia obowiązku uogólnionego i niezróżnicowanego zatrzymywania danych na mocy dyrektywy 2002/58.

66.

Innymi słowy gdyby hipotetycznie przyjąć, że dyrektywa 2003/6 i rozporządzenie nr 596/2014 mogą stanowić autonomiczną podstawę zatrzymywania danych (quod non), to zatrzymywanie to musiałoby spełniać te same warunki, którym podlegałoby, gdyby odbywałoby się ono na podstawie jakiegokolwiek innego przepisu prawa Unii.

67.

Jest tak, ponieważ ostatecznie warunki te są pochodną ochrony zagwarantowanych w karcie praw podstawowych, do których poszanowania odnoszą się dyrektywa 2003/6 i rozporządzenie nr 596/2014. To właśnie na te prawa powołał się Trybunał Sprawiedliwości w rozumowaniu zawartym w wyroku La Quadrature du Net.

68.

Sam rząd francuski – tak jak i inne podmioty uczestniczące w tym postępowaniu – musiał powołać się do rozumowanie zawarte w tym ostatnim wyroku. W niektórych przypadkach (rządu portugalskiego lub Komisji) podkreślono, że stanowi ono wytyczne, jakimi należy się kierować udzielając odpowiedzi na te pytania prejudycjalne; w innych (w szczególności w przypadku rządu irlandzkiego) wniesiono wyraźnie o jego zmianę.

69.

Debata, jaka zaistniała w ramach niniejszego postępowania, dotyczyła zatem przede wszystkim tego, czy należy potwierdzić, czy też zmienić orzecznictwo Trybunału Sprawiedliwości dotyczące zgodności z prawem uogólnionego i niezróżnicowanego przechowywania danych o ruchu i danych o lokalizacji w dziedzinie łączności elektronicznej.

70.

Jak wskazałem w ogłoszonych w tym samym dniu opiniach w sprawie Commissioner of the Garda Síochána oraz w sprawach połączonych SpaceNet i Telekom Deutschland, nie wydaje mi się, aby istniała potrzeba zmiany orzecznictwa wypracowanego przez Trybunał Sprawiedliwości w odniesieniu do art. 15 ust. 1 dyrektywy 2002/58.

71.

W tym kontekście elementy niezbędne do udzielenia odpowiedzi sądowi odsyłającemu wynikają moim zdaniem bezpośrednio z orzecznictwa Trybunału Sprawiedliwości, które zostało podsumowane w wyroku La Quadrature du Net.

72.

Muszę zatem przypomnieć przede wszystkim orzecznictwo Trybunału Sprawiedliwości zawarte w tym wyroku, którego pkt 168 podsumowuje je w następujący sposób:

„Artykuł 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty należy interpretować w ten sposób, iż stoi on na przeszkodzie środkom ustawodawczym przewidującym, w celach, o których mowa w tym art. 15 ust. 1, prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji. Natomiast wspomniany art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty nie stoi na przeszkodzie przepisom ustawodawczym:

jeśli środki te zawierają jasne i precyzyjne przepisy zapewniające, że rozpatrywane zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych warunków oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć”.

73.

Istotą orzecznictwa Trybunału Sprawiedliwości w przedmiocie dyrektywy 2002/58 jest pogląd, że użytkownicy środków łączności elektronicznej mają co do zasady prawo oczekiwać, że ich komunikacja i związane z nią dane pozostaną anonimowe i nie będą mogły być rejestrowane bez ich zgody ( 27 ).

74.

Artykuł 15 ust. 1 dyrektywy 2002/58 dopuszcza wyjątki od tego obowiązku zapewnienia poufności. W wyroku La Quadrature du Net zbadano zgodność tych wyjątków z prawami podstawowymi, na których wykonywanie mogą one mieć wpływ ( 28 ).

75.

Uogólnione i niezróżnicowane zatrzymywanie danych o ruchu może być, zdaniem Trybunału, uzasadnione jedynie celem ochrony bezpieczeństwa narodowego, którego znaczenie „wykracza poza inne cele, o których mowa w art. 15 ust. 1 dyrektywy 2002/58” ( 29 ).

76.

W tym wypadku Trybunał Sprawiedliwości orzekł, że przepis ten, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty, „nie stoi co do zasady na przeszkodzie środkowi ustawodawczemu, który zezwala właściwym organom na nakazanie dostawcom usług łączności elektronicznej zatrzymywania danych o ruchu i danych o lokalizacji wszystkich użytkowników środków łączności elektronicznej w ograniczonym okresie, o ile występują wystarczająco konkretne okoliczności, które pozwalają na uznanie, że w danym państwie członkowskim istnieje poważne zagrożenie […] dla bezpieczeństwa narodowego, które jest rzeczywiste i aktualne lub przewidywalne” ( 30 ).

77.

W szczególności Trybunał uważa, że „cel ochrony bezpieczeństwa narodowego”„[obejmuje] zapobieganie i ściganie działalności mogącej poważnie zdestabilizować podstawowe struktury konstytucyjne, polityczne lub społeczne kraju, w szczególności bezpośrednio zagrozić społeczeństwu, ludności lub państwu jako takiemu, zwłaszcza takiej jak działalność terrorystyczna” ( 31 ).

78.

Wyrok La Quadrature du Net nie byłby jednak należycie rozumiany, gdyby zawarte w nim stwierdzenia dotyczące bezpieczeństwa narodowego mogły zostać bezpośrednio zastosowane do przestępstw, w tym poważnych, które nie są skierowane przeciwko bezpieczeństwu narodowemu, lecz przeciwko bezpieczeństwu publicznemu lub innym prawnie chronionym interesom.

79.

Trybunał Sprawiedliwości dokonał bowiem starannego rozróżnienia między krajowymi środkami ustawodawczymi, które przewidują prewencyjne, uogólnione i niezróżnicowane zatrzymywanie danych dotyczących ruchu i lokalizacji w celu ochrony bezpieczeństwa narodowego (pkt 134–139 wyroku La Quadrature du Net), a tymi, które dotyczą walki z przestępczością i ochrony bezpieczeństwa publicznego (pkt 140–151 tego wyroku). Te dwa rodzaje środków nie mogą mieć takiego samego zakresu, gdyż w przeciwnym razie wprowadzenie tego rozróżnienia byłoby pozbawione jakiegokolwiek sensu.

80.

Środki prawne przewidujące zatrzymywanie danych o ruchu i lokalizacji do celów zwalczania poważnej przestępczości zostały wskazane, jak już wspominałem, w pkt 140–151 wyroku La Quadrature du Net. Należy do nich dodać mające ten sam cel akty umożliwiające prewencyjne zatrzymywanie adresów IP i danych dotyczących tożsamości cywilnej osoby (pkt 152–159 tego wyroku), a także „szybkie zatrzymywanie” danych o ruchu i danych o lokalizacji (pkt 160–166 wspomnianego wyroku).

81.

Nadużycia na rynku są niewątpliwie całkowicie naganne, ponieważ naruszają „integralność rynków finansowych oraz zaufanie społeczne do papierów wartościowych i instrumentów pochodnych”. Z tego samego powodu mogą one, w zależności od przypadku, zostać zakwalifikowane jako czyny karalne, a w najpoważniejszych przypadkach – jako poważne przestępstwa ( 32 ).

82.

Dlatego też załącznik I do rozporządzenia (UE) 2016/794 ( 33 ), odnosząc się do wzajemnej współpracy właściwych organów państw członkowskich w zakresie zapobiegania i zwalczania poważnej przestępczości, dotyczącej co najmniej dwóch państw członkowskich lub wspólnego interesu chronionego polityką Unii, obejmuje tym pojęciem, oprócz innych zabronionych zachowań, także „wykorzystywanie informacji poufnych i manipulacje na rynku”.

83.

Tymczasem ich charakter czynów zabronionych, nawet jeśli jest poważny, jest taki sam jak wielu innych przestępstw naruszających istotne interesy publiczne lub chronione w ramach prowadzonej przez Unię polityki. Załącznik I do rozporządzenia 2016/794 wymienia inne przykłady poważnej przestępczości: handel narkotykami; działalność związaną z praniem pieniędzy; przemyt imigrantów; handel ludźmi; porwania, bezprawne przetrzymywanie i branie zakładników; przestępstwa przeciwko interesom finansowym Unii; naruszenie praw własności przemysłowej i podrabianie towarów; przestępstwa komputerowe; korupcję; oraz przestępstwa przeciwko środowisku, w tym zanieczyszczenia pochodzące ze statków.

84.

Interesy publiczne chronione poprzez uznanie niektórych z tych zachowań za czyny karalne mogą mieć równie duże lub większe znaczenie niż interesy chronione poprzez karanie nadużyć na rynku. Nie oznacza to jednak, że takie zachowania stanowią zagrożenie dla bezpieczeństwa narodowego w rozumieniu wyroku La Quadrature du Net ( 34 ).

85.

Jak twierdziła Komisja podczas rozprawy, celem realizowanym przez dyrektywę 2003/6 i rozporządzenie nr 596/2014 jest utworzenie rynku wewnętrznego (w szczególności w sektorze rynków finansowych), nie zaś ochrona bezpieczeństwa narodowego ( 35 ).

86.

Rozszerzenie pojęcia „zagrożenia dla bezpieczeństwa narodowego” na przestępstwa polegające na nadużyciach na rynku otworzyłoby drogę do uczynienia tego samego w odniesieniu do wielu innych, równie ważnych naruszeń interesów publicznych, które sąd karny z trudem zmieściłby jednak w tym znacznie bardziej restrykcyjnym pojęciu. Gdyby Trybunał Sprawiedliwości zgodził się na otwarcie tych drzwi, staranne wyważenie leżące u podstaw wyroku La Quadrature du Net okazałoby daremne.

87.

Ostatecznie „istniejące” rejestry lub nagrania, o których mowa w art. 12 ust. 2 lit. d) dyrektywy 2003/6 i art. 23 ust. 2 lit. g) i h) rozporządzenia nr 596/2914, to te same, które dyrektywa 2002/58, zgodnie z wykładnią Trybunału Sprawiedliwości, pozwala zatrzymać w celu zwalczania poważnej przestępczości i ochrony bezpieczeństwa publicznego. W żadnym wypadku nie można ich utożsamiać z danymi zatrzymywanymi w sposób prewencyjny, uogólniony i niezróżnicowany w celu obrony bezpieczeństwa narodowego.

88.

Poprzez drugie pytanie prejudycjalne sąd odsyłający zmierza do ustalenia, czy w przypadku niezgodności francuskich przepisów dotyczących zatrzymywania danych o połączeniach z prawem Unii ich skutki mogą zostać tymczasowo utrzymane w mocy.

89.

Ze względu na datę przedstawienia przez niego wniosków o wydanie orzeczenia w trybie prejudycjalnym sąd odsyłający nie mógł wziąć pod uwagę, że odpowiedź na jego wątpliwości znajdzie się w wyroku (z dnia 6 października 2020 r.) La Quadrature du Net (w szczególności w jego pkt 213–228), który w tym zakresie kontynuuje tradycyjną linię orzeczniczą.

90.

Zdaniem Trybunału Sprawiedliwości w przypadku stwierdzenia naruszenia art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8, 11 i art. 52 ust. 1 karty „sąd odsyłający nie może zastosować przepisu prawa krajowego, który upoważnia go do ograniczenia w czasie skutków stwierdzenia niezgodności z prawem ustawodawstwa krajowego rozpatrywanego w postępowaniu głównym, którego ma on dokonać na mocy tego prawa” ( 36 ).

91.

Powodem jest to, że „jedynie Trybunał może, w drodze wyjątku oraz kierując się nadrzędnymi przesłankami pewności prawa, tymczasowo zawiesić skutki uchylenia przepisów prawa krajowego sprzecznych z podlegającym bezpośredniemu stosowaniu prawem Unii” ( 37 ). „[…] [O]graniczenie w czasie skutków wykładni prawa Unii dokonanej przez Trybunał może zostać orzeczone jedynie w samym wyroku, w którym Trybunał rozstrzyga w przedmiocie wykładni, o którą się do niego zwrócono” ( 38 ), co nie miało miejsca w wyroku z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in. ( 39 ).

92.

W konsekwencji jeżeli Trybunał Sprawiedliwości nie uznał za stosowne, by ograniczyć w czasie skutki swojej wykładni dyrektywy 2002/58, sąd odsyłający nie może decydować o rozszerzeniu skuteczności przepisów krajowych niezgodnych z przepisami prawa Unii, które, podobnie jak dyrektywa 2003/6 i rozporządzenie nr 596/2014, należy interpretować w świetle dyrektywy 2002/58.

93.

W tym samym duchu poprzez trzecie pytanie prejudycjalne Cour de cassation (sąd kasacyjny) zmierza do ustalenia, czy sąd krajowy może tymczasowo utrzymać w mocy skutki przepisów „pozwalających funkcjonariuszom niezależnego organu administracyjnego odpowiedzialnego za prowadzenie dochodzeń w sprawie nadużyć na rynku na zażądanie przekazania danych o połączeniach bez uprzedniej kontroli sądu lub innego niezależnego organu administracyjnego”.

94.

Także to pytanie opiera się na założeniu, że przepisy te są same w sobie niezgodne z prawem Unii ( 40 ). I to właśnie stwierdza sam sąd odsyłający: mimo że AMF jest niezależnym organem administracyjnym, „przyznana jej śledczym możliwość żądania danych o połączenia bez wcześniejszej kontroli ze strony sądu albo innego niezależnego organu administracyjnego nie była zgodna z wymogami ustanowionymi w art. 7, 8 i 11 karty […] zgodnie z ich wykładnią dokonaną przez [Trybunał Sprawiedliwości]” ( 41 ).

95.

Takie samo rozwiązanie przyjęto w wyroku Trybunału Sprawiedliwości z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych z zakresu łączności elektronicznej) ( 42 ), w którego pkt 51 i następnych podkreślono, że dostęp właściwych organów krajowych do zatrzymanych danych musi podlegać uprzedniej kontroli dokonywanej przez sąd lub niezależny organ administracyjny posiadający status „osoby trzeciej” w stosunku do strony wnioskującej o dostęp do takich danych.

96.

W tych okolicznościach odpowiedź na trzecie pytanie prejudycjalne powinna być identyczna jak odpowiedź na pytanie drugie.

97.

W świetle powyższych rozważań proponuję, aby Trybunał Sprawiedliwości udzielił Cour de cassation (sądowi kasacyjnemu, Francja) następującej odpowiedzi: