PRIITA PIKAMÄE
przedstawiona w dniu 15 czerwca 2023 r. ( 1 )
Sprawa C‑118/22
NG
Postępowanie administracyjne
przeciwko
Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia,
przy udziale
Varhovna administrativna prokuratura
[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Varhoven administrativen sad (najwyższy sąd administracyjny, Bułgaria)]
Odesłanie prejudycjalne – Ochrona osób fizycznych w zakresie przetwarzania danych osobowych – Dyrektywa (UE) 2016/680 – Artykuły 4, 5, 8, 10 i 16 – Przechowywanie danych osobowych osoby fizycznej skazanej za popełnienie umyślnego przestępstwa do czasu jej śmierci – Osoba fizyczna, która została skazana prawomocnym wyrokiem, a następnie wobec której nastąpiło zatarcie skazania – Oddalenie wniosku o usunięcie danych – Niezbędny i proporcjonalny charakter ingerencji w prawa podstawowe ustanowione w art. 7 i 8 Karty praw podstawowych Unii Europejskiej
1. |
Czy powinniśmy być zaniepokojeni przechowywaniem danych osobowych w aktach policyjnych, które skutkuje przypisaniem zarejestrowanej osobie, w stosownym przypadku na resztę życia, statusu osoby naruszającej normy społeczne i uznanej za niebezpieczną na nieograniczony czas? Czy też przeciwnie, powinniśmy się cieszyć z tej policyjnej bazy danych, biorąc pod uwagę, że organy śledcze rozwiązują dzięki temu dawne, niewyjaśnione sprawy, lepiej znane dziś jako „cold cases”, przynosząc wielką ulgę rodzinom ofiar? |
2. |
Niniejsza sprawa wpisuje się właśnie w to antagonistyczne zagadnienie, które polega na pogodzeniu interesu publicznego w zwalczaniu przestępczości z interesem jednostki w ochronie jej danych osobowych i życia prywatnego. Sprawa ta daje Trybunałowi sposobność wypowiedzenia się co do kwestii przetwarzania tych danych do celów ścigania przestępstw w wymiarze czasowym w świetle odpowiednich przepisów dyrektywy (UE) 2016/680 ( 2 ). |
I. Ramy prawne
A. Prawo Unii
3. |
W ramach niniejszej sprawy znaczenie mają art. 4, 5, 8, 10 i 16 dyrektywy 2016/680, a także art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”). |
B. Prawo bułgarskie
4. |
Artykuł 26 ust. 1 i 2 zakon za Ministerstvo na vatreshnite raboti (ustawy o ministerstwie spraw wewnętrznych, zwanej dalej „ZMVR”), stanowi: „1) Podczas przetwarzania danych osobowych w związku z ochroną bezpieczeństwa narodowego, zwalczaniem przestępczości, utrzymaniem porządku publicznego i prowadzeniem postępowań karnych organy ministerstwa spraw wewnętrznych: […]
[…] 2) Terminy przechowywania danych, o których mowa w ust. 1, lub okresowego przeglądu konieczności ich przechowywania określa minister spraw wewnętrznych. Dane te są również usuwane na mocy aktu sądowego lub decyzji komisji ds. ochrony danych osobowych”. |
5. |
Artykuł 27 ZMVR stanowi: „Dane pochodzące z wpisu osób do policyjnej bazy danych dokonanego na podstawie art. 68 są wykorzystywane wyłącznie do celów ochrony bezpieczeństwa narodowego, zwalczania przestępczości i utrzymania porządku publicznego”. |
6. |
Artykuł 68 ZMVR przewiduje, co następuje: „1) Organy policji wpisują do policyjnej bazy danych osoby ścigane za umyślne przestępstwo podlegające ściganiu z oskarżenia publicznego. Organy prowadzące postępowanie przygotowawcze są zobowiązane do podjęcia niezbędnych kroków w celu zapewnienia dokonania przez organy policji wpisu do rejestru. 2) Wpis do policyjnej bazy danych stanowi rodzaj przetwarzania danych osobowych osób, o których mowa w ust. 1, które odbywa się na warunkach określonych w niniejszej ustawie. 3) Do celów dokonania wpisu do policyjnej bazy danych organ policji powinien:
[…] 6) Wpis w policyjnej bazie danych jest usuwany na podstawie pisemnego nakazu podmiotu odpowiedzialnego za przetwarzanie danych osobowych lub upoważnionych przez niego urzędników, z urzędu lub na uzasadniony pisemny wniosek zarejestrowanej osoby, w przypadku gdy:
7) Szczegółowe zasady wpisu do rejestru policyjnego i wykreślenia tego wpisu określa rozporządzenie rady ministrów”. |
II. Okoliczności faktyczne leżące u podstaw sporu, postępowanie główne i pytanie prejudycjalne
7. |
NG został zarejestrowany w aktach policyjnych w ramach dochodzenia w sprawie złożenia fałszywych zeznań, co stanowi przestępstwo zgodnie z art. 290 ust. 1 Nakazatelen Kodeks (kodeksu karnego). W następstwie tego dochodzenia w dniu 2 lipca 2015 r. wniesiono przeciwko niemu oskarżenie, a wyrokiem z dnia 28 czerwca 2016 r., utrzymanym w mocy w postępowaniu odwoławczym wyrokiem z dnia 2 grudnia 2016 r., został on uznany za winnego i skazany na karę roku pozbawienia wolności, której wykonanie zawieszono. Kara ta została odbyta w dniu 14 marca 2018 r. |
8. |
W dniu 15 lipca 2020 r. NG złożył wniosek o usunięcie owego wpisu do bazy danych do właściwej komendy rejonowej policji przy Ministerstvo na vatreshnite raboti (ministerstwie spraw wewnętrznych, Bułgaria), przedkładając zaświadczenie o niekaralności, potwierdzające, że nie był wcześniej karany. |
9. |
Decyzją z dnia 2 września 2020 r. właściwy organ administracyjny oddalił ten wniosek z tego względu, że wydanie prawomocnego wyroku skazującego nie należy do wyczerpująco wymienionych w art. 68 ust. 6 ZMVR podstaw usunięcia wpisu w aktach policyjnych, nawet jeśli nastąpiło zatarcie skazania w rozumieniu art. 85 kodeksu karnego. W dniu 8 października 2020 r. NG wniósł skargę na tę decyzję do Administrativen sad Sofia grad (sądu administracyjnego miasta Sofii, Bułgaria). Orzeczeniem z dnia 2 lutego 2021 r. sąd ów oddalił tę skargę. |
10. |
NG wniósł skargę kasacyjną na orzeczenie Administrativen sad Sofia grad (sądu administracyjnego miasta Sofii) do Varhoven administrativen sad (najwyższego sądu administracyjnego, Bułgaria). Główny zarzut skargi kasacyjnej dotyczy naruszenia zasady wynikającej z art. 5, 13 i 14 dyrektywy 2016/680, zgodnie z którą nie można przetwarzać danych osobowych poprzez ich przechowywanie przez nieograniczony okres. Jednakże wobec braku podstawy prawnej do usunięcia danych wpisanych do akt policyjnych skazany nie może zażądać, po zatarciu jego skazania, usunięcia jego danych osobowych zgromadzonych w związku z popełnionym przez niego przestępstwem, za które odbył karę, w związku z czym przechowywanie tych danych miałoby nieograniczony charakter. |
11. |
Z uwagi na wątpliwości co do zgodności uregulowania krajowego regulującego rozpatrywane akta policyjne z prawem Unii sąd odsyłający postanowił zawiesić postępowanie główne i zwrócić się do Trybunału z następującym pytaniem prejudycjalnym: „Czy wykładnia art. 5 [dyrektywy 2016/680] w związku z art. 13 ust. 2 lit. b) i art. 13 ust. 3 rzeczonej dyrektywy zezwala na stosowanie krajowych aktów prawnych, prowadzących do praktycznie nieograniczonego prawa do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar lub do zniesienia prawa osoby, której dane dotyczą, do ograniczenia przetwarzania, usunięcia lub zniszczenia jej danych?”. |
III. Postępowanie przed Trybunałem
12. |
Rządy bułgarski, czeski, irlandzki, hiszpański i polski oraz Komisja Europejska przedstawiły uwagi na piśmie. Na rozprawie, która odbyła się w dniu 7 lutego 2023 r., strona skarżąca w postępowaniu głównym, rządy bułgarski, irlandzki, hiszpański, niderlandzki i polski oraz Komisja przedstawiły również uwagi ustne. |
IV. Analiza
A. W przedmiocie możliwości zastosowania dyrektywy 2016/680
13. |
Z wniosku o wydanie orzeczenia w trybie prejudycjalnym wynika, iż sąd odsyłający wyraźnie uznaje za oczywiste, że sporne uregulowanie krajowe wchodzi w zakres stosowania ratione materiae dyrektywy 2016/680, co wydaje mi się uzasadniać kilka uwag. |
14. |
Zgodnie z brzmieniem art. 1 ust. 1 w związku z art. 2 ust. 1 dyrektywy 2016/680 dyrektywa ta ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom. Artykuł 2 ust. 3 lit. a) dyrektywy 2016/680 wyklucza z jej zakresu stosowania przetwarzanie danych osobowych dokonywane „w ramach działalności nieobjętej zakresem prawa Unii”. Motywy 12 i 14 tej dyrektywy określają treść tego wyjątku od stosowania, wskazując, że obejmuje on w szczególności czynności w zakresie bezpieczeństwa narodowego, w odróżnieniu od czynności dotyczących utrzymywania prawa i porządku jako zadania powierzonego policji lub innym organom ścigania, gdy jest to konieczne do ochrony przed zagrożeniami dla bezpieczeństwa publicznego i dla prawnie chronionych podstawowych interesów społecznych i do zapobiegania takim zagrożeniom, które mogą prowadzić do popełnienia czynu zabronionego. |
15. |
Dokonując wykładni art. 2 ust. 2 lit. a) rozporządzenia (UE) 2016/679 ( 3 ), który przewiduje wyjątek od stosowania tego rozporządzenia sformułowany w taki sam sposób jak art. 2 ust. 3 lit. a) dyrektywy 2016/680, Trybunał orzekł, że ten pierwszy przepis w związku z motywem 16 rzeczonego rozporządzenia należy uznać za mający na celu jedynie wyłączenie z zakresu stosowania tej normy przetwarzania danych osobowych dokonywanego przez organy państwowe w ramach działalności mającej na celu ochronę bezpieczeństwa narodowego lub działalności, która może zostać zaliczona do tej samej kategorii, wobec czego sam fakt, iż dana działalność jest właściwa państwu lub organowi publicznemu, nie wystarcza, aby wyjątek ten można było automatycznie stosować do takiej działalności. Trybunał wskazał, że działalność, której celem jest ochrona bezpieczeństwa narodowego, obejmuje w szczególności działalność mającą na celu ochronę podstawowych funkcji państwa i podstawowych interesów społeczeństwa ( 4 ). |
16. |
Tymczasem w niniejszym przypadku dane zarejestrowane i przechowywane przez policję na podstawie art. 68 ZMVR służą, zgodnie z art. 27 tej ustawy, ochronie bezpieczeństwa narodowego, zwalczaniu przestępczości i utrzymaniu porządku publicznego. Wydaje się zatem, że rozpatrywane akta policyjne stanowią jedną, hybrydową bazę danych, ponieważ gromadzą one informacje, które mogą być przetwarzane w różnych celach, w tym w celu ochrony bezpieczeństwa narodowego, co nie jest objęte przedmiotowym zakresem stosowania dyrektywy 2016/680. W tych okolicznościach zgodności z prawem przechowywania danych zawartych w takich aktach nie można badać w świetle wymogów tej dyrektywy, o ile dane te są wykorzystywane wyłącznie do celów, o których mowa w art. 1 ust. 1 rzeczonej dyrektywy, czego sprawdzenie należy do sądu odsyłającego ( 5 ). Na podstawie akt przedłożonych Trybunałowi nie wydaje się, aby przechowywanie danych w aktach policyjnych NG, o których usunięcie wnosi, można było uznać za przetwarzanie wykraczające poza przedmiotowy zakres stosowania dyrektywy 2016/680. |
17. |
Na tym etapie należy podkreślić, że rozpatrywane w sprawie w postępowaniu głównym uregulowanie krajowe było już przedmiotem wyroku Trybunału w następstwie pytania zadanego przez sąd bułgarski, do którego należała ocena odmowy osoby, której przedstawiono zarzuty popełnienia przestępstwa oszustwa podatkowego, poddania się gromadzeniu jej danych. W szczególności Trybunał orzekł o zgodności z prawem zbierania danych w odniesieniu do wymogów art. 10 dyrektywy 2016/680, stwierdzając, że ten ostatni przepis w związku z art. 4 ust. 1 lit. a)–c) oraz z art. 8 ust. 1 i 2 tej dyrektywy należy interpretować w ten sposób, że stoi on na przeszkodzie przepisom krajowym przewidującym systematyczne zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, dla celów ich rejestracji, bez przewidzenia obowiązku weryfikacji ze strony właściwego organu i wykazania, po pierwsze, czy to zbieranie danych jest bezwzględnie niezbędne dla realizacji zamierzonych konkretnych celów i, po drugie, czy tych celów nie można osiągnąć za pomocą środków stanowiących ingerencję mniejszej wagi w prawa i wolności osoby, której dane dotyczą ( 6 ). Niniejsza sprawa wymaga od Trybunału zbadania zgodności z prawem innej ingerencji, a mianowicie przechowywania informacji dotyczących skazanych osób fizycznych, zidentyfikowanych na podstawie ich imion i nazwisk w rozpatrywanych aktach policyjnych, co stanowi przetwarzanie danych osobowych przez właściwy organ publiczny do celów zapobiegania przestępczości oraz wykrywania i ścigania czynów zabronionych, czyli przez bułgarskie ministerstwo spraw wewnętrznych, w rozumieniu art. 3 pkt 1 i 2 oraz art. 3 pkt 7 lit. a) dyrektywy 2016/680. |
B. W przedmiocie przeformułowania pytania prejudycjalnego
18. |
Na wstępie należy przypomnieć, że w ramach ustanowionej w art. 267 TFUE procedury współpracy między sądami krajowymi a Trybunałem do tego ostatniego należy udzielenie sądowi krajowemu użytecznej odpowiedzi, która umożliwi mu rozstrzygnięcie zawisłego przed nim sporu. Mając to na uwadze, Trybunał powinien w razie potrzeby przeformułować przedłożone mu pytania. Zadaniem Trybunału jest bowiem dokonanie wykładni wszystkich przepisów prawa Unii, jakie są niezbędne sądom krajowym do rozstrzygnięcia zawisłych przed nimi sporów, nawet jeżeli przepisy te nie są wyraźnie wskazane w pytaniach skierowanych do niego przez te sądy ( 7 ). |
19. |
Okoliczności faktyczne sprawy w postępowaniu głównym dotyczą wniosku o usunięcie z akt policyjnych danych osobowych policji złożonego przez osobę fizyczną, która po skazaniu za składanie fałszywych zeznań odbyła karę i jej skazanie zostało zatarte w dniu 14 marca 2020 r., prawie pięć lat po dokonaniu wspomnianego wpisu. Wniosek ten został oddalony decyzją właściwego organu administracyjnego, utrzymaną w mocy w pierwszej instancji orzeczeniem Administrativen sad Sofia grad (sądu administracyjnego w Sofii), zaskarżonym następnie przed sądem odsyłającym, który ma wątpliwości co do zgodności uregulowania krajowego z dyrektywą 2016/680 w odniesieniu do przechowywania danych w aktach policyjnych. Sprawa w postępowaniu głównym wyraźnie dotyczy zatem prawa do usunięcia danych osobowych bez zbędnej zwłoki, zgodnie z art. 16 ust. 2 dyrektywy 2016/680, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10 lub jeżeli te dane muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze. |
20. |
Artykuł 4 ust. 1 lit. c) i e) dyrektywy 2016/680 stanowi, iż państwa członkowskie muszą zapewnić, że dane są, zgodnie z zasadami minimalizacji danych i ograniczenia przechowywania danych, adekwatne, stosowne i nienadmierne w stosunku do celów, dla których są przetwarzane, oraz przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania ( 8 ). Jeśli chodzi o art. 8 tej dyrektywy, jest on poświęcony zgodności przetwarzania z prawem, która jest uwarunkowana niezbędnym charakterem przetwarzania do wykonania zadania przez właściwy organ w celach określonych w art. 1 ust. 1 rzeczonej dyrektywy oraz europejską lub krajową podstawą prawną, przy czym ta ostatnia musi określać co najmniej powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania. Wreszcie, w odniesieniu do art. 10 dyrektywy 2016/680, przepis ten określa system prawny przetwarzania szczególnych kategorii danych osobowych, takich jak dane biometryczne i genetyczne wykorzystywane w aktach policyjnych do celów jednoznacznej identyfikacji osoby fizycznej. |
21. |
Należy stwierdzić, że pytanie prejudycjalne nie odnosi się do przywołanych w punkcie powyżej przepisów, chociaż są one oczywiście istotne do celów odpowiedzi, której Trybunał ma udzielić w niniejszej sprawie. Sąd odsyłający wystąpił o dokonanie wykładni art. 5 oraz art. 13 ust. 2 lit. b) i art. 13 ust. 3 dyrektywy 2016/680, które nie należą do przepisów wyraźnie wskazanych w art. 16 ust. 2 tej dyrektywy, a których naruszenie przez uregulowanie krajowe uzasadnia wykonanie prawa do usunięcia danych przyznanego osobie, której dane dotyczą. Niemniej prawo to jest również uznawane w przypadku, gdy dane muszą zostać usunięte w celu wypełnienia obowiązku prawnego, któremu podlega administrator, co może odpowiadać sytuacjom przewidzianym w art. 5 i art. 13 ust. 2 lit. b) wspomnianej dyrektywy, a mianowicie i odpowiednio: ustalenia maksymalnych terminów przechowywania danych lub okresowych przeglądów konieczności takiego przechowywania ( 9 ) i przekazania osobie, której dane dotyczą, przez administratora, w szczególnych przypadkach, informacji dodatkowych w stosunku do informacji, o których mowa w art. 13 ust. 1, w celu umożliwienia tej osobie wykonywania przysługujących jej praw. Natomiast art. 13 ust. 3 dotyczy możliwości przyjęcia przez państwa członkowskie, pod pewnymi warunkami, aktów prawnych pozwalających opóźnić, ograniczyć informowanie osoby, której dane dotyczą, na podstawie ust. 2, a nawet je pominąć, co nie może stanowić obowiązku prawnego nałożonego na administratora. |
22. |
W każdym wypadku z postanowienia odsyłającego nie wynika, aby w postępowaniu głównym pojawiło się pytanie, czy NG został poinformowany o swoich prawach, ponieważ zainteresowany wyraźnie mógł z nich skorzystać, o czym świadczy skarga, którą złożył do organów administracyjnych, a następnie sądowych w sprawie przechowywania jego danych. Pytanie skierowane do Trybunału nie wydaje się zatem wymagać wykładni art. 13 ust. 2 lit. b) i art. 13 ust. 3 dyrektywy 2016/680. W konsekwencji to w szczególności art. 16 ust. 2 dyrektywy 2016/680 oraz art. 4, 5, 8 i 10 tej dyrektywy są rozpatrywane w postępowaniu głównym. |
23. |
Ponadto, jak wskazano w motywie 104 dyrektywy 2016/680, dyrektywa ta nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w karcie, które zostały ustanowione w traktacie FUE, w szczególności z prawem do poszanowania życia prywatnego i rodzinnego oraz prawem do ochrony danych osobowych. Zgodnie z motywem 46 owej dyrektywy każde ograniczenie praw osoby, której dane dotyczą, musi być zgodne z kartą i europejską Konwencją o ochronie praw człowieka i podstawowych wolności, podpisaną w Rzymie w dniu 4 listopada 1950 r. (zwaną dalej „EKPC”) w myśl wykładni zawartej odpowiednio w orzecznictwie Trybunału i Europejskiego Trybunału Praw Człowieka (zwanego dalej „ETPC”), a zwłaszcza musi odbywać się z poszanowaniem istoty tych praw i wolności. Należy przypomnieć, że gwarantowane w art. 7 i 8 karty prawa podstawowe do poszanowania życia prywatnego i ochrony danych osobowych nie są prerogatywami absolutnymi, lecz należy je postrzegać w kontekście ich funkcji społecznej i wyważyć względem innych praw podstawowych. Można więc wprowadzić ograniczenia, pod warunkiem że zgodnie z art. 52 ust. 1 karty są one przewidziane ustawą i szanują istotę praw podstawowych oraz zasadę proporcjonalności. Na podstawie tej ostatniej zasady ograniczenia mogą być wprowadzone wyłącznie wtedy, gdy są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. Powinny one odbywać się w granicach tego, co absolutnie konieczne, a uregulowanie dotyczące ingerencji musi zawierać jasne i precyzyjne zasady regulujące zakres i stosowanie danego środka ( 10 ). |
24. |
W tych okolicznościach należy stwierdzić, iż sąd odsyłający zmierza w istocie do ustalenia, czy art. 4, 5, 8, 10 i art. 16 ust. 2 dyrektywy 2016/680 w związku ze sobą nawzajem i w świetle art. 52 ust. 1 karty należy interpretować w ten sposób, że stoją one na przeszkodzie przepisom krajowym przewidującym przechowywanie danych osobowych w aktach policyjnych, w tym danych biometrycznych i genetycznych osoby, której dane dotyczą, aż do jej śmierci i uniemożliwiającym tej osobie uzyskanie usunięcia tych danych po zatarciu skazania, które nastąpiło po wyroku skazującym ( 11 ). |
C. W przedmiocie przechowywania danych osobowych do celów ścigania
25. |
Przed przystąpieniem do badania zgodności uregulowania krajowego dotyczącego rozpatrywanych akt policyjnych konieczne wydaje mi się rozważenie kwestii przechowywania danych do celów ścigania w świetle niektórych przepisów dyrektywy 2016/680 oraz orzecznictwa Trybunału i ETPC. |
26. |
W pierwszej kolejności należy zauważyć, że dyrektywa 2016/680 ma na celu przyczynienie się do tworzenia przestrzeni wolności, bezpieczeństwa i sprawiedliwości w Unii, a jednocześnie ustanowienie ram solidnej i spójnej ochrony danych osobowych dla zapewnienia poszanowania prawa podstawowego osób fizycznych do ochrony w odniesieniu do przetwarzania danych osobowych, uznanego w art. 8 ust. 1 karty i w art. 16 ust. 1 TFUE, które to prawo jest ściśle związane z ustanowionym w art. 7 karty prawem do poszanowania życia prywatnego ( 12 ). W tym kontekście rozdziały II i III dyrektywy 2016/680 ustanawiają odpowiednio zasady regulujące przetwarzanie danych osobowych oraz prawa osoby, której dane dotyczą, których należy przestrzegać przy każdym przetwarzaniu takich danych. W szczególności każde przetwarzanie danych osobowych powinno być zgodne z zasadami dotyczącymi przetwarzania danych i kryteriów zgodności przetwarzania z prawem, ustanowionymi w art. 4 i 8 tej dyrektywy. Ponieważ wymogi zawarte w tym ostatnim przepisie stanowią wyraz wymogów wynikających z art. 52 ust. 1 karty, należy je interpretować w świetle tego postanowienia ( 13 ). |
27. |
W odpowiedzi, jakiej należy udzielić sądowi odsyłającemu, należy zatem uwzględnić zasadę „minimalizacji danych” ustanowioną w art. 4 ust. 1 lit. c) dyrektywy 2016/680, która wyraża zasadę proporcjonalności ( 14 ). To samo dotyczy zawartej w art. 4 ust. 1 lit. e) tej dyrektywy zasady ograniczenia przechowywania, która wymaga oceny proporcjonalności przetwarzania w stosunku do jego celu, z uwzględnieniem upływu czasu. Przechowywanie danych przez okres dłuższy, niż jest to niezbędne, czyli dłużej, niż jest to niezbędne do osiągniecia celów, dla których dane przechowywano, jest sprzeczne z tą zasadą ( 15 ). Wynika stąd, że nawet początkowo zgodne z prawem przetwarzanie danych może wraz z upływem czasu stać się niezgodne z dyrektywą 2016/680, jeśli owe dane nie są już niezbędne do osiągnięcia takich celów, oraz że dane te powinny zostać usunięte, gdy rzeczone cele zostały osiągnięte ( 16 ). |
28. |
Kwestia czasowego przechowywania danych została również poruszona w art. 5 dyrektywy 2016/680 w formie uzupełnienia i doprecyzowania wymogów zawartych w art. 4 tej dyrektywy ( 17 ). Jak wskazano w motywie 26 rzeczonej dyrektywy, aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy stwierdzić, że art. 5 dyrektywy 2016/680, po pierwsze, pozostawia państwom członkowskim ocenę i ustalenie odpowiedniego okresu przechowywania, a po drugie, przewiduje okresowy przegląd konieczności przechowywania danych jako alternatywę dla wcześniejszego ustalenia maksymalnego okresu przechowywania. To drugie spostrzeżenie wydaje mi się mieć niewątpliwe znaczenie w niniejszej sprawie, ponieważ odzwierciedla uznanie przez prawodawcę Unii możliwości bezterminowego przechowywania danych do celów ścigania ( 18 ). Stwierdzenie to należy powiązać z brzmieniem art. 16 ust. 3 dyrektywy 2016/680, który przewiduje możliwość ograniczenia przetwarzania danych jako alternatywę dla ich usunięcia, w szczególności w przypadku określonym w lit. b), gdy dane osobowe muszą zostać zachowane „do celów dowodowych”, co wskazuje na to, że nie istnieje bezwzględne prawo do usunięcia danych ( 19 ). |
29. |
Kwestia zgodności z prawem przechowywania danych nieuchronnie zawiera kwestię charakteru tych danych, które w tym przypadku obejmują odciski palców, zdjęcia i próbkę DNA pobraną od osoby podejrzanej o popełnienie przestępstwa lub skazanej za przestępstwo; ten rodzaj danych powoduje, że przetwarzanie wchodzi w zakres stosowania art. 10 dyrektywy 2016/680. Należy zauważyć, że o ile reżim prawny określony w tym przepisie nie obejmuje, w przeciwieństwie do tego przewidzianego w art. 9 RODO, co do zasady zakazu przetwarzania takich danych, o tyle przetwarzanie to jest dozwolone „wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne”, z zastrzeżeniem odpowiednich gwarancji dla praw i wolności osoby, której dane dotyczą, oraz gdy w szczególności jest ono dopuszczone prawem Unii lub prawem państwa członkowskiego. |
30. |
Zgodnie z orzecznictwem celem tego przepisu jest zapewnienie wzmocnionej ochrony w odniesieniu do tego przetwarzania, które ze względu na szczególną wrażliwość rozpatrywanych danych i kontekstu, w jakim są one przetwarzane, może skutkować, jak wynika z motywu 37 wspomnianej dyrektywy, powstaniem poważnego zagrożenia dla wolności i praw podstawowych, takich jak prawo do poszanowania życia prywatnego i prawo do ochrony danych osobowych, zagwarantowanych w art. 7 i 8 karty. Jak wynika z samego brzmienia art. 10 dyrektywy 2016/680, wymóg, zgodnie z którym przetwarzanie takich danych jest dopuszczalne „wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne”, należy interpretować jako definiujący bardziej rygorystyczne warunki zgodności z prawem przetwarzania danych wrażliwych w porównaniu z warunkami wynikającymi z art. 4 ust. 1 lit. b) i c) oraz art. 8 ust. 1 tej dyrektywy, które odnoszą się jedynie do „niezbędności” przetwarzania danych objętych w sposób ogólny zakresem stosowania wspomnianej dyrektywy. A zatem, po pierwsze, użycie przysłówka „wyłącznie” przed wyrażeniem „wtedy, jeżeli jest bezwzględnie niezbędne”, kładzie nacisk na to, że przetwarzanie szczególnych kategorii danych w rozumieniu art. 10 dyrektywy 2016/680 można uznać za niezbędne wyłącznie w ograniczonej liczbie wypadków. Po drugie, charakter „bezwzględnej” niezbędności przetwarzania takich danych wymaga, by tę niezbędność oceniać w sposób szczególnie rygorystyczny ( 20 ). |
31. |
W drugiej kolejności pragnę zauważyć, że chociaż Trybunał już kilkakrotnie orzekał w sprawie zgodności z prawem przechowywania danych do celów ścigania, czynił to w kontekstach normatywnych i faktycznych, które znacznie różnią się od tych w niniejszej sprawie. I tak Trybunał orzekł ( 21 ), iż prawo Unii wynikające z dyrektywy 2002/58/WE ( 22 ), z którego wynika, że użytkownicy środków łączności elektronicznej mają prawo co do zasady oczekiwać, że ich komunikacja i związane z nią dane pozostaną anonimowe i nie będą mogły być rejestrowane bez ich zgody, stoi na przeszkodzie uogólnionemu, niezróżnicowanemu i prewencyjnemu przechowywaniu danych o ruchu i lokalizacji w celu zwalczania przestępczości, niezależnie od stopnia jej wagi, przy czym takie przechowywanie jest dozwolone pod pewnymi warunkami tylko w przypadku poważnego, rzeczywistego i aktualnego lub przewidywalnego zagrożenia dla bezpieczeństwa narodowego. Trybunał dodał, iż prawo Unii nie stoi natomiast na przeszkodzie przepisom przewidującym, do celów zwalczania poważnej przestępczości, uogólnione i niezróżnicowane przechowywanie danych dotyczących tożsamości cywilnej użytkowników, a przez okres ograniczony do tego, co ściśle niezbędne – ich adresów IP, ukierunkowanemu przechowywaniu danych, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kręgu osób, których dane dotyczą, lub kryterium geograficznego, na okres ograniczony do tego, co ściśle niezbędne, ale odnawialny, oraz szybkiemu przechowywaniu przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują dostawcy usług, przy czym wszystkie te środki powinny zapewniać za pomocą jasnych i precyzyjnych przepisów, że odnośne przechowywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć. |
32. |
Trybunał zastosował również kryterium przestrzegania granic tego, co ściśle niezbędne do przetwarzania danych osobowych w kontekście przekazywania, przechowywania i wykorzystywania danych dotyczących przelotu pasażera w ramach lotów pozaunijnych sporządzanych przez przewoźników lotniczych (zwanych dalej „danymi PNR”), dla zapobiegania przestępstwom terrorystycznym i poważnej przestępczości oraz ich wykrywania ( 23 ). Trybunał miał okazję zaznaczyć, że ponieważ zgodnie z umową UE–Kanada o danych PNR okres przechowywania danych PNR może wynosić do pięciu lat, umowa ta pozwala na dysponowanie informacjami na temat życia prywatnego pasażerów lotniczych przez szczególnie długi okres oraz że w odniesieniu do pasażerów lotniczych, w przypadku których zagrożenie w zakresie terroryzmu lub poważnych przestępstw międzynarodowych nie zostało zidentyfikowane w momencie ich przybycia do Kanady i do momentu ich wylotu z tego państwa trzeciego, nie wydaje się, aby po ich wylocie istniał związek, nawet pośredni, między ich danymi PNR i celem realizowanym przez rzeczoną umowę, który uzasadniałby przechowywanie tych danych. Trybunał stwierdził zatem, że trwałe przechowywanie danych PNR wszystkich pasażerów lotniczych po opuszczeniu przez nich Kanady do celów ewentualnego dostępu do rzeczonych danych, niezależnie od jakiegokolwiek związku ze zwalczaniem terroryzmu i poważnych przestępstw międzynarodowych, nie jest uzasadnione ( 24 ). |
33. |
Trybunał wypowiedział się – w ramach odesłania prejudycjalnego – co do ważności i wykładni dyrektywy (UE) 2016/681 ( 25 ), która zobowiązuje przewoźników lotniczych do przekazywania danych każdego pasażera lotu pozaunijnego, odbywającego się między państwem trzecim a Unią Europejską, do jednostki do spraw informacji o pasażerach państwa członkowskiego miejsca docelowego lub odlotu danego lotu, w celu zwalczania terroryzmu i poważnej przestępczości. Przekazane w ten sposób dane PNR podlegają wstępnej ocenie przez jednostkę do spraw informacji o pasażerach przez okres sześciu miesięcy, a następnie są one przechowywane przez pięć lat w celu ewentualnej późniejszej oceny przez właściwe organy państw członkowskich, co może prowadzić do prowadzenia analiz przez znaczny okres, a nawet bezterminowo, w przypadku osób, które podróżują samolotem częściej niż raz na pięć lat. Trybunał stwierdził, że dyrektywa ta przewiduje istotną ingerencję w prawa zagwarantowane w art. 7 i 8 karty, w szczególności z tego względu, że zmierza do stworzenia systemu ciągłego, nieukierunkowanego i systematycznego nadzoru, zakładającego zautomatyzowane przetwarzanie danych osobowych wszystkich osób korzystających z usług transportu lotniczego, dokonując przy tym wykładni zgodnej z art. 7, 8 i 21, a także art. 52 ust. 1 karty. Trybunał wyjaśnił, że po upływie pierwotnego okresu przechowywania wynoszącego sześć miesięcy przechowywanie danych PNR nie wydaje się ograniczone do tego, co ściśle niezbędne, w odniesieniu do pasażerów lotniczych, w odniesieniu do których ani wcześniejsza ocena, ani żadne kontrole przeprowadzone podczas początkowego sześciomiesięcznego okresu przechowywania, ani żadne inne okoliczności nie wykazały istnienia jakichkolwiek obiektywnych przesłanek wskazujących na to, że mogą oni stanowić ryzyko w zakresie przestępstw terrorystycznych lub poważnej przestępczości, które mają obiektywny związek, choćby pośredni, z lotniczym przewozem tych pasażerów. Trybunał uznał natomiast, że w pierwotnym okresie sześciu miesięcy przechowywanie danych PNR wszystkich pasażerów lotniczych podlegających systemowi wprowadzonemu tą dyrektywą nie wydaje się co do zasady wykraczać poza to, co ściśle niezbędne. |
34. |
W przeciwieństwie do powyżej przywołanego orzecznictwa należy podkreślić, po pierwsze, że wbrew temu, co zostało ustalone w odniesieniu do przetwarzania danych w dyrektywie 2002/58 ( 26 ), zgoda osoby, której dane dotyczą, nie stanowi podstawy prawnej dla przetwarzania danych osobowych dokonywanego przez właściwe organy do celów określonych w art. 1 ust. 1 dyrektywy 2016/680. Jak wskazano w motywie 35 tej dyrektywy, wykonywanie zadań polegających na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych, instytucjonalnie powierzonych na mocy prawa właściwym organom, pozwala tym organom wymagać lub nakazywać, aby osoby fizyczne zastosowały się do stawianych żądań. Po drugie, w niniejszej sprawie nie chodzi o przechowywanie i zautomatyzowaną analizę „morza danych” ( 27 ) generowanych w sektorach łączności elektronicznej lub transportu lotniczego, przechowywanych przez prywatnych operatorów i przekazywanych służbom dochodzeniowym, lecz o pojedyncze akta policyjne zawierające dane osób, w odniesieniu do których istnieją poważne podstawy, aby sądzić, że popełniły przestępstwo, podejrzanych i skazanych za przestępstwo, pozostające pod wyłączną kontrolą organu publicznego i ściśle poufne. |
35. |
Moim zdaniem szczególny kontekst prawny i faktyczny wspomnianego orzecznictwa wyklucza jakąkolwiek czystą i prostą transpozycję przyjętych tam rozwiązań w celu udzielenia odpowiedzi na niniejsze pytanie prejudycjalne, zwłaszcza w odniesieniu do rozróżnienia między celami przechowywania danych (ochrona bezpieczeństwa narodowego, zwalczanie poważnej przestępczości lub przestępstw, które nie wchodzą w zakres tej przestępczości) oraz niezbędnej korelacji między znaczeniem tych celów a stopniem wagi ingerencji w prawa podstawowe, która może być uzasadniona ( 28 ). Inaczej rzecz ujmując, stwierdzenia, że zwalczanie przestępczości zasadniczo może uzasadniać jedynie ingerencję, która nie ma poważnego charakteru ( 29 ), nie można przyjąć w niniejszej sprawie, gdyż w przeciwnym razie skuteczność dyrektywy 2016/680 i krajowych instrumentów dochodzeniowych/bezpieczeństwa publicznego, takich jak rozpatrywane akta policyjne, wchodzących w zakres stosowania tej normy, której cel wyraża właśnie potrzebę możliwości proporcjonalnego przetwarzania danych do celów policyjnych, zostałaby znacznie ograniczona. Należy zauważyć, że jak wynika z motywów 10 i 11 dyrektywy 2016/680, prawodawca Unii zamierzał przyjąć przepisy uwzględniające specyficzny charakter dziedziny objętej tą dyrektywą. W tym względzie motyw 12 stanowi, że czynności policji lub innych organów ścigania koncentrują się na zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu przestępstw, bez dodatkowego uściślenia, i ściganiu czynów zabronionych, wraz z czynnościami policji podejmowanymi, gdy nie wiadomo, czy dane zdarzenie jest czynem zabronionym ( 30 ). |
36. |
W trzeciej kolejności należy zauważyć, że art. 7 karty, dotyczący prawa do ochrony życia prywatnego i rodzinnego, określa prawa odpowiadające prawom gwarantowanym przez art. 8 ust. 1 EKPC i że ochrona danych osobowych odgrywa kluczową rolę przy wykonywaniu usankcjonowanego w art. 8 EKPC prawa do poszanowania życia prywatnego i rodzinnego. W konsekwencji należy zgodnie z art. 52 ust. 3 karty nadać wskazanemu art. 7 to samo znaczenie i ten sam zakres co prawom przyznanym w art. 8 ust. 1 EKPC, zgodnie z wykładnią przyjętą w orzecznictwie ETPC ( 31 ). |
37. |
ETPC stoi na stanowisku, że ochrona danych osobowych odgrywa fundamentalną rolę w wykonywaniu prawa do poszanowania życia prywatnego ustanowionego w art. 8 EKPC, a sama czynność zapisania danych dotyczących życia prywatnego osoby fizycznej stanowi ingerencję w rozumieniu tego art. 8, niezależnie od tego, czy zapisane informacje są następnie wykorzystywane. Według tego trybunału prawo krajowe musi w szczególności zapewniać, że takie dane są stosowne i nienadmierne w stosunku do celów, dla których są rejestrowane, oraz że są przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej, niż jest to niezbędne do celów, dla których są rejestrowane. Prawo krajowe musi również zawierać gwarancje skutecznej ochrony zarejestrowanych danych osobowych przed niewłaściwym i stanowiącym nadużycie wykorzystaniem, zapewniając jednocześnie realną możliwość wniesienia wniosku o usunięcie zapisanych danych. ETPC wyraźnie wskazał jednak, że jest w pełni świadomy, że w celu ochrony ludności władze krajowe są zobowiązane tworzyć akta, co skutecznie przyczynia się do ścigania niektórym przestępstw, w szczególności tych najpoważniejszych, i do zapobiegania im. Jednakże rozwiązań takich nie można wdrażać zgodnie z przesadną logiką maksymalizacji informacji w nich umieszczanych i czasu ich przechowywania ( 32 ). W tej ostatniej kwestii ETPC stwierdza, że brak maksymalnego okresu przechowywania danych osobowych osób skazanych niekoniecznie jest niezgodny z art. 8 EKPC, ale istnienie i działanie pewnych gwarancji proceduralnych jest w takiej sytuacji tym bardziej konieczne ( 33 ). |
D. W przedmiocie ingerencji w prawa podstawowe gwarantowane art. 7 i 8 karty
38. |
Jak wynika z art. 68 ZMVR i uwag przedstawionych przez rząd bułgarski na rozprawie, dane określone przez uregulowanie krajowe obejmują w szczególności stan cywilny osoby, której dane dotyczą, bezprawne czyny, o których popełnienie jest ona podejrzana lub za które została skazana, jej odciski palców, zdjęcia i próbki DNA pobrane do celów profilowania. Jako że dane te zawierają więc informacje o konkretnych osobach fizycznych, różne formy przetwarzania, jakim mogą być poddane te dane, mają wpływ na podstawowe prawo do poszanowania życia prywatnego zagwarantowane w art. 7 karty. Ponadto przetwarzanie tych danych, takie jak przewidziane w uregulowaniu krajowym, jest objęte także art. 8 karty z tego względu, że stanowi przetwarzanie danych osobowych w rozumieniu tego postanowienia, i tym samym powinno spełniać wymogi ochrony danych w nim przewidziane ( 34 ). |
39. |
Idąc za przykładem ETPC, według którego sama czynność zapisania danych odnoszących się do życia prywatnego osoby fizycznej stanowi ingerencję w rozumieniu art. 8 EKPC ( 35 ), Trybunał stwierdził, iż przechowywanie danych stanowi samo w sobie ingerencję w prawa podstawowe do poszanowania życia prywatnego i do ochrony danych osobowych, o których mowa w art. 7 i 8 karty, bez względu na to, czy rozpatrywane informacje dotyczące życia prywatnego są danymi szczególnie chronionymi, czy też nie, ani czy osoby, których dane dotyczą, ucierpiały z powodu ewentualnych niedogodności wynikających z tej ingerencji, jak również bez względu na to, czy przechowywane dane są następnie wykorzystywane ( 36 ). |
40. |
W odniesieniu do poważnego charakteru ingerencji, jaką stanowi przechowywanie danych, został on wykazany w świetle natury niektórych danych, w szczególności danych biometrycznych i genetycznych zawartych w aktach policyjnych, przy czym Trybunał uznał ryzyko, jakie stanowi przetwarzanie danych wrażliwych dla praw i wolności osób, których dane dotyczą, w szczególności w kontekście zadań właściwych organów wykonywanych dla celów wskazanych w art. 1 ust. 1 dyrektywy 2016/680, za ryzyko poważne ( 37 ). W tym względzie w motywie 23 tej dyrektywy wskazano, iż biorąc pod uwagę złożoność i wrażliwość informacji genetycznych, istnieje wysokie ryzyko niewłaściwego i ponownego ich wykorzystania do nieuprawnionych celów przez administratora. Co się tyczy motywu 51 rzeczonej dyrektywy, stanowi on, że z przetwarzania danych może wynikać ryzyko naruszenia praw lub wolności osób fizycznych, to zaś może skutkować powstaniem uszczerbku fizycznego oraz szkód majątkowych i niemajątkowych, w szczególności gdy przetwarzane są dane genetyczne lub biometryczne w celu jednoznacznego zidentyfikowania osoby lub gdy przetwarzane są dane o wyrokach skazujących i czynach zabronionych. |
41. |
Okres przechowywania danych w aktach policyjnych przyczynia się również do ustalenia wagi ingerencji, ponieważ przechowywanie to może być możliwe przez resztę życia osoby skazanej za przestępstwo. Wreszcie, z art. 26 ust. 6 ZMVR wynika, że dane osobowe mogą być przekazywane właściwym organom i odbiorcom w państwach członkowskich Unii, organom i agencjom Unii, państwom trzecim lub organizacjom międzynarodowym. W tym względzie należy przypomnieć, że dyrektywa 2016/680 ma na celu ułatwić swobodny przepływ danych osobowych między właściwymi organami do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom na terytorium Unii oraz przekazywania takich danych osobowych do państw trzecich i organizacji międzynarodowych w celu zapewnienia skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej ( 38 ). W tym zakresie przypominam, że prawo do ochrony danych osobowych wymaga w szczególności, by ciągłość wysokiego poziomu ochrony praw i wolności przyznanego prawem Unii była zapewniona w razie przekazywania danych osobowych z Unii do państwa trzeciego ( 39 ). |
42. |
W świetle wszystkich powyższych rozważań należy stwierdzić, że rozpatrywane w postępowaniu głównym uregulowanie krajowe przewiduje istotną ingerencję w prawa gwarantowane w art. 7 i 8 karty, w szczególności w zakresie, w jakim ma ono na celu ustanowienie instrumentu trwałego przechowywania wrażliwych danych osób skazanych za przestępstwa, które to dane mogą przekroczyć granice danego państwa. |
E. W przedmiocie uzasadnienia ingerencji
43. |
Jak wskazano, prawa podstawowe ustanowione w art. 7 i 8 karty nie wydają się stanowić prerogatyw o charakterze absolutnym, a z art. 52 ust. 1 karty wynika, że dopuszcza ona ograniczenia wykonywania tych praw, o ile ograniczenia te są przewidziane ustawą, szanują istotę omawianych praw i z poszanowaniem zasady proporcjonalności są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób ( 40 ). Zgodnie z motywem 26 dyrektywy 2016/680 organy ścigania mogą prowadzić czynności do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jeżeli czynności te są określone prawem i stanowią środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, z należytym uwzględnieniem uzasadnionych interesów danej osoby fizycznej. |
44. |
W odniesieniu do poszanowania zasady proporcjonalności należy przypomnieć, iż ochrona prawa podstawowego do poszanowania życia prywatnego wymaga, zgodnie z utrwalonym orzecznictwem Trybunału, aby odstępstwa od ochrony danych osobowych i jej ograniczenia były dokonywane w granicach tego, co bezwzględnie konieczne, przy czym tam, gdzie istnieje możliwość wyboru spośród większej liczby odpowiednich środków do realizacji uzasadnionych celów, należy stosować najmniej dotkliwe. Ponadto nie można dążyć do celu interesu ogólnego bez uwzględnienia okoliczności, że należy pogodzić go z prawami podstawowymi, których dotyczy środek, dokonując wyważenia między celem interesu ogólnego z jednej strony a rozpatrywanymi prawami z drugiej strony w celu zapewnienia, by niedogodności spowodowane przez ten środek nie były nadmierne w stosunku do zamierzonych celów. Tym samym możliwość uzasadnienia ograniczenia praw i obowiązków przewidzianych w art. 7 i 8 karty należy oceniać poprzez przeprowadzenie badania wagi ingerencji, jaką stanowi takie ograniczenie, oraz sprawdzenie, czy znaczenie celu interesu ogólnego, któremu służy to ograniczenie, pozostaje w relacji do tej wagi ( 41 ). |
1. W przedmiocie przestrzegania zasady legalności
45. |
Wymóg, zgodnie z którym wszelkie ograniczenia w korzystaniu z praw podstawowych muszą być przewidziane ustawą, oznacza, że podstawa prawna umożliwiająca ingerencję w te prawa powinna sama określać zakres ograniczenia wykonywania danego prawa. W tym względzie Trybunał orzekł ponadto, że uregulowanie zawierające środek umożliwiający taką ingerencję musi zawierać jasne i precyzyjne przepisy regulujące zakres i sposób stosowania takiego środka oraz ustanawiające minimalne wymogi służące temu, aby osoby, których dane osobowe zostały przekazane, miały wystarczające gwarancje pozwalające na skuteczną ochronę tych danych przed ryzykiem nadużyć. W konsekwencji podstawa prawna każdego przetwarzania danych osobowych wchodzącego w zakres stosowania dyrektywy 2016/680 powinna, jak podkreślił zresztą prawodawca Unii w motywie 33 owej dyrektywy, być jasna i precyzyjna, a jej stosowanie przewidywalne dla podmiotów prawa. W szczególności podmioty te powinny być w stanie określić okoliczności i warunki, w jakich zakres praw przyznanych im przez wspomnianą dyrektywę może podlegać ograniczeniu ( 42 ). |
46. |
Analiza rozpatrywanego uregulowania krajowego, przedstawiona w postanowieniu odsyłającym i uzupełniona uwagami rządu bułgarskiego, pozwala,moim zdaniem stwierdzić, że wymóg dotyczący „jakości” prawa jest spełniony, przy czym należy pamiętać, że wymóg ten nie wyklucza, by to ograniczenie było sformułowane w sposób wystarczająco otwarty, tak aby można je było dostosować do zmieniających się sytuacji ( 43 ). |
47. |
Oznacza to zatem, że zgodnie z art. 27 ZMVR jedynymi celami rejestrowania i przechowywania danych w aktach policyjnych jest ochrona bezpieczeństwa narodowego, zwalczanie przestępczości i utrzymanie porządku publicznego, a przetwarzanie to ma na celu ułatwienie operacyjnych czynności dochodzeniowych określonych szczegółowo w art. 8 ZMVR ( 44 ). Artykuł 68 ZMVR i art. 28 Naredba za reda za izvarshvane i snemane na politseyska registratsia (rozporządzenia dotyczącego zasad dokonywania wpisów w policyjnej bazie danych i usuwania tych wpisów, zwanego dalej „NRISPR”) określają wystarczająco szczegółowo zakres przetwarzania pod względem charakteru przestępstw, odnośnych danych, warunków, na jakich są one gromadzone, zbiorów informacji, w których są one przetwarzane, oraz okresu ich przechowywania. Uregulowanie krajowe przewiduje w sposób wyraźny i zgodnie z motywem 26 dyrektywy 2016/680 procedury gwarantujące integralność i poufność danych osobowych oraz ich niszczenie za pomocą informacji przekazywanych osobie, której dane dotyczą, zgodnie z art. 54 i 55 zakon za zashtita na lichnite danni (ustawy o ochronie danych osobowych), w szczególności w odniesieniu do prawa tej osoby do żądania od administratora dostępu do danych, ich sprostowania lub usunięcia. W tym względzie podstawy usunięcia danych, procedura i skutki tego usunięcia są określone w art. 68 ZMVR oraz art. 18 i nast. NRISPR. Przepisy te są sformułowane w sposób wystarczająco precyzyjny i jasny, aby umożliwić adresatom ustawy odpowiednie dostosowanie ich zachowania, a tym samym spełniają wymóg przewidywalności wynikający z orzecznictwa ETPC ( 45 ). |
2. W przedmiocie przestrzegania zasadniczej treści praw podstawowych zagwarantowanych w art. 7 i 8 karty
48. |
W odniesieniu do zasadniczej treści prawa podstawowego do poszanowania życia prywatnego, ustanowionego w art. 7 karty, charakter informacji zawartych w aktach policyjnych jest ograniczony do konkretnego aspektu tego życia prywatnego, związanego z przeszłością kryminalną danej osoby, co nie pozwala na wyciągnięcie wniosków dotyczących w sposób ogólny życia prywatnego tej osoby, takich jak jej codzienne nawyki, miejsca stałego lub czasowego pobytu, codziennie lub okazyjnie pokonywane trasy, prowadzona działalność, relacje towarzyskie tej osoby i środowiska społeczne, w których się ona obraca, a tym samym na ustalenie jej profilu. W odniesieniu do zasadniczej treści prawa do ochrony danych osobowych, ustanowionego w art. 8 karty, powyższe rozważania pokazują, że rozpatrywane uregulowanie krajowe określa cele przetwarzania danych i przewiduje wyczerpującą listę przechowywanych danych oraz zasady mające na celu zapewnienie dostępu do nich, ich sprostowanie lub usunięcie. W tych okolicznościach ingerencja, która obejmuje przewidziane przez to uregulowanie przechowywanie danych, nie narusza zasadniczej treści ustanowionych we wskazanych powyżej postanowieniach praw podstawowych ( 46 ). |
3. W przedmiocie celu leżącego w interesie ogólnym i adekwatności przetwarzania danych w świetle tego celu
49. |
Jak stwierdzono w niniejszej opinii, dane pochodzące z wpisu osób w aktach policyjnych dokonanego na podstawie art. 68 ZMVR są wykorzystywane do celów ochrony bezpieczeństwa narodowego, zwalczania przestępczości i utrzymania porządku publicznego. Rząd bułgarski wskazał, że dane te są zbierane i przetwarzane do celów postępowania karnego, w ramach którego przedstawiono zarzuty osobie, której dane dotyczą, a także w celu ich skonfrontowania z innymi danymi zbieranymi w ramach dochodzeń dotyczących innych przestępstw. Cel ten dotyczy także skonfrontowania z danymi zbieranymi w pozostałych państwach członkowskich ( 47 ). |
50. |
Zdaniem tego rządu przetwarzanie to wchodzi w zakres operacyjnych czynności dochodzeniowych opisanych w art. 8 ZMVR, których cele są zdefiniowane w następujący sposób: zapobieganie i wykrywanie przestępstw, zagrożeń dla bezpieczeństwa narodowego i naruszeń porządku publicznego; poszukiwanie osób, które uchylają się od odpowiedzialności karnej lub które uchyliły się od wykonania kary w sprawach karnych dotyczących ścigania z oskarżenia publicznego, a także poszukiwanie osób zaginionych; poszukiwanie przedmiotów będących przedmiotem lub narzędziem popełnienia przestępstwa lub mogących służyć jako dowód; przygotowanie i zabezpieczenie dowodów rzeczowych oraz ich przedstawienie właściwym organom sądowym. |
51. |
Trybunał wskazał, że cel ochrony bezpieczeństwa publicznego stanowi cel interesu ogólnego Unii, który może uzasadniać ingerencje, nawet poważne, w prawa podstawowe ustanowione w art. 7 i 8 karty. Ponadto ochrona taka przyczynia się również do ochrony praw i wolności innych osób. W tym względzie wskazać należy, że art. 6 karty gwarantuje każdemu prawo nie tylko do wolności, ale też do bezpieczeństwa osobistego, a postanowienie to gwarantuje prawa odpowiadające prawom określonym w art. 5 EKPC ( 48 ). W sprawie dotyczącej zgodności zbierania danych wymienionych w tych samych aktach bułgarskiej policji Trybunał wyraźnie orzekł, że takie przetwarzanie dotyczące osób, którym przedstawiono zarzuty w ramach postępowania karnego, dla celów ich rejestracji, realizuje cele wskazane w art. 1 ust. 1 dyrektywy 2016/680, w szczególności cele związane z zapobieganiem czynom zabronionym i ich wykrywaniem oraz prowadzeniem dochodzeń i ściganiem w tej dziedzinie, które stanowią cele interesu ogólnego uznane przez Unię. Trybunał dodał, że takie zbieranie danych może przyczyniać się do realizacji celu wymienionego w motywie 27 dyrektywy 2016/680, zgodnie z którym zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie i ściganie czynów zabronionych wymaga, aby właściwe organy przetwarzały dane osobowe – zebrane w kontekście zapobiegania konkretnym czynom zabronionym, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich lub ścigania, a w szerszym kontekście dla lepszego zrozumienia działalności przestępczej oraz ustalenia powiązań pomiędzy różnymi wykrytymi czynami zabronionymi ( 49 ). Rozważania te mają oczywiście zastosowanie do środka przechowywania danych. |
52. |
Fakt, że przechowywanie danych w aktach policyjnych jest formą przetwarzania, która umożliwia osiągnięcie celów interesu ogólnego polegających na wykrywaniu i – w konsekwencji – zapobieganiu przestępstwom, wydaje mi się trudny do zakwestionowania. Oczywiste jest, że akta policyjne zawierające tożsamość cywilną ujętych w nich osób, ich zdjęcia, dane biometryczne i genetyczne, a zatem niepowtarzalne i niemożliwe do podrobienia cechy fizyczne osoby, stanowią w pełni istotne narzędzie dochodzeniowe dla służb bezpieczeństwa służące do wyjaśnienia okoliczności przestępstw i zidentyfikowania ich sprawców. Pod tym względem rozpatrywane uregulowanie krajowe spełnia obiektywne kryteria wykazujące związek między danymi podlegającymi przechowywaniu a zamierzonym celem ( 50 ). |
4. W przedmiocie koniecznego i proporcjonalnego charakteru rozpatrywanej ingerencji
53. |
O ile przechowywanie danych w rozpatrywanych aktach policyjnych jest odpowiednie do realizacji zamierzonego celu leżącego w interesie ogólnym, o tyle należy zbadać, czy wynikająca z takiego przechowywania ingerencja w prawa zagwarantowane w art. 7 i 8 karty jest ograniczona do tego, co bezwzględnie konieczne, w tym znaczeniu, że cel ten nie mógłby zostać racjonalnie osiągnięty w sposób równie skuteczny za pomocą innych środków w mniejszym stopniu naruszających te prawa podstawowe zainteresowanych osób, i czy ingerencja ta nie jest nieproporcjonalna w stosunku do tego celu, co oznacza między innymi wyważenie znaczenia celu i wagi tej ingerencji ( 51 ). |
54. |
Przy sprawowaniu tej kontroli należy wziąć pod uwagę w niniejszej sprawie cel akt policyjnych, charakter odnośnych przestępstw i liczbę osób, które mogą zostać wpisane do tych akt, szczególnie wrażliwy charakter gromadzonych danych osobowych i czas ich przechowywania, gwarancje prawne lub techniczne przewidziane w uregulowaniu krajowym w zakresie wglądu do akt i kontroli utrzymywania w nich danych. |
a) W przedmiocie akt
55. |
W uwagach na piśmie rząd irlandzki zauważył w istocie, że przechowywanie danych może być konieczne do celów powiązanej kontroli, służącej interesowi publicznemu w zapobieganiu przestępczości i ochronie bezpieczeństwa publicznego. Tym samym powinna istnieć możliwość zapoznania się z informacjami zawartymi w aktach policyjnych, nie tylko w celu poszukiwania sprawców przestępstw, ale także do celów administracyjnych policji, w ramach dochodzeń poprzedzających decyzje o rekrutacji lub zezwoleniu na określone stanowiska publiczne lub wrażliwe, aby sprawdzić, czy zachowanie zainteresowanych nie jest niezgodne z wykonywaniem tych funkcji. |
56. |
Na rozprawie rząd bułgarski potwierdził to, co można wywnioskować z jasnego brzmienia art. 27 ZMVR, a mianowicie że rozpatrywane akta policyjne są narzędziem wspomagającym postępowania przygotowawcze, a nie administracyjne. Stwierdzenie to ma pewne znaczenie w odniesieniu do konsekwencji związanych z wpisem osoby do akt ewidencyjnych, ponieważ niekorzystne skutki związane z wpisem nie oznaczają niemożności podjęcia określonej działalności zawodowej ( 52 ). Wpis do rozpatrywanych akt policyjnych nie jest ani karą, ani karą uzupełniającą, jego cel jest wyraźnie ograniczony do postępowania przygotowawczego, a jego wykorzystanie jest zastrzeżone dla służb podlegających obowiązkowi zachowania poufności. |
57. |
Faktem jest jednak, że są to jedyne akta policyjne służące niezwykle szerokim celom policji dochodzeniowo-śledczej, zawierające różnorodne informacje, od zwykłych informacji o stanie cywilnym po dane biometryczne i genetyczne, oraz obejmujące osoby, które nie podlegają temu samemu statusowi proceduralnemu. W innych przepisach uznano, że zamiast jednego i tego samego przetwarzania obejmującego wszystkie informacje lepiej jest przewidzieć szereg akt policyjnych służących określonym celom, mających jedno zastosowanie i rejestrujących jeden rodzaj danych. |
b) W przedmiocie przestępstw i osób, których dane dotyczą
58. |
Przechowywanie danych w aktach policyjnych dotyczy osób oskarżonych i skazanych za umyślne przestępstwa ścigane z urzędu, w tym sensie, że oskarżenie składane jest przez prokuratora. Według rządu bułgarskiego kategoria ta nie obejmuje przestępstw nieumyślnych, wykroczeń i przestępstw ściganych z oskarżenia prywatnego, a także niektórych przestępstw, za które nałożono sankcję administracyjną. Zauważono już, że znaczna większość przestępstw przewidzianych w kodeksie karnym może być popełniona umyślnie i prawie wszystkie te przestępstwa są ścigane z urzędu ( 53 ). |
59. |
Należy stwierdzić, że uregulowanie krajowe nie odnosi się do wymienionych w sposób wyczerpujący przestępstw, nie rozróżnia przestępstw w zależności od ich charakteru, co samo w sobie jest związane z wagą przestępstwa i stosowaną karą, oraz nie zawiera kryterium odnoszącego się do dokładnej wysokości kary pozbawienia wolności. W związku z tym w jednej, szerokiej kategorii znajdują się różnorodne przestępstwa, aczkolwiek z zastrzeżeniem, że muszą być one popełnione umyślnie, co oznacza, że a priori wykluczone są mniej poważne przestępstwa, w przypadku których sam fakt popełnienia przestępstwa jest wystarczający ( 54 ), a także przestępstwa charakteryzujące się zwykłą nieostrożnością lub zaniedbaniem. Poproszony na rozprawie o sprecyzowanie kategorii przestępstw, o których mowa, rząd bułgarski niestety ograniczył się do wskazania, że nie chodzi wyłącznie o przestępstwa zagrożone karą pozbawienia wolności na okres co najmniej pięciu lat. |
60. |
W odniesieniu do zainteresowanych osób należy zauważyć, że kwestionowane przetwarzanie danych jest ograniczone pod względem wieku osób, których dane dotyczą, ponieważ z art. 4 NRISPR wynika, że nieletni nie podlegają rejestracji w aktach policyjnych, co odpowiednio powoduje zmniejszenie liczby osób wpisywanych do tych akt. Rozpatrywany środek wyróżnia dwie kategorie osób, a mianowicie osoby objęte dochodzeniem lub śledztwem i osoby, wobec których wydano wyroki skazujące. Osoby, których to dotyczy, zostały wcześniej zidentyfikowane w ramach właściwych procedur krajowych oraz na podstawie obiektywnych i niedyskryminacyjnych przesłanek jako stwarzające zagrożenie dla bezpieczeństwa publicznego lub dla utrzymania porządku publicznego. Państwa członkowskie mogą przyjąć środki polegające na przechowywaniu danych odnoszących się do osób, które – tytułem takiej identyfikacji – są objęte dochodzeniem lub śledztwem, czyli kategorii osób, w odniesieniu do których istnieją poważne podstawy, aby sądzić, że popełniły przestępstwo, lub wobec których został wydany wyrok skazujący, który odzwierciedla fakt, że ich odpowiedzialność karna została ustalona, które to sytuacje mogą wiązać się z wysokim ryzykiem recydywy ( 55 ). Recydywa, rozumiana w szerszym, potocznym znaczeniu jako ponowne popełnienie przestępstwa, jest zjawiskiem, które każde państwo członkowskie stara się zmierzyć i zrozumieć jego uwarunkowania, co jest zadaniem delikatnym, jako że zależy od dostępności obiektywnych i wiarygodnych danych statystycznych dotyczących przestępczości. Jeżeli takie dane istnieją, mogą one ujawnić, że przeszłość kryminalna danej osoby jest istotnym czynnikiem determinującym recydywę ( 56 ). |
61. |
Należy również podkreślić, że dane osób, którym przedstawiono zarzuty, powinny „zniknąć” z akt policyjnych, gdy dotyczące ich postępowanie karne zakończy się orzeczeniem o umorzeniu lub uniewinnieniu zgodnie z art. 68 ZMVR, co oczywiście ma wpływ na liczbę osób wpisanych do akt, której rząd bułgarski nie był w stanie podać ( 57 ). |
c) W przedmiocie charakteru danych i okresu przechowywania
62. |
W odniesieniu do rozpatrywanych danych Trybunał orzekł, iż biorąc pod uwagę wzmocnioną ochronę osób w zakresie przetwarzania danych wrażliwych, administrator powinien upewnić się, że celu tego nie można osiągnąć poprzez odniesienie się do kategorii danych innych niż kategorie wymienione w art. 10 dyrektywy 2016/680 ( 58 ). Jak wyjaśniono, dane, które mają być przechowywane, mogą w sposób oczywisty przyczynić się do zapobiegania przestępstwom w ramach zwalczania przestępczości i utrzymania porządku publicznego, ich wykrywania lub ścigania. Podobnie trudno jest mi uznać, że cele te można osiągnąć w równie skuteczny sposób wyłącznie na podstawie informacji o stanie cywilnym lub zdjęć fotograficznych danej osoby, bez nadmiernego ograniczania zdolności śledczych do wyjaśnienia okoliczności przestępstw na podstawie porównania danych zebranych podczas dochodzenia z danymi zarejestrowanymi w aktach podczas poprzednich dochodzeń ( 59 ). Na szczęście minęły czasy, kiedy przyznanie się do winy było uważane za królową dowodów, a dowody zebrane przez policyjne służby techniczne i kryminalistyczne z korzyścią zastąpiły ów wątpliwy dowód w hierarchii dowodów. Można zatem stwierdzić, że rozpatrywane dane są zarówno istotne, jak i nienadmierne w stosunku do celów przypisanych do przetwarzania. |
63. |
Należy ponadto zwrócić uwagę na brak w rozpatrywanym uregulowaniu krajowym dokładnego określenia maksymalnego okresu, przez który informacje zarejestrowane w aktach mogą być przechowywane, przy czym dane są przechowywane tylko przez czas trwania postępowania kończącego się orzeczeniem o umorzeniu lub uniewinnieniu wobec niektórych osób, którym przedstawiono zarzuty, lub do końca ich życia w przypadku osób prawomocnie skazanych. Zgodnie z wyjaśnieniami udzielonymi przez rząd bułgarski, których zweryfikowanie będzie należało do sądu, usunięcie następuje z urzędu po śmierci danej osoby, przy czym spadkobiercy mają również prawo zażądać wykreślenia wpisu zgodnie z art. 68 ust. 6 ZMVR. Czy należy uznać, iż sytuacja ta odpowiada, w związku z art. 5 dyrektywy 2016/680, brakowi określenia odpowiednich terminów usunięcia danych osobowych, w tym sensie, że pojęcie terminu powinno koniecznie odpowiadać okresowi wyrażonemu w latach, miesiącach lub dniach? Jeśli tak, to alternatywnie ten sam przepis wymagałby określenia w uregulowaniu krajowym terminów okresowego przeglądu konieczności przechowywania tych danych ( 60 ). |
64. |
W odniesieniu do danych osób, którym przedstawiono zarzuty, i biorąc pod uwagę wybór ustawodawcy bułgarskiego dotyczący ich nieprzechowywania w przypadku braku wyroków skazujących po zakończeniu postępowania ich dotyczącego, z konieczności nieprzewidywalny czas trwania tego postępowania nie pozostawia innego wyboru niż sformalizowanie limitu czasowego, tak aby zapobiec zbyt długiemu czasowi trwania postępowania. Jeśli chodzi o osoby skazane, uważam, że odniesienie do śmierci jest w rzeczywistości ograniczeniem czasowym, związanym z biologicznym życiem danej osoby, wykluczającym jakąkolwiek kwalifikację nieokreślonego lub nieograniczonego czasu przechowywania danych ( 61 ). Wygaśnięcie okresu przechowywania jest z góry określone, nawet jeśli dokładna data jest z definicji nieokreślona. W każdym razie pragnę zauważyć, iż na rozprawie rząd bułgarski wskazał, iż istnieje okresowy wewnętrzny przegląd wpisów w aktach, przeprowadzany w niniejszym przypadku co trzy miesiące, co spełnia wymogi art. 5 dyrektywy 2016/680. |
65. |
Bezsporne jest jednak, że w zależności od wieku, w którym osoba, której dane dotyczą, została zarejestrowana w aktach, oraz wieku, w którym zmarła, dane mogą być przechowywane przez bardzo długi czas, dłuższy niż wymagany do stwierdzenia recydywy lub przedawnienia karalności najpoważniejszego przestępstwa ściganego z oskarżenia publicznego ( 62 ). Ten okres przechowywania jest jednak uzasadniony celem przetwarzania przez policję dochodzeniowo-śledczą, którym jest gromadzenie poszlak i dowodów w celu zidentyfikowania sprawców przeszłych lub przyszłych przestępstw, biorąc pod uwagę, że ryzyko związane z przestępstwami, niezależnie od tego, czy są one poważne, czy nie, ma charakter ogólny i stały ( 63 ). Fakt, że nierozwiązane sprawy są czasami wyjaśniane bardzo późno, pokazuje zarówno ogromne trudności, z jakimi borykają się służby dochodzeniowo-śledcze, jak i znaczenie długoterminowego przechowywania danych biometrycznych i genetycznych zgromadzonych w aktach ( 64 ). |
d) W przedmiocie istnienia gwarancji sądowych i technicznych w zakresie przechowywania danych i dostępu do nich
66. |
Proporcjonalności ingerencji, która wiąże się z przechowywaniem danych w aktach policyjnych, nie można badać niezależnie od zasad regulujących dostęp do tych akt i kontrolę zasadności utrzymywania w nich danych. Według ETPC, gdy państwo przyznaje sobie najszersze uprawnienie do przechowywania na czas nieokreślony, istnienie i działanie pewnych skutecznych gwarancji staje się decydujące. Prawo krajowe musi zatem zawierać gwarancje służące skutecznej ochronie przechowywanych zarejestrowanych danych osobowych przed niewłaściwym i stanowiącym nadużycie wykorzystaniem oraz umożliwiające usunięcie takich danych, gdy tylko ich dalsze przechowywanie stanie się nieproporcjonalne, w szczególności poprzez zapewnienie konkretnej możliwości złożenia wniosku o usunięcie przechowywanych danych ( 65 ). |
1) W przedmiocie warunków wglądu do akt
67. |
Z motywów 28, 56 i 57 dyrektywy 2016/680 oraz z art. 24, 25 i 29 tej dyrektywy wynika, iż państwa członkowskie powinny przyjąć środki zapewniające, aby dane osobowe były przetwarzane tak, by zapewnić odpowiedni stopień bezpieczeństwa i poufności, w tym chronić przed nieuprawnionym dostępem do takich danych i do sprzętu służącego ich przetwarzaniu lub przed nieuprawnionym korzystaniem z takich danych i sprzętu. Środki te obejmują prowadzenie przez administratora rejestrów, które mogą dostarczyć organowi nadzorczemu, na jego żądanie, pewną ilość informacji na temat przeprowadzonego przetwarzania danych, a także ewidencji niektórych operacji przetwarzania, takich jak przeglądanie, przekazywanie i usuwanie danych. Zgodnie z motywem 60 dyrektywy 2016/680 administrator przetwarzający powinien wdrożyć środki minimalizujące uprzednio oszacowane ryzyko właściwe danemu przetwarzaniu, które to ryzyko wiąże się w szczególności z nieuprawnionym ujawnieniem danych i nieuprawnionym dostępem do nich. |
68. |
Na rozprawie rząd bułgarski wskazał na zgodność uregulowania krajowego z tymi wymogami, wspominając o istnieniu zbioru przepisów przewidujących w szczególności sporządzanie imiennych list podmiotów mających dostęp do danych, konieczność wskazania przez każdego użytkownika uzasadnienia jego prawa dostępu, jego tożsamości, daty i godziny dostępu ( 66 ). Te gwarancje co do zakresu osób uprawnionych do wglądu do akt i warunków dotyczących wglądu do nich zdają się móc zapobiegać wszelkiemu stanowiącemu nadużycie lub nieuczciwemu wykorzystaniu dostępu do akt, a tym samym nadmiernemu naruszeniu praw podstawowych ustanowionych w art. 7 i 8 karty, czego weryfikacja będzie należała do sądu odsyłającego. |
2) W przedmiocie kontroli przechowywania danych w aktach
69. |
Bezsporne jest, że wspomniana kontrola, przewidziana w art. 68 ust. 6 ZMVR, ma podwójny charakter, gdyż jest przeprowadzana z urzędu przez właściwe organy, w formie samokontroli, oraz na uzasadniony wniosek osoby zainteresowanej lub jej spadkobierców, przy czym podstawy wykreślenia wpisu z akt są w obu przypadkach wyczerpująco określone w owym przepisie. Podstawy te nie obejmują sytuacji osoby, wobec której zatarto skazanie, co skutkuje usunięciem danego wyroku skazującego z jej rejestru karnego, i jedynie podstawa, o której mowa w art. 68 ust. 6 pkt 1 ZMVR, dotycząca zarejestrowania dokonanego z naruszeniem prawa, może uzasadniać wniosek o usunięcie danych osoby skazanej za przestępstwo złożony, jak w niniejszej sprawie, za jej życia, a zatem przed upływem ustawowego okresu przechowywania określonego na moment jej śmierci. |
70. |
Zapytany na rozprawie o zakres art. 68 ust. 6 ZMVR, w świetle jego zastosowania przez właściwe organy i sądy, rząd bułgarski wskazał, że przepis ten zezwala na zmianę wpisu dotyczącego osoby, której przedstawiono zarzuty, jeżeli stał się on nieprawidłowy w wyniku zmiany kwalifikacji przestępstwa przez sąd. Wykluczył on jakąkolwiek możliwość usunięcia wpisu z akt w następstwie zatarcia skazania wobec osoby skazanej. W tym względzie przypominam, że rozpatrywane akta są narzędziem dochodzeniowym mającym na celu ułatwienie działań operacyjnych policji dochodzeniowo-śledczej i nie są, ściśle rzecz biorąc, kartoteką karną, taką jak rejestr karny. Te dwa instrumenty nie służą temu samemu celowi: jeden jest pamięcią do wyłącznego użytku śledczych, aby umożliwić im w dłuższej perspektywie wyjaśnienie okoliczności przeszłych lub przyszłych przestępstw, podczas gdy drugi ma na celu ukierunkowanie pracy sędziów przy nakładaniu kary w danej sprawie. Tym samym, jeśli zatarcie skazania doprowadziło do usunięcia danego wyroku skazującego z rejestru karnego, dana osoba może znaleźć się w sytuacji osoby popełniającej przestępstwo po raz pierwszy, mogącej uzyskać łagodniejszy wyrok lub zmniejszenie kary. Przechowywanie jej danych w aktach pozostaje jednak zasadniczo konieczne ze względu na szerszy cel tych akt związany z wykrywaniem i wyjaśnianiem okoliczności przestępstw oraz zapobieganiem im. |
71. |
Z uwag rządu bułgarskiego wynika jednak, że podstawa, o której mowa w art. 68 ust. 6 pkt 1 ZMVR, nie obejmuje oceny konieczności przechowywania danych w wymiarze czasowym. Nie wydaje się, aby istniał jakikolwiek przepis w uregulowaniu krajowym lub jakakolwiek praktyka administracyjna lub sądowa, które pozwalałyby właściwemu organowi na usunięcie wpisu z akt w ramach kwartalnych przeglądów lub które pozwalałyby zainteresowanej osobie na złożenie wniosku o usunięcie wpisu, jeśli przechowywanie danych osobowych nie wydaje się już konieczne w świetle czasu, który upłynął od ich zarejestrowania. Nie wydaje się również, aby sąd odsyłający, do którego zwrócono się o rozstrzygnięcie w przedmiocie zgodności z prawem decyzji oddalającej wniosek o usunięcie danych, był w stanie dokonać takiej oceny. |
F. Wnioski pośrednie
72. |
Czy można uznać, że opisane powyżej kryteria stosowane do celów przechowywania danych są wystarczająco ukierunkowane, proporcjonalne i konkretne, a rozpatrywane przetwarzanie danych osobowych mieści się w granicach tego, co jest ściśle lub bezwzględnie niezbędne? Trybunał może udzielić odpowiedzi przeczącej na to pytanie z poniżej przedstawionych względów. |
73. |
W pierwszej kolejności należy podkreślić, że kwestia niezbędności przechowywania danych osobowych pojawia się ze szczególną ostrością, gdy przetwarzanie takich danych jest dozwolone, jak w niniejszej sprawie, w celach prewencyjnych. W tym względzie rzeczywistym kryterium uzasadniającym rejestrowanie i przechowywanie danych w rozpatrywanych aktach policyjnych jest zagrożenie stwarzane przez osoby, których dane dotyczą, co wiąże się z oszacowaniem ryzyka. W niniejszej sprawie należy stwierdzić, że oszacowanie to ogranicza się do samego stwierdzenia istnienia podejrzenia lub udowodnionego popełnienia umyślnego przestępstwa, co nie jest zbyt szczególnym kryterium, biorąc pod uwagę, że jest to element znamion przestępstw, a nawet sama podstawa odpowiedzialności karnej. Tym samym wydaje mi się, że krajowy system przechowywania danych uwzględnia minimalny stopień wagi w odniesieniu do przestępstwa i obejmuje szeroki zakres przestępstw przeciwko porządkowi społecznemu, nie wymagając a priori kary polegającej na pozbawieniu wolności, co pozwala na uznanie, że ma on zastosowanie niezależnie od charakteru lub wagi przestępstwa ( 67 ). Przypominam, iż Trybunał stwierdził, że przepisy bułgarskie, takie jak rozpatrywane w sporze w postępowaniu głównym, które przewidują zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, są co do zasady niezgodne z wymogiem wskazanym w art. 10 dyrektywy 2016/680, gdyż przepisy te mogą prowadzić w sposób niezróżnicowany i ogólny do takiego zbierania, ponieważ pojęcie „umyślnego przestępstwa ściganego z oskarżenia publicznego” ma wyjątkowo ogólny charakter i może mieć zastosowanie do znacznej liczby czynów zabronionych – niezależnie od ich charakteru i wagi ( 68 ). |
74. |
Podczas gdy badania statystyczne mogą wykazać, że przeszłość kryminalna jest ważnym czynnikiem determinującym recydywę, podkreślają one również istnienie obiektywnych czynników, które zwiększają ryzyko recydywy, związanych w szczególności z płcią, wiekiem i charakterem pierwotnego przestępstwa, czasem, jaki upłynął do ponownego popełnienia przestępstwa, oraz faktem, że ponowne popełnienie przestępstwa jest bardzo ściśle związane z charakterem przestępstwa, które doprowadziło do zatrzymania ( 69 ). Jednakże, skoro przyjmuje się każde skazanie za przestępstwo umyślne, w tym pierwsze przestępstwo, jako kryterium przechowywania danych do czasu śmierci zainteresowanego ( 70 ), wydaje się, że logiką leżącą u podstaw przetwarzania tych danych jest szczególnie szerokie spojrzenie na ścieżkę do przestępczości, zarówno pod względem charakteru lub wagi popełnionych przestępstw, jak i wieku sprawcy. Podobnie jak ETPC, można by się zastanawiać, czy tego rodzaju logika, doprowadzona do pewnej skrajności, nie oznacza w praktyce uzasadnienia przechowywania informacji o całej populacji i jej zmarłych krewnych, co z pewnością byłoby nadmierne i niestosowne ( 71 ). Zauważam, iż Trybunał stwierdził, że samej okoliczności, że osobie przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, nie można uznać za element umożliwiający sam w sobie przyjęcie założenia, że zbieranie jej danych biometrycznych i genetycznych jest bezwzględnie niezbędne w świetle zamierzonych w tej dyrektywie celów ( 72 ). |
75. |
W drugiej kolejności okazuje się, że dane są przechowywane bez względu na konieczność ich zachowania aż do śmierci osoby, której dane dotyczą. Biorąc pod uwagę brzmienie art. 68 ust. 6 ZMVR i sposób jego interpretacji, właściwe organy mają prawo do usunięcia danych tylko w wyjątkowych okolicznościach, niezwiązanych ze zmianą sytuacji tej osoby od momentu zarejestrowania w aktach. To samo w sposób logiczny odnosi się do przewidzianego przez ten sam akt wniosku o usunięcie danych dostępnego owej osobie, który to wniosek nie jest wystarczająco skuteczny, ponieważ nie pozwala na weryfikację, czy okres przechowywania danych jest proporcjonalny do celu rozpatrywanej ingerencji. Ocena ta powinna uwzględniać różne kryteria, takie jak charakter i waga stwierdzonych czynów, czas, który upłynął od popełnienia czynów, ustawowy okres przechowywania, który ma jeszcze upłynąć, lub wiek wnioskodawcy w danej sprawie, i to biorąc pod uwagę jego sytuację osobistą, wiek, w którym popełnił czyny, jego zachowanie od tego czasu (integracja społeczna, zadośćuczynienie dla ofiar) i jego osobowość, przy czym w tym kontekście korzyść z zatarcia skazania może stanowić element ogólnej oceny. W tych okolicznościach kontrola, którą dysponuje w szczególności osoba wpisana do akt, jest tak wąska, że niemal hipotetyczna ( 73 ). |
76. |
Powyższe ustalenia należy postrzegać w świetle faktu, że wrażliwe dane mogą być przechowywane przez bardzo długi okres, a rozpatrywane akta mogą oferować użytkownikom wysoce inwazyjne funkcje wykorzystywania takich danych, w szczególności do identyfikacji, analizy i uzgadniania. Należy zauważyć, że zgodnie z art. 68 ust. 3 ZMVR organy policji w celu dokonania wpisu w aktach policyjnych muszą pobierać próbki do celów profilowania DNA i zrobić zdjęcia osób, które to zdjęcia mogą w stosownych przypadkach podlegać technice rozpoznawania twarzy. |
V. Wnioski
77. |
W świetle powyższych rozważań proponuję Trybunałowi, by na pytania przedstawione przez Varhoven administrativen sad (najwyższy sąd administracyjny, Bułgaria) odpowiedział następująco: Artykuły 4, 5, 8, 10 i art. 16 ust. 2 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW w związku ze sobą nawzajem i w świetle art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że: stoją one na przeszkodzie przepisom krajowym przewidującym przechowywanie danych osobowych w aktach policyjnych, w tym danych biometrycznych i genetycznych, każdej osoby skazanej za umyślne przestępstwo, bez dalszego rozróżnienia co do charakteru lub wagi przestępstwa, i to aż do śmierci tej osoby, bez możliwości kontroli przechowywania danych znajdujących się w tych aktach w świetle czasu, który upłynął od ich zarejestrowania, oraz w stosownych przypadkach późniejszego usunięcia takich danych. Weryfikacja proporcjonalności okresu przechowywania danych do celu przetwarzania w stosunku do sytuacji osoby skazanej może obejmować sprawdzenie, czy zatarto skazanie tej osoby. |
( 1 ) Język oryginału: francuski.
( 2 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).
( 3 ) Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. 2016, L 119, s. 1, zwane dalej „RODO”).
( 4 ) Zobacz podobnie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 61–67). W wyroku z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 61), Trybunał wskazał, że cel polegający na ochronie bezpieczeństwa narodowego odpowiada pierwszorzędnemu interesowi w ochronie podstawowych funkcji państwa i podstawowych interesów społeczeństwa poprzez zapobieganie i ściganie działalności mogącej poważnie zdestabilizować podstawowe struktury konstytucyjne, polityczne, ekonomiczne lub społeczne kraju, w szczególności bezpośrednio zagrozić społeczeństwu, ludności lub państwu jako takiemu, zwłaszcza takiej jak działalność terrorystyczna.
( 5 ) Prawdą jest, że takie sprawdzenie może wydawać się trudne do wdrożenia w praktyce w przypadku jednych, „wychwytujących wszystko” akt policyjnych, ponieważ rejestrowanie i przechowywanie danych jest zgodne z logiką, która jest zarówno retrospektywna, jak i prospektywna, i niekoniecznie nadaje się do obiektywnego rozróżnienia danego przetwarzania na podstawie precyzyjnego celu.
( 6 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 135). Pragnę zauważyć, iż Trybunał orzekł wcześniej w kwestii zgodności uregulowania bułgarskiego z art. 52 ust. 1 karty, które to uregulowanie charakteryzuje się tym, że odnosi się do RODO oraz do przepisu prawa krajowego transponującego art. 10 dyrektywy 2016/680 bez formalnego wskazania tej dyrektywy. Trybunał orzekł, że przetwarzanie danych biometrycznych i genetycznych przez organy policji „dla celów prowadzenia czynności dochodzenia, walki z przestępczością i utrzymania porządku publicznego” jest dozwolone prawem państwa członkowskiego w rozumieniu art. 10 lit. a) tej dyrektywy, gdy prawo tego państwa członkowskiego zawiera wystarczająco jasną i precyzyjną podstawę prawną dla zezwolenia na wspomniane przetwarzanie, a wskazane powyżej podwójne odniesienie nie może samo w sobie podważać istnienia takiego zezwolenia, pod warunkiem że z wykładni wszystkich mających zastosowanie przepisów prawa krajowego wynika w sposób wystarczająco jasny, precyzyjny i jednoznaczny, że rozpatrywane przetwarzanie danych biometrycznych i genetycznych jest objęte zakresem stosowania tej dyrektywy, a nie RODO.
( 7 ) Wyrok z dnia 8 maja 2019 r., PI (C‑230/18, EU:C:2019:383, pkt 42).
( 8 ) Przestrzeganie art. 4 ust. 1 lit. b) dyrektywy 2016/680, zgodnie z którym dane są zbierane w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami, nie budzi wątpliwości w niniejszej sprawie, ponieważ cel przetwarzania danych po ich zebraniu, czyli ich przechowywanie, jest identyczny z celem ich zebrania.
( 9 ) Artykuł 26 ZMVR stanowi, że terminy przechowywania danych osobowych lub okresowego przeglądu konieczności ich przechowywania ustala minister spraw wewnętrznych. Na rozprawie rząd bułgarski wskazał, że taki przegląd ma miejsce co trzy miesiące.
( 10 ) Wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 105).
( 11 ) Pragnę zauważyć, iż art. 18 dyrektywy 2016/680, zgodnie z którym państwa członkowskie mogą przewidzieć, aby wykonywanie praw, o których mowa w szczególności w art. 16, odbywało się zgodnie z prawem państwa członkowskiego, jeżeli dane osobowe znajdują się w orzeczeniu sądu, protokole lub aktach sprawy przetwarzanych w toku postępowania przygotowawczego lub sądowego w sprawie karnej, nie wydaje mi się istotny, ponieważ rozpatrywane akta stanowią narzędzie mające na celu ułatwienie działalności operacyjnej służb dochodzeniowo-śledczych, za które odpowiedzialny jest minister spraw wewnętrznych, a nie instrument sądowy w ścisłym tego słowa znaczeniu, o którym mowa powyżej.
( 12 ) Zobacz podobnie wyroki: z dnia 25 lutego 2021 r.Komisja/Hiszpania (Dyrektywa o danych osobowych – Dziedzina karna) (C‑658/19, EU:C:2021:138, pkt 75); z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 61).
( 13 ) Zobacz analogicznie wyrok z dnia 1 sierpnia 2022 r., Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, pkt 62, 69).
( 14 ) Zobacz analogicznie wyrok z dnia 22 czerwca 2021 r., Latvijas Republikas Saeima (Punkty karne) (C‑439/19, EU:C:2021:504, pkt 98).
( 15 ) Zobacz podobnie wyroki: z dnia 7 maja 2009 r., Rijkeboer (C‑553/07, EU:C:2009:293, pkt 33); z dnia 13 maja 2014 r., Google Spain i Google (C‑131/12, EU:C:2014:317, pkt 92).
( 16 ) Zobacz analogicznie wyrok z dnia 20 października 2022 r., Digi (C‑77/21, EU:C:2022:805, pkt 54).
( 17 ) Kwestia ta została również poruszona w motywie 26 i art. 4 ust. 3 dyrektywy 2016/680, z których wynika, że prawodawca Unii przewidział możliwość długoterminowego przechowywania danych zarchiwizowanych w interesie publicznym, do celów naukowych, statystycznych lub historycznych, do celów określonych w art. 1 ust. 1 tej dyrektywy, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą. Nie jest tak w niniejszej sprawie, jako że przechowywanie danych w aktach policyjnych ma cel czysto operacyjny, czyli ułatwienie czynności organów śledczych przy rozwiązywaniu przestępstw.
( 18 ) Można się zastanawiać, czy art. 5 dyrektywy 2016/680 nie skrywa pewnego rodzaju wewnętrznej sprzeczności logicznej. Zgodnie z tym przepisem bowiem mogą zatem istnieć dane osobowe przetwarzane przez organy ścigania, dla których nie byłoby właściwe ustalenie terminów usunięcia, ale w takiej sytuacji bezterminowego przechowywania danych należy przewidzieć wykonywany przez właściwe organy okresowy przegląd konieczności przechowywania tych danych oraz możliwość ich usunięcia, jeżeli przechowywanie nie jest już uzasadnione w świetle celu przetwarzania. Można jednak zrozumieć i zaakceptować, że uzasadnionym celem jest zapewnienie środka zaradczego, aby zapobiec nadużyciom we wdrażaniu inwazyjnego mechanizmu.
( 19 ) Niniejsza sprawa dotyczy całkowitej odmowy usunięcia danych, której powody muszą zostać przedstawione wnioskodawcy zgodnie z art. 16 ust. 4 dyrektywy 2016/680, który przewiduje jednak, że państwa członkowskie mogą przyjąć akty prawne ograniczające w całości lub w części ten obowiązek, w szczególności aby uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych.
( 20 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 116–118). Czy w świetle tych rozważań należy rozumieć, że Trybunał uzależnia zgodność z prawem przetwarzania danych wrażliwych w ramach dyrektywy 2016/680 od spełnienia kryterium, które wykracza poza kryterium zwykle stosowane do każdego rodzaju danych w orzecznictwie Trybunału w sprawie ochrony danych osobowych, a mianowicie od przestrzegania granic tego, co jest „absolutnie niezbędne” do danego przetwarzania? W odpowiedzi na uwagę rządu francuskiego co do faktu, że w niektórych wersjach językowych art. 10 dyrektywy 2016/680 odnosi się do przetwarzania danych, które jest „ściśle niezbędne”, Trybunał wskazał (pkt 119 tego wyroku), że to zróżnicowanie terminologiczne nie zmienia charakteru wskazanego w ten sposób kryterium ani poziomu wymogów, ponieważ w tych wersjach językowych również definiowano bardziej rygorystyczny warunek udzielenia zezwolenia na przetwarzanie danych wrażliwych, wymagający przeprowadzenia bardziej rygorystycznej oceny niezbędności przetwarzania niż w wypadku, gdy przetwarzane dane nie są objęte zakresem stosowania wspomnianego artykułu. Nie zmienia to faktu, że to pojęciowe rozróżnienie stopnia intensywności konieczności przetwarzania danych i trudności w jego wdrożeniu w danym przypadku może budzić wątpliwości.
( 21 ) Zobacz w szczególności wyroki: z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791); z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258).
( 22 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. 2002, L 201, s. 37).
( 23 ) Opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592); wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491).
( 24 ) Opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592, pkt 132, 204, 205).
( 25 ) Dyrektywa Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie wykorzystywania danych dotyczących przelotu pasażera (danych PNR) w celu zapobiegania przestępstwom terrorystycznym i poważnej przestępczości, ich wykrywania, prowadzenia postępowań przygotowawczych w ich sprawie i ich ścigania (Dz.U. 2016, L 119, s. 132),).
( 26 ) Wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 35–37). To samo dotyczy porównania z reżimem prawnym przewidzianym przez RODO.
( 27 ) R. Tinière, Jurisprudence de la CJUE 2020: décisions et commentaires, Bruxelles, Bruylant 2021, s. 130–139.
( 28 ) Wyroki: z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 56–59); z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 148).
( 29 ) Wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 148).
( 30 ) Zobacz podobnie wyrok z dnia 8 grudnia 2022 r., Inspektor v Inspektorata kam Visshia sadeben savet (Cele przetwarzania danych osobowych – Postępowanie karne) (C‑180/21, EU:C:2022:967, pkt 57, 58).
( 31 ) Wyrok z dnia 8 grudnia 2022 r., Google (Usunięcie linków do treści, która może okazać się nieprawdziwa) (C‑460/20, EU:C:2022:962, pkt 59).
( 32 ) Wyroki ETPC: z dnia 22 czerwca 2017 r., Aycaguer przeciwko Francji (CE:ECHR:2017:0622JUD000880612, §§ 33, 34, 38); z dnia 18 września 2014 r., Brunet przeciwko Francji (CE:ECHR:2014:0918JUD002101010, § 35).
( 33 ) Orzeczenia ETPC: z dnia 4 czerwca 2013 r., Perruzo i Martens przeciwko Niemcom (CE:ECHR:2013:0604DEC000784108, § 46); z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 88).
( 34 ) Zobacz analogicznie opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592, pkt 122, 123); wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 94, 95).
( 35 ) Wyrok ETPC z dnia 22 czerwca 2017 r., Aycaguer przeciwko Francji (CE:ECHR:2017:0622JUD000880612, § 33).
( 36 ) Zobacz analogicznie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 44).
( 37 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 127).
( 38 ) Zobacz motywy 4 i 7 dyrektywy 2016/680.
( 39 ) Opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592, pkt 134).
( 40 ) Wyrok z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790, pkt 63, 64).
( 41 ) Zobacz podobnie wyroki: z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790, pkt 67); z dnia 22 listopada 2022 r., Luxembourg Business Registers (C‑37/20 i C‑601/20, EU:C:2022:912, pkt 64).
( 42 ) Wyroki: z dnia 6 października 2020 r., Privacy International (C‑623/17, EU:C:2020:790, pkt 65); z dnia 24 lutego 2022 r., Valsts ieņēmumu dienests (Przetwarzanie danych osobowych uzyskanych do celów podatkowych) (C‑175/20, EU:C:2022:124, pkt 54–56). Prawdą jest, że badanie to znalazło się w wyrokach Trybunału w ramach szczegółowej analizy proporcjonalności ograniczenia, gdy nie jest ono rozważane łącznie z dwóch punktów widzenia związanych z przestrzeganiem zasad legalności i proporcjonalności [wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 114, 117)]. W tej części niniejszej opinii skupię się na weryfikacji wymogu przewidywalności w ścisłym tego słowa znaczeniu.
( 43 ) Wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 114).
( 44 ) Zobacz pkt 33–35 uwag rządu bułgarskiego.
( 45 ) Zobacz podobnie wyrok z dnia 20 maja 2003 r., Österreichischer Rundfunk i in. (C‑465/00, C‑138/01 i C‑139/01, EU:C:2003:294, pkt 77).
( 46 ) Zobacz analogicznie opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592 pkt 150); a contrario, wyrok z dnia 22 listopada 2022 r., Luxembourg Business Registers (C‑37/20 i C‑601/20, EU:C:2022:912, pkt 51).
( 47 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 99).
( 48 ) Opinia 1/15 (Umowa UE–Kanada o danych PNR) z dnia 26 lipca 2017 r. (EU:C:2017:592, pkt 149); wyrok z dnia 6 października 2020 r., La Quadrature du Net i in. (C‑511/18, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 123).
( 49 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 97, 98). ETPC zauważył w kontekście pozytywnego obowiązku wynikającego z art. 2 EKPC, że interes publiczny w prowadzeniu dochodzenia i ewentualnym zapewnieniu ścigania oraz skazania sprawców bezprawnych czynów, wiele lat po zdarzeniu, został zdecydowanie uznany [wyrok ETPC z dnia 12 czerwca 2014 r., Jelić przeciwko Chorwacji (CE:ECHR:2014:0612JUD005785611, § 52)].
( 50 ) Zobacz podobnie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 55).
( 51 ) Wyrok z dnia 22 listopada 2022 r., Luxembourg Business Registers (C‑37/20 i C‑601/20, EU:C:2022:912, pkt 66).
( 52 ) Zasadniczo wpis w aktach nie oznacza żadnego pozytywnego obowiązku dla danej osoby.
( 53 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 78).
( 54 ) Częste wykroczenia drogowe.
( 55 ) Zobacz analogicznie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 77, 78). Pragnę zauważyć, iż w wyroku z dnia 21 czerwca 2022 r., Ligue des droits humains (C‑817/19, EU:C:2022:491, pkt 198), Trybunał stwierdził, iż z dyrektywy 2016/681 wynika, że kryteria używane do celów wstępnej oceny pasażerów powinny być sformułowane w taki sposób, by ukierunkować je w sposób konkretny na osoby, wobec których może istnieć racjonalne podejrzenie ich udziału w przestępstwach terrorystycznych lub poważnej przestępczości, o których mowa w tej dyrektywie.
( 56 ) Według biuletynu informacyjno-statystycznego francuskiego ministerstwa sprawiedliwości nr 183 z dnia 2 lipca 2021 r.„Mesurer et comprendre les déterminants de la récidive des sortants de prison” (pomiar i zrozumienie czynników determinujących recydywę wśród osób opuszczających zakłady karne) 86 % osób opuszczających zakłady karne w 2016 r. było już notowanych w rejestrze karnym przed skazaniem, które doprowadziło do ich uwięzienia. Wskaźnik recydywy wzrasta wraz z liczbą wcześniejszych wyroków skazujących: tylko 14 % osób opuszczających zakłady karne, które nie miały żadnych wyroków skazujących w ciągu pięciu lat poprzedzających wyrok, który doprowadził ich do więzienia, ponownie popełniło przestępstwo w ciągu roku, w porównaniu z 23 % osób, które miały jeden wyrok skazujący i 63 % osób, które zostały skazane co najmniej dziesięć razy.
( 57 ) Ponadto ustalenie to odzwierciedla fakt, że przepis ten jest zgodny z art. 6 dyrektywy 2016/680, który wymaga od administratora, w stosownych przypadkach i w miarę możliwości, dokonania wyraźnego rozróżnienia danych osobowych poszczególnych kategorii osób, których dane dotyczą, tak aby nie ingerować w podstawowe prawo do ochrony danych osobowych osób pokrzywdzonych w wyniku czynów zabronionych w taki sam sposób, bez względu na kategorię, do której te osoby należą [wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 83)].
( 58 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 126).
( 59 ) Zobacz analogicznie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 100). Należy również zauważyć, że upływ czasu nieuchronnie będzie przeszkodą w zlokalizowaniu świadków i w odniesieniu do ich zdolności do przypomnienia sobie wydarzeń.
( 60 ) Artykuł 31 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępującego i uchylającego decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. 2016, L 135, s. 53) przewiduje, iż dane osobowe przetwarzane przez Europol są przechowywane przez Europol nie dłużej, niż jest to niezbędne i proporcjonalne do celów, w jakich dane te są przetwarzane. Europol weryfikuje we wszystkich przypadkach konieczność dalszego przechowywania danych nie później niż w terminie trzech lat od ich pierwotnego przetworzenia i może podjąć decyzję o dalszym przechowywaniu danych do czasu następnej weryfikacji, która odbywa się po okresie kolejnych trzech lat, jeżeli dalsze przechowywanie jest nadal niezbędne do wykonywania zadań Europolu. W przypadku braku decyzji o dalszym przechowywaniu danych osobowych przedmiotowe dane są automatycznie usuwane po upływie trzech lat.
( 61 ) W wyroku ETPC z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, §§ 79–81), dotyczącym uregulowania przewidującego przechowywanie danych do czasu śmierci zainteresowanego, wprowadzono rozróżnienie między DNA z jednej strony a odciskami palców i zdjęciami z drugiej strony. ETPC stwierdził, że tylko te ostatnie dane podlegają okresowi przechowywania, który można porównać do przechowywania na czas nieokreślony. Ze swej strony pragnę zauważyć, że w niniejszym przypadku żadne z tych danych nie mogą zostać wykorzystane po śmierci osoby, której dane dotyczą, zważywszy, że pośmiertne przechowywanie DNA sprawiłoby, iż technicznie możliwe byłoby przeprowadzenie poszukiwań wśród najbliższych krewnych zainteresowanego.
( 62 ) Oprócz istnienia przestępstw, których karalność nie podlega przedawnieniu, w niektórych systemach prawnych należy spojrzeć na kwestię relacji między okresem przechowywania danych a przedawnieniem karalności przestępstw ściganych z oskarżenia publicznego, biorąc pod uwagę mechanizmy zawieszania lub przerywania biegu przedawnienia oraz odraczania rozpoczęcia biegu przedawnienia w przypadku tak zwanych przestępstw zwyczajowych, ciągłych lub ukrytych, a także w przypadku niektórych przestępstw z udziałem nieletnich (odroczenie do czasu osiągnięcia przez ofiarę pełnoletności). Należy również uwzględnić fakt, że przemoc seksualna jest jednym z przestępstw, które wychodzą na jaw najpóźniej.
( 63 ) Zobacz podobnie wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in. (C‑140/20, EU:C:2022:258, pkt 62).
( 64 ) Przypominam, iż w kontekście pozytywnego obowiązku wynikającego z art. 2 EKPC ETPC zdecydowanie uznał interes publiczny w prowadzeniu dochodzeń lub śledztw, a ewentualnie w ściganiu i skazywaniu sprawców bezprawnych czynów, kilka lat po fakcie [wyrok ETPC z dnia 12 czerwca 2014 r., Jelić przeciwko Chorwacji (CE:ECHR:2014:0612JUD005785611, § 52)] i wskazał, że badanie „cold cases” leży również w interesie publicznym, w ogólnym sensie zwalczania przestępczości [wyrok ETPC z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 93)].
( 65 ) Wyroki ETPC: z dnia 22 czerwca 2017 r., Aycaguer przeciwko Francji (CE:ECHR:2017:0622JUD000880612, § 38); z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 88).
( 66 ) Okres przechowywania śladów wglądu do akt nie został sprecyzowany.
( 67 ) Wyrok ETPC z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 83).
( 68 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 128, 129).
( 69 ) Biuletyn informacyjno-statystyczny francuskiego ministerstwa sprawiedliwości nr 183 z dnia 2 lipca 2021 r.„Mesurer et comprendre les déterminants de la récidive des sortants de prison” (pomiar i zrozumienie czynników determinujących recydywę wśród osób opuszczających zakłady karne).
( 70 ) Rejestrowanie i późniejsze przechowywanie danych w aktach dotyczy bowiem wszystkich osób, które popełniły przestępstwo po raz pierwszy, a nie tylko osób, które zostały już skazane jeden lub więcej razy.
( 71 ) Wyrok ETPC z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 89).
( 72 ) Wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestrowanie danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 130). Trybunał dodał (pkt 132, 133), że do sądu odsyłającego należy zweryfikowanie, czy prawo krajowe umożliwia przeprowadzenie oceny „bezwzględnej niezbędności” zbierania zarówno danych biometrycznych i genetycznych osoby, której dane dotyczą, dla celów rejestracji tych danych w świetle charakteru i wagi przestępstwa, o którego popełnienie podejrzewa się tę osobę, jak również w świetle innych istotnych elementów, takich jak między innymi szczególne okoliczności tego przestępstwa, ewentualny związek wspomnianego przestępstwa z innymi toczącymi się postępowaniami, wcześniejsze sprawy sądowe lub indywidualny profil danej osoby. Można się zastanawiać, czy ten wymóg dogłębnej indywidualizacji jest zgodny z przepisami o charakterze ustawodawczym, z wymaganym systematycznym charakterem oraz stopniem abstrakcji i ogólności, mającymi na celu ustanowienie ogólnego systemu przechowywania danych osobowych w aktach.
( 73 ) Wyrok ETPC z dnia 13 lutego 2020 r., Gaughran przeciwko Zjednoczonemu Królestwu (CE:ECHR:2020:0213JUD004524515, § 94).