Právny rámec

Právo Únie

Všeobecná právna úprava týkajúca sa ochrany osobných údajov

– Smernica 95/46/EHS

– GDPR

Odvetvová právna úprava týkajúca sa ochrany osobných údajov

– Smernica 2002/58

– Smernica (EÚ) 2016/680

Právna úprava týkajúca sa ochrany práv duševného vlastníctva

Francúzske právo

CPI

Dekrét č. 2010‑236

Zákonník pôšt a elektronických komunikácií

Spor vo veci samej a prejudiciálne otázky

O prejudiciálnych otázkach

Úvodné pripomienky

O existencii odôvodnenia podľa článku 15 ods. 1 smernice 2002/58 pre prístup orgánu verejnej moci k údajom o totožnosti zodpovedajúcim IP adrese uchovávaným poskytovateľmi elektronických komunikačných služieb na účely boja proti porušovaniu práv, ku ktorému dochádza online

O požiadavkách spojených s uchovávaním údajov o totožnosti a zodpovedajúcich IP adries poskytovateľmi elektronických komunikačných služieb

O požiadavkách spojených s prístupom k údajom o totožnosti zodpovedajúcim IP adrese, ktoré uchovávajú poskytovatelia elektronických komunikačných služieb

O požiadavke preskúmania súdom alebo nezávislým správnym orgánom predtým, ako orgán verejnej moci získa prístup k údajom o totožnosti zodpovedajúcim IP adrese

O požiadavkách týkajúcich sa hmotnoprávnych a procesných podmienok, ako aj záruk proti rizikám zneužitia a proti akémukoľvek nezákonnému prístupu k týmto údajom a ich protiprávnemu používaniu, ktoré sa vzťahujú na prístup orgánu verejnej moci k údajom o totožnosti zodpovedajúcim IP adrese

O trovách

–

La Quadrature du Net, la Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network, v zastúpení: A. Fitzjean Ó Cobhthaigh, avocat,

–

francúzska vláda, v zastúpení: A. Daniel, A.‑L. Desjonquères a J. Illouz, splnomocnení zástupcovia,

–

dánska vláda, v zastúpení: J. F. Kronborg a V. Pasternak Jørgensen, splnomocnené zástupkyne,

–

estónska vláda, v zastúpení: M. Kriisa, splnomocnená zástupkyňa,

–

fínska vláda, v zastúpení: H. Leppo, splnomocnená zástupkyňa,

–

švédska vláda, v zastúpení: H. Shev, splnomocnená zástupkyňa,

–

nórska vláda, v zastúpení: F. Bergsjø, S.‑E. Dahl, J. T. Kaasin a M. P. Wennerås, splnomocnení zástupcovia,

–

Európska komisia, v zastúpení: S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal a F. Wilman, splnomocnení zástupcovia,

–

La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network, v zastúpení: A. Fitzjean Ó Cobhthaigh, avocat,

–

francúzska vláda, v zastúpení: R. Bénard, J. Illouz a T. Stéhelin, splnomocnení zástupcovia,

–

česká vláda, v zastúpení: T. Suchá a J. Vláčil, splnomocnení zástupcovia,

–

dánska vláda, v zastúpení: J. F. Kronborg a C. A.‑S. Maertens, splnomocnené zástupkyne,

–

estónska vláda, v zastúpení: M. Kriisa, splnomocnená zástupkyňa,

–

Írsko, v zastúpení: M. Browne, Chief State solicitor, A. Joyce a D. O’Reilly, splnomocnení zástupcovia, za právnej pomoci D. Fennelly, BL,

–

španielska vláda, v zastúpení: A. Gavela Llopis, splnomocnená zástupkyňa,

–

cyperská vláda, v zastúpení: I. Neophytou, splnomocnená zástupkyňa,

–

lotyšská vláda, v zastúpení: J. Davidoviča a K. Pommere, splnomocnené zástupkyne,

–

holandská vláda, v zastúpení: E. M. M. Besselink, M. K. Bultermann a A. Hanje, splnomocnené zástupkyne,

–

fínska vláda, v zastúpení: A. Laine a H. Leppo, splnomocnené zástupkyne,

–

švédska vláda, v zastúpení: F.‑D. Göransson a H. Shev, splnomocnené zástupkyne,

–

nórska vláda, v zastúpení: S.‑E. Dahl a M. P. Wennerås, splnomocnení zástupcovia,

–

Európska komisia, v zastúpení: S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal a F. Wilman, splnomocnení zástupcovia,

–

Európsky dozorný úradník pre ochranu údajov, v zastúpení: V. Bernardo, C.‑A. Marnier, D. Nardi a M. Pollmann, splnomocnení zástupcovia,

–

Agentúra Európskej únie pre kybernetickú bezpečnosť, v zastúpení: A. Bourka, splnomocnená zástupkyňa,

1

Návrh na začatie prejudiciálneho konania sa týka výkladu smernice 2002/58/ES Európskeho parlamentu a Rady z 12. júla 2002, týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách) (Ú. v. ES L 201, 2002, s. 37; Mim. vyd. 13/029, s. 514), zmenenej smernicou Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009 (Ú. v. EÚ L 337, 2009, s. 11) (ďalej len „smernica 2002/58“), v spojení s Chartou základných práv Európskej únie (ďalej len „Charta“).

2

Tento návrh bol podaný v rámci sporu medzi združeniami La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net a French Data Network na jednej strane a Premier ministre (predseda vlády, Francúzsko) a ministre de la Culture (minister kultúry, Francúzsko) na druhej strane vo veci zákonnosti décret no 2010‑236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331‑29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur internet“ (dekrét č. 2010‑236 z 5. marca 2010 o automatizovanom spracúvaní osobných údajov povolenom článkom L. 331‑29 Zákonníka duševného vlastníctva s názvom „Systém riadenia opatrení na ochranu diel na internete“) (JORF č. 56 zo 7. marca 2010, text č. 19) v znení décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (dekrét č. 2017‑924 zo 6. mája 2017 o správe autorských práv a s nimi súvisiacich práv organizáciou správy práv a o zmene Zákonníka duševného vlastníctva (JORF č. 109 z 10. mája 2017, text č. 176) (ďalej len „dekrét č. 2010‑236“).

3

Článok 7 smernice Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Ú. v. ES L 281, 1995, s. 31; Mim. vyd. 13/015, s. 355), ktorý sa nachádza v oddiele II s názvom „Kritériá na uzákonenie spracovania údajov“ kapitoly II tejto smernice, znel:

„Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:

…

4

Článok 13 ods. 1 uvedenej smernice stanovoval:

„Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv uvedených v článk[u] 6 ods. 1, v článku 10, [článku] 11 ods. 1 [a] v článkoch 12 a 21, keď takéto obmedzenie vytvára nevyhnutné opatrenia na zabezpečenie údajov o [na zabezpečenie – neoficiálny preklad]:

…

5

Článok 2 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 2016, s. 1, ďalej len „GDPR“), nazvaný „Vecná pôsobnosť“, v odsekoch 1 a 2 stanovuje:

„1.   Toto nariadenie sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie inými než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

2.   Toto nariadenie sa nevzťahuje na spracúvanie osobných údajov:

…

6

Článok 4 GDPR s názvom „Vymedzenie pojmov“ spresňuje:

„Na účely tohoto nariadenia:

…“

7

Článok 6 tohto nariadenia s názvom „Zákonnosť spracúvania“ v odseku 1 stanovuje:

„Spracúvanie je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

…

Písmeno f) prvého pododseku sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh.“

8

Článok 9 uvedeného nariadenia, nazvaný „Spracúvanie osobitných kategórií osobných údajov“, v odseku 2 písm. e) a f) stanovuje, že zákaz spracúvania určitých osobných údajov, ktoré odhaľujú najmä údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby, sa neuplatňuje, ak sa spracúvanie týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila, alebo je nevyhnutné okrem iného na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

9

Článok 23 GDPR s názvom „Obmedzenia“ v odseku 1 stanovuje:

„V práve Únie alebo práve členského štátu, ktorému prevádzkovateľ alebo sprostredkovateľ podliehajú, sa prostredníctvom legislatívneho opatrenia môže obmedziť rozsah povinností a práv ustanovených v článkoch 12 až 22 a v článku 34, ako aj v článku 5, pokiaľ jeho ustanovenia zodpovedajú právam a povinnostiam ustanoveným v článkoch 12 až 22, ak takéto obmedzenie rešpektuje podstatu základných práv a slobôd a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť:

…

i) ochranu dotknutej osoby alebo práv a slobôd iných;

j) vymáhanie občianskoprávnych nárokov.“

10

Odôvodnenia 2, 6, 7, 11, 26 a 30 smernice 2002/58 uvádzajú:

…

…

…

…

11

Článok 2 smernice 2002/58, nazvaný „Definície“, stanovuje:

„…

Platia aj tieto definície:

…“

12

Článok 3 tejto smernice s názvom „Dotknuté služby“ stanovuje:

„Táto smernica sa vzťahuje na spracúvanie osobných údajov v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb vo verejných komunikačných sieťach v Spoločenstve vrátane verejných komunikačných sietí, ktoré podporujú zariadenia na zber údajov a identifikáciu.“

13

Článok 5 uvedenej smernice s názvom „Dôvernosť správy“ stanovuje:

„1.   Členské štáty vnútroštátnymi právnymi predpismi zabezpečia dôvernosť správ a príslušných prevádzkových dát [príslušných údajov o prenose dát – neoficiálny preklad] prenášaných pomocou verejnej komunikačnej siete a verejne dostupných elektronických komunikačných sietí. Zakážu najmä počúvanie, odpočúvanie a iné druhy narušovania alebo dohľadu nad správami a príslušnými prevádzkovými dátami [príslušnými údajmi o prenose dát – neoficiálny preklad] zo strany iných osôb[,] než sú užívatelia[,] bez súhlasu príslušných užívateľov, pokiaľ to nie je zákonne oprávnené v súlade s článkom 15 ods. 1 Tento odsek nebráni technickému uloženiu, ak je to potrebné s cieľom prenosu správy, bez vplyvu na princíp dôvernosti.

…

3.   Členské štáty zabezpečia, aby sa ukladanie informácií alebo získavanie prístupu k informáciám, ktoré už boli uložené, v koncovom zariadení účastníka alebo užívateľa povolilo len pod podmienkou, že dotknutý účastník alebo užívateľ dal na to vopred súhlas na základe jasných a komplexných informácií v súlade so smernicou [95/46], okrem iného aj o účeloch spracovania. …“

14

Článok 6 tej istej smernice s názvom „Prevádzkové údaje [Údaje o prenose dát – neoficiálny preklad]“ stanovuje:

„1.   Prevádzkové dáta [Údaje o prenose dát – neoficiálny preklad] týkajúce sa účastníkov a užívateľov, spracovávané a uložené poskytovateľom verejnej komunikačnej siete alebo verejne dostupnej elektronickej komunikačnej služby, sa musia vymazať alebo zanonymniť [anonymizovať – neoficiálny preklad], ak už naďalej nie sú potrebné na účely prenosu správy, bez vplyvu na odseky 2, 3 a 5 tohto článku a článku 15 ods. 1.

2.   Prevádzkové dáta [Údaje o prenose dát – neoficiálny preklad] potrebné na účely fakturácie účastníka a platby za spojenie sa môžu spracovávať. Také spracovanie je povolené len do konca obdobia, počas ktorého môže byť faktúra právne napadnutá alebo sa môže uplatniť nárok na platbu.

3.   Na účely marketingu elektronických komunikačných služieb alebo na poskytovanie služieb s pridanou hodnotou poskytovateľ verejne dostupnej elektronickej komunikačnej služby môže spracúvať údaje uvedené v odseku 1 v rozsahu a počas trvania potrebného na také služby alebo marketing, ak účastník alebo užívateľ, ktorého sa údaje týkajú, dá na to predtým svoj súhlas. Užívatelia alebo účastníci musia mať možnosť kedykoľvek odvolať svoj súhlas na spracovanie údajov.

…

5.   Spracovávanie prevádzkových dát [údajov o prenose dát – neoficiálny preklad], v súlade s odsekmi 1, 2, 3 a 4, sa musí obmedziť na osoby konajúce na pokyn poskytovateľa verejných komunikačných sietí a verejne dostupných elektronických komunikačných služieb, ktoré sú zodpovedné za fakturovanie alebo riadenie prevádzky, vybavovanie dotazov zákazníkov, odhaľovanie podvodov, marketing elektronických komunikačných služieb alebo poskytovanie služby s pridanou hodnotou, a musí sa obmedziť na to, čo je nevyhnutné na účely takých činností.“

15

Článok 15 smernice 2002/58, nazvaný „Uplatňovanie niektorých ustanovení smernice [95/46]“, uvádza:

„1.   Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu práv a povinností uvedených v článku 5, článku 6, článku 8 ods. 1, 2, 3 a 4 a článku 9 tejto smernice, ak také obmedzenie predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie národnej bezpečnosti (t. j. bezpečnosti štátu), obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo neoprávnené používanie [neoprávneného používania – neoficiálny preklad] elektronického komunikačného systému podľa článku 13 ods. 1 smernice [95/46]. Na tento účel členské štáty môžu, medzi iným, prijať legislatívne opatrenia umožňujúce zadržanie [uchovávanie – neoficiálny preklad] údajov na limitované obdobie, oprávnené z dôvodov stanovených v tomto odseku. Všetky opatrenia uvedené v tomto odseku musia byť v súlade so všeobecnými princípmi práva [Únie] vrátane tých, ktoré sú uvedené v článku 6 ods. 1 a 2 [ZEÚ].

…

2.   Ustanovenia kapitoly III smernice [95/46] o právnych opravných prostriedko[ch], záväznosti a sankciách platia vo vzťahu k ustanoveniam prijatým podľa tejto smernice a vo vzťahu k právam jednotlivcov vyplývajúcim z tejto smernice.

…“

16

Článok 1 smernice Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, 2016, s. 89), nazvaný „Predmet úpravy a ciele“, v odseku 1 stanovuje:

„Touto smernicou sa stanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu.“

17

Článok 3 uvedenej smernice s názvom „Vymedzenie pojmov“ stanovuje:

„Na účely tejto smernice:

…

(7) ‚príslušný orgán‘ je:

…“

18

Článok 8 smernice Európskeho parlamentu a Rady 2004/48/ES z 29. apríla 2004 o vymožiteľnosti práv duševného vlastníctva (Ú. v. EÚ L 157, 2004, s. 45; Mim. vyd. 17/002, s. 32), nazvaný „Právo na informácie“, stanovuje:

„1.   Členské štáty zabezpečia, aby v súvislosti s konaním týkajúcim sa porušenia práva duševného vlastníctva mohli príslušné súdne orgány na odôvodnený a primeraný návrh navrhovateľa nariadiť, aby porušovateľ… poskyt[ol] informácie o pôvode a distribučných sieťach tovarov alebo služieb, ktoré porušujú právo duševného vlastníctva…

2.   Informácie uvedené v odseku 1 musia, ak je to potrebné, obsahovať:

…

3.   Odseky 1 a 2 sa uplatňujú bez toho, aby boli dotknuté iné zákonné ustanovenia, ktoré:

19

Článok L. 331‑12 code de la propriété intellectuelle (Zákonník duševného vlastníctva) v znení účinnom v čase prijatia rozhodnutia napadnutého žalobcami vo veci samej (ďalej len „CPI“) stanovuje:

„Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet [Vysoký úrad pre šírenie diel a ochranu práv na internete (Hadopi)] je nezávislý orgán verejnej moci. …“

20

Článok L. 331‑13 tohto zákonníka stanovuje:

„[Hadopi] zabezpečuje:

1° Úlohu podpory rozvoja legálnej ponuky a sledovania oprávneného a neoprávneného používania diel a predmetov, s ktorými je spojené autorské právo alebo s ním súvisiace právo v elektronických komunikačných sieťach používaných na poskytovanie verejných komunikačných služieb online;

2° Úlohu ochrany týchto diel a predmetov pred porušovaním týchto práv, ku ktorému dochádza v elektronických komunikačných sieťach používaných na poskytovanie verejných komunikačných služieb online;

…“

21

Podľa článku L. 331‑15 uvedeného zákonníka:

„[Hadopi] sa skladá z kolégia a komisie na ochranu práv. …

…

Členovia kolégia a komisie na ochranu práv pri výkone svojich právomocí neprijímajú pokyny od žiadneho orgánu.“

22

Článok L. 331‑17 prvý odsek toho istého zákonníka stanovuje:

„Komisia na ochranu práv je zodpovedná za prijatie opatrení stanovených v článku L. 331‑25.“

23

Podľa článku L. 331‑21 CPI:

„[Hadopi] má na účely výkonu právomocí komisie na ochranu práv k dispozícii prísažných štátnych zamestnancov, ktorých poveruje predseda tohto úradu v súlade s podmienkami stanovenými dekrétom prijatom po stanovisku Conseil d’État [Štátna rada]. …

Členovia komisie na ochranu práv a zamestnanci uvedení v prvom odseku prijímajú podania adresované uvedenej komisii za podmienok stanovených v článku L. 331‑24. Následne preskúmavajú skutkové okolnosti.

Na účely konania sú oprávnení získavať všetky dokumenty, na akomkoľvek nosiči, vrátane údajov uchovávaných a spracúvaných prevádzkovateľmi elektronických komunikácií podľa článku L. 34‑1 code des postes et des communications électroniques [Zákonník pôšt a elektronických komunikácií] a poskytovateľmi uvedenými v článku 6 ods. I bodoch 1 a 2 loi no 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [zákon č. 2004‑575 z 21. júna 2004 o podpore dôvery v digitálne hospodárstvo].

Môžu tiež získať kópie dokumentov uvedených v predchádzajúcom odseku.

Od prevádzkovateľov elektronických komunikácií môžu získať najmä totožnosť, poštovú adresu, elektronickú adresu a telefónne číslo účastníka, ktorého prístup k verejným komunikačným službám online bol využívaný na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu chránených diel alebo predmetov bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.“

24

Článok L. 331‑24 tohto zákonníka stanovuje:

„Komisia na ochranu práv koná na základe podnetov prísažných a poverených zamestnancov…, ktorých vymenúvajú:

Komisia na ochranu práv môže konať aj na základe informácií, ktoré jej poskytol prokurátor republiky.

Nemôže sa zaoberať skutkami spred viac ako šesť mesiacov.“

25

Článok L. 331‑25 uvedeného zákonníka, ktorý upravuje tzv. postup „odstupňovanej reakcie“, stanovuje:

„Ak sa komisia na ochranu práv dozvie o skutkoch, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3 [CPI], môže poslať účastníkovi… odporúčanie, v ktorom mu pripomenie ustanovenia článku L. 336‑3, pričom ho vyzve na dodržiavanie povinnosti vymedzenej v týchto ustanoveniach a upovedomí ho o hroziacich sankciách podľa článkov L. 335‑7 a L. 335‑7‑1. Toto odporúčanie obsahuje tiež informácie pre účastníka o legálnej ponuke kultúrneho obsahu online, o existencii bezpečnostných prostriedkov na zabránenie porušovania povinnosti vymedzenej v článku L. 336‑3 a o nebezpečenstvách, ktoré pre obnovu umeleckej tvorby a ekonomiku kultúrneho sektora predstavujú postupy nerešpektujúce autorské právo a s ním súvisiace práva.

V prípade, že sa v lehote šiestich mesiacov od zaslania odporúčania zopakujú skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3, môže komisia zaslať nové odporúčanie obsahujúce rovnaké informácie ako predchádzajúce odporúčanie zaslané elektronicky… K tomuto odporúčaniu musí pripojiť doporučený list s doručenkou alebo akýkoľvek iný prostriedok vhodný na preukázanie dátumu doručenia tohto odporúčania.

V odporúčaniach zaslaných na základe tohto článku sa uvedie dátum a čas, kedy boli zistené skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3. Na druhej strane nesprístupňujú obsah chránených diel alebo predmetov, ktorých sa toto porušenie týka. Uvádzajú sa v nich telefónne, poštové a elektronické kontaktné údaje, na ktoré môže ich adresát, ak si to želá, podať pripomienky komisii na ochranu práv a získať, ak o to výslovne požiada, podrobnosti o obsahu chránených diel alebo predmetov dotknutých porušením povinnosti, ktoré sa mu vytýka.“

26

Článok L. 331‑29 CPI stanovuje:

„[Hadopi] je oprávnený vytvoriť automatizované spracúvanie osobných údajov osôb, ktoré sú predmetom konania podľa tohto pododdielu.

Účelom tohto spracúvania je umožniť komisii na ochranu práv vykonať opatrenia stanovené v tomto pododdiele, všetky súvisiace procesné úkony a spôsoby informovania organizácií zastupujúcich profesijné záujmy a organizácií kolektívnej správy práv o prípadných podaniach na súdny orgán, ako aj o oznámeniach uvedených v článku L.335‑7 piatom odseku.

Dekrét… stanovuje podmienky uplatňovania tohto článku. Spresňuje najmä:

27

Článok L. 335‑2 prvý a druhý odsek tohto kódexu spresňuje:

„Každé vydanie písomného prejavu, hudobnej skladby, kresby, maľby alebo akéhokoľvek iného výtvoru, úplne alebo sčasti vytlačené alebo napálené, ktoré je v rozpore so zákonmi a inými právnymi predpismi týkajúcimi sa vlastníctva autorov, je porušením práv a každé takéto porušenie je deliktom.

Za porušenie práv v súvislosti s dielami uverejnenými vo Francúzsku alebo v zahraničí hrozí vo Francúzsku trest odňatia slobody na tri roky a pokuta 300000 eur.“

28

Článok L. 335‑4 prvý odsek uvedeného zákonníka uvádza:

„Za každé zachytenie, rozmnožovanie, prenos alebo sprístupnenie verejnosti, či už za odplatu alebo bezplatne, alebo každé televízne vysielanie výkonu, zvukového záznamu, obrazového záznamu, programu alebo tlačovej publikácie, uskutočnené bez súhlasu, ak sa vyžaduje, výkonného umelca, výrobcu zvukových záznamov alebo obrazových záznamov, podniku audiovizuálnej komunikácie, vydavateľa tlače alebo tlačovej agentúry možno uložiť trest odňatia slobody na tri roky a pokutu 300000 eur.“

29

Článok L. 335‑7 CPI stanovuje pravidlá týkajúce sa uloženia doplňujúceho trestu pozastavenia prístupu k verejnej komunikačnej službe online na obdobie najviac jedného roka osobám, ktoré boli uznané vinnými zo spáchania trestných činov uvedených najmä v článkoch L. 335‑2 a L. 335‑4 tohto zákonníka.

30

Článok L. 335‑7‑1 prvý odsek uvedeného zákonníka znie:

„Za priestupky piatej triedy uvedené v tomto zákonníku, ak to predpisy stanovujú, možno doplňujúci trest vymedzený v článku L. 335‑7 uložiť rovnakým spôsobom v prípade hrubej nedbanlivosti držiteľovi prístupu k verejnej komunikačnej službe online, ktorému komisia na ochranu práv podľa článku L. 331‑25 predtým zaslala – prostredníctvom doporučeného listu s doručenkou alebo akéhokoľvek iného prostriedku vhodného na preukázanie dátumu doručenia – odporúčanie, v ktorom ho vyzvala, aby zaviedol prostriedok na zabezpečenie svojho prístupu na internet.“

31

Článok L.336‑3 toho istého zákonníka znie:

„Osoba, ktorá je držiteľom prístupu k verejným komunikačným službám online je povinná zabezpečiť, aby sa tento prístup nevyužíval na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu diel alebo predmetov chránených autorským právom alebo s ním súvisiacim právom bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.

Porušenie povinnosti vymedzenej v prvom odseku zo strany osoby, ktorá je držiteľom prístupu, nemá za následok vznik trestnej zodpovednosti dotknutej osoby…“

32

Článok R. 331‑37 prvý odsek CPI stanovuje:

„Prevádzkovatelia elektronických komunikácií… a poskytovatelia… sú povinní prostredníctvom prepojenia na automatizované spracúvanie osobných údajov uvedené v článku L. 331‑29 alebo použitím pamäťového média zaisťujúceho ich integritu a bezpečnosť oznamovať osobné údaje a informácie stanovené v bode 2 prílohy k dekrétu [č. 2010‑236] v lehote ôsmich dní od prenosu technických údajov komisiou na ochranu práv potrebných na identifikáciu účastníka, ktorého prístup k verejným online komunikačným službám bol použitý na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu chránených diel alebo predmetov bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje.“

33

Článok R. 331‑40 tohto zákonníka znie:

„Ak sa v lehote jedného roka od doručenia odporúčania uvedeného v prvom odseku článku L. 335‑7‑1 dozvie komisia na ochranu práv o nových skutkoch, ktoré by mohli predstavovať hrubú nedbanlivosť vymedzenú v článku R. 335‑5, táto komisia informuje účastníka doporučeným listom s doručenkou o tom, že tieto skutky môžu byť stíhané. V tomto liste sa dotknutá osoba vyzve, aby predložila svoje pripomienky v lehote pätnástich dní. Ďalej sa v ňom uvedie, že v rovnakej lehote môže požiadať o vypočutie podľa článku L. 331‑21‑1 a že má právo na právne zastúpenie. Zároveň sa vyzve, aby špecifikovala svoje rodinné výdavky a prostriedky.

Komisia môže z vlastnej iniciatívy predvolať dotknutú osobu na vypočutie. V predvolaní sa uvedie, že má právo na právne zastúpenie.“

34

Článok R. 335‑5 CPI stanovuje:

„I. – Za hrubú nedbanlivosť, ktorú možno potrestať pokutou stanovenou za priestupky piatej triedy, sa považuje skutočnosť, že osoba, ktorá je držiteľom prístupu k verejným komunikačným službám online, bez oprávneného dôvodu, ak sú splnené podmienky stanovené v odseku II:

1° nezaviedla prostriedok na zabezpečenie tohto prístupu; alebo

2° neprejavila náležitú starostlivosť pri zavedení tohto prostriedku.

II. – Ustanovenia odseku I sa uplatnia, len ak sú splnené tieto dve podmienky:

1° Podľa článku L. 331‑25 a vo forme stanovenej v tomto článku komisia na ochranu práv odporúčala držiteľovi prístupu, aby zaviedol prostriedok na zabezpečenie svojho prístupu, ktorý umožňuje zabrániť jeho opätovnému využívaniu na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu diel alebo predmetov chránených autorským právom alebo s ním súvisiacim právom bez súhlasu nositeľov práv…, pokiaľ sa vyžaduje;

2° V priebehu jedného roka od zaslania tohto odporúčania sa tento prístup znovu použije na účely uvedené v bode 1 tohto odseku II.“

35

S účinnosťou od 1. januára 2022 sa Hadopi podľa loi no 2021‑1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (zákon č. 2021‑1382 z 25. októbra 2021 o regulácii a ochrane prístupu ku kultúrnym dielam v digitálnom veku) (JORF č. 250 z 26. októbra 2021, text č. 2) zlúčil s Conseil supérieur de l’audiovisuel (Najvyššia audiovizuálna rada) (CSA), iným nezávislým orgánom verejnej moci, aby vytvorili Autorité de régulation de la communication audiovisuelle et numérique (Úrad pre reguláciu audiovizuálnych a digitálnych komunikácií) (ARCOM).

36

Postup odstupňovanej reakcie uvedený v bode 25 tohto rozsudku však zostal v podstate nezmenený, aj keď ho teraz už nevykonáva komisia na ochranu práv úradu Hadopi, ktorá sa skladala z troch členov vymenovaných Conseil d’État (Štátna rada), Cour des comptes (Dvor audítorov) a Cour de cassation (Kasačný súd), ale dvaja členovia kolégia úradu ARCOM, z ktorých jedného vymenúva Conseil d’État (Štátna rada) a druhého Cour de cassation (Kasačný súd).

37

Dekrét č. 2010‑236, prijatý najmä na základe článku L. 331‑29 CPI, v článku 1 stanovuje:

„Účelom spracúvania osobných údajov s názvom ‚Systém riadenia opatrení na ochranu diel na internete‘ je, že komisia na ochranu práv [úradu Hadopi] vykonáva:

1° opatrenia stanovené v knihe III legislatívnej časti [CPI] (hlava III kapitola I oddiel 3 pododdiel 3) a knihe III regulačnej časti toho istého zákonníka (hlava III kapitola I oddiel 2 pododdiel 2);

2° podania prokurátorovi republiky o skutkoch, ktoré môžu predstavovať porušenia stanovené v článkoch L. 335‑2, L. 335‑3, L. 335‑4 a R. 335‑5 toho istého zákonníka, ako aj informovanie organizácií zastupujúcich profesijné záujmy a organizácií kolektívnej správy práv o týchto podaniach;

…“

38

Článok 4 tohto dekrétu stanovuje:

„I. – K osobným údajom a informáciám uvedeným v prílohe k tomuto dekrétu majú priamy prístup prísažní štátni zamestnanci poverení predsedom [úradu Hadopi] podľa článku L. 331‑21 [CPI] a členovia komisie na ochranu práv uvedenej v článku 1.

II – Prevádzkovatelia elektronických komunikácií a poskytovatelia uvedení v bode 2 prílohy k tomuto dekrétu sú príjemcami:

III – Organizácie zastupujúce profesijné záujmy a organizácie kolektívnej správy práv sú príjemcami informácií o podaniach prokurátorovi republiky.

IV – Súdne orgány sú príjemcami zápisníc o zistení skutkov, ktoré môžu predstavovať porušenia stanovené v článkoch L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 a R. 335‑5 [CPI].

O výkone trestu pozastavenia prístupu je informovaný automatizovaný register trestov.“

39

Príloha k uvedenému dekrétu stanovuje:

„Osobné údaje a informácie zaznamenané pri spracúvaní s názvom ‚Systém riadenia opatrení na ochranu diel na internete‘ sú tieto:

1° Osobné údaje a informácie pochádzajúce od riadne založených organizácií zastupujúcich profesijné záujmy, organizácií kolektívnej správy práv, Národného centra pre film a animovanú tvorbu, ako aj od prokurátora republiky:

Pokiaľ ide o skutky, ktoré môžu predstavovať porušenie povinnosti vymedzenej v článku L. 336‑3 [CPI]:

dátum a čas skutkov;

IP adresy dotknutých účastníkov;

použitý protokol vzájomného sprístupňovania (peer‑to‑peer);

pseudonym používaný účastníkom;

informácie o chránených dielach alebo predmetoch, ktorých sa skutky týkajú;

názov súboru, ako sa nachádza v zariadení účastníka (ak je k dispozícii);

poskytovateľ prístupu na internet, u ktorého bol prístup vytvorený alebo ktorý poskytol technický zdroj IP.

…

2° Osobné údaje a informácie o účastníkovi získané od prevádzkovateľov elektronických komunikácií… a poskytovateľov…:

priezvisko, krstné mená;

poštová adresa a e‑mailové adresy;

telefónne kontaktné údaje;

adresa telefónneho zariadenia účastníka;

poskytovateľ prístupu na internet, ktorý využíva technické prostriedky poskytovateľa prístupu uvedeného v bode 1 a s ktorým účastník uzavrel zmluvu; číslo spisu;

dátum začiatku pozastavenia prístupu k verejnej komunikačnej službe online.

…“

40

Článok L. 34‑1 odsek IIa code des postes et des communications électroniques (Zákonník pôšt a elektronických komunikácií) stanovuje:

„Prevádzkovatelia elektronických komunikácií sú povinní uchovávať:

1° Na účely trestného konania, predchádzania hrozbám pre verejnú bezpečnosť a ochrany národnej bezpečnosti informácie týkajúce sa totožnosti používateľa, a to až do uplynutia piatich rokov od skončenia platnosti jeho zmluvy;

2° Na tie isté účely, ako sú uvedené v bode 1 tohto odseku IIa, ďalšie informácie poskytnuté používateľom pri uzatvorení zmluvy alebo vytvorení účtu, ako aj informácie týkajúce sa platby, a to až do uplynutia jedného roka od skončenia platnosti jeho zmluvy alebo zrušenia jeho účtu;

3° Na účely boja proti trestnej činnosti a závažnej kriminalite, predchádzania závažným hrozbám pre verejnú bezpečnosť a ochrany národnej bezpečnosti, technické údaje umožňujúce identifikovať zdroj pripojenia alebo údaje týkajúce sa použitých koncových zariadení, a to až do uplynutia jedného roka od okamihu pripojenia alebo použitia koncových zariadení.“

41

Vzhľadom na to, že Premier ministre (predseda vlády) implicitne zamietol ich žiadosť o zrušenie dekrétu č. 2010‑236, žalobcovia vo veci samej návrhom z 12. augusta 2019 podali na Conseil d’État (Štátna rada, Francúzsko) žalobu o neplatnosť tohto implicitného zamietavého rozhodnutia. V podstate tvrdili, že článok L. 331‑21 tretí až piaty odsek CPI, ktorý tvorí právny základ tohto dekrétu, je jednak v rozpore s právom na rešpektovanie súkromia zakotveným vo francúzskej Ústave a jednak porušuje právo Únie, konkrétne článok 15 smernice 2002/58, ako aj články 7, 8, 11 a 52 Charty.

42

Pokiaľ ide o aspekt žaloby týkajúci sa údajného porušenia Ústavy, Conseil d’État (Štátna rada) sa obrátila na Conseil constitutionnel (Ústavná rada, Francúzsko) s prioritnou otázkou ústavnosti.

43

Svojím rozhodnutím č. 2020‑841 QPC z 20. mája 2020, La Quadrature du Net a iní [Právo sprístupňovania úradu Hadopi], Conseil constitutionnel (Ústavná rada) vyhlásila tretí a štvrtý odsek článku L. 331‑21 CPI za protiústavné, avšak piaty odsek uvedeného článku, s výnimkou v ňom obsiahnutého slova „najmä“, vyhlásila za zlučiteľný s Ústavou.

44

Pokiaľ ide o aspekt žaloby týkajúci sa údajného porušenia práva Únie, žalobcovia vo veci samej konkrétne tvrdia, že dekrét č. 2010‑236 a ustanovenia tvoriace jeho právny základ neprimeraným spôsobom povoľujú prístup k údajom o pripojení v prípade porušení týkajúcich sa autorského práva, ku ktorým došlo na internete a ktoré nie sú závažné, bez predchádzajúceho preskúmania zo strany súdu alebo orgánu poskytujúceho záruky nezávislosti a nestrannosti. Konkrétne tieto porušenia podľa nich nespadajú pod „závažnú trestnú činnosť“, ktorej sa týka rozsudok z 21. decembra 2016, Tele2 Sverige a Watson a i. (C‑203/15 a C‑698/15, EU:C:2016:970).

45

V tejto súvislosti Conseil d’État (Štátna rada) na jednej strane pripomína, že v rozsudku zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), Súdny dvor okrem iného rozhodol, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty nebráni legislatívnym opatreniam, ktoré na účely ochrany národnej bezpečnosti, boja proti trestnej činnosti a ochrany verejnej bezpečnosti stanovujú všeobecné a nediferencované uchovávanie údajov týkajúcich sa totožnosti používateľov elektronických komunikačných prostriedkov. Takéto uchovávanie, pokiaľ ide o údaje týkajúce sa totožnosti používateľov elektronických komunikačných prostriedkov, je teda možné, bez stanovenia osobitnej lehoty, na účely vyšetrovania, odhaľovania a stíhania trestných činov vo všeobecnosti. Ani smernica 2002/58 nebráni prístupu k týmto údajom na takéto účely.

46

Vnútroštátny súd z toho vyvodzuje, že pokiaľ ide o prístup k údajom týkajúcim sa totožnosti používateľov elektronických komunikačných prostriedkov, žalobný dôvod žalobcov vo veci samej založený na nezákonnosti dekrétu č. 2010‑236 v rozsahu, v akom bol prijatý v rámci boja proti porušeniam, ktoré nie sú závažné, treba zamietnuť.

47

Conseil d’État (Štátna rada) na druhej strane pripomína, že v rozsudku z 21. decembra 2016, Tele2 Sverige a Watson a i. (C‑203/15 a C‑698/15, EU:C:2016:970), Súdny dvor okrem iného rozhodol, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty sa má vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá upravuje ochranu a bezpečnosť údajov o prenose dát a polohe, konkrétne prístup príslušných vnútroštátnych orgánov k uchovávaným údajom, ale nepodmieňuje uvedený prístup predchádzajúcim preskúmaním zo strany súdu alebo nezávislého správneho orgánu.

48

Vnútroštátny súd odkazuje konkrétne na bod 120 tohto rozsudku, v ktorom Súdny dvor spresnil, že je nevyhnutné, aby takýto prístup k uchovávaným údajom podliehal v zásade – s výnimkou riadne odôvodnených naliehavých prípadov – požiadavke predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu a aby rozhodnutie tohto súdu alebo orgánu nasledovalo po odôvodnenej žiadosti týchto orgánov podanej najmä v rámci konania týkajúceho sa predchádzania trestným činom, ich odhaľovania a stíhania.

49

Súdny dvor pripomenul túto požiadavku v rozsudku zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), v súvislosti so zberom údajov o pripojení spravodajskými službami v reálnom čase, ako aj v rozsudku z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií) (C‑746/18, EU:C:2021:152), pokiaľ ide o prístup vnútroštátnych orgánov k údajom o pripojení.

50

Vnútroštátny súd tiež poznamenáva, že Hadopi od svojho založenia v roku 2009 zaslal účastníkom viac ako 12,7 milióna odporúčaní na základe postupu odstupňovanej reakcie stanoveného v článku L. 331‑25 CPI, z toho 827791 iba za rok 2019. Znamená to, že zamestnanci komisie na ochranu práv úradu Hadopi museli každý rok nevyhnutne zhromaždiť značné množstvo údajov týkajúcich sa totožnosti dotknutých používateľov. Domnieva sa, že vzhľadom na objem týchto odporúčaní môže skutočnosť, že by mal tento zber údajov podliehať predchádzajúcemu preskúmaniu, znemožniť realizáciu uvedených odporúčaní.

51

Za týchto podmienok Conseil d’État (Štátna rada) rozhodla prerušiť konanie a položiť Súdnemu dvoru tieto prejudiciálne otázky:

52

Svojimi tromi prejudiciálnymi otázkami, ktoré treba preskúmať spoločne, sa vnútroštátny súd v podstate pýta, či sa má článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty vykladať v tom zmysle, že bráni vnútroštátnej právnej úprave, ktorá orgánu verejnej moci zodpovednému za ochranu autorských práv a s nimi súvisiacich práv pred porušovaním týchto práv na internete povoľuje prístup k údajom o totožnosti zodpovedajúcim IP adresám uchovávaným poskytovateľmi verejne dostupných elektronických komunikačných služieb, ktoré predtým zhromaždili organizácie nositeľov práv, s cieľom umožniť tomuto orgánu verejnej moci identifikovať držiteľov týchto adries používaných na činnosti, ktoré môžu predstavovať takéto porušovanie, a prípadne voči nim prijať opatrenia, bez toho, aby tento prístup podliehal požiadavke predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu.

53

Vo veci samej ide o dve samostatné a po sebe nasledujúce operácie spracúvania osobných údajov vykonávané v rámci činnosti úradu Hadopi, nezávislého orgánu verejnej moci, ktorého poslaním je v súlade s článkom L. 331‑13 CPI chrániť diela a predmety, na ktoré sa vzťahuje autorské právo alebo s ním súvisiace právo pred porušovaním týchto práv, ku ktorému dochádza v elektronických komunikačných sieťach používaných na poskytovanie verejných komunikačných služieb online.

54

Prvé spracúvanie, ktoré najskôr vykonávajú prísažní a poverení zamestnanci organizácií nositeľov práv, prebieha v dvoch fázach. V prvej fáze sa na sieťach so vzájomným sprístupňovaním (peer‑to‑peer) zhromažďujú IP adresy, ktoré sú podľa všetkého použité na činnosti, ktoré môžu predstavovať porušenie autorského práva alebo s ním súvisiaceho práva. V druhej fáze sú všetky osobné údaje a informácie postúpené úradu Hadopi formou zápisníc. Týmito údajmi sú podľa zoznamu uvedeného v bode 1 prílohy k dekrétu č. 2010‑236 dátum a čas skutkov, IP adresy dotknutých účastníkov, použitý protokol vzájomného sprístupňovania (peer‑to‑peer), pseudonym používaný účastníkom, informácie o chránených dielach alebo predmetoch, ktorých sa skutky týkajú, názov súboru, ako sa nachádza v zariadení účastníka (ak je k dispozícii) a poskytovateľ prístupu na internet, u ktorého bol prístup vytvorený alebo ktorý poskytol technický zdroj IP.

55

Druhé spracúvanie, ktoré následne uskutočňujú poskytovatelia prístupu na internet na žiadosť úradu Hadopi, prebieha tiež v dvoch fázach. V prvej fáze sa vopred zhromaždené IP adresy spárujú s držiteľmi týchto adries. V druhej fáze sú všetky osobné údaje a informácie o uvedených držiteľoch, ktoré sa týkajú najmä ich totožnosti, postúpené tomuto orgánu verejnej moci. Týmito údajmi sú podľa zoznamu uvedeného v bode 2 prílohy k dekrétu č. 2010‑236 predovšetkým priezvisko a krstné mená, poštová adresa a e‑mailové adresy, telefónne kontaktné údaje, ako aj adresa telefónneho zariadenia účastníka.

56

V tejto poslednej uvedenej súvislosti článok L. 331‑21 CPI piaty odsek v znení vyplývajúcom z rozhodnutia Conseil constitutionnel (Ústavná rada) uvedeného v bode 43 tohto rozsudku stanovuje, že členovia komisie úradu Hadopi na ochranu práv a prísažní štátni zamestnanci poverení jeho predsedom môžu od prevádzkovateľov elektronických komunikácií získať totožnosť, poštovú adresu, elektronickú adresu a telefónne číslo účastníka, ktorého prístup k verejným komunikačným službám online bol využívaný na účely rozmnožovania, zobrazovania, sprístupňovania alebo verejného prenosu chránených diel alebo predmetov bez súhlasu nositeľov práv, pokiaľ sa vyžaduje.

57

Cieľom týchto rôznych spracúvaní osobných údajov je umožniť úradu Hadopi prijať voči takto identifikovaným držiteľom IP adries opatrenia stanovené v rámci správneho postupu tzv. „odstupňovanej reakcie“, ktorý upravuje článok L. 331‑25 CPI. Týmito opatreniami sú v prvom rade zasielanie „odporúčaní“, ktoré sú podobné upozorneniam, ďalej v prípade, že sa komisia na ochranu práv úradu Hadopi v lehote jedného roka od zaslania druhého odporúčania dozvie o skutkoch, ktoré by mohli predstavovať opakovanie zisteného porušenia povinnosti, informovanie účastníka uvedené v článku R. 331‑40 CPI o tom, že skutky môžu predstavovať tzv. „hrubú nedbanlivosť“ vymedzenú v článku R. 335‑5 CPI, čo je priestupok, ktorý sa trestá pokutou do výšky 1500 eur a v prípade opakovaného konania do výšky 3000 eur, a napokon po porade podania prokurátorovi republiky o skutkoch, ktoré môžu predstavovať takýto priestupok alebo prípadne trestný čin porušovania práv uvedený v článku L. 335‑2 CPI alebo článku L. 335‑4 tohto zákonníka, za ktorý hrozí trest odňatia slobody na tri roky a pokuta 300000 eur.

58

Otázky položené vnútroštátnym súdom sa teda týkajú výlučne následného spracúvania opísaného v bode 55 tohto rozsudku, a nie predbežného spracúvania, ktorého základné znaky boli uvedené v bode 54 toho istého rozsudku.

59

Treba však uviesť, že ak by predbežné zhromažďovanie IP adries dotknutými organizáciami nositeľov práv bolo v rozpore s právom Únie, toto právo by bránilo aj použitiu týchto údajov v rámci následného spracúvania poskytovateľmi elektronických komunikačných služieb, ktoré spočíva v spárovaní uvedených adries s údajmi týkajúcimi sa totožnosti držiteľov tých istých adries.

60

V tejto súvislosti treba na úvod pripomenúť, že podľa judikatúry Súdneho dvora IP adresy predstavujú tak údaje o prenose dát na účely smernice 2002/58, ako aj osobné údaje na účely nariadenia GDPR (pozri v tomto zmysle rozsudok zo 17. júna 2021, M.I.C.M., C‑597/19, EU:C:2021:492, body 102 a 113, ako aj citovanú judikatúru).

61

Zhromažďovanie verejných a viditeľných IP adries zamestnancami organizácií nositeľov práv však nepatrí do pôsobnosti smernice 2002/58, pretože k takémuto spracúvaniu zjavne nedochádza „v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb“ v zmysle článku 3 tejto smernice.

62

Naproti tomu takéto zhromažďovanie IP adries, ktoré – ako vyplýva zo spisu, ktorý má k dispozícii Súdny dvor – povoľuje v rámci určitých kvantitatívnych limitov a za určitých podmienok Commission nationale de l’informatique et des libertés (Národná komisia pre informačné technológie a slobody, Francúzsko) (CNIL) s cieľom ich prenosu úradu Hadopi na účely ich prípadného použitia v neskorších správnych alebo súdnych konaniach zameraných na boj proti činnostiam porušujúcim autorské práva a s nimi súvisiace práva, predstavuje „spracúvanie“ v zmysle článku 4 bodu 2 GDPR, ktorého zákonnosť závisí od podmienok stanovených v článku 6 ods. 1 prvom pododseku písm. f) tohto nariadenia, s ohľadom na judikatúru Súdneho dvora vyplývajúcu predovšetkým z rozsudkov zo 17. júna 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, body 102 a 103), a zo 4. júla 2023, Meta Platforms a i. (Všeobecné podmienky používania sociálnej siete) (C‑252/21, EU:C:2023:537, body 106 až 112 a citovaná judikatúra).

63

Pokiaľ ide o následné spracúvanie opísané v bode 55 tohto rozsudku, toto spracúvanie patrí do pôsobnosti smernice 2002/58, pretože sa uskutočňuje „v súvislosti s poskytovaním verejne dostupných elektronických komunikačných služieb“ v zmysle článku 3 tejto smernice, pokiaľ sa predmetné údaje získavajú od poskytovateľov elektronických komunikačných služieb v súlade s článkom L. 331‑21 CPI.

64

Vzhľadom na predchádzajúce úvodné pripomienky vzniká otázka, ako sa pýta aj vnútroštátny súd, či obmedzenie základných práv zakotvených v článkoch 7, 8 a 11 Charty, ktoré spôsobuje prístup orgánu verejnej moci, akým je Hadopi, k údajom o totožnosti zodpovedajúcim IP adrese, ktorú už má k dispozícii, môže byť odôvodnené na základe článku 15 ods. 1 smernice 2002/58.

65

Prístup k takýmto osobným údajom pritom možno poskytnúť len vtedy, ak boli uchovávané v súlade so smernicou 2002/58 [pozri v tomto zmysle rozsudok z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 29].

66

Článok 15 ods. 1 smernice 2002/58 umožňuje členským štátom zaviesť výnimky zo zásadnej povinnosti zabezpečiť dôvernosť osobných údajov stanovenej v článku 5 ods. 1 tejto smernice, ako aj z príslušných povinností uvedených najmä v článkoch 6 a 9 uvedenej smernice, ak takéto obmedzenie predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie národnej bezpečnosti, obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo neoprávneného používania elektronického komunikačného systému. Na tento účel môžu členské štáty okrem iného prijať legislatívne opatrenia, ktoré stanovujú uchovávanie údajov na obmedzené obdobie, ak je to odôvodnené niektorým z týchto dôvodov. Možnosť odchýliť sa od práv a povinností stanovených v článkoch 5, 6 a 9 smernice 2002/58 však nemôže odôvodniť, že výnimka zo zásadnej povinnosti zabezpečiť dôvernosť elektronických komunikácií a s nimi súvisiacich údajov, a najmä výnimka zo zákazu uchovávať tieto údaje výslovne uvedená v článku 5 tejto smernice, sa stane pravidlom (rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, body 110 a 111).

67

Legislatívne opatrenie prijaté na základe tohto ustanovenia teda musí skutočne a striktne zodpovedať jednému z cieľov uvedených v predchádzajúcom bode, keďže ich výpočet v článku 15 ods. 1 prvej vete smernice 2002/58 je taxatívny, a musí dodržiavať všeobecné zásady práva Únie, vrátane zásady proporcionality, a základné práva zaručené Chartou. V tejto súvislosti Súdny dvor už rozhodol, že povinnosť uložená poskytovateľom elektronických komunikačných služieb zo strany členského štátu na základe vnútroštátnej právnej úpravy, podľa ktorej sú povinní uchovávať údaje o prenose dát na účely ich prípadného sprístupnenia príslušným vnútroštátnym orgánom, vyvoláva otázky týkajúce sa súladu nielen s článkami 7 a 8 Charty, ktoré sa týkajú ochrany súkromia a ochrany osobných údajov, ale aj s článkom 11 Charty týkajúcim sa slobody prejavu (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 112 a 113).

68

Pri výklade článku 15 ods. 1 smernice 2002/58 preto treba prihliadať nielen na význam práva na rešpektovanie súkromného života zaručeného v článku 7 Charty a práva na ochranu osobných údajov zaručeného v jej článku 8, ako vyplýva z judikatúry Súdneho dvora, ale aj na dôležitosť práva na slobodu prejavu, pričom toto základné právo zaručené v článku 11 Charty predstavuje jednu zo základných podstát demokratickej a pluralitnej spoločnosti a je súčasťou hodnôt, na ktorých je Únia v súlade s článkom 2 ZEÚ založená (rozsudok 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 114 a citovaná judikatúra).

69

V tejto súvislosti treba zdôrazniť, že uchovávanie údajov o prenose dát a polohe predstavuje samo osebe na jednej strane výnimku zo zákazu stanoveného v článku 5 ods. 1 smernice 2002/58, ktorým sa akejkoľvek inej osobe, než sú užívatelia, zakazuje uchovávať tieto údaje, a na druhej strane zásah do základných práv na rešpektovanie súkromného života a ochranu osobných údajov, ktoré sú zakotvené v článkoch 7 a 8 Charty, bez ohľadu na to, či predmetné informácie týkajúce sa súkromného života majú alebo nemajú citlivú povahu alebo či pre dotknuté osoby z dôvodu tohto zásahu vyplynuli alebo nevyplynuli prípadné nepriaznivé následky. Je tiež irelevantné, či sa uchovávané údaje následne použijú alebo nie, keďže prístup k takýmto údajom predstavuje bez ohľadu na účel ich neskoršieho využitia samostatný zásah do základných práv uvedených v predchádzajúcom bode (rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 115 a 116).

70

Článok 15 ods. 1 smernice 2002/58 však tým, že umožňuje členským štátom zaviesť odchyľujúce sa opatrenia uvedené v bode 66 tohto rozsudku, odráža skutočnosť, že práva zakotvené v článkoch 7, 8 a 11 Charty nie sú absolútnymi výsadami, ale musia sa vnímať vo vzťahu k ich úlohe v spoločnosti. Charta, ako vyplýva z jej článku 52 ods. 1, totiž pripúšťa obmedzenia výkonu týchto práv, pokiaľ sú tieto obmedzenia stanovené zákonom, rešpektujú podstatu uvedených práv a za predpokladu dodržiavania zásady proporcionality sú nevyhnutné a skutočne zodpovedajú cieľom všeobecného záujmu, ktoré sú uznané Úniou, alebo potrebe chrániť práva a slobody iných (rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 120 a 121).

71

V prejednávanej veci treba uviesť, že hoci je Hadopi formálne oprávnený získať prístup iba k údajom o totožnosti zodpovedajúcim IP adrese, tento prístup má tú osobitosť, že si najprv vyžaduje, aby dotknutí poskytovatelia elektronických komunikačných služieb spárovali IP adresu s údajmi o totožnosti jej držiteľa. Uvedený prístup teda nevyhnutne predpokladá, že poskytovatelia majú k dispozícii IP adresy, ako aj údaje týkajúce sa totožnosti ich držiteľov.

72

Okrem toho chce tento orgán verejnej moci získať prístup k týmto údajom výlučne s cieľom identifikovať držiteľa IP adresy, ktorá bola použitá na činnosti, ktoré môžu porušovať autorské práva alebo s nimi súvisiace práva, keďže nezákonne sprístupnil na internete chránené diela na účely ich sťahovania inými osobami. Za týchto podmienok sa údaje o totožnosti musia považovať za úzko spojené tak s IP adresou, ako aj s informáciami, ktoré má Hadopi o diele sprístupnenom na internete.

73

Takýto osobitný kontext pritom nemožno opomenúť v rámci preskúmania možného odôvodnenia opatrenia na uchovávanie osobných údajov na základe článku 15 ods. 1 smernice 2002/58 vykladaného s ohľadom na články 7, 8 a 11 Charty (pozri analogicky rozsudok ESĽP, 24. apríla 2018, Benedik v. Slovinsko, CE:ECHR:2018:0424JUD006235714, bod 109).

74

Preto práve vzhľadom na požiadavky vyplývajúce v oblasti uchovávania IP adries z uvedeného článku 15 ods. 1 vykladaného s ohľadom na články 7, 8 a 11 Charty treba preskúmať možné odôvodnenie zásahu do základných práv zakotvených v týchto posledných uvedených článkoch Charty, ktorý spôsobuje uchovávanie údajov poskytovateľmi verejne dostupných elektronických komunikačných služieb, ku ktorým má Hadopi právo prístupu.

75

V tomto kontexte treba poukázať na to, že podľa judikatúry Súdneho dvora hoci IP adresy, ako bolo pripomenuté v bode 60 tohto rozsudku, predstavujú údaje o prenose dát na účely smernice 2002/58, tieto adresy sa odlišujú od iných kategórií údajov o prenose dát a údajov o polohe.

76

V tejto súvislosti Súdny dvor uviedol, že IP adresy sa generujú nezávisle od určitej komunikácie a slúžia hlavne na identifikáciu – prostredníctvom poskytovateľov elektronických komunikačných služieb – vlastníka koncového zariadenia, z ktorého sa uskutočňuje internetová komunikácia. V oblasti elektronickej pošty a telefonovania cez internet, pokiaľ sa uchovávajú iba IP adresy zdroja komunikácie, a nie IP adresy adresáta komunikácie, tieto adresy ako také teda neobsahujú žiadnu informáciu o tretích osobách, ktoré boli v kontakte s osobou, ktorá začala komunikáciu. V tomto rozsahu je táto kategória údajov menej citlivá ako ostatné údaje o prenose dát (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 152).

77

Je pravda, že v bode 156 rozsudku zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), Súdny dvor rozhodol, že napriek konštatovaniu, že IP adresy sú menej citlivé, ak slúžia výlučne na identifikáciu používateľa elektronickej komunikačnej služby, článok 15 ods. 1 smernice 2002/58 bráni tomu, aby sa všeobecné a nediferencované uchovávanie výlučne IP adries pridelených zdroju spojenia uskutočňovalo na iné ciele, ako na boj proti závažnej trestnej činnosti, predchádzanie vážnym hrozbám pre verejnú bezpečnosť alebo ochranu národnej bezpečnosti. Súdny dvor však na to, aby dospel k tomuto záveru, výslovne vychádzal zo závažnosti zásahu do základných práv zakotvených v článkoch 7, 8 a 11 Charty, ktorý môže predstavovať takéto uchovávanie IP adries.

78

Súdny dvor totiž v bode 153 toho istého rozsudku konštatoval, že keďže IP adresy môžu najmä v prípade, ak sa použijú na „vystopovanie kompletného prechádzania stránok používateľom internetu“ a následne jeho online aktivít, vytvoriť „podrobný profil“ tohto používateľa, uchovávanie a analýza uvedených IP adries, ktoré sú potrebné na takéto sledovanie, predstavujú závažné zásahy do základných práv dotknutej osoby zakotvených v článkoch 7 a 8 Charty, čo môže tiež odrádzať používateľov elektronických komunikačných prostriedkov od uplatňovania ich slobody prejavu zaručenej v článku 11 Charty.

79

Treba však zdôrazniť, že každé všeobecné a nediferencované uchovávanie všetkých prípadne početných statických a dynamických IP adries, ktoré osoba používa v danom období, nevyhnutne nepredstavuje závažný zásah do základných práv zaručených v článkoch 7, 8 a 11 Charty.

80

V tejto súvislosti sa v prvom rade veci, ktoré viedli k rozsudku zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), týkali vnútroštátnych právnych predpisov, ktoré zahŕňali povinnosť uchovávať súbor údajov potrebných na určenie dátumu, času, trvania a typu komunikácie, identifikáciu použitého komunikačného zariadenia a polohy koncových zariadení a komunikácie, pričom medzi tieto údaje patrili najmä meno a adresa používateľa, telefónne čísla volajúceho a volaného, ako aj IP adresa pre internetové služby. Navyše v týchto dvoch veciach sa vnútroštátne právne predpisy podľa všetkého vzťahovali aj na údaje týkajúce sa prenosu elektronických komunikácií v sieťach, čo umožňovalo tiež identifikovať povahu informácií prehliadaných online (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, body 82 a 83).

81

Uchovávanie IP adries vykonávané v rámci takýchto vnútroštátnych právnych predpisov teda pravdepodobne vzhľadom na ostatné údaje, ktorých uchovávanie tieto právne predpisy vyžadovali, a možnosť kombinovať tieto rôzne údaje umožňovalo vyvodiť presné závery o súkromnom živote osôb, ktorých údaje boli dotknuté, a v dôsledku toho viesť k závažnému zásahu do základných práv zakotvených v článkoch 7 a 8 Charty, ktoré sa týkajú ochrany súkromia a osobných údajov týchto osôb, ako aj v článku 11 tejto Charty týkajúcom sa ich slobody prejavu.

82

Naproti tomu povinnosť zabezpečiť všeobecné a nediferencované uchovávanie IP adries uložená poskytovateľom elektronických komunikačných služieb legislatívnym opatrením na základe článku 15 ods. 1 smernice 2002/58 môže byť v prípade potreby odôvodnená cieľom boja proti trestným činom vo všeobecnosti, ak je skutočne vylúčené, že by toto uchovávanie mohlo viesť k závažným zásahom do súkromného života dotknutej osoby z dôvodu možnosti vyvodiť presné závery o tejto osobe, a to najmä prostredníctvom prepojenia týchto IP adries so súborom údajov o prenose dát alebo polohe, ktoré títo poskytovatelia tiež uchovávajú.

83

Preto členský štát, ktorý má v úmysle uložiť poskytovateľom elektronických komunikačných služieb povinnosť všeobecného a nediferencovaného uchovávania IP adries na účely dosiahnutia cieľa spojeného s bojom proti trestným činom vo všeobecnosti, musí zabezpečiť, aby spôsoby uchovávania týchto údajov mohli zaručiť, že bude vylúčené akékoľvek kombinovanie uvedených IP adries s inými údajmi uchovávanými v súlade so smernicou 2002/58, ktoré by umožnilo vyvodiť presné závery o súkromnom živote osôb, ktorých údaje budú takto uchovávané.

84

S cieľom zabezpečiť, aby bolo vylúčené kombinovanie údajov umožňujúce vyvodiť presné závery o súkromnom živote dotknutej osoby, musia spôsoby uchovávania zahŕňať samotnú štruktúru uchovávania, ktorá musí byť v podstate organizovaná tak, aby sa zabezpečilo skutočne nepriepustné oddelenie jednotlivých kategórií uchovávaných údajov.

85

V tejto súvislosti nepochybne prináleží členskému štátu, ktorý má v úmysle uložiť poskytovateľom elektronických komunikačných služieb povinnosť všeobecného a nediferencovaného uchovávania IP adries na účely dosiahnutia cieľa spojeného s bojom proti trestným činom vo všeobecnosti, aby vo svojej právnej úprave stanovil jasné a presné pravidlá týkajúce sa uvedených spôsobov uchovávania, pričom tieto spôsoby musia spĺňať prísne požiadavky. Súdny dvor však môže poskytnúť spresnenia týkajúce sa týchto spôsobov.

86

V prvom rade vnútroštátne pravidlá uvedené v predchádzajúcom bode musia zabezpečiť, aby sa každá kategória údajov vrátane údajov o totožnosti a IP adries uchovávala úplne oddelene od ostatných kategórií uchovávaných údajov.

87

V druhom rade tieto pravidlá musia zabezpečiť, aby oddelenie rôznych kategórií uchovávaných údajov, najmä údajov o totožnosti, IP adries, rôznych údajov o prenose dát iných ako IP adresy a rôznych údajov o polohe, bolo z technického hľadiska skutočne nepriepustné, a to prostredníctvom bezpečného a spoľahlivého informatizovaného systému.

88

V treťom rade, pokiaľ uvedené pravidlá stanovujú možnosť prepojenia uchovávaných IP adries s totožnosťou dotknutej osoby v súlade s požiadavkami vyplývajúcimi z článku 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8 a 11 Charty, musia umožniť takéto prepojenie len s použitím účinného technického postupu, ktorý nespochybní efektívnosť nepriepustného oddelenia týchto kategórií údajov.

89

Vo štvrtom rade spoľahlivosť tohto nepriepustného oddelenia musí podliehať pravidelnej kontrole zo strany iného orgánu verejnej moci, než je ten, ktorý chce získať prístup k osobným údajom uchovávaným poskytovateľmi elektronických komunikačných služieb.

90

Pokiaľ uplatniteľné vnútroštátne právne predpisy stanovujú takéto prísne požiadavky týkajúce sa spôsobov všeobecného a nediferencovaného uchovávania IP adries a iných údajov uchovávaných poskytovateľmi elektronických komunikačných služieb, zásah vyplývajúci z tohto uchovávania IP adries nemožno z dôvodu samotnej štruktúry uvedeného uchovávania kvalifikovať ako „závažný“.

91

V prípade zavedenia takéhoto legislatívneho rámca totiž takto stanovené podmienky uchovávania IP adries vylučujú, aby sa tieto údaje mohli kombinovať s inými údajmi uchovávanými v súlade so smernicou 2002/58, čo by umožnilo vyvodiť presné závery o súkromnom živote dotknutej osoby.

92

V dôsledku toho, ak existuje legislatívny rámec zodpovedajúci požiadavkám uvedeným v bodoch 86 až 89 tohto rozsudku, ktorý zaručuje, že žiadna kombinácia údajov neumožní vyvodiť presné závery o súkromnom živote dotknutej osoby, článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8 a 11 Charty nebráni tomu, aby dotknutý členský štát uložil povinnosť všeobecného a nediferencovaného uchovávania IP adries na účely boja proti trestným činom vo všeobecnosti.

93

Napokon takýto legislatívny rámec musí, ako vyplýva z bodu 168 rozsudku zo 6. októbra 2020, La Quadrature du Net a i. (C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791), stanoviť dobu uchovávania obmedzenú na to, čo je striktne nevyhnutné, a prostredníctvom jasných a presných pravidiel zabezpečiť, že uchovávanie dotknutých údajov podlieha dodržiavaniu príslušných hmotnoprávnych a procesných podmienok a že dotknuté osoby majú účinné záruky proti rizikám zneužitia, ako aj proti akémukoľvek nezákonnému prístupu k týmto údajom a ich nezákonnému používaniu.

94

Vnútroštátnemu súdu prináleží overiť, či vnútroštátna právna úprava, o ktorú ide vo veci samej, spĺňa požiadavky uvedené v bodoch 85 až 93 tohto rozsudku.

95

Z judikatúry Súdneho dvora vyplýva, že v oblasti boja proti trestným činom môžu iba ciele boja proti závažnej trestnej činnosti alebo predchádzania závažným hrozbám pre verejnú bezpečnosť odôvodniť závažný zásah do základných práv zakotvených v článkoch 7 a 8 Charty, ktorý spôsobuje prístup orgánov verejnej moci ku všetkým údajom o prenose dát a polohe, ktoré môžu poskytnúť informácie o komunikáciách uskutočnených používateľom prostriedku elektronickej komunikácie alebo o polohe koncových zariadení, ktoré používa a ktoré umožňujú vyvodiť presné závery o súkromnom živote dotknutých osôb, pričom iné faktory týkajúce sa proporcionality žiadosti o prístup, ako napríklad dĺžka obdobia, za ktoré sa o prístup k takýmto údajom žiada, nemôžu viesť k tomu, že by cieľ predchádzania, vyšetrovania, odhaľovania a stíhania trestných činov mohol takýto prístup vo všeobecnosti odôvodniť [rozsudok z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 35].

96

Naproti tomu ak zásah do základných práv zakotvených v článkoch 7 a 8 Charty, ktorý spôsobuje prístup orgánov verejnej moci k údajom o totožnosti uchovávaným poskytovateľmi elektronických komunikačných služieb, bez možnosti spojiť tieto údaje s informáciami o uskutočnených komunikáciách, nie je závažný, keďže tieto údaje ako celok neumožňujú vyvodiť presné závery týkajúce sa súkromného života osôb, ktorých údaje sú dotknuté, uvedený prístup môže byť odôvodnený cieľom prevencie, vyšetrovania, odhaľovania a stíhania trestných činov vo všeobecnosti (pozri v tomto zmysle rozsudok z 2. októbra 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, body 54, 57 a 60).

97

Treba tiež dodať, že podľa zásady zakotvenej v ustálenej judikatúre Súdneho dvora môže byť prístup k údajom o prenose dát a polohe odôvodnený podľa článku 15 ods. 1 smernice 2002/58 iba cieľom všeobecného záujmu, pre ktorý bolo poskytovateľom elektronických komunikačných služieb nariadené uchovávanie týchto údajov, pokiaľ tento prístup nie je odôvodnený cieľom všeobecného záujmu väčšieho významu. Z tejto zásady predovšetkým vyplýva, že takýto prístup na účely boja proti trestným činom vo všeobecnosti nemožno v žiadnom prípade povoliť, ak bolo uchovávanie uvedených údajov odôvodnené cieľom boja proti závažnej trestnej činnosti alebo a fortiori ochranou národnej bezpečnosti (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 166).

98

Tento cieľ boja proti trestným činom vo všeobecnosti naproti tomu môže odôvodniť poskytnutie prístupu k údajom o prenose dát a polohe, ktoré boli uložené, a teda uchovávané v rozsahu a na obdobie potrebné na účely marketingu služieb, ich fakturácie alebo poskytovania služieb s pridanou hodnotou, ako to povoľuje článok 6 smernice 2002/58 (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 108 a 167).

99

V prejednávanej veci v prvom rade z vnútroštátnej právnej úpravy dotknutej vo veci samej vyplýva, že Hadopi nemá prístup ku „všetkým údajom o prenose dát a polohe“ v zmysle judikatúry pripomenutej v bode 95 tohto rozsudku, takže v zásade nemôže vyvodiť presné závery o súkromnom živote dotknutých osôb. Prístup, ktorý neumožňuje vyvodiť takéto závery, pritom nepredstavuje závažný zásah do základných práv zaručených v článkoch 7 a 8 Charty.

100

Podľa tejto právnej úpravy a vysvetlení, ktoré v tejto súvislosti poskytla francúzska vláda, je totiž prístup priznaný tomuto orgánu verejnej moci prísne obmedzený na určité údaje týkajúce sa totožnosti držiteľa IP adresy a je povolený len na to, aby bolo možné identifikovať tohto držiteľa podozrivého z toho, že sa dopustil konania, ktoré porušuje autorské práva alebo s nimi súvisiace práva, keďže nezákonne sprístupnil na internete chránené diela na účely ich sťahovania inými osobami. Cieľom tohto prístupu je v prípade potreby prijať voči tomuto držiteľovi jedno z výchovných alebo represívnych opatrení stanovených v rámci postupu odstupňovanej reakcie, a to zaslanie prvého a druhého odporúčania a následne listu s oznámením, že táto činnosť môže predstavovať hrubú nedbanlivosť, a napokon podanie na prokuratúru na účely stíhania tohto priestupku alebo trestného činu porušovania práv.

101

Ďalej je potrebné, aby uvedená vnútroštátna právna úprava stanovila jasné a presné pravidlá, ktoré môžu zabezpečiť, že IP adresy uchovávané v súlade so smernicou 2002/58 bude možné použiť len na identifikáciu osoby, ktorej bola pridelená určitá IP adresa, pričom sa vylúči použitie umožňujúce monitorovať prostredníctvom jednej alebo viacerých z týchto adries činnosť dotknutej osoby na internete. Ak sa IP adresa použije týmto spôsobom výlučne na účely identifikácie jej držiteľa v rámci osobitného správneho konania, ktoré môže viesť k trestnému stíhaniu proti tejto osobe, a nie napríklad na účely odhalenia kontaktov alebo polohy tohto držiteľa, prístup k tejto adrese na tento jediný účel sa týka uvedenej adresy skôr ako údaja o totožnosti, než ako údaja o prenose dát.

102

Navyše zo zásady zakotvenej v ustálenej judikatúre pripomenutej v bode 97 tohto rozsudku vyplýva, že taký prístup, akým disponuje Hadopi na základe vnútroštátnej právnej úpravy dotknutej vo veci samej, keďže sleduje cieľ boja proti trestným činom vo všeobecnosti, môže byť odôvodnený len vtedy, ak sa týka IP adries, ktoré musia poskytovatelia elektronických komunikačných služieb uchovávať na účely tohto cieľa, a nie na účely cieľa väčšieho významu, akým je boj proti závažnej trestnej činnosti, pričom však nie je dotknutý prístup odôvodnený takýmto cieľom boja proti trestným činom vo všeobecnosti, pokiaľ sa týka IP adries uložených, a teda uchovávaných za podmienok stanovených v článku 6 smernice 2002/58.

103

Okrem toho, ako vyplýva z bodov 85 až 92 tohto rozsudku, uchovávanie IP adries na základe legislatívneho opatrenia podľa článku 15 ods. 1 smernice 2002/58 na účely boja proti trestným činom vo všeobecnosti môže byť odôvodnené, ak podmienky tohto uchovávania zavedené dotknutým legislatívnym rámcom zodpovedajú súboru požiadaviek, ktorých cieľom je v podstate zabezpečiť skutočne nepriepustné oddelenie rôznych kategórií uchovávaných údajov tak, aby bolo kombinovanie údajov patriacich do rôznych kategórií skutočne vylúčené. V prípade, že sú takéto spôsoby uchovávania nariadené poskytovateľom elektronických komunikačných služieb, nepredstavuje totiž všeobecné a nediferencované uchovávanie IP adries závažný zásah do súkromného života ich držiteľov, pretože tieto údaje neumožňujú vyvodiť presné závery o ich súkromnom živote.

104

Preto vzhľadom na judikatúru uvedenú v bodoch 95 až 97 tohto rozsudku v prípade, že je takýto legislatívny rámec zavedený, prístup k IP adresám uchovávaným na účely boja proti trestným činom vo všeobecnosti môže byť odôvodnený z hľadiska článku 15 ods. 1 smernice 2002/58, ak je tento prístup povolený výlučne na účely identifikácie osoby podozrivej z účasti na takýchto činoch.

105

Navyše to, že sa orgánu verejnej moci, akým je Hadopi, umožní prístup k údajom o totožnosti zodpovedajúcim verejnej IP adrese, ktorú mu poskytli organizácie nositeľov práv výlučne na účely identifikácie držiteľa tejto adresy používanej na činnosti, ku ktorým došlo online a ktoré môžu porušovať autorské práva alebo s nimi súvisiace práva, s cieľom uložiť mu niektoré z opatrení stanovených v rámci postupu odstupňovanej reakcie, je v súlade s judikatúrou Súdneho dvora týkajúcou sa „práva na informácie“ v kontexte konania týkajúceho sa porušenia práva duševného vlastníctva, ako je stanovené v článku 8 smernice 2004/48 (pozri v tomto zmysle rozsudok z 29. januára 2008, Promusicae, C‑275/06, EU:C:2008:54, bod 47 a nasl.).

106

V rámci tejto judikatúry totiž Súdny dvor zdôraznil, že uplatnenie opatrení stanovených smernicou 2004/48 nemôže mať vplyv na nariadenie GDPR ani smernicu 2002/58, a rozhodol, že článok 8 ods. 3 smernice 2004/48 v spojení s článkom 15 ods. 1 smernice 2002/58 a článkom 7 písm. f) smernice 95/46 nebráni tomu, aby členské štáty uložili poskytovateľom elektronických komunikačných služieb povinnosť postúpiť osobné údaje súkromným osobám na účely postihu porušenia autorského práva pred občianskoprávnymi súdmi, ale ani od týchto štátov nevyžaduje, aby stanovili takúto povinnosť (pozri v tomto zmysle rozsudok zo 17. júna 2021, M.I.C.M., C‑597/19, EU:C:2021:492, body 124 a 125, ako aj citovanú judikatúru).

107

V druhom rade však na účely konkrétneho posúdenia stupňa zásahu do súkromného života, ktorý spôsobuje prístup orgánu verejnej moci k osobným údajom, nemožno opomenúť osobitosti kontextu, v ktorom sa tento prístup uskutočňuje, a najmä všetky údaje a informácie oznámené tomuto orgánu podľa uplatniteľnej vnútroštátnej právnej úpravy vrátane už existujúcich údajov a informácií odhaľujúcich obsah (pozri analogicky rozsudok ESĽP, 24. apríla 2018, Benedik v. Slovinsko, CE:ECHR:2018:0424JUD006235714, bod 109).

108

V prejednávanej veci je teda potrebné na účely uvedeného posúdenia zohľadniť skutočnosť, že Hadopi predtým, ako získa prístup k údajom o danej totožnosti, dostáva od organizácií nositeľov práv okrem iného „informácie o chránených dielach alebo predmetoch, ktorých sa skutky týkajú“, a „názov súboru, ako sa nachádza v zariadení účastníka (ak je k dispozícii)“, v súlade s bodom 1 prílohy k dekrétu č. 2010‑236.

109

Zo spisu, ktorý má Súdny dvor k dispozícii, vyplýva – s výhradou overenia vnútroštátnym súdom – že informácie o dotknutom diele zaznamenané v zápisnici, ktorej obsah je ohraničený uznesením CNIL z 10. júna 2010, sa v podstate obmedzujú na názov dotknutého diela, ako aj na úryvok známy ako „chunk“, ktorý má formu alfanumerickej sekvencie, a nie zvukového alebo obrazového záznamu diela.

110

V tejto súvislosti je pravda, že nemožno vo všeobecnosti vylúčiť, že prístup orgánu verejnej moci k obmedzenému počtu údajov o totožnosti držiteľa IP adresy, ktorú mu oznámil poskytovateľ elektronických komunikačných služieb výlučne na účely identifikácie tohto držiteľa v prípade, že táto adresa bola použitá na činnosti, ktoré môžu porušovať autorské práva alebo s nimi súvisiace práva, ak je spojený s analýzou informácií, hoci aj obmedzených, o obsahu diela nezákonne sprístupneného na internete, ktoré tomuto orgánu predtým postúpili organizácie nositeľov práv, môže tomuto orgánu verejnej moci poskytnúť informácie o určitých aspektoch súkromného života uvedeného držiteľa vrátane citlivých informácií, akými sú sexuálna orientácia, politické názory, náboženské, filozofické, spoločenské alebo iné presvedčenie, ako aj zdravotný stav, hoci takéto údaje požívajú osobitnú ochranu v práve Únie.

111

V prejednávanej veci by však obmedzené údaje a informácie, ktorými disponuje Hadopi, mohli vzhľadom na svoju povahu odhaliť iba v atypických situáciách prípadné citlivé informácie o aspektoch súkromného života dotknutej osoby, ktoré by ako celok mohli tomuto orgánu verejnej moci umožniť vyvodiť presné závery o jej súkromnom živote, napríklad vytvorením podrobného profilu tejto osoby.

112

Tak by to mohlo byť najmä v prípade osoby, ktorej IP adresa bola použitá na činnosti porušujúce autorské práva alebo s nimi súvisiace práva na sieťach so vzájomným sprístupňovaním (peer‑to‑peer) opakovane, či dokonca vo veľkom rozsahu, v súvislosti s chránenými dielami určitých druhov, ktoré možno spojiť na základe slov ich názvu, ktoré môžu odhaliť prípadné citlivé informácie o aspektoch jej súkromného života.

113

V prejednávanej veci však viaceré skutočnosti umožňujú domnievať sa, že zásah do súkromného života osoby podozrivej z vykonávania činnosti porušujúcej autorské práva alebo s nimi súvisiace práva, ktorý umožňuje taká právna úprava, o akú ide vo veci samej, nemusí mať nevyhnutne vysoký stupeň závažnosti. V prvom rade je podľa tejto právnej úpravy prístup úradu Hadopi k dotknutým osobným údajom vyhradený obmedzenému počtu poverených a prísažných zamestnancov tohto orgánu verejnej moci, ktorý má navyše nezávislé postavenie v súlade s článkom L. 331‑12 CPI. Ďalej jediným cieľom tohto prístupu je identifikovať osobu podozrivú z toho, že sa dopustila konania, ktoré porušuje autorské práva alebo s nimi súvisiace práva, ak sa zistí, že chránené dielo bolo nezákonne sprístupnené z jej prístupu na internet. Napokon prístup úradu Hadopi k dotknutým osobným údajom je prísne obmedzený na údaje potrebné na tento účel (pozri analogicky rozsudok ESĽP, 17. októbra 2019, López Ribalda a i. v. Španielsko, CE:ECHR:2019:1017JUD000187413, body 126 a 127).

114

Ďalšia skutočnosť, ktorá môže ešte viac znížiť stupeň zásahu do základných práv na ochranu súkromia a osobných údajov vyplývajúceho z uvedeného prístupu úradu Hadopi a ktorá sa zdá byť zrejmá zo spisu, ktorý má Súdny dvor k dispozícii, čo však prináleží overiť vnútroštátnemu súdu, sa týka toho, že podľa uplatniteľnej vnútroštátnej právnej úpravy zamestnanci úradu Hadopi, ktorí majú prístup k dotknutým údajom a informáciám, sú povinní zachovávať dôvernosť, ktorá im zakazuje sprístupniť tieto údaje a informácie v akejkoľvek forme, s výnimkou ich sprístupnenia na účely podania na prokuratúru, a použiť ich na iné účely, než je identifikácia držiteľa IP adresy podozrivého z toho, že sa dopustil konania, ktoré porušuje autorské práva alebo s nimi súvisiace práva, s cieľom uložiť mu niektoré z opatrení stanovených v rámci postupu odstupňovanej reakcie (pozri analogicky rozsudok ESĽP, 17. decembra 2009, Gardel v. Francúzsko, CE:ECHR:2009:1217JUD001642805, bod 70).

115

Pokiaľ teda vnútroštátna právna úprava spĺňa podmienky pripomenuté v bode 101 tohto rozsudku, IP adresy oznámené takému orgánu verejnej moci, akým je Hadopi, neumožňujú vystopovať prechádzanie stránok ich držiteľom, čo potvrdzuje konštatovanie, podľa ktorého zásah, ktorý spôsobuje prístup tohto orgánu k identifikačným údajom dotknutým vo veci samej, nemožno kvalifikovať ako závažný.

116

V treťom rade treba pripomenúť, že na účely nevyhnutného zosúladenia dotknutých práv a záujmov, ktoré vyplýva z požiadavky proporcionality stanovenej v článku 15 ods. 1 prvej vete smernice 2002/58, hoci sloboda prejavu a dôvernosť osobných údajov sú prvoradými záujmami a užívatelia telekomunikačných a internetových služieb musia mať záruku, že ich súkromie a sloboda prejavu budú rešpektované, tieto základné práva nie sú absolútne. V rámci vyváženia dotknutých práv a záujmov musia totiž tieto práva niekedy ustúpiť iným základným právam a požiadavkám všeobecného záujmu, akými sú ochrana verejného poriadku a predchádzanie trestným činom alebo ochrana práv a slobôd iných. Tak je to najmä v prípade, keď prevaha priznaná uvedeným prvoradým záujmom môže narušiť účinnosť trestného vyšetrovania najmä tým, že znemožňuje alebo nadmerne sťažuje účinnú identifikáciu páchateľa trestného činu a uloženie sankcie voči nemu (pozri analogicky rozsudok ESĽP, 2. marca 2009, K.Ú. v. Fínsko, CE:ECHR:2008:1202JUD000287202, bod 49).

117

V tomto kontexte treba náležite zohľadniť skutočnosť, ako už Súdny dvor rozhodol, že pokiaľ ide o porušenia, ku ktorým došlo online, IP adresa môže predstavovať jediný prostriedok vyšetrovania umožňujúci účinnú identifikáciu osoby, ktorej bola táto adresa pridelená v čase spáchania tohto porušenia (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 154).

118

Táto okolnosť preukazuje, ako to v podstate zdôraznil aj generálny advokát v bode 59 svojich návrhov z 28. septembra 2023, že uchovávanie týchto adries a prístup k nim sú v rámci boja proti takým trestným činom, akými sú trestné činy porušujúce autorské práva alebo s nimi súvisiace práva na internete, striktne nevyhnutné na dosiahnutie sledovaného cieľa, a teda zodpovedajú požiadavke proporcionality, ktorú stanovuje článok 15 ods. 1 smernice 2002/58 v spojení s odôvodnením 11 tejto smernice, ako aj s článkom 52 ods. 2 Charty.

119

Ako v podstate zdôraznil generálny advokát v bodoch 78 až 80 svojich návrhov z 27. októbra 2022, ako aj v bodoch 80 a 81 svojich návrhov z 28. septembra 2023, neumožnenie takéhoto prístupu by navyše znamenalo skutočné riziko systémovej beztrestnosti nielen trestných činov porušujúcich autorské práva alebo s nimi súvisiace práva, ale aj iných druhov trestných činov spáchaných online alebo ktorých spáchanie alebo prípravu uľahčujú charakteristické znaky internetu. Existencia takéhoto rizika pritom predstavuje relevantnú okolnosť na účely posúdenia v rámci vyvažovania rôznych dotknutých práv a záujmov, či je zásah do práv zaručených v článkoch 7, 8 a 11 Charty primeraným opatrením vzhľadom na cieľ boja proti trestným činom.

120

Je pravda, že prístup orgánu verejnej moci, akým je Hadopi, k údajom o totožnosti zodpovedajúcim IP adrese, ktorá bola použitá na spáchanie porušenia na internete, nie je nevyhnutne jediným možným prostriedkom vyšetrovania na účely identifikácie osoby, ktorá bola držiteľom tejto adresy v čase spáchania tohto porušenia. Takáto identifikácia by totiž mohla byťa priori možná aj preskúmaním všetkých online aktivít dotknutej osoby, najmä analýzou „stôp“, ktoré mohla zanechať na sociálnych sieťach, ako napríklad identifikátor používaný na týchto sieťach alebo jej kontaktné údaje.

121

Ako však uviedol generálny advokát v bode 83 svojich návrhov z 28. septembra 2023, takýto prostriedok vyšetrovania by bol obzvlášť rušivý, pretože by mohol odhaliť presné informácie o súkromnom živote dotknutých osôb. Pre tieto osoby by to teda znamenalo závažnejší zásah do práv zaručených v článkoch 7, 8 a 11 Charty, než je zásah vyplývajúci z právnej úpravy, o akú ide vo veci samej.

122

Z vyššie uvedeného vyplýva, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty sa má vykladať v tom zmysle, že v zásade nebráni vnútroštátnej právnej úprave, ktorá orgánu verejnej moci zodpovednému za ochranu autorských práv a s nimi súvisiacich práv pred porušovaním týchto práv na internete povoľuje prístup k údajom o totožnosti zodpovedajúcim IP adresám, ktoré vopred zhromažďujú organizácie nositeľov práv a ktoré uchovávajú poskytovatelia verejne dostupných elektronických komunikačných služieb oddelene a skutočne nepriepustne, a to s jediným cieľom umožniť tomuto orgánu identifikovať držiteľov týchto adries podozrivých zo zodpovednosti za tieto porušenia a prípadne voči nim prijať opatrenia. V takom prípade musí vnútroštátna právna úprava zakázať zamestnancom, ktorí majú takýto prístup, po prvé sprístupňovať v akejkoľvek forme informácie o obsahu súborov prehliadaných týmito držiteľmi, s výnimkou ich sprístupnenia na účely podania na prokuratúru, po druhé vykonávať akékoľvek sledovanie prechádzania stránok týmito držiteľmi a po tretie používať tieto IP adresy na iné účely, než je prijatie týchto opatrení.

123

Vzniká však otázka, či prístup orgánu verejnej moci k údajom o totožnosti zodpovedajúcim IP adrese musí navyše podliehať predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu.

124

V tejto súvislosti, aby sa v praxi zaručilo úplné dodržiavanie podmienok, ktoré sú členské štáty povinné stanoviť na zabezpečenie, že prístup bude obmedzený na to, čo je striktne nevyhnutné, Súdny dvor rozhodol, že je „nevyhnutné“, aby prístup príslušných vnútroštátnych orgánov k údajom o prenose dát a polohe podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu [pozri v tomto zmysle rozsudky z 21. decembra 2016, Tele2 Sverige a Watson a i., C‑203/15 a C‑698/15, EU:C:2016:970, bod 120; zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 189; z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 51, a z 5. apríla 2022, Commissioner of An Garda Síochána a i., C‑140/20, EU:C:2022:258, bod 106].

125

Toto predchádzajúce preskúmanie si po prvé vyžaduje, aby súd alebo nezávislý správny orgán poverený vykonávaním tohto preskúmania disponoval všetkými právomocami a poskytoval všetky záruky potrebné na zosúladenie rôznych dotknutých legitímnych záujmov a práv. Pokiaľ ide konkrétnejšie o trestné vyšetrovanie, takéto preskúmanie vyžaduje, aby tento súd alebo tento orgán bol schopný zabezpečiť spravodlivú rovnováhu medzi legitímnymi záujmami súvisiacimi s potrebami vyšetrovania v rámci boja proti trestnej činnosti na jednej strane a základnými právami na rešpektovanie súkromného života a ochrany osobných údajov osôb, ktorých údaje sú predmetom prístupu, na druhej strane (rozsudok z 5. apríla 2022, Commissioner of An Garda Síochána a i., C‑140/20, EU:C:2022:258, bod 107 a citovaná judikatúra).

126

Po druhé, ak toto preskúmanie nevykonáva súd, ale nezávislý správny orgán, musí mať postavenie, ktoré mu umožní konať pri výkone svojich úloh objektívne a nestranne a musí byť na tento účel chránený pred akýmkoľvek vonkajším vplyvom. Požiadavka nezávislosti, ktorú musí spĺňať orgán poverený vykonávaním predchádzajúceho preskúmania, teda vyžaduje, aby mal tento orgán postavenie tretej osoby vo vzťahu k orgánu, ktorý žiada o prístup k údajom, tak, aby bol uvedený orgán schopný vykonávať toto preskúmanie objektívne a nestranne, a zároveň bol chránený pred akýmkoľvek vonkajším vplyvom. Konkrétne v trestnoprávnej oblasti požiadavka nezávislosti znamená, že orgán poverený týmto predchádzajúcim preskúmaním jednak nie je zapojený do vedenia dotknutého trestného vyšetrovania a jednak je vo vzťahu k účastníkom trestného konania neutrálny (rozsudok z 5. apríla 2022, Commissioner of An Garda Síochána a i., C‑140/20, EU:C:2022:258, bod 108 a citovaná judikatúra).

127

Po tretie nezávislé preskúmanie vyžadované v súlade s článkom 15 ods. 1 smernice 2002/58 musí byť vykonané pred akýmkoľvek prístupom k dotknutým údajom, s výnimkou riadne odôvodneného naliehavého prípadu, v ktorom sa musí uvedené preskúmanie uskutočniť v krátkom čase. Následné preskúmanie by totiž neumožnilo splniť cieľ predchádzajúceho preskúmania, ktorý spočíva v zabránení tomu, aby bol povolený prístup k dotknutým údajom, ktorý prekračuje rámec toho, čo je striktne nevyhnutné [rozsudok z 5. apríla 2022, Commissioner of An Garda Síochána a i., C‑140/20, EU:C:2022:258, bod 110].

128

Ako vyplýva z judikatúry pripomenutej v bode 124 tohto rozsudku, Súdny dvor síce považoval za „nevyhnutné“, aby prístup príslušných vnútroštátnych orgánov k údajom o prenose dát a polohe podliehal predchádzajúcemu preskúmaniu zo strany súdu alebo nezávislého správneho orgánu, táto judikatúra sa však rozvinula v kontexte vnútroštátnych opatrení, ktoré na účely cieľa spojeného s bojom proti závažnej trestnej činnosti umožňovali všeobecný prístup ku všetkým uchovávaným údajom o prenose dát a polohe bez ohľadu na akúkoľvek spojitosť, hoci len nepriamu, so sledovaným cieľom, a ktoré tak zahŕňali závažné a dokonca aj „obzvlášť závažné“ zásahy do dotknutých základných práv.

129

Naproti tomu, ak išlo o podmienky, za ktorých môže byť prístup k údajom o totožnosti odôvodnený z hľadiska článku 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8 a 11 Charty, Súdny dvor sa nijako výslovne nezmieňuje o požiadavke takéhoto predchádzajúceho preskúmania [pozri v tomto zmysle rozsudky z 2. októbra 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, body 59, 60 a 62; zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 157 a 158, ako aj z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 34].

130

Z judikatúry Súdneho dvora týkajúcej sa zásady proporcionality, ktorej dodržiavanie vyžaduje článok 15 ods. 1 prvá veta smernice 2002/58, a najmä z judikatúry, podľa ktorej možnosť členských štátov odôvodniť obmedzenie práv a povinností stanovených najmä v článkoch 5, 6 a 9 tejto smernice treba posudzovať prostredníctvom merania závažnosti zásahu do základných práv zakotvených v článkoch 7, 8 a 11 Charty, ktorý spôsobuje takéto obmedzenie, a overenia, či je dôležitosť cieľa všeobecného záujmu sledovaného týmto obmedzením priamo úmerná takejto závažnosti (rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, bod 131), pritom vyplýva, že stupeň zásahu do dotknutých základných práv, ktorý spôsobuje prístup k predmetným osobným údajom, ako aj úroveň citlivosti týchto údajov musia mať vplyv aj na hmotnoprávne a procesné záruky, ktoré musia tento prístup sprevádzať, medzi ktoré patrí aj požiadavka predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu.

131

Vzhľadom na túto zásadu proporcionality sa preto treba domnievať, že požiadavka predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu sa uplatní vtedy, ak v kontexte vnútroštátnej právnej úpravy, ktorá stanovuje prístup orgánu verejnej moci k osobným údajom, tento prístup predstavuje riziko závažného zásahu do základných práv dotknutej osoby v tom zmysle, že by mohol tomuto orgánu verejnej moci umožniť vyvodiť presné závery o súkromnom živote tejto osoby a prípadne vytvoriť jej podrobný profil.

132

Naopak táto požiadavka predchádzajúceho preskúmania sa neuplatní, ak zásah do dotknutých základných práv, ktorý spôsobuje prístup orgánu verejnej moci k osobným údajom, nemožno kvalifikovať ako závažný.

133

Tak je to v prípade prístupu k údajom o totožnosti používateľov elektronických komunikačných prostriedkov výlučne na účely identifikácie dotknutého používateľa bez možnosti spojiť tieto údaje s informáciami o uskutočnených komunikáciách, keďže podľa judikatúry Súdneho dvora zásah, ktorý predstavuje takéto spracúvanie uvedených údajov, v zásade nemožno kvalifikovať ako závažný (pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 157 a 158).

134

Z toho vyplýva, že ak je zavedený taký mechanizmus uchovávania, ako je opísaný v bodoch 86 až 89 tohto rozsudku, prístup orgánu verejnej moci k údajom o totožnosti zodpovedajúcim takto uchovávaným IP adresám v zásade nepodlieha požiadavke predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu.

135

Ako však už bolo uvedené v bodoch 110 a 111 tohto rozsudku, nemožno vylúčiť, že v atypických situáciách môžu obmedzené údaje a informácie sprístupnené orgánu verejnej moci v rámci takého postupu, akým je postup odstupňovanej reakcie dotknutý vo veci samej, odhaliť prípadné citlivé informácie o aspektoch súkromného života dotknutej osoby, ktoré by ako celok mohli tomuto orgánu verejnej moci umožniť vyvodiť presné závery o súkromnom živote tejto osoby a prípadne vytvoriť jej podrobný profil.

136

Ako vyplýva z bodu 112 tohto rozsudku, takéto riziko pre súkromie môže nastať najmä vtedy, ak osoba opakovane, či dokonca vo veľkom rozsahu vykonáva činnosti porušujúce autorské práva alebo s nimi súvisiace práva na sieťach so vzájomným sprístupňovaním (peer‑to‑peer) v súvislosti s chránenými dielami určitých druhov, ktoré možno spojiť na základe slov ich názvu, čím odhaľujú prípadné citlivé informácie o jej súkromnom živote.

137

V prejednávanej veci tak v rámci správneho postupu odstupňovanej reakcie môže byť držiteľ IP adresy osobitne vystavený takémuto riziku pre svoje súkromie, ak tento postup dospeje do fázy, v ktorej má Hadopi rozhodnúť o tom, či postúpi vec prokuratúre na účely stíhania tohto držiteľa za skutky, ktoré možno kvalifikovať ako hrubú nedbanlivosť alebo trestný čin porušovania práv.

138

Toto postúpenie veci totiž predpokladá, že uvedenému držiteľovi IP adresy už boli zaslané dve odporúčania a list s oznámením, ktorým bol informovaný o tom, že jeho činnosť môže viesť k trestnému stíhaniu, čo sú opatrenia, z ktorých vyplýva, že Hadopi mal zakaždým prístup k údajom o totožnosti tohto držiteľa, ktorého IP adresa bola použitá na činnosti porušujúce autorské práva alebo s nimi súvisiace práva, ako aj k súboru týkajúcemu sa tohto diela, ktorý obsahuje v podstate jeho názov.

139

Nemožno pritom vylúčiť, že ako celok a v priebehu správneho postupu odstupňovanej reakcie môžu údaje takto poskytnuté v rôznych fázach tohto postupu odhaliť zhodujúce sa a potenciálne citlivé informácie o aspektoch súkromného života dotknutej osoby, ktoré prípadne umožňujú vytvoriť jej profil.

140

S priebehom jednotlivých fáz postupu odstupňovanej reakcie, ktorý je postupným procesom, tak môže intenzita zásahu do práva na rešpektovanie súkromného života postupne narastať.

141

V prejednávanej veci prístup úradu Hadopi ku všetkým údajom týkajúcim sa dotknutej osoby, ktoré boli nazhromaždené v priebehu rôznych etáp tohto postupu, môže prostredníctvom prepojenia týchto údajov umožniť vyvodenie presných záverov o súkromnom živote tejto osoby. Preto v rámci takého postupu, akým je postup odstupňovanej reakcie dotknutý vo veci samej, musí vnútroštátna právna úprava stanoviť v určitej fáze uvedeného postupu aj predchádzajúce preskúmanie súdom alebo nezávislým správnym orgánom, ktoré spĺňa podmienky uvedené v bodoch 125 až 127 tohto rozsudku, s cieľom vylúčiť riziká neprimeraných zásahov do základných práv na ochranu súkromia a osobných údajov dotknutej osoby. To znamená, že v praxi musí dôjsť k takémuto preskúmaniu skôr, než môže Hadopi prepojiť údaje o totožnosti osoby zodpovedajúce IP adrese, ktoré boli získané od poskytovateľa elektronických komunikačných služieb, pričom tejto osobe už boli zaslané dve odporúčania, so súborom týkajúcim sa diela, ktoré bolo sprístupnené na internete na účely jeho sťahovania inými osobami. K uvedenému preskúmaniu teda musí dôjsť pred prípadným zaslaním listu s oznámením uvedeného v článku R‑331‑40 CPI, v ktorom sa konštatuje, že táto osoba sa dopustila skutkov, ktoré môžu predstavovať hrubú nedbanlivosť. Až po takomto predchádzajúcom preskúmaní zo strany súdu alebo nezávislého správneho orgánu a jeho povolení môže Hadopi zaslať takýto list a následne sa prípadne obrátiť na prokuratúru na účely stíhania tohto porušenia.

142

Treba umožniť, aby Hadopi identifikoval prípady, v ktorých držiteľ dotknutej IP adresy dosiahne túto tretiu etapu takéhoto postupu odstupňovanej reakcie. Toto konanie preto musí byť organizované a štruktúrované tak, aby údaje o totožnosti osoby zodpovedajúce IP adresám vopred zhromaždeným z internetu, ktoré boli získané od poskytovateľov elektronických komunikačných služieb, nemohli byť osobami zodpovednými za preskúmanie skutkov v rámci úradu Hadopi automaticky prepojené so súbormi, ktoré obsahujú informácie umožňujúce poznať názvy chránených diel, ktorých sprístupnenie na internete odôvodňovalo toto zhromažďovanie.

143

Toto prepojenie na účely uvedenej tretej etapy odstupňovanej reakcie sa teda musí pozastaviť, ak zber uvedených údajov o totožnosti, ktorý zodpovedá prípadu možného druhého opakovania činnosti porušujúcej autorské práva alebo s nimi súvisiace práva, vyvolá požiadavku predchádzajúceho preskúmania zo strany súdu alebo nezávislého správneho orgánu opísanú v bode 141 tohto rozsudku.

144

Okrem toho úprava požiadavky predchádzajúceho preskúmania uvedená v bodoch 141 až 143 tohto rozsudku tým, že sa obmedzuje na tretiu etapu postupu odstupňovanej reakcie a neuplatňuje sa na jeho predchádzajúce etapy, umožňuje tiež zohľadniť tvrdenie, podľa ktorého treba zachovať uskutočniteľnosť tohto postupu, ktorá je najmä v etapách pred prípadným zaslaním listu s oznámením a prípadným podaním na prokuratúru charakteristická značným počtom žiadostí orgánu verejnej moci o prístup vyplývajúcich z rovnako veľkého počtu zápisníc, ktoré mu predkladajú organizácie nositeľov práv.

145

Pokiaľ ide ďalej o predmet predchádzajúceho preskúmania uvedený v bodoch 141 až 143 tohto rozsudku, z judikatúry pripomenutej v bodoch 95 a 96 uvedeného rozsudku vyplýva, že v prípadoch, keď je dotknutá osoba podozrivá z toho, že sa dopustila „hrubej nedbanlivosti“ vymedzenej v článku R. 335‑5 CPI, ktorá patrí medzi trestné činy vo všeobecnosti, súd alebo nezávislý správny orgán zodpovedný za toto preskúmanie musí prístup odmietnuť, ak by tento prístup umožnil orgánu verejnej moci, ktorý oň požiadal, vyvodiť presné závery o súkromnom živote uvedenej osoby.

146

Naproti tomu aj prístup umožňujúci vyvodiť takéto presné závery by mal byť povolený v prípadoch, keď skutočnosti, o ktorých sa tento súd alebo nezávislý správny orgán dozvedel, umožňujú predpokladať, že dotknutá osoba spáchala trestný čin porušovania práv uvedený v článku L. 335‑2 CPI alebo v článku L. 335‑4 tohto zákonníka, keďže členský štát sa môže domnievať, že takýto čin, keďže zasahuje do základného záujmu spoločnosti, patrí medzi závažnú trestnú činnosť.

147

Napokon, pokiaľ ide o spôsoby vykonania tohto predchádzajúceho preskúmania, francúzska vláda sa domnieva, že vzhľadom na osobitné charakteristiky prístupu úradu Hadopi k predmetným údajom, najmä jeho rozsiahlosť, by bolo vhodné, aby predchádzajúce preskúmanie, ak by sa vyžadovalo, bolo úplne automatizované. Cieľom takéhoto preskúmania, ktoré má čisto objektívnu povahu, je totiž podľa nej najmä overiť, či zápisnica predložená úradu Hadopi obsahuje všetky požadované informácie a údaje bez toho, aby musel tento orgán tieto informácie a údaje posudzovať.

148

Predchádzajúce preskúmanie však nemôže byť v žiadnom prípade úplne automatizované, pretože ako vyplýva z judikatúry pripomenutej v bode 125 tohto rozsudku, pokiaľ ide o trestné vyšetrovanie, takéto preskúmanie v každom prípade vyžaduje, aby dotknutý súd alebo nezávislý správny orgán bol schopný zabezpečiť spravodlivú rovnováhu medzi legitímnymi záujmami súvisiacimi s potrebami vyšetrovania v rámci boja proti trestnej činnosti na jednej strane a základnými právami na rešpektovanie súkromného života a ochrany osobných údajov osôb, ktorých údaje sú predmetom prístupu, na druhej strane.

149

Takéto vyváženie rôznych oprávnených záujmov a dotknutých práv si totiž vyžaduje zásah fyzickej osoby, ktorý je o to viac potrebnejší, že automatizácia a veľký rozsah predmetného spracúvania údajov so sebou prináša riziká pre súkromie.

150

Okrem toho plne automatizované preskúmanie v zásade nemôže zabezpečiť, že prístup neprekročí hranice toho, čo je striktne nevyhnutné, a že osoby, ktorých osobné údaje sú dotknuté, budú mať účinné záruky proti rizikám zneužitia, ako aj proti akémukoľvek nezákonnému prístupu k týmto údajom a ich protiprávnemu používaniu.

151

Hoci teda automatizované preskúmania môžu umožniť overenie určitých informácií obsiahnutých v zápisniciach organizácií nositeľov práv, takéto preskúmania musia byť v každom prípade sprevádzané preskúmaním vykonávaným fyzickými osobami, ktoré plne spĺňa požiadavky pripomenuté v bodoch 125 až 127 tohto rozsudku.

152

Z judikatúry Súdneho dvora vyplýva, že prístup k osobným údajom môže byť v súlade s požiadavkou proporcionality stanovenou v článku 15 ods. 1 smernice 2002/58 len vtedy, ak legislatívne opatrenie, ktoré ho povoľuje, prostredníctvom jasných a presných pravidiel stanovuje, že uvedený prístup podlieha dodržiavaniu príslušných hmotnoprávnych a procesných podmienok a že dotknuté osoby majú účinné záruky proti rizikám zneužívajúceho alebo nezákonného prístupu k týmto údajom a ich používania [pozri v tomto zmysle rozsudok zo 6. októbra 2020, La Quadrature du Net a i., C‑511/18, C‑512/18 a C‑520/18, EU:C:2020:791, body 132 a 173, ako aj z 2. marca 2021, Prokuratuur (Podmienky prístupu k údajom týkajúcim sa elektronických komunikácií), C‑746/18, EU:C:2021:152, bod 49 a citovanú judikatúru].

153

Ako zdôraznil Súdny dvor, nevyhnutnosť disponovať takými zárukami je o to dôležitejšia v prípade, keď sú osobné údaje spracúvané automaticky (rozsudok zo 16. júla 2020, Facebook Ireland a Schrems, C‑311/18, EU:C:2020:559, bod 176 a citovaná judikatúra).

154

V tejto súvislosti francúzska vláda v odpovedi na otázku položenú Súdnym dvorom na účely pojednávania konaného 5. júla 2022 potvrdila, ako navyše uvádza článok L. 331‑29 CPI, že prístup úradu Hadopi k údajom o totožnosti v rámci postupu odstupňovanej reakcie vychádza zo spracúvania údajov, ktoré je v podstate automatizované, čo možno vysvetliť značným počtom porušení práv zistených organizáciami nositeľov práv na sieťach so vzájomným sprístupňovaním (peer‑to‑peer), ktoré sú postúpené úradu Hadopi vo forme zápisníc.

155

Zo spisu, ktorý má Súdny dvor k dispozícii, konkrétne vyplýva, že pri tomto spracúvaní údajov zamestnanci Hadopi v podstate automatizovaným spôsobom a bez posúdenia dotknutých skutkov ako takých overujú, či zápisnice, ktoré im boli postúpené, obsahujú všetky informácie a údaje uvedené v bode 1 prílohy dekrétu č. 2010‑236, a to najmä dotknuté skutky nezákonného sprístupňovania na internete a IP adresy použité na tento účel. Takéto spracúvanie pritom musí byť sprevádzané preskúmaním vykonávaným fyzickými osobami.

156

Keďže takéto automatizované spracúvanie môže zahŕňať určitý počet falošne pozitívnych prípadov a najmä riziko, že potenciálne veľmi veľké množstvo osobných údajov môže byť použité tretími osobami na zneužívajúce alebo protiprávne účely, je dôležité, aby na základe legislatívneho opatrenia systém spracúvania údajov používaný orgánom verejnej moci podliehal v pravidelných intervaloch kontrole nezávislého orgánu, ktorý má voči tomuto orgánu postavenie tretej strany, s cieľom overiť integritu systému – vrátane overenia účinných záruk proti rizikám zneužitia, ako aj proti akémukoľvek nezákonnému prístupu k týmto údajom a ich nezákonnému používaniu, pričom tieto záruky musí tento systém zabezpečiť – ako aj jeho účinnosť a spoľahlivosť pri odhaľovaní porušení, ktoré by sa v prípade opakovania mohli kvalifikovať ako hrubá nedbanlivosť alebo porušenie práv.

157

Napokon treba dodať, že také spracúvanie osobných údajov orgánom verejnej moci, aké vykonáva Hadopi v rámci postupu odstupňovanej reakcie, musí dodržiavať osobitné pravidlá ochrany týchto údajov stanovené v smernici 2016/680, ktorej cieľom je podľa jej článku 1 stanoviť pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií, vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu.

158

Hoci totiž v prejednávanej veci podľa uplatniteľného vnútroštátneho práva Hadopi nemá vlastné rozhodovacie právomoci, musí byť pri spracúvaní osobných údajov v rámci postupu odstupňovanej reakcie a prijímaní opatrení, ako je odporúčanie alebo informovanie dotknutej osoby o tom, že predmetné skutky možno trestne stíhať, kvalifikovaný ako „orgán verejnej moci“ v zmysle článku 3 smernice 2016/680, ktorý sa podieľa na predchádzaní trestným činom a ich odhaľovaní, a to konkrétne hrubej nedbanlivosti alebo trestného činu porušovania práv, a patrí teda do pôsobnosti tejto smernice v súlade s jej článkom 1.

159

V tejto súvislosti francúzska vláda v odpovedi na otázku položenú Súdnym dvorom na účely pojednávania konaného 5. júla 2022 uviedla, že vzhľadom na to, že opatrenia prijaté úradom Hadopi v rámci postupu odstupňovanej reakcie „majú predtrestnú povahu priamo spojenú so súdnym konaním“, systém riadenia opatrení na ochranu diel na internete zavedený Hadopi podlieha, ako vyplýva z judikatúry vnútroštátneho súdu, ustanoveniam vnútroštátneho práva, ktorými sa preberá smernica 2016/680.

160

Naproti tomu takéto spracúvanie údajov zo strany úradu Hadopi nepatrí do pôsobnosti GDPR. Článok 2 ods. 2 písm. d) GDPR totiž stanovuje, že toto nariadenie sa nevzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania, alebo výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a jeho predchádzania.

161

Ako uviedol generálny advokát v bode 104 svojich návrhov z 27. októbra 2022, keďže Hadopi musí v rámci postupu odstupňovanej reakcie dodržiavať smernicu 2016/680, osoby zapojené do tohto postupu musia požívať všetky hmotnoprávne a procesné záruky zahŕňajúce právo na prístup k osobným údajom spracúvaným úradom Hadopi a ich opravu alebo vymazanie, ako aj možnosť podať sťažnosť na nezávislom dozornom orgáne, po ktorom prípadne nasleduje súdny prostriedok nápravy uplatnený za podmienok všeobecného práva.

162

V tomto kontexte z vnútroštátnych právnych predpisov dotknutých vo veci samej vyplýva, že v rámci postupu odstupňovanej reakcie, presnejšie pri zaslaní druhého odporúčania a následnom liste s oznámením, že zistené skutky možno kvalifikovať ako trestný čin, požíva adresát týchto oznámení určité procesné záruky, ako je právo predložiť pripomienky, právo na objasnenie porušenia, ktoré sa mu vytýka, ako aj, pokiaľ ide o uvedený list s oznámením, právo požiadať o vypočutie a právo na právne zastúpenie.

163

V každom prípade prináleží vnútroštátnemu súdu, aby overil, či tieto vnútroštátne predpisy stanovujú všetky hmotnoprávne a procesné záruky, ktoré určuje smernica 2016/680.

164

Vzhľadom na všetky predchádzajúce úvahy treba na tri prejudiciálne otázky odpovedať tak, že článok 15 ods. 1 smernice 2002/58 v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty sa má vykladať v tom zmysle, že nebráni vnútroštátnej právnej úprave, ktorá orgánu verejnej moci zodpovednému za ochranu autorských práv a s nimi súvisiacich práv pred porušovaním týchto práv na internete povoľuje prístup k údajom o totožnosti zodpovedajúcim IP adresám uchovávaným poskytovateľmi verejne dostupných elektronických komunikačných služieb, ktoré predtým zhromaždili organizácie nositeľov práv, s cieľom umožniť tomuto orgánu identifikovať držiteľov týchto adries používaných na činnosti, ktoré môžu predstavovať takéto porušovanie, a prípadne voči nim prijať opatrenia pod podmienkou, že podľa tejto právnej úpravy

165

Vzhľadom na to, že konanie pred Súdnym dvorom má vo vzťahu k účastníkom konania vo veci samej incidenčný charakter a bolo začaté v súvislosti s prekážkou postupu v konaní na vnútroštátnom súde, o trovách konania rozhodne tento vnútroštátny súd. Iné trovy konania, ktoré vznikli v súvislosti s predložením pripomienok Súdnemu dvoru a nie sú trovami uvedených účastníkov konania, nemôžu byť nahradené.

Z týchto dôvodov Súdny dvor (plénum) rozhodol takto:

Článok 15 ods. 1 smernice Európskeho parlamentu a Rady 2002/58/ES z 12. júla 2002, týkajúcej sa spracovávania osobných údajov a ochrany súkromia v sektore elektronických komunikácií (smernica o súkromí a elektronických komunikáciách), zmenenej smernicou Európskeho parlamentu a Rady 2009/136/ES z 25. novembra 2009, v spojení s článkami 7, 8, 11 a článkom 52 ods. 1 Charty základných práv Európskej únie,

sa má vykladať v tom zmysle, že:

nebráni vnútroštátnej právnej úprave, ktorá orgánu verejnej moci zodpovednému za ochranu autorských práv a s nimi súvisiacich práv pred porušovaním týchto práv na internete povoľuje prístup k údajom o totožnosti zodpovedajúcim IP adresám uchovávaným poskytovateľmi verejne dostupných elektronických komunikačných služieb, ktoré predtým zhromaždili organizácie nositeľov práv, s cieľom umožniť tomuto orgánu identifikovať držiteľov týchto adries používaných na činnosti, ktoré môžu predstavovať takéto porušovanie, a prípadne voči nim prijať opatrenia pod podmienkou, že podľa tejto právnej úpravy