OPINIA RZECZNIKA GENERALNEGO

JULIANE KOKOTT

przedstawiona w dniu 18 lipca 2007 r. ( 1 )

Sprawa C-275/06

Productores de Música de España (Promusicae)

przeciwko

Telefónica de España SAU

„Społeczeństwo informacyjne — Obowiązki dostawców usług — Zatrzymywanie i udostępnianie danych o ruchu — Obowiązek udostępnienia danych — Granice — Ochrona poufności komunikacji elektronicznej — Zgodność z ochroną praw autorskich i praw pokrewnych — Prawo do skutecznej ochrony własności intelektualnej”

I — Wprowadzenie

1.

Niniejsza sprawa uwidacznia, że gromadzenie danych w określonych celach wzbudza chęci wykorzystania ich również w szerszym zakresie. W Hiszpanii dostawcy usług łączności elektronicznej są zobowiązani zatrzymywać określone dane dotyczące poszczególnych użytkowników, tak aby w razie potrzeby mogły one zostać wykorzystane w ramach dochodzenia karnego lub w celu ochrony bezpieczeństwa publicznego czy też gdy narażone jest bezpieczeństwo narodowe. Stowarzyszenie właścicieli praw autorskich domaga się użycia tych danych w celu ustalenia użytkowników, którzy naruszają te prawa poprzez wymianę plików.

2.

Z tego właśnie względu sąd krajowy zmierza do ustalenia, czy prawo wspólnotowe dopuszcza udostępnianie danych osobowych dotyczących ruchu związanych z używaniem Internetu właścicielom praw własności intelektualnej, czy też wręcz go wymaga. Sąd ten wychodzi z założenia, że poszczególne dyrektywy dotyczące ochrony własności intelektualnej i społeczeństwa informacyjnego przyznają właścicielom właściwych praw prawo domagania się od dostawców usług łączności elektronicznej, by ci udostępniali im te dane w przypadku, gdy mogą one dowieść naruszenia chronionych praw.

3.

W poniższych rozważaniach pragnę ukazać, że wspólnotowe przepisy dotyczące ochrony danych osobowych w sektorze komunikacji elektronicznej zezwalają na przekazywanie danych osobowych dotyczących ruchu wyłącznie właściwym władzom publicznym, natomiast nie umożliwiają bezpośredniego przekazania danych podmiotom praw autorskich pragnącym cywilnoprawnie dochodzić roszczeń z tytułu naruszenia ich praw.

II — Ramy prawne

A — Prawo wspólnotowe

4.

W niniejszym przypadku należy rozważyć przepisy dotyczące ochrony własności intelektualnej, przepisy dotyczące handlu elektronicznego, jak i w szczególności przepisy dotyczące ochrony danych.

1. Ochrona własności intelektualnej w społeczeństwie informacyjnym

5.

Pierwszym instrumentem ochrony własności intelektualnej w społeczeństwie informacyjnym, który należy wymienić, jest dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego ( 2 ).

6.

Artykuł 1 ust. 5 dyrektywy 2000/31 ogranicza zakres stosowania tej dyrektywy. Zgodnie z art. 1 ust. 5 lit. b) tej dyrektywy, nie znajduje ona zastosowania do zagadnień odnoszących się do usług społeczeństwa informacyjnego objętych dyrektywami 95/46/WE oraz 97/66/WE ( 3 ).

7.

Artykuł 15 ust. 2 dyrektywy 2000/31 stanowi:

„Państwa członkowskie mogą ustanowić w stosunku do usługodawców świadczących usługi społeczeństwa informacyjnego obowiązek niezwłocznego powiadamiania właściwych władz publicznych o rzekomych bezprawnych działaniach podjętych przez ich usługobiorców lub przez nich przekazanych informacjach lub obowiązek przekazywania właściwym władzom, na ich żądanie, informacji pozwalających na ustalenie tożsamości ich usługobiorców, z którymi mają umowy o przechowywanie”.

8.

Artykuł 18 ust. 1 dyrektywy 2000/31 brzmi następująco:

„Państwa członkowskie zadbają o to, żeby powództwa dostępne w prawie krajowym dotyczące usług społeczeństwa informacyjnego umożliwiały szybkie podjęcie środków, łącznie ze środkami tymczasowymi mającymi na celu przerwanie każdego rzekomego naruszenia prawa oraz zapobieżenie wszelkim dalszym szkodom”.

9.

Dyrektywa 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym ( 4 ) zawiera szczególne uregulowanie dotyczące ochrony własności w ramach handlu elektronicznego. W niniejszej sprawie właściwy jest zwłaszcza art. 8 tej dyrektywy, zatytułowany „Sankcje i środki naprawcze”:

„1.   Państwa członkowskie przewidują stosowne sankcje i środki naprawcze w przypadku naruszenia praw i obowiązków wymienionych w niniejszej dyrektywie i podejmują wszelkie niezbędne środki w celu zapewnienia ich realizacji. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.

2.   Każde państwo członkowskie podejmuje niezbędne środki w celu zapewnienia, aby podmiot praw autorskich, którego interesy zostaną naruszone przez czynności dokonane na jego terytorium, mógł wytoczyć powództwo o odszkodowanie i/lub wnioskować o wydanie nakazu i w miarę potrzeby, domagać się przepadku naruszonych dóbr, jak również urządzeń, produktów lub części składowych określonych w art. 6 ust. 2.

3.   […]”.

10.

Artykuł 9 dyrektywy 2001/29 w następujący sposób ogranicza jej zakres stosowania:

„Niniejsza dyrektywa nie narusza przepisów dotyczących w szczególności, patentów, znaków towarowych, prawa do wzorów przemysłowych, wzorów użytkowych, topografii półprzewodników, czcionek drukarskich, dostępu warunkowego, dostępu drogą kablową do usług radiowych i telewizyjnych, ochrony narodowych skarbów kultury, wymagań prawnych w zakresie egzemplarza obowiązkowego, prawa o praktykach ograniczających i nieuczciwej konkurencji, tajemnic handlowych, bezpieczeństwa, poufności, ochrony danych i prywatności, dostępu do dokumentów publicznych i prawa o zobowiązaniach umownych”.

11.

Artykuł 8 dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej ( 5 ) przewiduje szczególne prawo do informacji przysługujące właścicielom praw własności indywidualnej:

„1.   Państwa członkowskie zapewniają, że, w kontekście postępowania sądowego dotyczącego naruszenia prawa własności intelektualnej oraz w odpowiedzi na uzasadnione i proporcjonalne żądanie powoda, właściwe organy sądowe mogą nakazać przedstawienie informacji o pochodzeniu i sieciach dystrybucji towarów lub usług naruszających prawo własności intelektualnej przez naruszającego i/lub jakąkolwiek inną osobę, u której:

[…]

c)

stwierdzono dostarczanie na skalę handlową usług stosowanych w działaniach naruszających prawo;

[…]

2.   Informacja, o której mowa w ust. 1, zawiera, jeśli stosowne:

a)

nazwy i adresy producentów, wytwórców, dystrybutorów, dostawców oraz innych poprzednich posiadaczy towarów lub usług, jak również przewidywanych hurtowników i detalistów;

b)

[…]

3.   Ustępy 1 i 2 stosuje się bez uszczerbku dla innych przepisów ustawowych, które

[…]

e)

zarządzają ochroną poufności źródeł informacji lub przetwarzania danych osobowych”.

12.

Jednocześnie zgodnie z art. 2 ust. 3 dyrektywy 2004/48 nie wpływa ona na:

„a)

wspólnotowe przepisy regulujące prawo materialne w zakresie własności intelektualnej, dyrektywę 95/46/WE, dyrektywę 1999/93/WE lub dyrektywę 2000/31/WE, a zwłaszcza art. 12–15 dyrektywy 2000/31/WE;

b)

[…]”.

2. Przepisy dotyczące ochrony danych osobowych

13.

W zakresie ochrony danych osobowych właściwa jest dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej ( 6 ).

14.

Zgodnie z jej art. 1 ust. 1 dyrektywa ta „harmonizuje przepisy państw członkowskich wymagane dla zapewnienia równoważnego poziomu ochrony podstawowych praw i wolności, w szczególności prawa do prywatności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności elektronicznej oraz w celu zapewnienia swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności elektronicznej”.

15.

Zgodnie z jej art. 1 ust. 2 przepisy tej dyrektywy dookreślają i uzupełniają dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych ( 7 ), zgodnie z celami przedstawionymi w ust. 1.

16.

Artykuł 2 lit. b) dyrektywy 2002/58 definiuje pojęcie „danych o ruchu” jako „wszelki[ch] dan[ych] przetwarzan[ych] do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi”.

17.

Przetwarzanie danych o ruchu zostało uregulowane w art. 6 tej dyrektywy w następujący sposób:

„1.   Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.

2.   Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.

[…]

6.   Przepisy ust. 1–3 i 5 stosuje się bez uszczerbku dla możliwości otrzymywania przez właściwe organy informacji na temat danych o ruchu, zgodnie z obowiązującym ustawodawstwem, w celu rozstrzygania sporów, w szczególności sporów dotyczących rozliczeń międzyoperatorskich lub naliczania opłat”.

18.

Zawarte w art. 6 ust. 1 dyrektywy 2002/58 zastrzeżenie art. 15 ust. 1 brzmi następująco:

„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej”.

19.

Zastrzeżenie to zostało także zawarte w motywie jedenastym dyrektywy 2002/58, który brzmi następująco:

„(11)

Niniejsza dyrektywa, podobnie jak dyrektywa 95/46/WE, nie odnosi się do kwestii ochrony podstawowych praw i wolności związanych z działalnością, która nie jest regulowana prawem wspólnotowym. Dyrektywa nie zmienia zatem istniejącej równowagi między prawem do prywatności osoby fizycznej a [przysługującą państwom członkowskim] możliwością podejmowania środków, określonych w art. 15 ust. 1 niniejszej dyrektywy, niezbędnych do ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając gospodarczy dobrobyt państwa, gdy działania dotyczą zagadnień bezpieczeństwa państwa) i wykonywania prawa karnego. Wskutek tego, niniejsza dyrektywa nie wpływa na [przysługujące państwom członkowskim] możliwości zgodnego z prawem przejmowania danych w łączności elektronicznej lub podejmowania innych środków, jeżeli jest to konieczne dla któregokolwiek z tych celów i zgodne z europejską Konwencją o ochronie praw człowieka i podstawowych wolności, dla której wykładnię stanowi orzecznictwo Europejskiego Trybunału Praw Człowieka. Środki tego rodzaju muszą być właściwe, współmierne do zamierzonego celu i niezbędne w ramach społeczeństwa demokratycznego oraz powinny podlegać stosownym zabezpieczeniom zgodnie z europejską Konwencją o ochronie praw człowieka i podstawowych wolności”.

20.

Artykuł 19 dyrektywy 2002/58 reguluje stosunek między tą dyrektywą a poprzedzającą ją dyrektywą 97/66:

„Dyrektywa 97/66/WE traci moc z dniem określonym w art. 17 ust. 1.

Odniesienia do uchylonej dyrektywy traktuje się jak odniesienia do niniejszej dyrektywy”.

21.

Artykuł 13 ust. 1 dyrektywy 95/46, na który powołano się w art. 15 ust. 1 dyrektywy 2002/58, brzmi następująco:

„1.   Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:

a)

bezpieczeństwa narodowego;

b)

obronności;

c)

bezpieczeństwa publicznego;

d)

działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;

e)

ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;

f)

funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c)–e);

g)

ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób”.

22.

Ponadto należy zwrócić uwagę, że na podstawie art. 29 dyrektywy 95/46 powołano niezależną grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (zwaną dalej „grupą roboczą ds. ochrony danych”) ( 8 ). Jej zadaniem jest zajmowanie stanowiska w stosunku do zagadnień prawnych w zakresie ochrony danych. Podobną funkcję pełni ustanowiony na mocy art. 286 WE i rozporządzenia nr 45/2001 ( 9 ) europejski inspektor ochrony danych.

23.

Wreszcie w niniejszej sprawie właściwa jest też dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE ( 10 ).

24.

Dyrektywa 2006/24 zobowiązuje państwa członkowskie między innymi do zatrzymywania danych dotyczących ruchu połączeń generowanych w ramach łączności elektronicznej. Zgodnie z jej art. 15 transpozycja tej dyrektywy winna zostać dokonana do dnia 15 września 2007 r., przy czym zatrzymywanie danych generowanych w ramach łączności elektronicznej może zostać odroczone o kolejne 18 miesięcy. Hiszpania nie skorzystała jednak z tej możliwości.

25.

Artykuł 11 dyrektywy 2006/24 wprowadza do art. 15 dyrektywy 2002/58 nowy ustęp 1a.:

„1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24/WE […] dla celów określonych w art. 1 ust. 1 tej dyrektywy”.

26.

Udostępnianie zatrzymanych na podstawie dyrektywy 2006/24 danych zostało uregulowane w jej art. 4:

„Państwa członkowskie podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa publicznego, w szczególności EKPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka”.

B — Prawo hiszpańskie

27.

Przy przedstawieniu krajowych ram prawnych sąd krajowy ogranicza się zasadniczo do art. 12 ust. 1–3 Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico [ustawy 34/2002 w sprawie usług społeczeństwa informacyjnego i handlu elektronicznego] z dnia 11 lipca 2002 r.:

„Artykuł 12. Obowiązek przechowywania danych o ruchu dotyczących połączeń elektronicznych

1.   Operatorzy sieci i usługodawcy w zakresie połączeń elektronicznych, dostępu do sieci telekomunikacyjnych oraz przechowywania danych zobowiązani są przechowywać dane dotyczące połączeń i ruchu wytwarzane przy połączeniach ustanawianych w ramach świadczenia usługi społeczeństwa informacyjnego przez maksymalny okres dwunastu miesięcy w zakresie ustalonym w niniejszym artykule i przepisach wykonawczych.

2.   […] Operatorzy sieci i usługodawcy w zakresie połączeń elektronicznych oraz usług, do których odnosi się niniejszy artykuł, nie mogą wykorzystywać przechowywanych danych do innych celów niż wskazane w następnym ustępie i inne, dopuszczalne na mocy ustawy, oraz są zobowiązani zapewnić właściwe środki bezpieczeństwa w celu niedopuszczenia do ich utraty lub zmiany, jak również nieuprawnionego dostępu do nich.

3.   Dane te są przechowywane w celu wykorzystania ich w ramach dochodzenia karnego lub ochrony bezpieczeństwa publicznego i obrony narodowej i winny zostać udostępnione sędziom, sądom lub ministerstwu finansów na ich wniosek. Udostępnienie tych danych służbom i organom bezpieczeństwa następuje zgodnie z przepisami dotyczącymi ochrony danych osobowych”.

28.

Ponadto sąd krajowy informuje, że naruszenie praw autorskich w Hiszpanii jest karalne tylko wtedy, gdy czyn popełniony jest z winy umyślnej w celach zarobkowych ( 11 ).

III — Tło techniczne, stan faktyczny i przebieg postępowania przed sądem krajowym

29.

Powód w postępowaniu przed sądem krajowym (zwany dalej „Promusicae” dla Productores de Música de España) jest stowarzyszeniem niemającym celu zarobkowego grupującym producentów i wydawców nagrań muzycznych oraz opracowań audiowizualnych głównie w zakresie muzyki. Wniósł on do sądu, by nakazał dostawcy usług łączności elektronicznej, Telefónica de España, SAU, wskazać tożsamość i adresy określonych użytkowników Internetu. Promusicae określiła te osoby za pomocą tak zwanego adresu IP oraz daty i godziny połączenia.

30.

Adres IP jest numerycznym formatem adresu, porównywalnym z numerem telefonu, który umożliwia urządzeniom podłączonym do sieci, takim jak serwery Web, serwery poczty elektronicznej lub komputery osobiste, komunikację z Internetem. Na przykład serwer, na którym można konsultować strony Trybunału, ma adres IP 147.67.243.28 ( 12 ). W przypadku konsultowania danej strony adres komputera, z którego następuje połączenie, jest dostarczany komputerowi, na którym zachowana jest ta strona, tak aby dane mogły być przekazywane z jednego do drugiego komputera za pomocą Internetu.

31.

W przypadku połączenia z Internetem prywatnych użytkowników — podobnie jak w przypadku podłączenia do sieci telefonicznej — również mogą być przyznawane stałe adresy IP. Ma to jednak miejsce rzadko, ponieważ Internet wciąż jeszcze jest tak zorganizowany, że każdemu dostawcy usług łączności elektronicznej przysługuje ograniczona ilość adresów ( 13 ). Z tego powodu w większości przypadków — również w niniejszej sprawie — są wykorzystywane dynamiczne adresy IP, co oznacza, że dostawca usług łączności elektronicznej przyznaje swym klientom przy każdym dostępie adres ad hoc z przysługującego mu kontyngentu adresów. Ze swej natury adres ten może być zatem inny przy każdym połączeniu.

32.

Promusicae informuje, że określiła całą serię adresów IP, które były używane w określonym czasie w celu tak zwanego filesharing w zakresie muzyki (wymiany plików muzycznych), przy czym związane z tymi plikami prawa autorskie i prawa wynikające z licencji należą do jego członków.

33.

Filesharing jest formą wymiany danych, na przykład utworów muzycznych lub filmów. Użytkownicy kopiują najpierw dane na własny komputer i następnie oferują je każdemu, kto poprzez Internet i określony program, w tym przypadku Kazaa, jest z nimi połączony. W trakcie takiej operacji jest zwykle ( 14 ) używany adres IP osoby, która oferuje dane innym do ściągnięcia i która w ten sposób może zostać określona.

34.

Aby móc wszcząć postępowanie przeciwko tym użytkownikom, Promusicae domaga się od dostawcy usług łączności elektronicznej, Telefóniki, by ten przekazał jej informację, którym użytkownikom został przyznany zidentyfikowany przez Promusicae w podanym momencie adres IP. Telefónica może odnaleźć każdorazowo używane połączenie, ponieważ przechowuje, również po zakończeniu takiego połączenia, dane dotyczące osoby, której przypisano określony adres IP oraz moment tego przypisania.

35.

Sąd krajowy wydał najpierw orzeczenie, w którym nakazał Telefónice udostępnienie żądanych informacji. Telefónica odwołała się jednak, gdyż art. 12 Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico zabrania jej przekazania tych informacji sądowi. Operator połączeń elektronicznych lub usługodawca w zakresie tych usług jest zobowiązany udostępnić dane, które na mocy ustawy jest zobowiązany przechowywać, wyłącznie w ramach dochodzenia karnego lub w przypadku ochrony bezpieczeństwa publicznego, czy też gdy narażone jest bezpieczeństwo narodowe.

36.

Sąd krajowy uważa, że być może stanowisko to jest zgodne z prawem hiszpańskim, jednak w jego mniemaniu oznaczałoby to, że odpowiednie przepisy są niezgodne z prawem wspólnotowym. Sąd ten przedłożył wobec tego Trybunałowi następujące pytanie w celu wydania orzeczenia prejudycjalnego:

Czy prawo wspólnotowe, a w szczególności art. 15 ust. 2 i art. 18 dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego, art. 8 ust. 1 i 2 dyrektywy 2001/29/WE Parlamentu Europejskiego i Rady z dnia 22 maja 2001 r. w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym, art. 8 dyrektywy 2004/48/WE Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie egzekwowania praw własności intelektualnej oraz art. 17 ust. 2 i art. 47 Karty Praw Podstawowych Unii Europejskiej, zezwala państwom członkowskim na ograniczenie ciążącego na operatorach sieci i usługodawcach w zakresie połączeń elektronicznych, dostępu do sieci telekomunikacyjnych i przechowywania danych obowiązku przechowywania i udostępniania danych dotyczących połączeń i ruchu związanych z połączeniami ustanowionymi w trakcie świadczenia usług społeczeństwa informacyjnego wyłącznie do przypadków dochodzenia karnego lub w celu ochrony bezpieczeństwa publicznego, czy też przypadków zagrożenia bezpieczeństwa narodowego, z wyłączeniem postępowań cywilnych?

37.

Uczestnikami postępowania były Promusicae, Telefónica, Finlandia, Włochy, Słowenia, Zjednoczone Królestwo i Komisja. Od udziału wstrzymali się grupa robocza ds. ochrony danych ( 15 ) i Europejski Inspektor Ochrony danych, głównie z uwagi na to, że art. 23 statutu Trybunału nie przewiduje ich udziału. Ponieważ jednak mogą oni mieć istotny wkład w rozwiązanie kwestii dotyczących ochrony danych, zdecydowałam się zwrócić szczególną uwagę na opublikowane przez nich stanowiska dotyczące rozpatrywanych w niniejszej sprawie zagadnień.

IV — Ocena prawna

38.

Trybunał winien ustalić, czy ograniczenie obowiązku udostępnienia danych o ruchu jedynie do przypadków dochodzenia karnego i innych podobnych procedur, z wyłączeniem postępowania cywilnego, jest zgodne z wymienionymi przez sąd krajowy dyrektywami.

39.

Sąd krajowy stoi zatem na stanowisku, że między prawem hiszpańskim a prawem wspólnotowym zachodzi sprzeczność. Pominął on jednak fakt, że wspomniany przepis opiera się na art. 15 dyrektywy 2002/58 i w znacznym stopniu przejął jego sformułowania. Dyrektywa ta zawiera zasady ochrony danych w sektorze łączności elektronicznej i w ten sposób uzupełnia dyrektywę 95/46 zawierającą ogólne zasady dotyczące ochrony danych.

40.

Należy zatem zbadać, czy zgodnie ze wskazanymi przez sąd krajowy uregulowaniami można zakazać dostawcom usług łączności elektronicznej określania właścicieli niektórych abonamentów, tak aby umożliwić wszczęcie postępowania cywilnego w wyniku naruszenia praw autorskich.

A — W przedmiocie dopuszczalności wniosku

41.

Mogą nasuwać się wątpliwości dotyczące dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym i konieczności uzyskania przez sąd krajowy odpowiedzi na skierowane do Trybunału pytanie ( 16 ). Dyrektywa nie może sama w sobie kreować obowiązków osób fizycznych ( 17 ). Jeżeli prawo hiszpańskie sprzeciwiałoby się w niezaprzeczalny sposób wszelkiemu udostępnianiu omawianych danych, to wykładnia, o której dokonanie wniósł sąd krajowy, nie mogłaby skutkować zobowiązaniem Telefóniki do ich przekazania. Z uwagi na informacje, którymi dysponuje Trybunał, nie jest jednak wykluczone, by prawo hiszpańskie mogło być interpretowane w sposób zgodny z dyrektywami. Dopóki taka możliwość istnieje, dopóty wniosek o wydanie orzeczenia w trybie prejudycjalnym, taki jak ten skierowany do Trybunału w niniejszym przypadku, nie może zostać uznany za konieczny do rozstrzygnięcia przez sąd krajowy zawisłego przed nim sporu ( 18 ).

B — W przedmiocie wzajemnego stosunku między poszczególnymi dyrektywami

42.

Niektórzy uczestnicy postępowania koncentrują się — prawie wyłącznie — na wykładni dyrektyw wskazanych przez sąd krajowy. Podkreślają przy tym zwykle konieczność skutecznej ochrony sądowej przed naruszeniami praw autorskich. Komisja zwraca jednak słusznie uwagę, że te wszystkie trzy dyrektywy w żaden sposób nie odnoszą się do prawa ochrony danych.

43.

Zgodnie z art. 1 ust. 5 lit. b) dyrektywy 2000/31 o handlu elektronicznym nie ma ona zastosowania do zagadnień odnoszących się do usług społeczeństwa informacyjnego objętych dyrektywami 95/46/WE w sprawie ochrony danych oraz 97/66/WE dotyczącej przetwarzania danych osobowych oraz ochrony prywatności w sektorze telekomunikacyjnym. Ta ostatnia dyrektywa została następnie zastąpiona dyrektywą 2002/58 dotyczącą przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej.

44.

Artykuł 9 dyrektywy 2001/29 w sprawie harmonizacji niektórych aspektów praw autorskich i pokrewnych w społeczeństwie informacyjnym wyraźnie stanowi, że dyrektywa nie narusza przepisów dotyczących w szczególności ochrony danych i prywatności.

45.

Mniej czytelny jest stosunek między dyrektywą 2004/48 w sprawie egzekwowania praw własności intelektualnej a ochroną danych. Artykuł 2 ust. 3 lit. a) wspomnianej dyrektywy przewiduje, że nie wpływa ona na stosowanie dyrektywy 95/46/WE. Promusicae wnioskuje z tego, że niewymieniona w tym przepisie dyrektywa 2002/58 nie znajduje zastosowania w zakresie stosowania dyrektywy 2004/48.

46.

Stwierdzenie to można by rozumieć w ten sposób, że zgodnie z zasadą lex posterior derogat legi priori dyrektywa 2004/48 znajduje zastosowanie przed dyrektywą 2002/58, ale nie przed dyrektywą 95/46. Przeciwko takiemu twierdzeniu można jednak wskazać, że zgodnie z jej art. 1 ust. 2 dyrektywa 2002/58 winna dookreślać i uzupełniać dyrektywę 95/46, której to funkcji nie spełnia dyrektywa 2004/48. Przeciwnie, z motywu drugiego dyrektywy 2004/48 wynika, że ustanowiona przez nią ochrona własności intelektualnej nie może ograniczać ochrony danych osobowych, z ochroną danych w Internecie włącznie. Przesunięcie na drugi plan, bez jakiejkolwiek kompensaty, przepisów mających za przedmiot dookreślenie i uzupełnienie wcześniejszych przepisów dotyczących w szczególności ochrony danych w Internecie, której przepisy o ochronie własności intelektualnej wyraźnie nie mogą ograniczać, i zarazem przestrzeganie zasad ogólnych stanowiłoby jednak sprzeczność. Dużo bardziej logiczne wydaje się rozciągnięcie zawartego w dyrektywie 2002/58 zastrzeżenia na dyrektywę 95/46.

47.

Za takim rozwiązaniem w odniesieniu do omawianego tu prawa do informacji przewidzianego w art. 8 ust. 1 i 2 dyrektywy 2004/48 przemawia fakt, że zgodnie z art. 8 ust. 3 lit. e) tej dyrektywy przepis ten stosuje się bez uszczerbku dla innych przepisów ustawowych, które regulują ochronę poufności źródeł informacji lub przetwarzania danych osobowych. To dodatkowe wyraźne podkreślenie ochrony danych nie zostało zawarte we wniosku Komisji, tylko zostało dodane podczas obrad Rady i Parlamentu ( 19 ). Dyrektywa 2002/58 zawiera właśnie takie przepisy i z tego względu przysługujące na podstawie art. 8 dyrektywy 2004/48 prawo do informacji nie może ograniczać jej stosowania.

48.

Jako uzupełnienie należy wskazać na fakt, że również porozumienie TRIPS ( 20 ) nie wymaga odstąpienia od ochrony danych z uwagi na stosowanie dyrektywy 2004/48. Promusicae słusznie wskazuje, że art. 41 i 42 TRIPS wymagają skutecznej ochrony własności intelektualnej, a w szczególności dostępu do cywilnych procedur sądowych. Prawo do informacji zostało przewidziane w art. 47 TRIPS, jednak tylko bezpośrednio względem sprawcy naruszenia ( 21 ). Umawiające się państwa mogą takie prawo wprowadzić, jednak zgodnie z brzmieniem art. 47 TRIPS nie są do tego zobowiązane ( 22 ). Rozciągnięcie przez art. 8 dyrektywy 2004/48 prawa do informacji na osoby trzecie wykracza już poza tę możliwość. W konsekwencji takie rozciągnięcie może zostać ograniczone z uwagi na ochronę danych, nie prowadząc do niezgodności z porozumieniem TRIPS.

49.

Wszystkie trzy wskazane przez sąd krajowy dyrektywy nie ograniczają zakresu stosowania dyrektyw 95/46 i 2002/58 dotyczących ochrony danych. Wbrew temu, co utrzymywali niektórzy uczestnicy postępowania, nie oznacza to, że ochrona danych ma pierwszeństwo przed celami, których realizacji służą te dyrektywy. Chodzi tutaj raczej o stworzenie równowagi między tymi celami a ochroną danych w ramach dyrektyw, które tę ochronę ustanawiają.

C — W przedmiocie ochrony danych

50.

W niniejszym przypadku szczególne znaczenie mają dyrektywa 2002/58 zawierająca przepisy o ochronie danych w sektorze łączności elektronicznej i dyrektywa 95/46 ogólnie regulująca kwestię ochrony danych. Jednak to na podstawie stanowiącej prawo podstawowe zasady ochrony danych Trybunał opracował kryteria istotne dla dokonania wykładni przepisów prawa wtórnego.

1. W przedmiocie obowiązku poszanowania praw podstawowych w zakresie ochrony danych

51.

Ochrona danych wynika z podstawowego prawa do poszanowania życia prywatnego i rodzinnego, jak to wynika w szczególności z art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”) ( 23 ). Proklamowana w Nicei w dniu 7 grudnia 2000 r. Karta praw podstawowych Unii Europejskiej ( 24 ) (zwana dalej „kartą”) potwierdza to prawo w art. 7. Artykuł 8 karty kładzie szczególny nacisk na podstawowe prawo do ochrony danych osobowych, powołując się na ogólną zasadę prawa wspólnotowego dotyczącą ochrony danych.

52.

Zgodnie z tym postanowieniem udostępnianie danych osobowych osobom trzecim — niezależnie od kwestii późniejszego wykorzystania przekazanych w ten sposób informacji — narusza prawo do poszanowania życia prywatnego zainteresowanych osób i stanowi zatem ingerencję w rozumieniu art. 8 EKPC ( 25 ).

53.

Taka ingerencja narusza art. 8 EKPC, chyba że jest ona „przewidziana ustawowo” ( 26 ). A zatem zgodnie z zasadą przewidywalności prawa winna ona zostać sformułowana na tyle dokładnie, by adresaci ustawy mogli dostosować do niej własne działanie ( 27 ). Wymóg przewidywalności prawa znalazł szczególny wyraz w prawie ochrony danych, które nakazuje, by wszelkie przetwarzanie danych było związane z konkretnymi celami, tak jak tego wyraźnie wymaga art. 8 ust. 2 karty. Obowiązek ten został skonkretyzowany w art. 6 ust. 1 lit. b) dyrektywy 95/46, zgodnie z którym dane osobowe muszą być gromadzone do konkretnych, bezpośrednich i zgodnych z prawem celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

54.

Ponadto ingerencja w sferę prywatną — przetwarzanie danych osobowych — musi być proporcjonalna w stosunku do zamierzonych celów ( 28 ). Tak więc w tym zakresie musi istnieć nadrzędna potrzeba społeczna, a przewidziane działanie musi pozostawać w wyważonym stosunku do zamierzonego celu ( 29 ).

55.

W ramach uzasadnionych celów należy w niniejszym przypadku zwrócić uwagę na prawa podstawowe właścicieli praw autorskich, a w szczególności na ochronę własności i skuteczną ochronę sądową. Te dwa prawa podstawowe również należą w myśl ustalonego orzecznictwa do ogólnych zasad prawa wspólnotowego ( 30 ), co zostało potwierdzone przez art. 17 i 47 karty. Artykuł 17 ust. 2 karty podkreśla przy tym, że również własność intelektualna mieści się w zakresie ochrony podstawowego prawa własności ( 31 ).

56.

Równowaga miedzy poszczególnymi prawami podstawowymi winna zostać określona w pierwszym rzędzie przez prawodawcę oraz przez Trybunał w drodze wykładni prawa wspólnotowego. Niemniej państwa członkowskie są także zobowiązane mieć ją na uwadze przy wykonywaniu kompetencji ustawowej pozostawionej im w ramach dokonywania transpozycji dyrektyw. Ponadto władze publiczne i sądy państw członkowskich są zobowiązanie nie tylko dokonywać wykładni prawa krajowego w zgodzie z dyrektywami dotyczącymi ochrony danych, ale również dopilnowywać, by nie kierować się taką wykładnią tych dyrektyw, która koliduje z prawami podstawowymi chronionymi przez wspólnotowy porządek prawny lub z innymi ogólnymi zasadami prawa wspólnotowego ( 32 ).

2. W przedmiocie zakresu stosowania dyrektyw dotyczących ochrony danych

57.

Prawo wtórne konkretyzuje wynikające z praw podstawowych zasady w zakresie ochrony danych i rozszerza je w jednym punkcie, który jest rozstrzygający w niniejszej sprawie. Dyrektywy przewidują mianowicie nie tylko obowiązek władz krajowych zapewnienia ochrony danych, lecz również rozciągają go na podmioty prywatne, chyba że zgodnie z art. 3 ust. 2 tiret drugie dyrektywy 95/46 chodzi o przetwarzanie danych przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze ( 33 ). W ten sposób Wspólnota urzeczywistnia i konkretyzuje cel ochrony wynikający z podstawowego prawa do ochrony danych ( 34 ).

58.

Cywilnoprawne sposoby dochodzenia naruszeń praw autorskich przez Promusicae i przetwarzanie danych o ruchu przez Telefónikę nie mają jednak charakteru osobistego lub domowego. Wskazuje na to również — w odniesieniu do przetwarzania danych dotyczących połączeń — istnienie dyrektywy 2002/58, która nie przewiduje odstępstw dla czynności o charakterze osobistym lub domowym, tylko zakłada, że przetwarzanie danych osobowych przez dostawcę usług łączności elektronicznej podlega co do zasady wymogom ochrony danych. W ten sposób przekazywanie tego rodzaju danych między prywatnymi przedsiębiorcami nie jest wyłączone z zakresu ochrony danych. W konsekwencji należy zbadać, czy w niniejszej sprawie zostały spełnione pozostałe przesłanki stosowania prawa do ochrony danych.

59.

Zgodnie z art. 3 ust. 1 dyrektywy 2002/58 stosuje się ona do przetwarzania danych osobowych w związku z dostarczaniem publicznie dostępnych usług łączności elektronicznej w publicznych sieciach łączności we Wspólnocie. Zgodnie z art. 2 dyrektywy 2002/58 pojęcia te zostały zdefiniowane w dyrektywie 95/46 lub w dyrektywie 2002/21 ( 35 ).

60.

Udzielenie dostępu do Internetu jest dostępną powszechnie usługą łączności elektronicznej w rozumieniu art. 2 lit. c) dyrektywy 2002/21, czyli usługą zazwyczaj świadczoną za wynagrodzeniem, polegającą całkowicie lub częściowo na przekazywaniu sygnałów w sieciach łączności elektronicznej.

61.

Informacja dotycząca tego, którym użytkownikom w określonym momencie przyznano określone adresy IP, wiąże się z przekazaniem danych osobowych w rozumieniu art. 2 lit. a) dyrektywy 95/46, czyli informacji dotyczącej zidentyfikowanej lub możliwej do zidentyfikowania ( 36 ) osoby fizycznej. Przy pomocy tych danych można powiązać dokonane przy wykorzystaniu określonego adresu IP czynności z właścicielem łącza.

62.

Udostępnianie tego rodzaju danych zostało wyraźnie wskazane w art. 2 lit. b) dyrektywy 95/46 jako przykład przetwarzania danych osobowych, czyli operacji lub zestawu operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych.

63.

Jednocześnie tymczasowo przyznane adresy IP użytkowników stanowią przynajmniej dane o ruchu w rozumieniu art. 2 lit. b) dyrektywy 2002/58, czyli wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej.

3. W przedmiocie znajdujących zastosowanie zakazów przetwarzania danych

64.

Zgodnie z art. 5 ust. 1 dyrektywy 2002/58 poufność komunikacji rozciąga się również na związane z nią dane o ruchu. Państwa członkowskie są zobowiązane w szczególności zakazać wszystkim innym osobom niż użytkownicy przechowywania tych danych bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1.

65.

Artykuł 6 ust. 1 dyrektywy 2002/58 wyjaśnia, że dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.

66.

Zarówno przechowywanie, jak i udostępnianie danych osobowych dotyczących ruchu odnoszących się do używania Internetu jest w konsekwencji co do zasady zabronione.

4. W przedmiocie odstępstw od zakazów przetwarzania danych

67.

Od wspomnianych zakazów przetwarzania istnieją jednak pewne odstępstwa, które zostały uregulowane w art. 6 i 15 dyrektywy 2002/58.

a) W przedmiocie odstępstw przewidzianych w art. 6 ust. 2, 3 i 5 dyrektywy 2002/58

68.

Wymienione wyraźnie w art. 6 ust. 1 dyrektywy 2002/58 jako odstępstwa ustępy 2, 3 i 5 nie stanowią właściwej podstawy, by dopuścić wyłamanie się od przewidzianego w ustępie 1 zakazu przetwarzania danych poprzez udostępnienie ich Promusicae.

69.

Artykuł 6 ust. 2 dyrektywy 2002/58 dopuszcza jako odstępstwo przetwarzanie danych o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Wydaje się wątpliwe, by odstępstwo to dopuszczało nawet zachowywanie danych dotyczących tego, komu i w jakim momencie przyznano dynamiczny adres IP. Zwykle informacja ta nie jest konieczna do naliczania opłat na rzecz dostawcy usług łączności elektronicznej. Procedury naliczania opłat opierają się zazwyczaj na długości połączenia przez łącze usługodawcy lub na wygenerowanym przez użytkownika rozmiarze wymiany danych, jeżeli abonament nie obejmuje nieograniczonego dostępu. Jeśli jednak przetwarzanie adresów IP nie jest konieczne do naliczania opłat, to nie powinno być dozwolone ich zachowywanie ( 37 ).

70.

Niezależnie od tego art. 6 ust. 2 nie stanowi właściwej podstawy dla udostępnienia danych o ruchu osobom trzecim zamierzającym pozwać użytkownika z tytułu czynu, który został popełniony przy użyciu tego adresu IP. Tego rodzaju środki dochodzenia roszczeń nie mają żadnego związku z naliczaniem opłat abonenta i opłat rozliczeń międzyoperatorskich.

71.

Odstępstwo przewidziane w art. 6 ust. 3 dyrektywy 2002/58 również nie jest w tym przypadku właściwe. Dopuszcza ono przetwarzanie danych przez dostawcę usług łączności elektronicznej do celów wprowadzania na rynek usług łączności elektronicznej lub świadczenia usług tworzących wartość dodaną, jeżeli abonent lub użytkownik, których dane dotyczą, wyraził na to zgodę.

72.

Wreszcie Promusicae nie może też powołać się na art. 6 ust. 5 dyrektywy 2002/58, który zezwala osobom trzecim, działającym z upoważnienia dostawcy publicznie dostępnych usług łączności elektronicznej, na przetwarzanie danych o ruchu w określonych celach, a w szczególności, gdy ma to na celu wykrycie nadużyć finansowych. Motyw dwudziesty dziewiąty tej dyrektywy precyzuje w tym względzie, że te nadużycia finansowe polegają na nieodpłatnym korzystaniu z usług łączności elektronicznej. Promusicae nie działa jednak z upoważnienia Telefóniki, a ponadto w rozumieniu tego przepisu naruszenie praw autorskich nie jest postrzegane jako nadużycie finansowe.

b) W przedmiocie art. 6 ust. 6 dyrektywy 2002/58

73.

Zdaniem Promusicae, udostępnianie i przetwarzanie danych o ruchu dla celów cywilnoprawnego dochodzenia roszczeń z tytułu naruszenia praw autorskich jest dopuszczalne na mocy art. 6 ust. 6 dyrektywy 2002/58. Zgodnie z tym przepisem właściwe organy mogą otrzymywać informacje na temat danych o ruchu, zgodnie z obowiązującym ustawodawstwem, w celu rozstrzygania sporów, w szczególności sporów dotyczących rozliczeń międzyoperatorskich lub naliczania opłat.

74.

Przepis ten nie może jednak uzasadniać przekazania Promusicae danych o ruchu już z tego powodu, że Promusicae nie jest organem właściwym do rozstrzygania sporów. Trudno też dopatrzyć się konieczności udostępnienia spornych danych sądowi krajowemu w celu umożliwienia rozpoznania zawisłego przed nim sporu między Promusicae i Telefóniką. Rozstrzygnięcie kwestii, czy Telefónica może i jest zobowiązana udostępnić na rzecz Promusicae te dane, nie zależy bowiem od zapoznania się z nimi przez sąd.

75.

Okoliczność, że Promusicae domaga się przekazania mu danych o ruchu w celu wszczęcia postępowania przeciwko poszczególnym użytkownikom, również nie stanowi podstawy zezwolenia na udostępnienie danych na podstawie art. 6 ust. 6 dyrektywy 2002/58.

76.

Wykładnia art. 6 ust. 6 dyrektywy 2002/58, zgodnie z którą sam cel wykorzystania danych o ruchu w postępowaniu sądowym uzasadniałby ich udostępnienie potencjalnemu przeciwnikowi procesowemu, byłaby — z uwagi na brak wystarczającego potwierdzenia w samej treści tego przepisu — niezgodna z zasadą przewidywalności prawa, która winna być przestrzegana w zakresie prawnego uzasadnienia ingerencji w sferę prywatną i w ochronę danych. W przypadku takiej wykładni, poza wyraźnie wymienionymi w art. 6 ust. 1 i stosunkowo jasno sformułowanymi odstępstwami przewidzianymi w art. 6 ust. 2, 3 i 5 oraz w art. 15 ust. 1, wprowadzono by nowe, praktycznie nieograniczone odstępstwo ( 38 ). Zgodnie z brzmieniem art. 6 tej dyrektywy użytkownik usług łączności elektronicznej nie musi się liczyć z takim odstępstwem.

77.

Odstępstwo to wykraczałoby bardzo daleko i mogłoby w konsekwencji zostać uznane za nieproporcjonalne w stosunku do zamierzonych celów. Użytkownik musiałby co do zasady stale — nie tylko przy naruszeniu praw autorskich — liczyć się z tym, że dotyczące go dane o ruchu mogą zostać przekazane osobom trzecim, które z jakiegoś powodu chcą wszcząć przeciwko niemu postępowanie sporne. Jest wykluczone, by tego rodzaju spory w każdym wypadku stanowiły nadrzędną potrzebę społeczną w rozumieniu orzecznictwa dotyczącego art. 8 EKPC ( 39 ).

78.

Analiza celu zachowywania danych o ruchu na podstawie art. 6 dyrektywy 2002/58 przemawia wręcz silniej za ograniczeniem ich udostępniania. Zgodnie z art. 6. ust. 1 lit. b) dyrektywy 95/46 jedynie określone, jednoznaczne i legalne cele uzasadniają ich gromadzenie i dalsze przetwarzanie. W przypadku danych o ruchu celami tymi na podstawie art. 6 dyrektywy 2002/58 jest utrzymanie sieci łączności, naliczanie opłat, za zgodą użytkowników wprowadzanie na rynek dodatkowych usług oraz — dalej wykraczające — przetwarzanie danych w celu obsługi klienta i wykrywania nadużyć finansowych we wcześniej ( 40 ) wskazanym już rozumieniu. Rozstrzyganie sporów nie stanowi samodzielnego celu gromadzenia danych o ruchu, a jedynie dopuszcza zapoznanie się z tymi danymi przez właściwe organy, tak więc może odnosić się jedynie do sporów związanych z określonymi wyżej celami zachowywania danych ( 41 ). Gromadzenie materiału dowodowego na cele postępowania spornego wszczętego przez osobę trzecią nie stanowi jednak uznanego celu zachowywania danych.

79.

W konsekwencji udostępnienie żądanych przez Promusicae danych nie może opierać się na art. 6 ust. 6 dyrektywy 2002/58.

c) W przedmiocie art. 15 ust. 1 dyrektywy 2002/58

80.

Również art. 15 ust. 1 dyrektywy 2002/58 pozwala na ograniczenie praw określonych w art. 6 ust. 1 tej dyrektywy. Ograniczenie to, zgodnie z art. 13 ust. 1 dyrektywy 95/46, musi być niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (np. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej.

81.

Hiszpania skorzystała z tego odstępstwa i w art. 12 ust. 1 Ley 34/2002 nałożyła na dostawców usług łączności elektronicznej obowiązek zachowywania danych o ruchu i danych dotyczących połączeń. Udostępnienie ich jest jednak wyraźnie ograniczone do przypadków dochodzenia karnego, ochrony bezpieczeństwa publicznego lub gdy narażone jest bezpieczeństwo narodowe. W innych przypadkach możliwość ich przekazania została wyraźnie wykluczona.

82.

Mogą nasuwać się pewne wątpliwości, czy zatrzymywanie danych o ruchu dotyczących wszystkich użytkowników — w pewnym sensie na zapas — jest zgodne z prawami podstawowymi ( 42 ), w szczególności gdy ma ono miejsce bez konkretnych podejrzeń ( 43 ). Ponieważ jednak hiszpańskie uregulowanie pozostaje w każdym razie w zgodzie z brzmieniem art. 15 ust. 1 dyrektywy 2002/58, przynajmniej na potrzeby niniejszej sprawy można uznać, że prewencyjne zatrzymywanie danych jest dopuszczalne. Odniesienie się do praw podstawowych wykraczałoby natomiast poza ramy określone rozpatrywanym tu wnioskiem o wydanie orzeczenia prejudycjalnego, ponieważ nie dotyczy on ważności art. 15 ust. 1 dyrektywy 2002/58 ( 44 ). Być może kwestia ta zostanie poruszona w przyszłości przy okazji rozpatrywania dyrektywy 2006/24, która wprowadza wspólnotowy obowiązek prawny prewencyjnego zatrzymywania danych ( 45 ). Jeżeli jednak Trybunał pragnie rozpatrzyć zagadnienie dopuszczalności prewencyjnego zatrzymywania danych już przy okazji niniejszego postępowania, traktując je jako kwestię wstępną, to należałoby z pewnością otworzyć procedurę ustną na nowo, aby umożliwić stronom przedstawienie uwag zgodnie z art. 23 statutu Trybunału.

83.

Kwestię centralną stanowi tutaj jednak to, czy art. 15 ust. 1 dyrektywy 2002/58 dopuszcza przekazanie żądanych przez Promusicae — prewencyjnie zachowanych — danych. Gdyby z punktu widzenia prawa ochrony danych udostępnienie to było dozwolone, to należałoby następnie zbadać, czy wskazane przez sąd krajowy dyrektywy i chroniona w ich ramach własność podmiotów praw autorskich wymagają, by z takiej możliwości należało skorzystać. W takim przypadku hiszpańskie sądy byłyby zobowiązane wykorzystać ewentualny margines swobody interpretacyjnej, by umożliwić to przekazanie ( 46 ).

84.

Artykuł 15 ust. 1 dyrektywy 2002/58 ustanawia wyraźnie dwa rodzaje odstępstw, a mianowicie, z jednej strony, w czterech pierwszych przypadkach — bezpieczeństwo narodowe (np. bezpieczeństwo państwa), obronność, bezpieczeństwo publiczne oraz zapobieganie, dochodzenie, wykrywanie i karanie przestępstw kryminalnych i z drugiej strony, w piątym przypadku — niedozwolone używanie systemów łączności elektronicznej. Ponadto art. 15 ust. 1 dyrektywy 2002/58 odsyła do art. 13 ust. 1 dyrektywy 95/46, który zawiera dalsze podstawy wprowadzenia odstępstw.

W przedmiocie art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 13 ust. 1 lit. g) dyrektywy 95/46

85.

Możliwość przekazania danych mogłaby w pierwszej kolejności wynikać z powiązanych przepisów art. 15 ust. 1 dyrektywy 2002/58 i art. 13 ust. 1 lit. g) dyrektywy 95/46. Artykuł 13 ust. 1 lit. g) dyrektywy 95/46 zezwala na udostępnienie danych osobowych w celu ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób. W przeciwieństwie do innych podstaw wprowadzenia odstępstw zawartych w art. 13 ust. 1 dyrektywy 95/46, art. 15 ust. 1 dyrektywy 2002/58 nie przejął wyraźnie tej podstawy, jednak dopuścił — w niemieckiej wersji językowej — pewne ograniczenia „zgodnie z art. 13 ust. 1 dyrektywy 95/46”[nieoficjalne tłumaczenie wersji niemieckiej].

86.

Gdyby rozpatrywać ten fragment przepisu poza kontekstem, można by było uznać go za odesłanie do wszystkich podstaw wprowadzenia odstępstw wymienionych w art. 13 ust. 1 dyrektywy 95/46 ( 47 ). Przeciwko takiej wykładni przemawia jednak już to, że art. 15 ust. 1 dyrektywy 2002/58 sam nazywa podstawy wprowadzenia odstępstw, które umożliwiają ograniczenie „zgodnie z art. 13 ust. 1 dyrektywy 95/46”. Podstawy te odpowiadają jedynie w części podstawom wymienionym w art. 13 ust. 1 dyrektywy 95/46 i nie obejmują zawartego pod literą g) odstępstwa dotyczącego praw innych osób. Z tego względu zawarte w art. 13 ust. 1 dyrektywy 95/46 podstawy obowiązują w sektorze łączności elektronicznej tylko w takim zakresie, w jakim zostały one wyraźnie przejęte w art. 15 ust. 1 dyrektywy 2002/58.

87.

Jeszcze wyraźniej uregulowanie to wynika z innych wersji językowych niż niemiecka. Zamiast dwuznacznego w niemieckim słowa „gemäß” użyto sformułowania „jak określono w art. 13 ust. 1 dyrektywy 95/46” [w polskiej wersji językowej] ( 48 ). Jest to wynikiem świadomej decyzji podjętej w ramach procesu legislacyjnego. Jak wskazała Komisja, przy pierwszym wprowadzeniu tego uregulowania w dyrektywie 97/66 Rada odmówiła całościowego przejęcia podstaw wprowadzenia odstępstw z art. 13 ust. 1 dyrektywy 95/46 i zamiast tego opowiedziała się za obecnym odmiennym uregulowaniem ( 49 ).

88.

Za takim wnioskiem przemawia również szczegółowy charakter art. 15 ust. 1 dyrektywy 2002/58 w stosunku do art. 13 ust. 1 dyrektywy 95/46 ( 50 ). Ten ostatni obowiązuje w odniesieniu do wszystkich danych osobowych niezależnie od tego, w jakim kontekście zostały zgromadzone. Został on zatem sformułowany stosunkowo ogólnie, ponieważ winien znajdować zastosowanie w wielu różnych sytuacjach ( 51 ). Natomiast pierwszy z tych przepisów odnosi się konkretnie do danych osobowych, które są gromadzone w sektorze łączności elektronicznej, i opiera się zatem na porównywalnie bardziej precyzyjnych szacunkach co do tego, jak dalece udostępnienie danych osobowych dotyczących ruchu ingeruje w podstawowe prawo do ochrony danych.

89.

W konsekwencji ochrona praw i wolności innych osób, o której mowa w art. 13 ust. 1 lit. g) dyrektywy 95/46, nie uzasadnia przekazania danych osobowych dotyczących ruchu.

W przedmiocie niedozwolonego użycia systemów łączności elektronicznej

90.

Należy następnie zbadać, czy przekazanie danych może uzasadniać wymieniona w art. 15 ust. 1 dyrektywy 2002/58 piąta alternatywa dotycząca niedozwolonego używania systemów łączności elektronicznej.

91.

Pojęcie niedozwolonego używania systemów łączności elektronicznej dopuszcza zasadniczo dwie interpretacje rozpatrywanych tu zachowań, a mianowicie używanie w niedozwolonych celach oraz używanie niezgodne z systemem. Niedopuszczalnym celem może z pewnością być również naruszenie praw autorskich. Dopuszczając się jednak takiego naruszenia, można używać systemu łączności zgodnie z jego przeznaczeniem, a mianowicie w celu ściągnięcia danych z komputerów innych osób połączonych z Internetem. Nie trzeba przy tym manipulować systemem — niezgodnie z nim — poprzez dorobienie hasła do obcych komputerów lub podanie fałszywej tożsamości ( 52 ).

92.

Zdaniem Komisji art. 15 ust. 1 dyrektywy 2002/58 dotyczy używania niezgodnego z systemem, które zagraża integralności i bezpieczeństwu systemów łączności elektronicznej. Wynika to również z historii powstania tego przepisu, ponieważ pojęcie to zostało wprowadzone w dyrektywie 97/66 w odniesieniu do zapewnienia prawidłowego używania częstotliwości.

93.

Ta ścisła wykładnia pojęcia niedozwolonego używania odpowiada również chronionej na mocy art. 5 dyrektywy 202/58 poufności komunikacji. Używanie w niedozwolonych celach można zazwyczaj stwierdzić jedynie poprzez zapoznanie się z treścią komunikatu.

94.

Wprawdzie art. 15 ust. 1 dyrektywy 2002/58 dopuszcza również odstępstwa od poufności komunikacji, jednak w takim przypadku pozostałe, wyraźnie nazwane podstawy wprowadzenia odstępstw stałyby się zbędne i zostałyby w dużym stopniu pozbawione swej praktycznej skuteczności, ponieważ zagrożenie bezpieczeństwa narodowego, obronności, bezpieczeństwa publicznego oraz przestępstwa kryminalne popełnione za pomocą systemów łączności elektronicznej wiążą się zwykle z niedozwolonymi celami.

95.

Jednocześnie tak szeroko sformułowane odstępstwo dotyczące komunikacji w niedozwolonych celach stałoby się w ramach jego stosowania praktycznie nieprzejrzyste i w dużym stopniu pozbawiłoby treści prawo do ochrony danych osobowych dotyczących ruchu.

96.

Już sama liczba niedozwolonych z punktu widzenia prawa karnego operacji w zakresie komunikacji jest stosunkowo wysoka. Ponadto komunikacja może również pozostawać w konflikcie z obowiązkami wynikającymi z innych określonych stosunków prawnych, które nie podlegają sankcjom z zakresu prawa karnego, na przykład obowiązki wynikające ze stosunku pracy lub obowiązki rodzinne. W takim przypadku istniałaby nawet możliwość, że dostawca usług łączności elektronicznej mógłby nie wyrazić zgody na dostęp do niektórych stron lub na ich rozpowszechnianie. Trudno jest określić, które z tych stosunków prawnych uzasadniałyby zachowywanie i przekazywanie danych o ruchu czy też nawet nadzorowanie treści komunikatu. Z tego powodu tak szeroko rozumianej podstawy wprowadzenia odstępstwa nie da się pogodzić z wymogiem przewidywalności prawa.

97.

Do tego dochodzi ponadto okoliczność, że tak szeroka wykładnia w dużym stopniu ograniczyłaby ochronę danych osobowych dotyczących ruchu, jak również ochronę poufności komunikacji. Aby móc przekonać się, czy systemy łączności elektronicznej są używane w niedozwolonych celach, należałoby zachować całość komunikatu i dokonać pogłębionej analizy jego treści. Obywatel „ze szkła” stałby się w takim przypadku rzeczywistością.

98.

A zatem należy przychylić się do wykładni dokonanej przez Komisję. W konsekwencji niedozwolone używanie systemów łączności elektronicznej obejmuje wyłącznie używanie niezgodne z samym systemem, a nie używanie w niedozwolonych celach.

W przedmiocie czterech pierwszych przypadków podstaw wprowadzenia odstępstw wymienionych w art. 15 ust. 1 dyrektywy 2002/58

99.

Jako możliwe podstawy udostępnienia danych o ruchu pozostają jeszcze cztery pierwsze przypadki art. 15 ust. 1 dyrektywy 2002/58, a w szczególności zapobieganie, dochodzenie, wykrywanie i karanie przestępstw kryminalnych oraz bezpieczeństwo publiczne.

100.

Pierwsze cztery przypadki art. 15 ust. 1 dyrektywy 2002/58 zostały wymienione w motywie jedenastym tej dyrektywy, zgodnie z którym dyrektywa ta nie odnosi się do kwestii, które nie są regulowane prawem wspólnotowym, tak więc nie zmienia istniejącej równowagi między prawem do prywatności osoby fizycznej a przysługującą państwom członkowskim możliwością podejmowania środków, określonych w art. 15 ust. 1 tej dyrektywy, niezbędnych do ochrony bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając gospodarczy dobrobyt państwa, gdy działania dotyczą zagadnień bezpieczeństwa państwa) i stosowania prawa karnego.

101.

Trybunał orzekł już w przeszłości, że omawiane tu działania stanowią działalność właściwą państwom i władzom państwowym ( 53 ). O ile władze publiczne mogą zobowiązać podmioty prywatne do współpracy ( 54 ), o tyle dochodzenie naruszeń prawa przez podmioty prywatne z własnej inicjatywy nie jest objęte tym odstępstwem. Już z tego powodu pierwsze cztery przypadki wymienione w art. 15 ust. 1 dyrektywy 2002/58 mogą uzasadniać wyłącznie udostępnienie danych władzom publicznym, a nie bezpośrednie przekazanie danych o ruchu na rzecz Promusicae ( 55 ).

102.

Czy w niniejszej sprawie udostępnienie danych władzom publicznym na podstawie przypadku czwartego przewidzianego w art. 15 ust. 1 dyrektywy 2002/58, czyli w celu zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych, byłoby możliwe, jest równie wątpliwe. Jak słusznie wskazuje Komisja, dla udostępnienia żądanych danych konieczne byłoby jednoczesne uznanie utrzymywanych przez Promusicae naruszeń praw autorskich za przestępstwo.

103.

Sankcja karna nie jest w prawie wspólnotowym wyłączona, ponieważ — jak to można zobaczyć w art. 8 ust. 1 dyrektywy 2001/29 i art. 16 dyrektywy 2004/48 — ustawodawca krajowy winien ustalić, czy i w jakiej formie naruszenia praw autorskich winny być karane. A zatem może on poddać karze naruszenie praw autorskich poprzez filesharing. Zgodnie z informacjami przekazanymi przez sąd krajowy, w Hiszpanii karalność tego typu czynów jest zależna od tego, by zostały one popełnione w celach zarobkowych ( 56 ). Do tej pory nie przedstawiono jednak jakichkolwiek dowodów, które mogłyby wskazywać na istnienie takiego celu.

104.

Należy jeszcze rozważyć trzeci przypadek odstępstw wymienionych w art. 15 ust. 1 dyrektywy 2002/58, a mianowicie kwestię zapewnienia bezpieczeństwa publicznego. Zgodnie z utrwalonym orzecznictwem dotyczącym swobód podstawowych na publiczne porządek i bezpieczeństwo można powołać się tylko wtedy, gdy istnieje rzeczywiste i dostatecznie poważne zagrożenie podstawowego interesu społeczeństwa ( 57 ).

105.

Ochrona praw autorskich leży w interesie społeczeństwa, którego znaczenie wielokrotnie podkreślała zwłaszcza Wspólnota. Z tego względu cel ten może zostać uznany za podstawowy interes społeczeństwa, nawet jeżeli interes podmiotu prawa ma w pierwszym rzędzie nie charakter publiczny, tylko prywatny. Ponadto niezgodne z prawem filesharing zagraża ochronie praw autorskich w sposób faktyczny.

106.

Nie jest jednak pewne, czy wymiana folderów między podmiotami prywatnymi, w szczególności gdy nie odbywa się ona w celach zarobkowych, zagraża ochronie praw autorskich na tyle poważnie, by uzasadnić zastosowanie tego odstępstwa. Zakres szkody wyrządzonej w następstwie wymiany folderów między podmiotami prywatnymi stanowi bowiem kwestię wzbudzającą kontrowersje ( 58 ).

107.

Ocenę tego zagadnienia należy pozostawić prawodawcy, z zastrzeżeniem możliwości dokonania przez Trybunał kontroli. W szczególności państwa członkowskie dokonałyby tego typu oceny, gdyby ustanowiły karalność naruszenia praw autorskich poprzez wymianę folderów między podmiotami prywatnymi, jednak w takim wypadku zastosowanie znalazłby czwarty przypadek dyrektywy 2002/58, bez potrzeby odniesienia się do bezpieczeństwa publicznego.

108.

Karalność byłaby wprawdzie istotną wskazówką dostatecznie poważnego charakteru zagrożenia ochrony praw autorskich, jednak prawo karne nie jest bezwzględnie jedyną formą, w jakiej prawodawca może wyrazić swoją dezaprobatę. Może on wprowadzić w życie swą ocenę poprzez dopuszczenie udostępnienia danych w celu umożliwienia cywilnoprawnego dochodzenia roszczeń. Warunkiem takiego uregulowania pozostaje jednak to, by ochrona danych nie została ograniczona z uwagi na naruszenia, których szkodliwość jest znikoma.

109.

Na podstawie zasady przewidywalności prawa i zasady prawa ochrony danych, zgodnie z którymi wszelkie środki winny być zgodne z zamierzonymi celami, taka regulacja dotycząca tego, że gromadzenie i udostępnienie danych osobowych dotyczących ruchu przez dostawcę usług łączności elektronicznej następuje również na potrzeby ochrony praw autorskich, musi zostać sformułowana w sposób wystarczająco jasny. Jako że opiera się ona na przypadku trzecim przewidzianym w art. 15 ust. 1 dyrektywy 2002/58, należałoby także wziąć pod uwagę, że ochrona bezpieczeństwa publicznego jest zadaniem władz publicznych i w związku z tym przekazanie danych prywatnym podmiotom praw nie może odbywać się bez udziału tych władz, których przykład mogą stanowić sądy czy organy o kompetencjach kontrolnych w zakresie prawa ochrony danych osobowych.

110.

Prawodawca wspólnotowy nie rozstrzygnął jednak do dnia dzisiejszego kwestii ograniczenia ochrony danych w celu dochodzenia naruszeń praw autorskich. W szczególności nie są tu rozstrzygające dyrektywy wskazane przez sąd krajowy, gdyż jak już stwierdzono powyżej ( 59 ), nie wpływają one na ochronę danych. Dotyczy to w szczególności prawa do informacji na podstawie art. 8 dyrektywy 2004/48, którym mogłoby zostać objęte również podanie do publicznej wiadomości tożsamości użytkowników Internetu. Zgodnie z art. 8 ust. 3 lit. e) tej dyrektywy przepis ten stosuje się bez uszczerbku dla innych przepisów ustawowych, które zarządzają ochroną poufności źródeł informacji lub przetwarzania danych osobowych.

111.

A zatem wywiedzenie z tych dyrektyw niezawartego w nich wyraźnie przepisu celowego dotyczącego zachowywania danych o ruchu nie byłoby zgodne z wymogiem przewidywalności prawa, który został ustanowiony w art. 6 ust. 1 lit. b) dyrektywy 95/46 ( 60 ). Dyrektywy te nie zawierają również jakiejkolwiek wskazówki dotyczącej udziału władz publicznych w przekazaniu danych osobowych dotyczących ruchu prywatnym podmiotom praw.

112.

Na obecnym etapie rozwoju prawa wspólnotowego państwa członkowskie mogą jednak na podstawie przypadków trzeciego i czwartego art. 15 ust. 1 dyrektywy 2002/58 przewidzieć, by dane osobowe dotyczące ruchu mogły być przekazywane władzom publicznym, tak aby umożliwić dochodzenie naruszeń praw autorskich zarówno z punktu widzenia prawa karnego, jak i prawa cywilnego.

113.

W stosunku do bezpośredniego przekazania danych osobowych dotyczących ruchu podmiotowi naruszonego prawa takie rozwiązanie stanowiłoby w omawianej tutaj sytuacji łagodniejszy środek, który gwarantowałby, że udostępnienie danych pozostanie proporcjonalne względem chronionych pozycji prawnych.

114.

Pośrednictwo władz publicznych stanowi środek łagodniejszy dlatego, że są one — w przeciwieństwie do podmiotów prywatnych — bezpośrednio związane prawami podstawowymi. Muszą one działać w szczególności w poszanowaniu gwarancji procesowych. Ponadto biorą one zwykle pod uwagę również takie okoliczności, które mogą zwolnić z odpowiedzialności użytkownika podejrzanego o popełnienie naruszenia.

115.

W istocie z okoliczności, że przy użyciu danego adresu IP o określonej porze zostały naruszone prawa autorskie, nie wynika jeszcze bezwzględnie, że czyn ten został popełniony przez właściciela łącza, któremu przypisano w danym momencie ten adres. Należy dopuścić możliwość, że inna osoba korzystała z jego łącza lub komputera. Do takiej sytuacji może dojść również bez jego wiedzy, gdy na przykład używa on sieci lokalnej, która nie jest wystarczająco zabezpieczona przed podłączeniem przez kabel ( 61 ), lub gdy jego komputer został „przejęty” przez osobę trzecią przy użyciu Internetu.

116.

Podmioty praw autorskich nie będą miały — w przeciwieństwie do władz publicznych — interesu w uwzględnieniu takich okoliczności lub w dążeniu do ich wyjaśnienia.

117.

Pośrednictwo władz publicznych pozwala także na zapewnienie bardziej proporcjonalnego charakteru przekazania danych osobowych dotyczących ruchu.

118.

Prawodawca może przewidzieć ich interwencję jedynie w przypadkach, gdy istnieją wystarczająco zasadne podejrzenia co do zaistnienia naruszenia. W tym zakresie dysponuje on szerokim zakresem swobodnego uznania i możliwości kształtowania prawa. Wprawdzie określone w art. 8 ust. 1 dyrektywy 2001/29 i w art. 16 dyrektywy 2004/48 sankcje muszą być skuteczne, proporcjonalne i odstraszające, niemniej należy również mieć na uwadze wagę naruszeń praw autorskich, których się dopuszczono.

119.

W konsekwencji możliwość udostępnienia danych osobowych dotyczących ruchu może zostać ograniczona do szczególnie poważnych przypadków — takich jak czyny popełnione w celach zarobkowych, czyli niezgodne z prawem korzystanie z chronionych utworów, które w istotnym stopniu ogranicza możliwość ich gospodarczego wykorzystania przez podmiot praw autorskich. Również motyw dziewiąty dyrektywy 2004/48 wskazuje na to, że dochodzenie praw autorskich względem naruszeń popełnianych w Internecie powinno być skierowane szczególnie przeciwko poważnym naruszeniom. Zjednoczone Królestwo słusznie utrzymywało, że w motywie tym wymieniono dystrybucję pirackich produktów w Internecie, jednak dokonano tego w kontekście działalności przestępczości zorganizowanej.

120.

Podstawowe prawa do własności i do skutecznej ochrony sądowej nie podważają tej oceny proporcjonalności. Prawa podstawowe z pewnością przyznają podmiotom praw autorskich prawo odwołania się do sądu w przypadku naruszenia ich praw autorskich. Jednak niniejsza sprawa — inaczej niż sprawa Moldovan i in. przeciwko Rumunii ( 62 ), na którą powołała się Promusicae — nie dotyczy samej kwestii przyznania prawa do sądu, tylko środka pozostawionego do dyspozycji podmiotów praw w celu dowiedzenia zaistnienia naruszenia.

121.

W tym zakresie ciążący na państwie obowiązek ochrony podmiotów praw autorskich nie wykracza tak dalece, by zobowiązać je do udostępnienia tym podmiotom nieograniczonych środków śledczych w zakresie naruszeń ich praw. Przeciwnie, nic nie stoi na przeszkodzie temu, by określone prawa śledcze zostały zastrzeżone dla organów publicznych czy też w ogóle nie zostały pozostawione do dyspozycji.

5. W przedmiocie dyrektywy 2006/24

122.

Dyrektywa 2006/24 nie prowadzi w niniejszej sprawie do odmiennych wniosków. Wprawdzie zgodnie z nią art. 15 ust. 1 dyrektywy 2002/58 nie ma zastosowania do danych zatrzymywanych prewencyjnie na podstawie dyrektywy 2006/24, jednak sporne w niniejszym przypadku dane nie zostały zachowane na podstawie tej nowej dyrektywy. Jak wskazało Promusicae, dyrektywa ta nie znajduje zastosowania ratione temporis.

123.

Jednak nawet gdyby dyrektywa 2006/24 znajdowała zastosowanie, bezpośrednie udostępnienie danych o ruchu o charakterze osobowym też nie byłoby możliwe. Zgodnie z art. 1 tej dyrektywy zatrzymywanie danych ma na celu umożliwienie dochodzenia, wykrywania i ścigania poważnych przestępstw. W konsekwencji na podstawie art. 4 tej dyrektywy dane te są udostępniane jedynie właściwym organom krajowym.

124.

Jeżeli dyrektywa 2006/24 w ogóle może dostarczyć jakiejkolwiek wskazówki w niniejszej sprawie, to stanowi ją dokonana przez prawodawcę wspólnotowego ocena w zakresie wartości, zgodnie z którą do tej pory jedynie poważna przestępczość stanowi podstawę do zatrzymywania i wykorzystania danych o ruchu na skalę wspólnotową.

6. Wnioski dotyczące ochrony danych

125.

A zatem w świetle dyrektywy 2002/58 wykluczenie przez państwo członkowskie możliwości udostępnienia danych osobowych dotyczących ruchu do celów cywilnoprawnego dochodzenia roszczeń z tytułu naruszeń praw autorskich jest zgodne z prawem wspólnotowym, a w szczególności z dyrektywą 2000/31, dyrektywą 2001/29 i dyrektywą 2004/48.

126.

W przypadku gdyby Wspólnota uznała za konieczne rozszerzenie ochrony dla podmiotów praw autorskich, wymagałoby to zmiany przepisów dotyczących ochrony danych. Dotychczas prawodawca nie podjął jednak w tym kierunku żadnych kroków. Przeciwnie, przy okazji przyjęcia dyrektyw 2000/31, 2001/29 i 2004/48 utrzymał on w mocy przepisy dotyczące ochrony danych, nie wprowadzając do nich żadnych zmian. Podobnie, przyjmując dyrektywy 2002/58 i 2006/24, które specyficznie dotyczą tej dziedziny, nie uznał on za konieczne wprowadzenia ograniczeń ochrony danych na korzyść ochrony własności intelektualnej.

127.

Dyrektywa 2006/24 mogłaby raczej prowadzić do wzmocnienia wspólnotowoprawnej ochrony danych w odniesieniu do sporów dotyczących naruszeń praw autorskich. W istocie nawet w kontekście postępowania karnego nasuwa się pytanie, w jakim zakresie wspólnotowe podstawowe prawo do ochrony danych dopuszcza umożliwienie podmiotom, których prawa zostały naruszone, zapoznania się z wynikami śledztwa uzyskanymi na podstawie danych o ruchu, które zostały zatrzymane na mocy dyrektywy 2006/24. Do dnia dzisiejszego kwestia ta nie została poruszona w prawie wspólnotowym, ponieważ dyrektywy dotyczące ochrony danych nie mają zastosowania do ścigania przestępstw ( 63 ).

V — Wnioski

128.

Proponuję zatem, by Trybunał odpowiedział na pytanie prejudycjalne w następujący sposób:

Wykluczenie przez państwo członkowskie możliwości udostępnienia danych osobowych dotyczących ruchu do celów cywilnoprawnego dochodzenia roszczeń z tytułu naruszeń praw autorskich jest zgodne z prawem wspólnotowym.


( 1 ) Język oryginału: niemiecki.

( 2 ) Dz.U. L 178, s. 1

( 3 ) Chodzi tutaj o dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dz.U. L 281, s. 31, i dyrektywę 97/66/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r. w sprawie przetwarzania danych osobowych i ochrony prywatności w sektorze telekomunikacyjnym, Dz.U. 1998, L 24, s. 1.

( 4 ) Dz.U. L 167, s. 10.

( 5 ) Dz.U. L 157, s. 45; wykorzystana tu wersja jest wersją sprostowaną opublikowaną w Dz.U. L 195, s. 16.

( 6 ) Dz.U. L 201, s. 37.

( 7 ) Dz.U. L 281, s. 31.

( 8 ) Z dokumentami grupy roboczej ds. ochrony danych można zapoznać się pod adresem http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_de.htm.

( 9 ) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. 2001, L 8, s. 1).

( 10 ) Dz.U. L 105, s. 54.

( 11 ) Powołuje się on przy tym na wydany przez Fiscalía General del Estado Circular 1/2006, 5 de mayo de 2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003, http://www.fiscal.es/csblob/CIRCULAR%201-2006.doc?blobcol=urldata&blobheader=application%2Fmsword&blobkey=id&blobtable=MungoBlobs&blobwhere=1109248064092&ssbinary=true, s. 37 i nast.

( 12 ) Zgodnie z www.dnsstuff.com.

( 13 ) Zobacz w tym zakresie komunikat Komisji do Rady i Parlamentu Europejskiego — Internet następnej generacji: priorytetowe zadania w zakresie przejścia na nowy protokół internetowy IPv6, COM (2002) 96.

( 14 ) Z technicznego punktu widzenia ukrycie własnego adresu IP również wydaje się możliwe. Odpowiednia usługa jest jednak odpłatna lub powolna. Zobacz w wikipedii hasło anonimowe P2P, http://en.wikipedia.org/wiki/Anonymous_p2p oraz, nieodnoszący się jeszcze do filesharing, dokument roboczy WP 37 grupy ds. ochrony danych z dnia 21 listopada 2000 r., sfera prywatna w Internecie, s. 86 i nast.

( 15 ) Zobacz powyżej pkt 22.

( 16 ) Zobacz wyroki: z dnia 16 marca 2006 r. w sprawie C-3/04 Poseidon Chartering, Zb.Orz. s. I-2505, pkt 14, z dnia 14 grudnia 2006 r. w sprawie C-217/05 Confederación Española de Epresarios de Estaciones de Servicios, Zb.Orz. s I-11987, pkt 17 oraz uwagi, które zawierają one w tym przedmiocie.

( 17 ) Wyroki: z dnia 5 października 2004 r. w sprawach połączonych od C-397/01 do C-403/01 Pfeiffer i in., Zb.Orz. s. I-8835, pkt 108; z dnia 3 maja 2005 r. w sprawach połączonych C-387/02, C-391/02 i C-403/02 Berlusconi i in., Zb.Orz. s. I-3565, pkt 73.

( 18 ) Zobacz wyrok z dnia 16 czerwca 2005 r. w sprawie C-105/03 Pupino, Zb.Orz. s. I-5285, pkt 31 i nast., a w szególności pkt 48.

( 19 ) Można porównać art. 9 ust. 3 lit. e) wniosku Komisji [KOM (2003) 46] z tym samym przepisem skonsolidowanego projektu Rady z dnia 19 grudnia 2003 r. (dokument Rady 16289/03) i z art. 8 ust. 3 lit. e) projektu z naniesionymi przez Parlament zmianami (Dz.U. C 102 E, s. 242 i nast.), który został przejęty przez Radę w niezmienionym brzmieniu.

( 20 ) Porozumienie w sprawie handlowych aspektów praw własności intelektualnej, stanowiące załącznik 1C do Porozumienia ustanawiającego Światową Organizację Handlu (WTO), które w imieniu Wspólnoty Europejskiej w dziedzinach wchodzących w zakres jej kompetencji zostało zatwierdzone decyzją Rady z dnia 22 grudnia 1994 r. (Dz.U. L 336, s. 1). TRIPS stanowi skrót od Agreement on Trade-Related Aspects of Intellectual Property Rights.

( 21 ) Artykuł 42 zdanie czwarte TRIPS w wersji niemieckiej może wprawdzie zostać (źle) zrozumiany w ten sposób, że skuteczna ochrona sądowa winna przewidywać udzielenie informacji poufnych, jednak ma on na celu — odwrotnie — umożliwienie ochrony poufnych informacji w postępowaniu sądowym, tam gdzie jest to dozwolone. Dużo wyraźniej jest to widoczne w wiążących wersjach językowych (angieskiej, francuskiej i hiszpańskiej). Zobacz również podobnie Daniel Gervais, The TRIPS Agreement, Drafting History and Analysis, Londyn 2003, s. 291.

( 22 ) Podobne stanowisko przyjęły Rada i Komisja w ramach porocedury prawodawczej dotyczącej dyrektywy 2004/48 (dokument Rady 6052/04 z dnia 9 lutego 2004 r., s. 6 i nast.).

( 23 ) Wyrok z dnia 20 maja 2003 r. w sprawach połączonych C-465/00, C-138/01 i C-139/01 Österreichischer Rundfunk i in., Rec. s. I-4989, pkt 73 i nast.

( 24 ) Dz.U. C 364, s. 1.

( 25 ) Wyżej wymieniony w przypisie 23 wyrok w sprawie Österreichischer Rundfunk i in., pkt 74.

( 26 ) Wyżej wymieniony w przypisie 23 wyrok w sprawie Österreichischer Rundfunk i in., pkt 76.

( 27 ) Wyżej wymieniony w przypisie 23 wyrok w sprawie Österreichischer Rundfunk i in., pkt 77; Trybunał odwołuje się tam do orzeczenia Europejskiego Trybunału Praw Człowieka.

( 28 ) Wyżej wymieniony w przypisie 23 wyrok w sprawie Österreichischer Rundfunk i in., pkt 80.

( 29 ) Wyżej wymieniony w przypisie 23 wyrok w sprawie Österreichischer Rundfunk i in., pkt 83, Trybunał odwołuje się tam do orzeczenia Europejskiego Trybunału Praw Człowieka.

( 30 ) Zobacz w odniesieniu do własności wyroki: z dnia 11 lipca 1989 r. w sprawie 265/87 Schräder, Rec. s. 2237, pkt 15; z dnia 28 kwietnia 1998 r. w sprawie C-200/96 Metronome Musik, Rec. s. I-1953, pkt 21; z dnia 6 grudnia 2005 r. w sprawach połączonych C-453/03, C-11/04, C-12/04 i C-194/04 ABNA i in., Zb.Orz. s. I-10423, pkt 87 oraz w odniesieniu do skutecznej ochrony sądowej wyroki: z dnia 15 maja 1986 r. w sprawie 222/84 Johnston, Rec. s. 1651, pkt 18 i 19; z dnia 15 października 1987 r. w sprawie 222/86 Heylens i in., Rec. s. 4097, pkt 14; z dnia 25 lipca 2002 r. w sprawie C-50/00 P Unión de Pequeños Agricultores przeciwko Radzie, Rec. s. I-6677, pkt 39; z dnia 13 marca 2007 r. w sprawie C-432/05 Unibet, Zb.Orz. s. I-2271, pkt 37.

( 31 ) W ten sposób już ww. w przypisie 30 wyrok w sprawie Metronome Musik, pkt 21 i 26 oraz niedawno wyrok ETPC z dnia 11 stycznia 2007 r. w sprawie Anheuser-Busch Inc. przeciwko Portugalii (skarga 73049/01, § 72).

( 32 ) Zobacz wyrok z dnia 6 listopada 2003 r. w sprawie C-101/01 Lindqvist, Rec. s. I-12971, pkt 87.

( 33 ) Zobacz ww. w przypisie 32 wyrok w sprawie Lindqvist, pkt 46 i nast.

( 34 ) Jeżeli chodzi o poufność połączeń telefonicznych, niemiecki Bundesverfassungsgericht w orzeczeniach z dnia 9 października 2002 r. (1 BvR 1611/96 i 1 BvR 805/98, BVerfGE 106, 28 [37], pkt 21 wersji zamieszczonej na www.bundesverfassungsgericht.de) i z dnia 27 października 2006 r. (12 BvR 1811/99, Multimedia und Recht 2007, 308, pkt 13 wersji zamieszczonej na www.bundesverfassungsgericht.de) zakłada wręcz isntienie ciążącego na państwie obowiązku ochrony. W niniejszej sprawie nie ma jednak potrzeby rozstrzygać, czy związane z prawem ochrony danych obowiązki podmiotów prywatnych również w prawie wspólnotowym opierają się na ciążącym na Wspólnocie obowiązku ochrony.

( 35 ) Dyrektywa 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa) (Dz.U. L 108, s. 33).

( 36 ) Poza kwestią tego, w jakim zakresie każdorazowi posiadacze adresów IP mogą zostać identyfikowani z uwagi na fakt, że usługodawca w zakresie dostępu do Internetu zarejestrował fakt przyznania im takich adresów, mamy tu ponadto do czynienia — już przy przechwyceniu adresów IP przez Promusicae — z przetwarzaniem danych osobowych, które powinny spełniać wymogi ochrony danych; zob. wyrok Rechtbank Utrecht z dnia 12 lipca 2005 r., Brein (194741/KGZA 05-462, Załącznik 5 do pisma procesowego zawierającego uwagi Promusicae, pkt 4.24 i nast.), dokument roboczy WP 104 grupy ds. ochrony danych z dnia 18 stycznia 2005 r. Kwestie ochrony danych w związku z prawami własności intelektualnej, s. 4, oraz zgodnie z prawem francuskim decyzje (Délibérations) Commission nationale de l'informatique et des libertes (CNIL) 2005-235 z dnia 18 października 2005 r. i 2006-294 z dnia 21 grudnia 2006 r. (zamieszczone: http://www.legifrance.gouv.fr/WAspad/RechercheExperteCnil.jsp). W rejestrze czynności przetwarzania prowadzonym przez Agencia Española de Protección de Datos, https://www.agpd.es/index.php?idSeccion=100, znajduje się właściwe zgłoszenie Promusicae.

( 37 ) Zobacz podobnie pkt 2.8. stanowiska grupy ds. ochrony danych w przedmiocie ruchu danych do celów naliczania opłat, WP 69 z dnia 29 stycznia 2003 r.

( 38 ) W kwestii wykładni art. 6 ust. 4 dyrektywy 97/66 zobacz moją opinię z dnia 29 stycznia 2004 r. w sprawie C-350/02 Komisja przeciwko Niderlandom, Rec. s. I-6213, pkt 71.

( 39 ) Zobacz powyżej pkt 54.

( 40 ) Zobacz powyżej pkt 72.

( 41 ) W tym zakresie nie należy nazbyt rozszerzająco interpretować dokonanej przeze mnie w innym kontekście wypowiedzi „różnorodność stanów faktycznych” zawartej w opinii w sprawie Komisja przeciwko Niderlandom (ww. w przypisie 38, pkt 81).

( 42 ) Zobacz stanowisko europejskiego inspektora danych osobowych w przedmiocie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej, zmieniającej dyrektywę 2002/58/WE [COM(2005) 438 wersja ostateczna], Dz.U. 2005, C 298, s. 1, oraz stanowiska grupy ds. ochrony danych osobowych z dnia 21 października 2005 r., 4/2005 w przedmiocie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej, zmieniającej dyrektywę 2002/58/WE [COM(2005) 438 wersja ostateczna z dnia 21 września 2005 r.] oraz z dnia 25 marca 2006 r., 3/2006 w przedmiocie dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE.

( 43 ) Niemiecki Bundesverfassungsgericht uważa, że takie ingerencje w sferę prywatną są szczególnie poważne, ponieważ dana osoba nie daje żadnych powodów do podjęcia takiej ingerencji i nawet w przypadku zachowania zgodnego z prawem może zostać zastraszona z uwagi na ryzyko nadużyć i poczucie bycia kontrolowanym; zob. orzeczenie z dnia 4 kwietnia 2006 r. w sprawie metod wyszukiwania przestępców za pomocą baz danych (1 BvR 518/02, Neue Juristische Wochenschrift 2006, 1939 [1944], pkt 117 wersji zamieszczonej na www.bundesverfassungsgericht.de).

( 44 ) Zobacz wyrok z dnia 11 listopada 1997 r. w sprawie C-408/95 Eurotunnel i in., Rec. s. I-6315, pkt 33 i nast.

( 45 ) Obecnie przed Trybunałem toczy się postępowanie Irlandia przeciwko Radzie i Parlamentowi, sprawa C-301/06, Dz.U. C 237, s. 5. Irlandia wnosi o stwierdzenie nieważności dyrektywy 2006/24 z uwagi na przyjęcie błędnej podstawy prawnej. Natomiast w skardze tej nie poruszono zagdanienia, czy prewencyjne zachowywanie danych jest zgodne z prawami podstawowymi.

( 46 ) Zobacz ww. w przypisie 32 wyrok w sprawie Lindqvist, pkt 87.

( 47 ) Na przykład Christian Cychowski w „Auskunftsansprüche gegenüber Internetzugangsprovidern »vor« dem 2. Korb und »nach« der Enforcement-Richtlinie der EU”, Multimedia und Recht 2004, s. 514 (517 i nast.), uważa, że niemiecka transpozycja tej zasady derogacyjnej umożliwia udostępnianie podmiotom praw autorskich danych o ruchu dotyczących osób, które naruszyły te prawa.

( 48 ) Francuska wersja językowa używa sformułowania „comme le prévoit l'article 13, paragraphe 1, de la directive 95/46/CE”, angielska „as referred to in Article 13(1) of Directive 95/46/EC” i hiszpańska „a que se hace referencia en el apartado 1 del artículo 13 de la Directiva 95/46/CE”, każdorazowo po wymienieniu poszczególnych dopuszczalnych względów uzasadniających.

( 49 ) Zobacz przypis 6 uwag Komisji.

( 50 ) Ulrich Sieber i Frank Michael Höfiger „Drittauskunftsansprüche nach § 101a UrhG gegen Internetprovider zur Verfolgung von Urheberrechtsverletzungen”, Multimedia und Recht 2004, s. 575 (582) oraz Gerald Spindler i Joachim Dorschel „Auskunftsansprüche gegen Internet-Service-Provider”, Computer und Recht 2005, s. 38 (45 i nast.).

( 51 ) Zobacz podobnie ww. w przypisie 32 wyrok w sprawie Lindqvist, pkt 83.

( 52 ) Niezgodne z systemem używanie stanowią zwykle czyny, które podlegają karze na podstawie decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne (Dz.U. L 69, s. 67).

( 53 ) Wyżej wymieniony w przypisie 32 wyrok w sprawie Lindqvist, pkt 43.

( 54 ) Wyrok z dnia 30 maja 2006 r. w sprawach połączonych C-317/04 i C-318/04 Parlament przeciwko Radzie i Parlament przeciwko Komisji, Zb.Orz. s. I-4721, pkt 58.

( 55 ) Zgodnie z informacjami udzielonymi przez Promusicae, wniosek, do którego doszliśmy w odniesieniu do trzeciego i czwartego przypadku art. 15. ust. 1 dyrektywy 2002/58, odpowiada stanom prawnym we Francji, we Włoszech i w Belgii, gdzie władze państwowe mogą domagać się udostępnienia im danych o ruchu o charakterze osobowym. Grupa ds. ochrony danych w dokumencie roboczym WP 104 (ww. w przypisie 36, s. 8) posuwa się nawet dalej i ogranicza możliwość udostępnienia danych wyłącznie na rzecz organów ścigania przestępstw: „Na podstawie zasady zgodności i w poszanowaniu zasady poufności — zasad ustanowionych w dyrektywach 2002/58/WE i 95/46/WE — dane gromadzone przez dostawców usług łączności elektronicznej nie mogą być udostępniane osobom trzecim, takim jak podmioty praw, z wyjątkiem organów ścigania przestępstw w przypadku zajścia oczywistych ustawowo określonych okoliczności”.

( 56 ) Zobacz powyżej pkt 28.

( 57 ) Zobacz na przykład wyroki: w odniesieniu do swobody przepływu osób — z dnia 29 kwietnia 2004 r. w sprawach połączonych C-482/01 i C-493/01 Orfanopoulos i Oliveri, Rec. s. I-5257, pkt 66); w odniesieniu do swobody przepływu kapitału — z dnia 14 marca 2000 r. w sprawie C-54/99 Église de scientologie, Rec. s. I-1335, pkt 17.

( 58 ) Zobacz sprawozdanie DSTI/ICCP/IE(2004)12/FINAL z dnia 13 grudnia 2005 r. (http://www.oecd.org/dataoecd/13/2/34995041.pdf, s. 76 i nast.) skierowany do grupy roboczej w zakresie zarządzania informacją Organizacji Współpracy Gospodarczej i Rozwoju (OECD).

( 59 ) Zobacz powyżej pkt 42 i nast.

( 60 ) Zobacz powyżej pkt 53.

( 61 ) Zobacz dokument roboczy International Working Group on Data Protection in Telecommunications z dnia 15 kwietnia 2004 r. w przedmiocie potencjalnych zagrożeń sieci bezprzewodowych, dostępny w językach angielskim i niemieckim pod adresem http://www.datenschutz-berlin.de/doc/int/iwgdpt/index.htm. Nach Stefan Dörhöfer: Empirische Untersuchungen zur WLAN-Sicherheit mittels Wardriving, zamieszczone pod adresem https://pi1-old.informatik.uni-mannheim.de:8443/pub/research/theses/diplomarbeit-2006-doerhoefer.pdf, s. 98, w chwili przeprowadzania tych badań w Niemczech około 23% wszystkich sieci w ogóle nie było zabezpieczonych, a około 60% było zabezpieczonych w niewystarczającym stopniu. W zakresie metod podłączenia do sieci, zob. Erik Teks, Ralf-Philipp Wienmann i AndreiPyshkin: Breaking 104 bit WEP in less than 60 seconds, http://eprint.iacr.org/2007/120.pdf

( 62 ) Wyrok ETPC z dnia 12 lipca 2005 r. (skargi 41138/98 i 64320/01, §§ 118 i nast.).

( 63 ) Zobacz ww. w przypisie 54 wyrok w sprawach połączonych Parlament przeciwko Radzie i Parlament przeciwko Komisji, pkt 58.