Pravni okvir o intelektualni lastnini

Pravo Unije

Splošna ureditev varstva osebnih podatkov

– Direktiva 95/46/ES

– SUVP

Sektorska ureditev varstva osebnih podatkov

– Direktiva 2002/58

– Direktiva (EU) 2016/680

Ureditev varstva pavic intelektualne lastnine

Francosko pravo

CPI

Odlok št. 2010-236

Zakonik o pošti in elektronskih komunikacijah

Spor o glavni stvari in vprašanja za predhodno odločanje

Vprašanja za predhodno odločanje

Uvodne ugotovitve

Utemeljitev dostopa javnega organa do podatkov o istovetnosti, ki ustrezajo IP-naslovu in ki jih hranijo ponudniki elektronskih komunikacijskih storitev, zaradi boja proti ponarejanju na spletu na podlagi člena 15(1) Direktive 2002/58

Zahteve, ki jih imajo ponudniki elektronskih komunikacijskih storitev, v zvezi s hrambo podatkov o istovetnosti in ustreznih IP-naslovov

Zahteve v zvezi z dostopom do podatkov o istovetnosti, ki ustrezajo IP-naslovu in ki jih hranijo ponudniki elektronskih komunikacijskih storitev

Zahteva, da sodišče ali drug neodvisni upravni organ opravi nadzor, preden javni organ dostopi do podatkov o istovetnosti, ki ustrezajo IP-naslovu

Zahteve v zvezi z materialnimi in postopkovnimi pogoji ter jamstvi pred tveganji zlorab in pred vsakršnim nezakonitim dostopom do teh podatkov in njihovo vsakršno nezakonito uporabo, ki morajo biti izpolnjene za dostop javnega organa do podatkov o istovetnosti, ki ustrezajo IP-naslovu

Stroški

–

za La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net in French Data Network A. Fitzjean Ó Cobhthaigh, avocat,

–

za francosko vlado A. Daniel, A.‑L. Desjonquères in J. Illouz, agenti,

–

za dansko vlado J. F. Kronborg in V. Pasternak Jørgensen, agentki,

–

za estonsko vlado, M. Kriisa, agentka,

–

za finsko vlado H. Leppo, agentka,

–

za švedsko vlado, H. Shev, agentka,

–

za norveško vlado F. Bergsjø, S.‑E. Dahl, J. T. Kaasin in P. Wennerås, agenti,

–

za Evropsko komisijo S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal in F. Wilman, agenti,

–

za La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net in French Data Network A. Fitzjean Ó Cobhthaigh, avocat,

–

za francosko vlado R. Bénard, J. Illouz in T. Stéhelin, agenti,

–

za češko vlado T. Suchá in J. Vláčil, agenta,

–

za dansko vlado J. F. Kronborg in C. A.‑S. Maertens, agentki,

–

za estonsko vlado, M. Kriisa, agentka,

–

za Irsko M. Browne, Chief State Solicitor, A. Joyce in D. O’Reilly, agenta, skupaj z D. Fenellyem, BL,

–

za špansko vlado A. Gavela Llopis, agentka,

–

za ciprsko vlado I. Neophytou, agentka,

–

za latvijsko vlado J. Davidoviča in K. Pommere, agentki,

–

za nizozemsko vlado E. M. M. Besselink, M. K. Bultermann in A. Hanje, agentke,

–

za finsko vlado A. Laine in H. Leppo, agentki,

–

za švedsko vlado, F.‑D. Göransson in H. Shev, agentki,

–

za norveško vlado S.‑E. Dahl in P. Wennerås, agenta,

–

za Evropsko komisijo S. L. Kalėda, H. Kranenborg, P.‑J. Loewenthal in F. Wilman, agenti,

–

za Evropskega nadzornika za varstvo podatkov V. Bernardo, C.‑A. Marnier, D. Nardi in M. Pollmann, agenti,

–

za Agencijo Evropske unije za kibernetsko varnost A. Bourka, agentka,

1

Predlog za sprejetje prehodne odločbe se nanaša na razlago Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 29, str. 514), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 (UL 2009, L 337, str. 11) (v nadaljevanju: Direktiva 2002/58) v povezavi z Listino Evropske unije o temeljnih pravicah (v nadaljevanju: Listina).

2

Ta predlog je bil vložen v okviru spora med organizacijami La Quadrature du Net, Fédération des fournisseurs d’accès à Internet associatifs, Franciliens.net in French Data Network na eni strani ter Premier ministre (predsednik vlade, Francija) in ministre de la Culture (minister za kulturo, Francija) na drugi strani zaradi zakonitosti décret no 2010-236, du 5 mars 2010, relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé „Système de gestion des mesures pour la protection des œuvres sur internet“ (odlok št. 2010‑236 z dne 5. marca 2010 o avtomatizirani obdelavi osebnih podatkov, ki je dovoljena s členom L. 331-29 zakonika o intelektualni lastnini in ki je imenovana „Sistem upravljanja ukrepov za varstvo del na spletu“) (JORF št. 56 z dne 7. marca 2010, besedilo št. 19), kakor je bil spremenjen z décret no 2017‑924, du 6 mai 2017, relatif à la gestion des droits d’auteur et des droits voisins par un organisme de gestion de droits et modifiant le code de la propriété intellectuelle (odlok št. 2017-924 z dne 6. maja 2017 o upravljanju avtorske in sorodnih pravic s strani organizacije za upravljanje pravic in o spremembi zakonika o intelektualni lastnini (JORF št. 109 z dne 10. maja 2017, besedilo št. 176) (v nadaljevanju: odlok št. 2010-236).

3

V oddelku II z naslovom „Merila za zakonitost obdelave podatkov“ pod poglavjem II Direktive Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL, posebna izdaja v slovenščini, poglavje 13, zvezek 15, str. 355) je člen 7 določal:

„Države članice določijo, da se lahko osebni podatki obdelujejo samo, če:

[…]

4

Člen 13(1) navedene direktive je določal:

„Države članice lahko sprejmejo predpise za omejitev obsega obveznosti in pravic, opredeljenih v členih 6(1), 10, 11(1), 12 in 21, kadar taka omejitev predstavlja potrebni ukrep za zaščito:

[…]

5

Člen 2 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL 2016, L 119, str. 1, v nadaljevanju: SUVP), naslovljen „Področje uporabe“ v odstavkih 1 in 2 določa:

„1.   Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

2.   Ta uredba se ne uporablja za obdelavo osebnih podatkov:

[…]

6

V členu 4 SUVP z naslovom „Opredelitev pojmov“ je pojasnjeno:

„V tej uredbi:

[…].“

7

Člen 6 te uredbe, naslovljen „Zakonitost obdelave“, v odstavku 1 določa:

„Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

[…]

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.“

8

Člen 9 navedene uredbe, naslovljen „Obdelava posebnih vrst osebnih podatkov“, v odstavku 2(e) in (f) določa, da se prepoved obdelave nekaterih vrst osebnih podatkov, med drugim podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo, ne uporablja, če je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi, ali če je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

9

Člen 23 SUVP, naslovljen „Omejitve“, v odstavku 1 določa:

„Pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

[…]

10

V uvodnih izjavah 2, 6, 7, 11, 26 in 30 Direktive 2002/58 je navedeno:

[…]

[…]

[…]

[…]

11

Člen 2 Direktive 2002/58, naslovljen „Opredelitve“, določa:

„[…]

Uporabijo se tudi naslednje opredelitve pojmov:

[…].“

12

Člen 3 te direktive, naslovljen „Storitve“, določa:

„Ta direktiva se uporablja za obdelavo osebnih podatkov v zvezi z zagotavljanjem javno razpoložljivih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Skupnosti, vključno z javnimi komunikacijskimi omrežji, ki podpirajo zbiranje podatkov in identifikacijske naprave.“

13

Člen 5 navedene direktive, naslovljen „Zaupnost sporočil“, določa:

„1.   Države članice s svojo nacionalno zakonodajo zagotovijo zaupnost sporočil in s tem povezanih podatkov o prometu, ki se pošiljajo prek javnega komunikacijskega omrežja in javno razpoložljivih elektronskih komunikacijskih storitev. Zlasti prepovejo vsem osebam razen uporabnikom, da poslušajo, prisluškujejo, shranjujejo ali na druge načine prestrezajo ali nadzirajo komunikacije (sporočila) in z njimi povezane podatke o prometu, brez privolitve zadevnih uporabnikov, razen kadar je to zakonsko dovoljeno v skladu s členom 15(1). Ta odstavek ne preprečuje tehničnega shranjevanja, ki je potrebno za prenos sporočila, brez vpliva na načelo zaupnosti.

[…]

3.   Države članice zagotovijo, da je shranjevanje podatkov ali pridobivanje dostopa do podatkov, shranjenih v terminalski opremi naročnika ali uporabnika, dovoljeno samo pod pogojem, da je zadevni naročnik ali uporabnik v to privolil po tem, ko je bil jasno in izčrpno obveščen v skladu z Direktivo [95/46], med drugim o namenih obdelave. […]“

14

Člen 6 iste direktive, naslovljen „Podatki o prometu“, določa:

„1.   Podatki o prometu, ki se nanašajo na naročnike in uporabnike in ki jih je ponudnik javnega komunikacijskega omrežja ali javno razpoložljive elektronske komunikacijske storitve obdelal in shranil, morajo biti izbrisani ali predelani v anonimne, potem ko niso več potrebni za namen prenosa sporočila, kar ne vpliva na odstavke 2, 3 in 5 tega člena in člena 15(1).

2.   Podatki o prometu, potrebni za namene zaračunavanja naročnikom in plačil za medsebojne povezave, se lahko obdelujejo. Taka obdelava je dovoljena samo do poteka obdobja, med katerim se lahko obračun zakonito izpodbija ali sprožijo postopki za pridobitev plačila.

3.   Za namen trženja elektronskih komunikacijskih storitev ali zagotovitve storitev z dodano vrednostjo lahko ponudnik javno razpoložljive elektronske komunikacijske storitve obdela podatke iz odstavka 1 v obsegu in trajanju, ki sta potrebna za takšne storitve ali trženje, če naročnik ali uporabnik, na katerega se podatki nanašajo, da privolitev. Uporabnikom ali naročnikom je dana možnost, da kadar koli umaknejo privolitev za obdelavo podatkov o prometu.

[…]

5.   Obdelava podatkov o prometu mora biti v skladu z odstavki 1, 2, 3 in 4 omejena na osebe, ki delujejo pod nadzorom ponudnikov javnih komunikacijskih omrežij in javno razpoložljivih elektronskih komunikacijskih storitev in ki skrbijo za zaračunavanje ali upravljanje prometa, se odzivajo na povpraševanje porabnikov, odkrivajo prevare, tržijo elektronske komunikacijske storitve ali zagotavljajo storitve z dodano vrednostjo, pri čemer mora biti ta obdelava omejena na to, kar je potrebno za namene takšnih dejavnosti.“

15

Člen 15 Direktive 2002/58, naslovljen „Uporaba nekaterih določb Direktive [95/46]“, določa:

„1.   Države članice lahko sprejmejo zakonske ukrepe, s katerimi omejijo obseg pravic in obveznosti, določenih v členu 5, členu 6, členu 8(1), (2), (3) in (4) ter členu 9 te direktive, kadar takšna omejitev pomeni potreben, primeren in ustrezen ukrep znotraj demokratične družbe za zaščito državne varnosti (to je Državne varnosti), obrambe, javne varnosti in preprečevanje, preiskovanje, odkrivanje in pregon kriminalnih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema iz člena 13(1) Direktive [95/46]. V ta namen lahko države članice med drugim sprejmejo zakonske ukrepe, ki določajo zadrževanje podatkov za določeno obdobje, upravičeno iz razlogov iz tega odstavka. Vsi ukrepi iz tega odstavka so v skladu s splošnimi načeli zakonodaje Skupnosti, vključno s tistimi iz člena 6(1) in (2) [PEU].

[…]

2.   Določbe poglavja III o pravnih sredstvih, odgovornosti in sankcijah direktive [95/46] se uporabijo v zvezi z nacionalnimi predpisi, sprejetimi v skladu s to direktivo in posameznimi pravicami, izhajajočimi iz te direktive.

[…]“

16

Člen 1 Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL 2016, L 119, str. 89), naslovljen „Predmet urejanja in cilji“, v odstavku 1 določa:

„V tej direktivi so določena pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.“

17

Člen 3 navedene direktive, naslovljen „Opredelitve pojmov“, določa:

„V tej direktivi:

[…]

7. ‚pristojni organ‘ pomeni:

[…].“

18

Člen 8 Direktive Evropskega parlamenta in Sveta 2004/48/ES z dne 29. aprila 2004 o uveljavljanju pravic intelektualne lastnine (UL, posebna izdaja v slovenščini, poglavje 17, zvezek 2, str. 32), naslovljen „Pravica do informacij“, določa:

„1.   Države članice zagotovijo, da lahko v okviru postopkov v zvezi s kršitvijo pravice intelektualne lastnine in na podlagi utemeljene in sorazmerne zahteve vlagatelja pristojni sodni organi odredijo, da informacije o izvoru in distribucijskih omrežjih blaga ali storitev, ki kršijo pravico intelektualne lastnine, priskrbi kršitelj […].

2.   Informacije iz odstavka 1 vključujejo, kot je ustrezno:

[…]

3.   Odstavka 1 in 2 se uporabljata brez poseganja v druge zakonske določbe, ki:

19

Člen L. 331-12 code de la propriété intellectuelle (zakonik o intelektualni lastnini) v različici, ki je veljala na dan, ko je bila izdana odločba, ki jo tožeče stranke iz postopka v glavni stvari izpodbijajo (v nadaljevanju: CPI), določa:

„Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Visoka oblast za razširjanje del in varstvo pravic na spletu, v nadaljevanju: Hadopi) je neodvisen javni organ. […]“

20

Člen L. 331-13 tega zakonika določa:

„[Hadopi] zagotavlja:

1. nalogo spodbujanja razvoja zakonite ponudbe in spremljanja zakonite in nezakonite uporabe del in predmetov, varovanih z avtorsko ali sorodnimi pravicami, v elektronskih komunikacijskih omrežjih, ki se uporabljajo za zagotavljanje javnih spletnih komunikacijskih storitev;

2. nalogo varstva teh del in predmetov pred kršitvami teh pravic, storjenimi v elektronskih komunikacijskih omrežjih, ki se uporabljajo za zagotavljanje javnih spletnih komunikacijskih storitev;

[…].“

21

Člen L. 331-15 navedenega zakonika določa:

„[Hadopi] je sestavljena iz kolegija in komisije za varstvo pravic. […]

[…]

Člani kolegija in komisije za varstvo pravic pri izvrševanju svojih pristojnosti ne prejemajo navodil nobenega organa.“

22

Člen L. 331-17, prvi pododstavek, istega zakonika določa:

„Komisija za varstvo pravic je pristojna za sprejemanje ukrepov iz člena L. 331‑25.“

23

Člen L. 331-21 CPI določa:

„Za izvrševanje pristojnosti komisije za varstvo pravic ima [Hadopi] na voljo zaprisežene javne uslužbence, ki jih pooblasti [njen] predsednik pod pogoji, ki so določeni z odlokom na podlagi mnenja Conseil d’État (državni svet). […]

Članom commission de protection des droits (komisija za varstvo pravic) in uslužbencem iz prvega odstavka se predložijo zadeve, ki so na navedeno komisijo naslovljene pod pogoji iz člena L. 331–24. Njihova naloga je preučitev dejanskega stanja.

Za potrebe postopka lahko pridobijo vse dokumente, ne glede na njihov nosilec, vključno s podatki, ki jih hranijo in obdelujejo operaterji elektronskih komunikacij na podlagi člena L. 34-1 code des postes et des communications électroniques (zakonik o pošti in elektronskih komunikacijah) ter ponudniki storitev, navedeni v odstavkih 1 in 2 člena 6(I) loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (zakon št. 2004–575 z dne 21. junija 2004 o zaupanju v digitalno gospodarstvo).

Pridobijo lahko tudi kopije dokumentov, navedenih v prejšnjem odstavku.

Zlasti lahko od operaterjev elektronskih komunikacij pridobijo informacije o identiteti, poštnem naslovu, elektronskem naslovu in telefonski številki naročnika, čigar dostop do javnih spletnih komunikacijskih storitev je bil uporabljen za reproduciranje, predstavitev, dajanje na voljo ali priobčitev varovanih del ali predmetov javnosti brez dovoljenja imetnikov pravic […], kadar se tako dovoljenje zahteva.“

24

Člen L. 331-24 tega zakonika določa:

„Komisiji za varstvo pravic zadeve v obravnavo predložijo pooblaščeni zapriseženi uslužbenci […], ki jih imenujejo:

Komisija za varstvo pravic lahko ukrepa tudi na podlagi informacij, ki ji jih predloži procureur de la République (državni tožilec, Francija).

Ni ji mogoče predložiti zadev v zvezi z dejanji, starejšimi od šestih mesecev.“

25

Člen L. 331-25 navedenega zakonika, ki ureja tako imenovani postopek „postopnega odgovora“, določa:

„Kadar je komisiji za varstvo pravic predložena zadeva v zvezi z dejanji, ki bi lahko pomenila kršitev obveznosti, opredeljene v členu L. 336-3 [CPI], lahko naročniku pošlje […] priporočilo, v katerem ga opozori na določbe člena L. 336‑3, mu odredi spoštovanje v njih opredeljene obveznosti in ga opozori na sankcije, zagrožene v skladu s členoma L. 335-7 in L. 335-7-1. To priporočilo vsebuje tudi informacijo naročniku o zakoniti ponudbi spletnih kulturnih vsebin, o obstoju sredstev za zavarovanje, s katerimi je mogoče preprečiti kršitve obveznosti, opredeljene v členu L. 336-3, ter o nevarnostih, ki jih za nadaljnje umetniško ustvarjanje in ekonomijo kulturnega sektorja pomenijo prakse, s katerimi se ne spoštujejo avtorska in sorodne pravice.

Če se v šestih mesecih od pošiljanja priporočila iz prvega odstavka dejanja, ki bi lahko pomenila kršitev obveznosti, opredeljene v členu L. 336-3, ponovijo, lahko komisija po elektronski poti pošlje novo priporočilo, ki vsebuje enake informacije kot prejšnje […]. To priporočilo mora poslati skupaj s priporočenim pismom ali na kakršen koli drug način, s katerim se lahko dokaže datum vročitve tega priporočila.

V priporočilih, poslanih na podlagi tega člena, sta navedena datum in ura, ko so bila ugotovljena dejanja, ki bi lahko pomenila kršitev obveznosti, opredeljene v členu L. 336-3. Nasprotno pa se v njih ne razkrije vsebina varovanih del ali predmetov, na katere se ta kršitev nanaša. V njih so navedeni telefonska številka ter poštni in elektronski naslov, prek katerih lahko njihov naslovnik, če to želi, komisiji za varstvo pravic predloži pripombe in, če to izrecno zahteva, pridobi pojasnila o vsebini varovanih del ali predmetov, na katere se nanaša kršitev, ki se mu očita.“

26

Člen L. 331-29 CPI določa:

„[Hadopi] sme vzpostaviti avtomatizirano obdelavo osebnih podatkov posameznikov, proti katerim je uveden postopek v okviru tega pododdelka.

Namen te obdelave je omogočiti, da komisija za varstvo pravic izvaja ukrepe, določene v tem pododdelku, vse z njimi povezane procesne akte in podrobna pravila o obveščanju stanovskih organizacij in organizacij za upravljanje avtorskih pravic o morebitnih sodnih postopkih ter vročitvah, določenih v petem odstavku člena L. 335-7.

[…] z odlokom se opredelijo načini izvajanja tega člena. Z odlokom se zlasti določijo:

27

Člen L. 335-2, prvi in drugi pododstavek, tega zakonika določa:

„Vsaka izdaja pisanja, glasbene kompozicije, risanja, slikanja ali vsakršna druga v celoti ali delno natisnjena ali gravirana stvaritev, ki je v nasprotju z zakoni in predpisi o avtorski pravici, pomeni ponarejanje, vsako ponarejanje pa pomeni kaznivo dejanje.

Ponarejanje del, ki so bila objavljena v Franciji ali v tujini, se kaznuje z zaporom treh let in denarno kaznijo v višini 300.000 EUR.“

28

Člen L. 335-4, prvi pododstavek, navedenega zakonika določa:

„Vsako odplačno ali neodplačno fiksiranje, reprodukcija, priobčitev ali dajanje na voljo javnosti oziroma vsako televizijsko predvajanje izvedbe, fonograma, videograma, programa ali medijske publikacije, ki se v primerih, ko se dovoljenje zahteva, opravi brez dovoljenja umetnika-izvajalca, proizvajalca fonogramov ali filmskega producenta, podjetja za avdiovizualno komunikacijo, medijske hiše ali tiskovne agencije, se kaznuje z zaporom treh let in denarno kaznijo v višini 300.000 EUR.“

29

Člen L. 335-7 CPI določa pravila o naložitvi stranske kazni začasne ukinitve dostopa do javne spletne komunikacijske storitve za največ eno leto osebam, obsojenim za kazniva ravnanja zlasti iz členov 335-2 in L. 335-4 tega zakonika.

30

Člen L. 335-7-1, prvi pododstavek, navedenega zakonika določa:

„Za prekrške pete stopnje, določene v tem zakoniku, se lahko stranska kazen, opredeljena v členu L. 335-7, kadar je to določeno s predpisom, v primeru hude malomarnosti po istem postopku izreče zoper imetnika dostopa do javne spletne komunikacijske storitve, ki mu je komisija za varstvo pravic na podlagi člena L. 331-25 s priporočenim pismom ali na kakršen koli drug način, s katerim se lahko dokaže datum vročitve, predhodno poslala priporočilo, naj uporabi sredstvo za zavarovanje svojega dostopa do spleta.“

31

Člen L. 336-3 tega zakonika določa:

„Imetnik dostopa do javnih spletnih komunikacijskih storitev mora zagotavljati, da se ta dostop ne uporablja za reproduciranje, predstavitev, dajanje na voljo ali priobčitev javnosti del, varovanih z avtorsko ali sorodnimi pravicami, brez dovoljenja imetnikov[…], kadar se to dovoljenje zahteva.

Če imetnik dostopa krši obveznost, opredeljeno v prvem odstavku, zadevna oseba ni kazensko odgovorna […].“

32

Člen R. 331-37, prvi pododstavek, CPI določa:

„Operaterji elektronskih komunikacij […] in ponudniki storitev […] so zavezani, da prek povezave s sistemom za avtomatizirano obdelavo osebnih podatkov iz člena L. 331-29 ali z uporabo nosilca za snemanje, ki zagotavlja njihovo integriteto in varnost, posredujejo osebne podatke in informacije, navedene v točki 2 priloge k odloku [št. 2010-236] v osmih dneh po tem, ko je komisija za varstvo pravic posredovala tehnične podatke, potrebne za identifikacijo naročnika, čigar dostop do podatkov o javnih spletnih komunikacijah je bil uporabljen za reproduciranje, predstavitev, dajanje na voljo ali priobčitev varovanih del ali predmetov javnosti brez dovoljenja imetnikov pravic […], kadar se to dovoljenje zahteva.“

33

Člen R. 331-40 tega zakonika določa:

„Kadar je komisija za varstvo pravic v enem letu po izdaji priporočila iz prvega pododstavka člena L. 335-7-1 obveščena o novih dejanjih, ki bi lahko pomenila hudo malomarnost, opredeljeno v členu R. 335-5, naročnika s priporočenim pismom obvesti, da se lahko ta dejanja preganjajo. V tem dopisu je zadevna oseba pozvana, naj v petnajstih dneh predloži svoje pripombe. Pouči ga, da lahko v istem roku zahteva zaslišanje na podlagi člena L. 331-21-1 in da ima pravico do zagovornika. Pozove ga tudi, naj navede svoje družinske izdatke in prihodke.

Komisija lahko zadevno osebo na lastno pobudo povabi na zaslišanje. V vabilu ga pouči, da ima pravico do zagovornika.“

34

Člen R. 335-5 CPI določa:

„I. – Hudo malomarnost, ki se kaznuje z globo, določeno za prekrške pete stopnje, pomeni dejstvo, da imetnik dostopa do javnih spletnih komunikacijskih storitev brez upravičenega razloga in če so izpolnjeni pogoji, določeni v odstavku II:

1. bodisi ni vzpostavil sredstva za zavarovanje tega dostopa

2. bodisi ni izkazal zadostne skrbnosti pri uporabi tega sredstva.

II. – Določbe odstavka I se uporabljajo le, če sta izpolnjena oba spodaj navedena pogoja:

1. komisija za varstvo pravic je v skladu s členom L. 331-25 in na način, določen v tem členu, imetniku dostopa priporočila, naj uporabi sredstvo za zavarovanje svojega dostopa, s katerim bo mogoče preprečiti ponovno uporabo tega dostopa za reproduciranje, predstavitev, dajanje na voljo ali priobčitev javnosti del ali predmetov, varovanih z avtorsko ali sorodnimi pravicami, brez dovoljenja imetnikov teh pravic […], kadar se to dovoljenje zahteva;

2. v enem letu po predložitvi tega priporočila se ta dostop znova uporabi za namene, navedene v točki 1 tega odstavka II.“

35

Hadopi je bila s 1. januarjem 2022 na podlagi loi no 2021-1382, du 25 octobre 2021, relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique (zakon št. 2021-1382 z dne 25. oktobra 2021 o ureditvi in varstvu dostopa do kulturnih del v digitalni dobi) (JORF št. 250 z dne 26. oktobra 2021, besedilo št. 2) združena z drugim neodvisnim javnim organom, Conseil supérieur de l’audiovisuel (višji svet za avdiovizualne medije) (v nadaljevanju: CSA), v Autorité de régulation de la communication audiovisuelle et numérique (organ za regulacijo avdiovizualne in digitalne komunikacije; v nadaljevanju: ARCOM).

36

Postopek postopnega odgovora, naveden v točki 25 te sodbe, je vsebinsko vseeno ostal nespremenjen, čeprav ga zdaj ne izvaja več komisija za varstvo pravic pri Hadopi, ki je bila sestavljena iz treh članov, ki so jih imenovali Conseil d'État (državni svet), Cour des comptes (računsko sodišče) in Cour de cassation (kasacijsko sodišče), ampak ga izvajata dva člana iz sveta ARCOM, od katerih enega imenuje državni svet, drugega pa kasacijsko sodišče.

37

Odlok št. 2010-236, ki je bil sprejet na podlagi člena L. 331-29 CPI v odstavku 1 določa:

„Namen obdelave osebnih podatkov, imenovane ‚Sistem upravljanja ukrepov za varstvo del na spletu‘, je komisiji za varstvo pravic pri [Hadopi] omogočiti:

1. izvajanje ukrepov, določenih v knjigi III zakonodajnega dela [CPI] (naslov III, poglavje I, razdelek 3, podrazdelek 3) in knjigi III uredbenega dela istega zakonika (naslov III, poglavje I, razdelek 2, podrazdelek 2);

2. obravnavo zadev, ki jih predloži državni tožilec v zvezi z dejanji, ki bi lahko pomenila kršitev členov L. 335-2, L. 335-3, L. 335-4 in R. 335-5 istega zakonika, ter obveščanje stanovskih organizacij in organizacij za kolektivno upravljanje o tem, da so bile navedene zadeve predložene;

[…].“

38

Člen 4 tega odloka določa:

„I. – Neposreden dostop do osebnih podatkov in informacij, navedenih v prilogi k temu odloku, imajo zapriseženi javni uslužbenci, ki jih pooblasti predsednik [Hadopi] v skladu s členom L. 331-21 [CPI], in člani komisije za varstvo pravic, navedene v členu 1.

II. – Operaterjem elektronskih komunikacij in ponudnikom storitev, navedenim v točki 2 priloge k temu odloku, so predloženi:

III. – Stanovske organizacije in organizacije za kolektivno upravljanje so obveščene o zadevah, ki jih je predložil državni tožilec.

IV. – Pravosodnim organom so predloženi zapisniki o ugotovitvi dejanj, ki bi lahko pomenila kršitve, določene s členi L. 335-2, L. 335-3, L. 335-4, L. 335-7, R. 331‑37, R. 331-38 in R. 335-5 [CPI].

Informacija o izvršitvi kazni začasne ukinitve dostopa se vnese v avtomatizirano kazensko evidenco.“

39

V prilogi k temu odloku je določeno:

„Osebni podatki in informacije, ki se hranijo v sistemu obdelave, imenovanem ‚Sistem upravljanja ukrepov za varstvo del na spletu‘, so:

1. osebni podatki in informacije, katerih vir so stanovske organizacije, ustanovljene v skladu s predpisi, organizacije za kolektivno upravljanje, državni center za kinematografijo in animirani film ter državni tožilec:

v zvezi z dejanji, ki bi lahko pomenila kršitev obveznosti, opredeljene v členu L. 336-3 [CPI]:

datum in ura storitve dejanj;

IP-naslov zadevnih naročnikov;

uporabljeni protokol omrežja enakovrednih partnerjev;

psevdonim, ki ga uporablja naročnik;

informacije o varovanih delih ali predmetih, na katere se nanašajo storjena dejanja;

ime datoteke, kot je navedeno na naročnikovi terminalni opremi (če je to primerno);

ponudnik dostopa do spleta, pri katerem je bil sklenjen dostop ali ki je zagotovil tehnični vir IP.

[…]

2. osebni podatki in informacije o naročniku, zbrani pri operaterjih elektronskih komunikacij […] in ponudnikih […]:

priimek, ime oziroma imena;

poštni naslov in elektronski naslovi;

telefonska številka;

naslov naročnikove telefonske naprave;

ponudnik dostopa do spleta, ki uporablja tehnične vire ponudnika dostopa, navedenega v točki 1, pri katerem je naročnik sklenil pogodbo; številka spisa;

datum začetka začasne ukinitve dostopa do javne spletne komunikacijske storitve.

[…]“

40

Člen L. 34-1, IIa code des postes et des communications électroniques (zakonik o pošti in elektronskih komunikacijah) določa:

„Operaterji elektronskih komunikacij morajo shraniti:

1. za potrebe kazenskih postopkov, preprečevanja groženj javni varnosti in zaščite nacionalne varnosti informacije o istovetnosti uporabnika pet let po izteku veljavnosti njegove pogodbe;

2. za enake namene, kot so navedeni v točki 1 tega odstavka IIa, druge informacije, ki jih predloži uporabnik, ko sklene pogodbo ali ustvari račun, in informacije o plačilu eno leto po izteku veljavnosti njegove pogodbe ali zaprtju računa;

3. za potrebe boja proti kriminalu in hudim kaznivim dejanjem, preprečevanja resnih groženj javni varnosti in zaščite nacionalne varnosti tehnične podatke, na podlagi katerih je mogoče identificirati vir povezave, ali podatke v zvezi z uporabljeno terminalsko opremo eno leto po povezavi ali uporabi terminalske opreme.“

41

Tožeče stranke iz postopka v glavni stvari so, ker je Premier ministre (predsednik vlade) z odločbo zaradi molka organa zavrnil njihov predlog za razveljavitev odloka št. 2010-236, 12. avgusta 2019 pri Conseil d’État (državni svet, Francija) vložile tožbo za razglasitev ničnosti te zavrnilne odločbe zaradi molka organa. V bistvu so trdile, da je člen L. 331-21, tretji, četrti in peti pododstavek, CPI, ki je del pravne podlage za ta odlok, prvič, v nasprotju s pravico do spoštovanja zasebnega življenja iz francoske ustave, in drugič, v nasprotju s pravom Unije, zlasti členom 15 Direktive 2002/58 ter členi 7, 8, 11 in 52 Listine.

42

Glede dela tožbe v zvezi z zatrjevano kršitvijo ustave, je državni svet Conseil constitutionnel (ustavni svet, Francija) predložil prednostno vprašanje glede ustavnosti.

43

Ustavni svet je z odločbo št. 2020-841 QPC z dne 20. maja 2020, La Quadrature du Net in drugi (Pravica do posredovanja podatkov Hadopi), tretji in četrti pododstavek člena L. 331-21 CPI razglasil za protiustavna, peti pododstavek navedenega člena pa je razglasil za skladnega z ustavo, razen v njem navedenega izraza „zlasti“.

44

Glede dela tožbe v zvezi z zatrjevano kršitvijo prava Unije, so tožeče stranke iz postopka v glavni stvari zlasti trdile, da je z odlokom št. 2010-236 in določbami, ki tvorijo njegovo zakonsko podlago, dovoljen nesorazmeren dostop do podatkov o povezavi za manjše kršitve v zvezi z avtorsko pravico, storjene na spletu, brez predhodnega nadzora sodišča ali organa, katerega neodvisnost in nepristranskost sta zajamčeni. Natančneje, te kršitve naj ne bi spadale v okvir „hudega kriminala“ iz sodbe z dne 21. decembra 2016, Tele2 Sverige in Watson in drugi (C‑203/15 in C‑698/15, EU:C:2016:970).

45

Državni svet v zvezi s tem spominja, prvič, da je Sodišče s sodbi z dne 6. oktobra 2020, La Quadrature du Net in drugi (C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791), med drugim razsodilo, da člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine ne nasprotuje zakonodajnim ukrepom, s katerimi je zaradi zagotavljanja nacionalne varnosti, boja proti kriminalu in zagotavljanja javne varnosti določena splošna in neselektivna hramba podatkov o istovetnosti uporabnikov elektronskih komunikacijskih sredstev. Tako naj bi bila v zvezi s podatki o istovetnosti uporabnikov elektronskih komunikacijskih sredstev taka hramba mogoča – brez posebnega roka – za preiskovanje, odkrivanje in pregon kaznivih dejanj na splošno. Direktiva 2002/58 naj tudi ne bi nasprotovala dostopu do teh podatkov za te namene.

46

Predložitveno sodišče iz tega sklepa, da – kar zadeva dostop do podatkov o istovetnosti uporabnikov elektronskih komunikacijskih sredstev – je treba tožbeni razlog tožečih strank iz postopka v glavni stvari, s katerim zatrjujejo nezakonitost odloka št. 2010-236, ker je bil sprejet v okviru boja proti kršitvam, ki niso hude, zavrniti.

47

Drugič, spominja, da je Sodišče v sodbi Tele2 Sverige in Watson in drugi (C‑203/15 in C‑698/15, EU:C:2016:970), razsodilo, da je treba člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine razlagati tako, da nasprotuje nacionalni ureditvi, ki ureja varstvo in varnost podatkov o prometu in podatkov o lokaciji ter zlasti dostop pristojnih nacionalnih organov do hranjenih podatkov, ne da bi bilo določeno, da mora nadzor nad navedenim dostopom predhodno opraviti sodišče ali neodvisen upravni organ.

48

Predložitveno sodišče se natančneje sklicuje na točko 120 te sodbe, v kateri je Sodišče pojasnilo, da je bistveno, da je dostop pristojnih nacionalnih organov do hranjenih podatkov načeloma, razen v nujnih primerih, ki so ustrezno utemeljeni, pogojen z zahtevo, da sodišče ali neodvisen upravni organ opravi predhodni nadzor in da se odločba tega sodišča ali tega organa izda na obrazložen predlog, ki se predloži v postopku preprečevanja, odkrivanja ali pregona kaznivih dejanj.

49

Sodišče naj bi na to zahtevo spomnilo v sodbi z dne 6. oktobra 2020, La Quadrature du Net in drugi (C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791), v zvezi z zbiranjem podatkov o povezavah s strani obveščevalnih služb v realnem času, v sodbi z dne 2. marca 2021Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah) (C‑746/18, EU:C:2021:152), pa v zvezi z dostopom nacionalnih organov do podatkov o povezavah.

50

Predložitveno sodišče ugotavlja tudi, da je Hadopi od ustanovitve leta 2009 na imetnike naročnin naslovila več kot 12,7 milijona priporočil v skladu s postopkom postopnega odgovora, določenim s členom L. 331-25 CPI, od tega 827.791 samo v letu 2019. V teh okoliščinah naj bi uslužbenci komisije za varstvo pravic pri Hadopi vsako leto morali zbrati ogromno število podatkov o istovetnosti zadevnih uporabnikov. Predložitveno sodišče meni, da če bi bilo to zbiranje podatkov predmet predhodnega nadzora, izdaja priporočil glede na njihov obseg ne bi bila mogoča.

51

V teh okoliščinah je Conseil d'État (državni svet) prekinil odločanje in Sodišču v predhodno odločanje predložil ta vprašanja:

52

Predložitveno sodišče želi s tremi vprašanji za predhodno odločanje, ki jih je treba obravnavati skupaj, v bistvu izvedeti, ali je treba člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine razlagati tako, da nasprotuje nacionalni ureditvi, ki javnemu organu, pristojnemu za varstvo avtorske in sorodnih pravic pred kršitvami teh pravic, storjenimi na spletu, dovoljuje dostop do podatkov o istovetnosti, ki jih hranijo ponudniki javno dostopnih elektronskih komunikacijskih storitev in ki ustrezajo IP-naslovom, ki so jih predhodno zbrale organizacije imetnikov pravic, zato da lahko ta javni organ identificira imetnike teh naslovov, ki so bili uporabljeni za dejanja, ki bi lahko pomenila take kršitve, in lahko po potrebi v zvezi z njimi sprejme ukrepe, ne da bi moralo sodišče ali neodvisni upravni organ v zvezi s tem dostopom opraviti predhodni nadzor.

53

V postopku v glavni stvari gre za dve ločeni in zaporedni obdelavi osebnih podatkov v okviru dejavnosti neodvisnega javnega organa Hadopi, katerega naloga je v skladu s členom L. 331-13 CPI zlasti varstvo del ali predmetov, zaščitenih z avtorsko ali sorodnimi pravicami, pred kršitvami teh pravic, storjenimi na elektronskih komunikacijskih omrežjih, ki se uporabljajo za zagotavljanje javnih spletnih komunikacijskih storitev.

54

Prva obdelava, ki jo predhodno opravijo pooblaščeni zapriseženi uslužbenci organizacij imetnikov pravic, poteka v dveh fazah. V prvi fazi se IP-naslovi, za katere se zdi, da so bili uporabljeni za dejanja, ki bi lahko pomenila kršitev avtorske ali sorodnih pravic, zberejo na omrežjih enakovrednih partnerjev. V drugi fazi se vsi osebni podatki in informacije v obliki zapisnikov dajo na voljo Hadopi. Ti podatki so v skladu s seznamom iz točke 1 priloge k odloku št. 2010‑236 datum in ura storitve dejanj, IP-naslovi zadevnih naročnikov, uporabljeni protokol omrežja enakovrednih partnerjev, psevdonim, ki ga uporablja naročnik, informacije o varovanih delih ali predmetih, na katere se nanašajo storjena dejanja, ime datoteke, kot je navedeno na naročnikovi terminalni opremi (odvisno od primera) in ponudnik dostopa do spleta, pri katerem je bil sklenjen dostop ali ki je zagotovil tehnični vir IP.

55

Tudi druga obdelava, ki jo nato opravijo ponudniki dostopa do spleta na zahtevo Hadopi, poteka v dveh fazah. V prvi fazi se predhodno zbrani IP-naslovi povežejo z imetniki teh naslovov. V drugi fazi se vsi osebni podatki in informacije o navedenih imetnikih, ki se v bistvu nanašajo na njihovo istovetnost, dajo na voljo temu javnemu organu. Ti podatki so v skladu s seznamom iz točke 2 priloge k odloku št. 2010-236, zlasti priimek in ime oziroma imena, poštni naslov in elektronski naslovi, telefonska številka in naslov naročnikove telefonske naprave.

56

V zvezi s tem člen L. 331-21 CPI v petem odstavku v različici, kot izhaja iz odločbe ustavnega sveta, navedene v točki 43 te sodbe, določa, da lahko komisija za varstvo pravic pri Hadopi in zapriseženi javni uslužbenci tega organa, ki jih pooblasti njen predsednik, od operaterjev elektronskih komunikacij pridobijo informacije o identiteti, poštnem naslovu, elektronskem naslovu in telefonski številki naročnika, čigar dostop do javnih spletnih komunikacijskih storitev je bil uporabljen za reproduciranje, predstavitev, dajanje na voljo ali priobčitev varovanih del ali predmetov javnosti brez dovoljenja imetnikov pravic, kadar se tako dovoljenje zahteva.

57

Cilj teh različnih obdelav osebnih podatkov je Hadopi omogočiti, da zoper tako identificirane imetnike IP-naslovov sprejme ukrepe, določene v okviru upravnega postopka, imenovanega „postopni odgovor“ in določenega v členu L. 331-25 CPI. Ti ukrepi so, prvič, pošiljanje „priporočil“, ki so podobna opozorilom; drugič, v primeru obvestitve komisije za varstvo pravic pri Hadopi v enem letu po izdaji drugega priporočila o dejanjih, ki lahko pomenijo ponovitev ugotovljene kršitve, obvestilo naročniku iz člena R. 331-40 CPI, da lahko dejanja pomenijo kršitev, imenovano „huda malomarnost“, ki je opredeljena v členu R. 335-5 CPI, pri čemer gre za prekršek, ki se kaznuje z globo v višini največ 1500 EUR, v primeru ponovitve pa 3000 EUR; in tretjič, seznanitev državnega tožilstva na podlagi posvetovanja o dejanjih, lahko pomenijo tak prekršek ali, odvisno od primera, kaznivo dejanje ponarejanja iz člena L. 335-2 CPI ali člena L. 335-4 tega zakonika, ki se kaznuje z zaporom treh let in denarno kaznijo v višini 300.000 EUR.

58

To pomeni, da se vprašanja, ki jih postavlja predložitveno sodišče, nanašajo le na naknadno obdelavo, opisano v točki 55 te sodbe, ne pa na predhodno obdelavo, katere bistvene značilnosti so bile opisane v točki 54 te sodbe.

59

Vseeno je treba ugotoviti, da če bi bilo predhodno zbiranje IP-naslovov, ki ga opravijo organizacije imetnikov pravic, v nasprotju s pravom Unije, bi to pravo nasprotovalo tudi uporabi teh podatkov v okviru poznejše obdelave, ki jo opravijo ponudniki elektronskih komunikacijskih storitev in v okviru katere se navedeni naslovi povežejo s podatki o istovetnosti imetnikov teh istih naslovov.

60

V teh okoliščinah je treba najprej spomniti, da so IP-naslovi v skladu s sodno prakso Sodišča tako podatki o prometu v smislu Direktive 2002/58 kot osebni podatki v smislu SUVP (glej v tem smislu sodbo z dne 17. junija 2021, M. I. C. M., C‑597/19, EU:C:2021:492, točki 102 in 113 ter navedena sodna praksa).

61

Vendar zbiranje javnih in vsem vidnih IP-naslovov, ki ga opravijo uslužbenci organizacij imetnikov pravic, ne spada na področje uporabe Direktive 2002/58, saj se taka obdelava očitno ne izvaja „v zvezi z zagotavljanjem […] elektronskih komunikacijskih storitev“ v smislu člena 3 te direktive.

62

Nasprotno pa tako zbiranje IP-naslovov, ki ga Commission nationale de l’informatique et des libertés (nacionalna komisija za informatiko in svoboščine, Francija; v nadaljevanju: CNIL) opravlja zaradi posredovanja teh podatkov Hadopi za njihovo morebitno uporabo v poznejših upravnih ali sodnih postopkih za boj proti dejavnostim, s katerimi se kršijo avtorska in sorodne pravice, in ki je – kot je razvidno iz spisa, ki je na voljo Sodišču – v nekaterih količinskih omejitvah in pod nekaterimi pogoji dovoljeno, pomeni „obdelavo“ v smislu člena 4, točka 2, SUVP, katere zakonitost je odvisna od pogojev, določenih v členu 6(1), prvi pododstavek, točka (f) te uredbe, ob upoštevanju sodne prakse Sodišča, ki izhaja zlasti iz sodb z dne 17. junija 2021, M. I. C. M. (C‑597/19, EU:C:2021:492, točki 102 in 103), in z dne 4. julija 2023, Meta Platforms in drugi (Splošni pogoji za uporabo družbenega omrežja) (C‑252/21, EU:C:2023:537, točke od 106 do 112 in navedena sodna praksa).

63

Naknadna obdelava, opisana v točki 55 te sodbe, pa spada na področje uporabe Direktive 2002/58, saj se izvaja „v zvezi z zagotavljanjem […] elektronskih komunikacijskih storitev“ v smislu člena 3 te direktive, ker se zadevni podatki pridobijo od ponudnikov elektronskih komunikacijskih storitev v skladu s členom L. 331-21 CPI.

64

Na podlagi zgoraj navedenih uvodnih ugotovitev se postavlja vprašanje, ali – kot se sprašuje predložitveno sodišče – je omejitev temeljnih pravic iz členov 7, 8 in 11 Listine, ki jo pomeni dostop javnega organa, kot je Hadopi, do podatkov o istovetnosti, ki ustrezajo IP-naslovu, ki ga ta že ima, mogoče utemeljiti na podlagi člena 15(1) Direktive 2002/58.

65

Dostop do takih osebnih podatkov je namreč mogoče odobriti le, če so bili shranjeni v skladu z Direktivo 2002/58 (glej v tem smislu sodbo z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 29).

66

Člen 15(1) Direktive 2002/58 državam članicam omogoča, da določijo izjeme od načelne obveznosti, določene v členu 5(1) te direktive, da zagotavljajo zaupnost osebnih podatkov, in od ustreznih obveznosti, določenih predvsem v členih 6 in 9 navedene direktive, kadar je taka omejitev potreben, primeren in sorazmeren ukrep znotraj demokratične družbe za zaščito nacionalne varnosti, obrambe in javne varnosti ter za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj ali nedovoljene uporabe elektronskega komunikacijskega sistema. Za to lahko države članice med drugim sprejmejo zakonske ukrepe, ki določajo hrambo podatkov za omejeno obdobje, če je to upravičeno iz katerega od teh razlogov. Vendar možnost odstopanja od pravic in obveznosti iz členov 5, 6 in 9 Direktive 2002/58 ne more upravičiti tega, da odstopanje od načelne obveznosti zagotavljanja zaupnosti elektronskih komunikacij in z njimi povezanih podatkov ter zlasti od prepovedi shranjevanja teh podatkov, ki je izrecno določena v členu 5 te direktive, postane pravilo (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 110 in 111).

67

Zakonodajni ukrep, sprejet na podlagi te določbe, mora zato dejansko in strogo ustrezati kateremu od ciljev, navedenih v prejšnji točki, saj so ti v členu15(1), prvi stavek, Direktive 2002/58 našteti izčrpno, ter spoštovati splošna načela prava Unije, med katerimi je načelo sorazmernosti, in temeljne pravice, zagotovljene z Listino. Sodišče je v zvezi s tem že razsodilo, da se z obveznostjo, ki jo država članica z nacionalno ureditvijo naloži ponudnikom elektronskih komunikacijskih storitev, da hranijo podatke o prometu, da se, če je to potrebno, pristojnim nacionalnim organom omogoči dostop do teh podatkov, postavljajo vprašanja v zvezi s spoštovanjem ne le členov 7 in 8 Listine, ki se nanašata na varstvo zasebnega življenja in varstvo osebnih podatkov, ampak tudi člena 11 Listine, ki se nanaša na svobodo izražanja (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 112 in 113).

68

Pri razlagi člena 15(1) Direktive 2002/58 je treba torej upoštevati tako pomembnost pravice do spoštovanja zasebnega življenja, ki jo zagotavlja člen 7 Listine, in pravice do varstva osebnih podatkov, ki jo zagotavlja člen 8 te listine, kot izhaja iz sodne prakse Sodišča, kakor tudi pravice do svobode izražanja, glede na to, da je ta temeljna pravica, zagotovljena v členu 11 Listine, eden od glavnih temeljev demokratične in pluralistične družbe ter je del vrednot, na katerih v skladu s členom 2 PEU temelji Unija (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 114 in navedena sodna praksa).

69

V zvezi s tem je treba poudariti, da hramba podatkov o prometu in podatkov o lokaciji sama po sebi po eni strani pomeni odstopanje od prepovedi iz člena 5(1) Direktive 2002/58, ki vsakomur razen uporabnikom prepoveduje shranjevanje teh podatkov, ter po drugi strani poseganje v temeljni pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov, ki sta določeni v členih 7 in 8 Listine, ne da bi bilo pomembno, ali so zadevne informacije o zasebnem življenju občutljive in ali so bile zadevne osebe zaradi tega poseganja morda oškodovane. Prav tako ni pomembno, ali se bodo shranjeni podatki pozneje uporabili, saj dostop do takih podatkov ne glede na njihovo poznejšo uporabo pomeni ločeno poseganje v temeljni pravici iz prejšnje točke (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 115 in 116).

70

Tako se v členu 15(1) Direktive 2002/58, ki državam članicam – kot je bilo navedeno v točki 66 te sodbe – dopušča, da sprejmejo nekatere ukrepe, ki pomenijo odstopanje, odraža dejstvo, da pravice iz členov 7, 8 in 11 Listine niso absolutne, temveč jih je treba upoštevati glede na njihovo funkcijo v družbi. Kot namreč izhaja iz člena 52(1) Listine, ta člen dopušča omejitve pri uresničevanju teh pravic, če so te omejitve predpisane z zakonom, če spoštujejo bistveno vsebino teh pravic in če so – ob upoštevanju načela sorazmernosti – potrebne in dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Unija, ali so potrebne zaradi zaščite pravic in svoboščin drugih (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 120 in 121).

71

V obravnavanem primeru je treba ugotoviti, da – čeprav je Hadopi formalno dovoljen dostop le do podatkov o istovetnosti, ki ustrezajo IP-naslovu – je posebnost tega dostopa ta, da morajo zadevni ponudniki elektronskih komunikacijskih storitev IP-naslov najprej povezati s podatki o istovetnosti njegovega imetnika. Navedeni dostop torej nujno predpostavlja, da imajo ponudniki tako IP-naslove kot tudi podatke o identiteti njihovih imetnikov.

72

Poleg tega želi ta javni organ pridobiti dostop do teh podatkov le zaradi identifikacije imetnika IP-naslova, ki je bil uporabljen za dejavnosti, s katerimi bi se lahko kršile avtorska ali sorodne pravice, ker je na spletu nezakonito dal na voljo varovana dela, da je drugim osebam omogočil prenos teh del. V teh okoliščinah je treba za podatke o istovetnosti šteti, da so tesno povezani tako z IP‑naslovom kot z informacijami o delu, ki je bilo dano na voljo na spletu, ki jih ima Hadopi.

73

Tak poseben kontekst se v okviru preizkusa morebitne utemeljitve ukrepa hrambe osebnih podatkov na podlagi člena 15(1) Direktive 2002/58, kot se razlaga ob upoštevanju členov 7, 8 in 11 Listine, namreč ne sme prezreti (glej po analogiji sodbo ESČP z dne 24. aprila 2018, Benedik proti Sloveniji, CE:ECHR:2018:0424JUD006235714, točka 109).

74

Zato je treba morebitno utemeljitev poseganja v temeljne pravice iz členov 7, 8 in 11 Listine, do katerega pride, ker ponudniki javno dostopnih elektronskih komunikacijskih storitev hranijo podatke, do katerih lahko dostopa Hadopi, razlagati ob upoštevanju zahtev, ki na področju hrambe IP-naslovov izhajajo iz navedenega člena 15(1), kot se razlaga ob upoštevanju navedenih členov Listine.

75

V teh okoliščinah je treba ugotoviti, da se IP-naslovi v skladu s sodno prakso Sodišča – čeprav so, kot je bilo opozorjeno v točki 60 te sodbe, z vidika Direktive 2002/58 podatki o prometu – razlikujejo od drugih kategorij podatkov o prometu in podatkov o lokaciji.

76

Sodišče je v zvezi s tem ugotovilo, da se IP-naslovi ustvarijo, ne da bi bili vezani na določeno komunikacijo, namenjeni pa so predvsem temu, da se prek ponudnikov elektronskih komunikacijskih storitev identificira lastnik terminalske opreme, s katere je bila opravljena komunikacija prek spleta. Kar zadeva elektronsko pošto in internetno telefonijo, IP-naslovi, če se hranijo samo IP‑naslovi vira komunikacije, ne pa tudi njenega prejemnika, tako ne razkrivajo nobene informacije o tretjih osebah, ki so bile v stiku z osebo, ki je vir komunikacije. V tem delu je stopnja občutljivosti te kategorije podatkov nižja od stopnje občutljivosti drugih podatkov o prometu (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 152).

77

Sodišče je v točki 156 sodbe z dne 6. oktobra 2020, La Quadrature du Net in drugi (C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791), sicer razsodilo, da kljub ugotovitvi nižje stopnje občutljivosti IP-naslovov, kadar se uporabijo izključno za identifikacijo uporabnika elektronske komunikacijske storitve, člen 15(1) Direktive 2002/58 nasprotuje splošni in neselektivni hrambi zgolj IP‑naslovov, dodeljenih viru povezave, zaradi drugih ciljev, kot so boj proti hudemu kriminalu in preprečevanje resnih groženj javni varnosti ali zaščita nacionalne varnosti. Vendar se je Sodišče pri tej ugotovitvi izrecno oprlo na resnost posega v temeljne pravice, določene v členih 7, 8 in 11 Listine, ki jo lahko pomeni taka hramba IP‑naslovov.

78

Sodišče je v točki 153 navedene sodbe ugotovilo, da – glede na to, da je mogoče z IP-naslovi, zlasti kadar se uporabijo za „izčrpno sledenje brskanju, ki ga je opravil uporabnik interneta“, in torej njegovim spletnim dejavnostim, izoblikovati njegov „podroben profil“ – hramba in analiza navedenih IP-naslovov, ki sta potrebni za tako sledenje, pomenita resna posega v temeljne pravice zadevne osebe, določene s členoma 7 in 8 Listine, ter lahko uporabnike elektronskih komunikacijskih sredstev odvračata od uresničevanja njihove svobode izražanja, zagotovljene v členu 11 Listine.

79

Vendar je treba poudariti, da splošna in neselektivna hramba nekega skupka – po potrebi širokega – statičnih in dinamičnih IP-naslovov v določenem obdobju ne pomeni nujno resnega posega v temeljne pravice iz členov 7, 8 in 11 Listine.

80

V zvezi s tem je treba najprej ugotoviti, da se zadeve, v katerih je bila izdana sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi (C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791), nanašajo na nacionalne ureditve, ki nalagajo obveznost hrambe vseh podatkov, potrebnih za določitev datuma, ure, trajanja in vrste komunikacije, prepoznavo uporabljene komunikacijske opreme ter ugotovitev lokacije terminalske opreme in komunikacije, med katere spadajo med drugim ime in naslov uporabnika, telefonska številka klicatelja in klicana telefonska številka ter IP-naslov za spletne storitve. Poleg tega sta se nacionalni ureditvi v dveh od navedenih zadev očitno nanašali tudi na podatke v zvezi s prenosom elektronskih komunikacij prek omrežij, ki omogoča tudi identifikacijo vrste informacij, pregledanih na spletu (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 82 in 83).

81

Hramba IP-naslovov v okviru takih nacionalnih ureditev je bila glede na druge podatke, za katere je v teh ureditvah obstajala zahteva po njihovi hrambi in možnosti povezave teh različnih podatkov, taka, da je bilo mogoče na njeni podlagi priti do natančnih ugotovitev o zasebnem življenju oseb, na katere so se ti podatki nanašali, in zato do resnega posega v temeljne pravice iz členov 7 in 8 Listine o varstvu zasebnega življenja in osebnih podatkov teh oseb ter iz člena 11 te listine o njihovi svobodi izražanja.

82

Nasprotno pa je mogoče obveznost, ki je bila ponudnikom elektronskih komunikacijskih storitev naložena z zakonodajnim ukrepom na podlagi člena 15(1) Direktive 2002/58, da zagotovijo splošno in neselektivno hrambo IP‑naslovov, utemeljiti s ciljem boja proti kaznivim dejanjem na splošno, če je dejansko izključena možnost resnega posega v zasebno življenje zadevne osebe s to hrambo, ker bi lahko prišlo do natančnih ugotovitev o tej osebi med drugim tako, da bi se ti IP-naslovi povezali z vsemi podatki o prometu ali lokaciji, ki bi jih prav tako hranili ti ponudniki.

83

Zato se mora država članica, ki namerava ponudnikom elektronskih komunikacijskih storitev naložiti obveznost splošne in neselektivne hrambe IP‑naslovov zaradi uresničevanja cilja v zvezi z bojem proti kaznivim dejanjem na splošno, prepričati, da je s podrobnimi pravili o hrambi teh podatkov zagotovljeno, da je izključena vsakršna možnost povezovanja navedenih IP‑naslovov in drugih podatkov, hranjenih v skladu z Direktivo 2002/58, na podlagi katerega bi bilo mogoče priti do natančnih ugotovitev o zasebnem življenju oseb, katerih podatki bi se tako hranili.

84

Da se zagotovi, da povezovanje podatkov, na podlagi katerega bi bilo mogoče priti do natančnih ugotovitev o zasebnem življenju zadevne osebe, ni mogoče, se morajo podrobna pravila o hrambi nanašati na samo strukturo hrambe, ki se mora v bistvu izvajati tako, da je zagotovljena dejansko neprepustna ločitev različnih kategorij shranjenih podatkov.

85

S tega vidika mora sicer država članica, ki namerava ponudnikom elektronskih komunikacijskih storitev naložiti obveznost splošne in neselektivne hrambe IP‑naslovov zaradi uresničevanja cilja v zvezi z bojem proti kaznivim dejanjem na splošno, v svoji zakonodaji določiti jasne in natančne določbe v zvezi z navedenimi podrobnimi pravili o hrambi, pri čemer morajo ta podrobna pravila izpolnjevati stroge zahteve. Vendar pa lahko Sodišče v zvezi s temi podrobnimi pravili poda pojasnila.

86

Na prvem mestu, z nacionalnimi pravili iz prejšnje točke je treba zagotoviti, da je vsaka kategorija podatkov, vključno s podatki o istovetnosti in IP‑naslovi, shranjena povsem ločeno od preostalih kategorij shranjenih podatkov.

87

Na drugem mestu, s temi pravili je treba zagotoviti, da je s tehničnega vidika ločevanje različnih kategorij shranjenih podatkov, zlasti podatkov o istovetnosti, IP-naslovov, različnih drugih podatkov o prometu kot so IP-naslovi in različnih podatkov o lokaciji, dejansko neprepustno z varnim in zanesljivim računalniškim sistemom.

88

Na tretjem mestu, če je z navedenimi pravili določena možnost povezovanja shranjenih IP-naslovov z istovetnostjo zadevne osebe v skladu z zahtevami iz člena 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 Listine, se z njimi lahko tako povezovanje dopusti le z uporabo učinkovitega tehničnega postopka, s katerim se ne ogrozi neprepustna ločenost teh kategorij podatkov.

89

Na četrtem mestu, zanesljivost te neprepustne ločitve mora redno nadzirati javni organ, ki ni isti kot tisti, ki želi pridobiti dostop do osebnih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev.

90

Če so v veljavni nacionalni zakonodaji določene take stroge zahteve v zvezi s podrobnimi pravili splošne in neselektivne hrambe IP-naslovov in drugih podatkov, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, posega, ki nastane s to hrambo IP-naslovov, zaradi same strukture navedene hrambe ni mogoče opredeliti kot „resnega“.

91

Če se sprejme tak zakonodajni ukrep, se s tako določenimi podrobnimi pravili o hrambi IP-naslovov namreč izključi možnost povezovanja teh podatkov z drugimi podatki, shranjenimi v skladu z Direktivo 2002/58, na podlagi česar bi se lahko prišlo do natančnih ugotovitev o zasebnem življenju zadevne osebe.

92

Zato v primeru zakonodajnega ukrepa, ki izpolnjuje zahteve, navedene v točkah od 86 do 89 te sodbe, s čimer se zagotovi, da z nikakršnim povezovanjem podatkov ne bo mogoče priti do natančnih ugotovitev o zasebnem življenju zadevne osebe, člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 Listine ne nasprotuje temu, da zadevna država članica naloži obveznost splošne in neselektivne hrambe IP-naslovov zaradi uresničevanja cilja boja proti kaznivim dejanjem na splošno.

93

Nazadnje, kot izhaja iz točke 168 sodbe z dne 6. oktobra 2020, La Quadrature du Net in drugi (C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791), mora biti s takim zakonodajnim ukrepom določeno trajanje hrambe, ki je omejeno na nujno potrebno, ter z jasnimi in natančnimi pravili zagotovljeno, da je hramba zadevnih podatkov pogojena s spoštovanjem s tem povezanih materialnih in postopkovnih pogojev ter da imajo zadevne osebe na voljo učinkovita jamstva pred tveganji zlorabe in proti vsakršnemu nezakonitemu dostopu ali uporabi teh podatkov.

94

Predložitveno sodišče mora preveriti, ali zadevna nacionalna ureditev izpolnjuje zahteve, na katere je opozorjeno v točkah od 85 do 93 te sodbe.

95

Iz sodne prakse Sodišča izhaja, da se lahko na področju boja proti kaznivim dejanjem resen poseg v temeljne pravice iz členov 7 in 8 Listine, ki ga pomeni dostop javnih organov do vseh podatkov o prometu ali lokaciji, iz katerih so lahko razvidne informacije o komunikacijah uporabnika elektronskega komunikacijskega sredstva ali o lokaciji uporabljene terminalske opreme in omogočajo natančne ugotovitve v zvezi z zasebnim življenjem zadevnih oseb upraviči samo s ciljema boja proti hudemu kriminalu in preprečevanja resnih groženj za javno varnost, ne da bi lahko drugi dejavniki, povezani s sorazmernostjo zahteve za dostop, kot je trajanje obdobja, za katero se zahteva dostop do takih podatkov, učinkovali tako, da bi bilo mogoče tak dostop upravičiti s ciljem preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj na splošno (sodba z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 35).

96

Kadar pa poseg v temeljne pravice iz členov 7 in 8 Listine, ki ga pomeni dostop javnih organov do podatkov o istovetnosti, ki jih hranijo ponudniki elektronskih komunikacijskih storitev, ne da bi bilo mogoče te podatke povezati z informacijami o opravljenih komunikacijah, ni resen, ker na podlagi teh podatkov – obravnavanih kot celota – ni mogoče priti do natančnih ugotovitev v zvezi z zasebnim življenjem oseb, na katere se ti podatki nanašajo, je navedeni dostop mogoče upravičiti s ciljem preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj na splošno (glej v tem smislu sodbo z dne 2. oktobra 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, točke 54, 57 in 60).

97

Dodati je treba tudi, da je v skladu z načelom iz ustaljene sodne prakse Sodišča dostop do podatkov o prometu in podatkov o lokaciji na podlagi člena 15(1) Direktive 2002/58 mogoče upravičiti le s ciljem v splošnem interesu, zaradi katerega je bila ponudnikom elektronskih komunikacijskih storitev naložena njihova hramba, razen če je ta dostop upravičen zaradi pomembnejšega cilja v splošnem interesu. Iz tega načela med drugim izhaja, da takega dostopa nikakor ni mogoče odobriti, kadar je bila hramba navedenih podatkov upravičena s ciljem boja proti hudemu kriminalu ali a fortiori z zaščito nacionalne varnosti (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 166).

98

Vendar pa se s takim ciljem boja proti kaznivim dejanjem na splošno lahko upraviči odobritev dostopa do podatkov o prometu in lokaciji, ki so bili shranjeni in torej hranjeni v takem obsegu in takem obdobju, ki sta bila potrebna za trženje, zaračunavanje in zagotovitev storitev z dodano vrednostjo, kot je to dovoljeno s členom 6 Direktive 2002/58 (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 108 in 167).

99

V obravnavanem primeru je na prvem mestu iz nacionalne ureditve iz postopka v glavni stvari razvidno, da Hadopi nima dostopa do „vseh podatkov o prometu ali podatkov o lokaciji“ v smislu sodne prakse, na katero je bilo opozorjeno v točki 95 te sodbe, zato načeloma ne more izpeljati natančnih ugotovitev o zasebnem življenju zadevnih oseb. Dostop, na podlagi katerega ni mogoče priti do takih ugotovitev, pa ne pomeni resnega posega v temeljne pravice, zagotovljene s členoma 7 in 8 Listine.

100

V skladu s to ureditvijo in pojasnili francoske vlade v zvezi s tem je dostop, odobren temu javnemu organu, namreč strogo omejen na nekatere podatke v zvezi z istovetnostjo imetnika IP-naslova in je dovoljen le za identifikacijo tega imetnika, ki je osumljen dejavnosti, s katero se kršijo avtorska ali sorodne pravice, ker je na spletu nezakonito dal na voljo varovana dela, da bi drugim osebam omogočil njihov prenos. S tem dostopom se želi omogočiti, da se zoper tega imetnika sprejmejo, odvisno od primera, vzgojni ali represivni ukrepi, ki so za to določeni v postopku postopnega odgovora, in sicer pošiljanje prvega in drugega priporočila, nato dopisa, s katerim se obvesti, da ta dejavnost lahko pomeni kršitev iz hude malomarnosti, in nazadnje predložitev zadeve državnemu tožilstvu zaradi pregona tega prekrška ali kaznivega dejanja ponarejanja.

101

V navedeni nacionalni ureditvi morajo biti določena tudi jasna in natančna pravila, s katerimi se zagotovi, da se lahko IP-naslovi, ki se hranijo v skladu z Direktivo 2002/58, uporabijo le za identifikacijo osebe, ki ji je bil dodeljen določen IP‑naslov, pri čemer je izključena vsakršna uporaba, s katero bi se z enim ali več takimi naslovi nadzirala spletna dejavnost te osebe. Kadar se IP-naslov torej uporablja zgolj za identifikacijo njegovega imetnika v okviru posebnega upravnega postopka, na podlagi katerega se lahko začne kazenski pregon zoper tega imetnika, ne pa zato, da bi se na primer ugotovili stiki ali lokacija tega imetnika, se dostop do tega naslova iz tega edinega razloga nanaša na ta naslov kot podatek o istovetnosti, ne pa kot podatek o prometu.

102

Poleg tega iz načela ustaljene sodne prakse, navedene v točki 97 te sodbe, izhaja, da je dostop, kot je ta, do katerega je v skladu z nacionalno ureditvijo iz postopka v glavni stvari upravičena Hadopi – glede na to, da se z njim uresničuje boj proti kaznivim dejanjem na splošno – mogoče upravičiti le, če se nanaša na IP-naslove, ki jih morajo ponudniki elektronskih komunikacijskih storitev hraniti za ta cilj in ne za pomembnejši cilj, kot je boj proti hudemu kriminalu, kar pa ne vpliva na dostop, upravičen s takim ciljem boja proti kršitvam na splošno, kadar se nanaša na IP-naslove, shranjene in torej hranjene pod pogoji, določenimi v členu 6 Direktive 2002/58.

103

Poleg tega, kot izhaja iz točk od 85 do 92 te sodbe, je mogoče hrambo IP‑naslovov, ki temelji na zakonodajnem ukrepu na podlagi člena 15(1) Direktive 2002/58, zaradi uresničevanja cilja boja proti kaznivim dejanjem na splošno upravičiti, če podrobna pravila o tej hrambi izpolnjujejo vse zahteve, s katerimi se želi v bistvu zagotoviti dejanska neprepustna ločitev različnih kategorij shranjenih podatkov, tako da je možnost povezovanja podatkov iz različnih kategorij dejansko izključena. Če so ponudniki elektronskih komunikacijskih storitev zavezani s takimi podrobnimi pravili o hrambi, splošna in neselektivna hramba IP‑naslovov namreč ne pomeni resnega posega v zasebno življenje imetnikov teh IP-naslovov, saj na podlagi teh podatkov ni mogoče priti do natančnih ugotovitev o njihovem zasebnem življenju.

104

Zato je ob upoštevanju sodne prakse, navedene v točkah od 95 do 97 te sodbe, v primeru obstoja takega zakonodajnega ukrepa dostop do IP-naslovov, ki se hranijo zaradi uresničevanja cilja boja proti kaznivim dejanjem na splošno, mogoče upravičiti glede na člen 15(1) Direktive, če je ta dostop dovoljen izključno zaradi identifikacije osebe, za katero obstaja sum, da je vpletena v take kršitve.

105

Poleg tega je to, da se javnemu organu, kot je Hadopi, dovoli dostop do podatkov o istovetnosti, ki ustrezajo javnemu IP-naslovu, ki so ji ga posredovale organizacije imetnikov pravic zgolj za identifikacijo imetnika tega naslova, uporabljenega za dejanja, storjena na spletu, s katerimi bi se lahko kršile avtorska ali sorodne pravice, da bi se mu naložil eden od ukrepov, določen v okviru postopnega postopka odgovora, v skladu s sodno prakso Sodišča glede „pravice do informacij“ v okviru tožbe v zvezi s kršitvijo pravice intelektualne lastnine, kot je določena v členu 8 Direktive 2004/48 (glej v tem smislu sodbo z dne 29. januarja 2008, Promusicae, C‑275/06, EU:C:2008:54, točka 47 in naslednje).

106

Sodišče je v okviru te sodbe prakse – ob poudarku, da uporaba ukrepov, določenih z Direktivo 2004/48, ne sme vplivati ne na SUVP ne na Direktivo 2002/58 – razsodilo, da člen 8(3) Direktive 2004/48 v povezavi s členom 15(1) Direktive 2002/58 in členom 7(f) Direktive 95/46 ne nasprotuje temu, da države članice ponudnikom elektronskih komunikacijskih storitev naložijo obveznost posredovanja osebnih podatkov posameznikom, da lahko ti pred civilnimi sodišči začnejo postopek v zvezi s kršitvami avtorskih pravic, vendar pa državam članicam ne nalaga določitve take obveznosti (glej v tem smislu sodbo z dne 17. junija 2021, M. I. C. M., C‑597/19, EU:C:2021:492, točki 124 in 125 ter navedena sodna praksa).

107

Na drugem mestu, pri presoji konkretne stopnje poseganja v zasebnost, ki ga pomeni dostop javnega organa do osebnih podatkov, se ne sme prezreti posebnosti konteksta, v katerem se ta dostop izvaja, zlasti vseh podatkov in informacij, ki so temu organu na podlagi veljavne nacionalne ureditve posredovani, vključno z že prej obstoječimi podatki in informacijami, ki razkrivajo vsebino (glej po analogiji sodbo ESČP z dne 24. aprila 2018, Benedik proti Sloveniji, CE:ECHR:2018:0424JUD006235714, točka 109).

108

Tako je treba v obravnavanem primeru pri presoji upoštevati dejstvo, da Hadopi – preden dostopi do zadevnih podatkov o istovetnosti, do katerega je upravičena – od organizacij imetnikov pravic v skladu s točko 1 Priloge k odloku št. 2010-236 med drugim prejme „informacije o varovanih delih ali predmetih, na katere se nanašajo storjena dejanja“ in, „če je to primerno“, „ime datoteke, kot je navedeno na naročnikovi terminalni opremi“.

109

Iz spisa, ki je na voljo Sodišču, izhaja – kar pa mora preveriti predložitveno sodišče – da so informacije o zadevnem delu, kot so navedene v zapisniku, katerega vsebina je urejena z odločbo CNIL z dne 10. junija 2010, v bistvu omejene na naslov zadevnega dela in izvleček, imenovan „chunk“, v obliki črkovno-številskega sosledja in ne zvočnega ali video posnetka tega dela.

110

V zvezi s tem sicer ni mogoče na splošno izključiti, da se lahko javni organ z dostopom do omejenega števila podatkov v zvezi z istovetnostjo imetnika IP‑naslova, ki mu jih je posredoval ponudnik elektronskih komunikacijskih storitev zgolj za identifikacijo tega imetnika v primeru, v katerem je bil ta naslov uporabljen za dejavnosti, s katerimi bi se lahko kršile avtorska ali sorodne pravice, če se ta dostop poveže z analizo – čeprav omejenih – informacij o vsebini dela, ki je bilo nezakonito dano na voljo na spletu, ki so mu jih predhodno posredovale organizacije imetnikov pravic, seznani z nekaterimi vidiki zasebnega življenja navedenega imetnika, vključno z občutljivimi informacijami, kot so spolna usmerjenost, politično mnenje, versko, filozofsko, družbeno ali drugo prepričanje in zdravstveno stanje, čeprav to ti podatki v pravu Unije deležni posebnega varstva.

111

Vendar bi se lahko v obravnavanem primeru glede na naravo podatkov in omejene informacije, ki jih ima Hadopi, na njihovi podlagi le v neobičajnih položajih razkrile informacije – v nekaterih primerih občutljive – o vidikih zasebnega življenja zadevne osebe, na podlagi katerih bi lahko ta organ, če bi jih obravnaval skupaj, prišel do natančnih ugotovitev o njenem zasebnem življenju, na primer tako, da bi izdelal njen podroben profil.

112

Za to bi lahko šlo med drugim v primeru osebe, katere IP-naslov je bil uporabljen za dejanja, s katerimi so se redno oziroma obsežno kršile avtorska ali sorodne pravice na omrežjih enakovrednih partnerjev, v povezavi z določenimi vrstami varovanih del, ki se lahko združijo skupaj na podlagi izrazov iz njihovega naslova, ki lahko razkrijejo informacije – v nekaterih primerih občutljive – o vidikih njenega zasebnega življenja.

113

Na podlagi različnih elementov je torej mogoče ugotoviti, da v obravnavanem primeru poseg v zasebno življenje osebe, osumljene dejavnosti, ki pomeni kršitev avtorske ali sorodnih pravic, ki ga dopušča ureditev, kot je ta iz postopka v glavni stvari, ni nujno zelo resen. Najprej, v skladu s tako ureditvijo ima dostop do zadevnih osebnih podatkov le omejeno število pooblaščenih in zapriseženih uslužbencev Hadopi, ki je javni organ, ki je poleg tega v skladu s členom 331-12 CPI neodvisen. Dalje, edini cilj tega dostopa je identificirati osebo, ki je osumljena dejavnosti, s katero se kršijo avtorska ali sorodne pravice, kadar se ugotovi, da je bilo varovano delo nezakonito dano na voljo z njenega dostopa do spleta. Nazadnje, dostop Hadopi do zadevnih osebnih podatkov je strogo omejen na podatke, potrebne za dosego tega cilja (glej po analogiji sodbo ESČP z dne 17. oktobra 2019, López Ribalda in drugi proti Španiji, CE:ECHR:2019:1017JUD000187413, točki 126 in 127).

114

Drug element, ki dodatno zmanjša stopnjo posega v temeljne pravice do varstva zasebnega življenja in osebnih podatkov zaradi navedenega dostopa Hadopi – ki očitno izhaja iz spisa, ki je na voljo Sodišču, kar pa mora preveriti predložitveno sodišče – se nanaša na dejstvo, da so uslužbenci Hadopi, ki imajo dostop do zadevnih podatkov in informacij, v skladu z veljavno nacionalno ureditvijo zavezani k zaupnosti, ki jim prepoveduje razkritje teh podatkov in informacij v kakršni koli obliki, razen za predložitev zadeve državnemu tožilstvu, in njihovo uporabo za druge namene kot za identifikacijo imetnika IP-naslova, osumljenega izvršitve dejavnosti, s katero se kršijo avtorska ali sorodne pravice, da se mu naloži eden od ukrepov v okviru postopka postopnega odgovora (glej po analogiji sodbo ESČP z dne 17. decembra 2009, Gardel proti Franciji, CE:ECHR:2009:1217JUD001642805, točka 70).

115

IP-naslovi, ki so bili posredovani drugemu javnemu organu, kot je Hadopi – dokler nacionalna ureditev izpolnjuje pogoje, na katere je bilo opozorjeno v točki 101 te sodbe – zato ne omogočajo sledenja brskanju, ki so ga opravili njegovi imetniki, kar potrjuje ugotovitev, da posega, ki ga pomeni dostop tega organa do identifikacijskih podatkov iz postopka v glavni stvari, ni mogoče opredeliti kot resnega.

116

Na tretjem mestu, spomniti je treba, da za zagotovitev potrebne uskladitve zadevnih pravic in interesov, ki jo nalaga zahteva po sorazmernosti iz člena 15(1), prvi stavek, Direktive 2002/58, svoboda izražanja in zaupnost osebnih podatkov – čeprav sta ti temeljni pravici osrednja preudarka in mora biti uporabnikom telekomunikacijskih in spletnih storitev zajamčeno spoštovanje njihove zasebnosti in svobode izražanja – vseeno nista absolutni. V okviru tehtanja med zadevnimi pravicami in interesi se morajo ti namreč včasih umakniti drugim temeljnim pravicam in nujnim razlogom v splošnem interesu, kot so varovanje javnega reda, preprečevanje kaznivih dejanj ali varstvo pravic in svoboščin drugih. Tako je zlasti takrat, kadar prevlada osrednjih preudarkov ovira učinkovitost kazenske preiskave, zlasti tako, da onemogoča ali pretirano otežuje dejansko identifikacijo storilca kaznivega dejanja in naložitev sankcije navedenemu storilcu (glej po analogiji sodbo ESČP z dne 2. marca 2009, K. U. proti Finski, CE:ECHR:2008:1202JUD000287202, točka 49).

117

V teh okoliščinah je treba skrbno upoštevati dejstvo, da je – kot je Sodišče že razsodilo – v primeru kršitve, storjene na spletu, IP-naslov lahko edino preiskovalno sredstvo, ki omogoča dejansko identifikacijo osebe, ki ji je bil ta naslov dodeljen ob storitvi te kršitve (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 154).

118

Ta okoliščina, kot je ugotovil tudi generalni pravobranilec v točki 59 sklepnih predlogov z dne 28. septembra 2023, kaže na to, da sta hramba teh podatkov in dostop do njih pri boju zoper kazniva dejanja, kot so ta, s katerimi se kršijo avtorska ali sorodne pravice na spletu, nujno potrebna za uresničitev zastavljenega cilja in sta torej v skladu z zahtevo po sorazmernosti, naloženo s členom 15(1) Direktive 2002/58 v povezavi z uvodno izjavo 11 te direktive in členom 52(2) Listine.

119

Če se ne bi dopustil tak dostop, bi to – kot je v bistvu poudaril generalni pravobranilec v točkah od 78 do 80 sklepnih predlogov z dne 27. oktobra 2203 ter v točkah 80 in 81 sklepnih predlogov z dne 28. septembra 2023 – poleg tega pomenilo dejansko tveganje sistemske nekaznovanosti ne le kaznivih ravnanj, ki se nanašajo na kršitev avtorske ali sorodnih pravic, ampak tudi drugih vrst kaznivih ravnanj, ki so storjena na spletu ali katerih storitev ali priprava sta olajšani s posebnimi značilnostmi spleta. Obstoj takega tveganja je namreč v okviru tehtanja različnih zadevnih pravic in interesov upoštevna okoliščina pri presoji, ali je poseg v pravice, zagotovljene s členi 7, 8 in 11 Listine, sorazmeren ukrep glede na cilj boja proti kaznivim dejanjem.

120

Res je sicer, da dostop javnega organa, kot je Hadopi, do podatkov o istovetnosti, ki ustrezajo IP-naslovu, s katerega je bila storjena spletna kršitev, ni edino preiskovalno sredstvo za identifikacijo osebe, ki je imetnica tega naslova v času storitve te kršitve. Taka identifikacija bi namreč lahko bila a priori mogoča tudi s preučitvijo vseh spletnih dejavnosti zadevne osebe, zlasti z analizo vseh „sledi“, ki bi jih ta lahko pustila na družbenih omrežjih, kot je uporabniško ime na teh omrežjih ali njeni kontaktni podatki.

121

Vendar, kot je generalni pravobranilec navedel v točki 83 sklepnih predlogov z dne 28. septembra 2023, bi bilo tako preiskovalno sredstvo še posebej vsiljujoče, saj bi se lahko z njim razkrile natančne informacije o zasebnem življenju zadevnih oseb. To bi za te osebe pomenilo hujši poseg v pravice, zagotovljene s členi 7, 8 in 11 Listine, kot je poseg, ki izhaja iz ureditve, kot je ta iz postopka v glavni stvari.

122

Iz navedenega izhaja, da je treba člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine razlagati tako, da načeloma ne nasprotuje nacionalni ureditvi, ki javnemu organu, pristojnemu za varstvo avtorske in sorodnih pravic pred kršitvami teh pravic, storjenih na spletu, dopušča dostop do podatkov o istovetnosti, ki ustrezajo IP-naslovom, ki jih predhodno zberejo organizacije imetnikov pravic ter jih ločeno in dejansko neprepustno hranijo ponudniki elektronskih komunikacijskih storitev, zgolj zato, da lahko ta organ identificira imetnike teh naslovov, za katere se sumi, da so odgovorni za te kršitve, in po potrebi zoper njih sprejme ukrepe. V takem primeru mora biti v veljavni nacionalni zakonodaji uslužbencem, ki imajo tak dostop, prepovedano, prvič, da v kakršni koli obliki razkrijejo informacije o vsebini datotek, do katerih so dostopali ti imetniki, razen zaradi predložitve zadeve državnemu tožilstvu, drugič, da sledijo brskanju, ki so ga opravili ti imetniki, in tretjič, da te IP-naslove uporabljajo za druge namene, kot je sprejetje teh ukrepov.

123

Vseeno se postavlja vprašanje, ali mora biti dostop javnega organa do podatkov o istovetnosti, ki ustrezajo IP-naslovu, med drugim predmet predhodnega nadzora, ki ga opravi sodišče ali neodvisni upravni organ.

124

V zvezi s tem je Sodišče razsodilo, da je za zagotovitev polnega spoštovanja pogojev, ki jih morajo določiti države članice, da zagotovijo, da je dostop omejen na nujno potrebno, „bistveno“, da je dostop pristojnih nacionalnih organov do podatkov o prometu in lokaciji predmet predhodnega nadzora, ki ga opravi sodišče ali neodvisni upravni organ (glej v tem smislu sodbe z dne 21. decembra 2016, Tele2 Sverige in Watson in drugi, C‑203/15 in C‑698/15, EU:C:2016:970, točka 120; z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 189; z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 51, in z dne 5. aprila 2022, Commissioner of An Garda Síochána in drugi, C‑140/20, EU:C:2022:258, točka 106).

125

Ta predhodni nadzor, prvič, zahteva, da ima sodišče ali neodvisen upravni organ, ki je odgovoren za njegovo izvedbo, vsa pooblastila in jamstva, potrebna za uskladitev različnih zadevnih legitimnih interesov in pravic. Glede, natančneje, preiskave kaznivih dejanj mora to sodišče ali ta organ v okviru takega nadzora zagotoviti pravično ravnotežje med legitimnimi interesi, povezanimi s potrebami preiskave, ki se nanaša na boj proti kriminalu, na eni strani ter temeljnimi pravicami do spoštovanja zasebnega življenja in varstva osebnih podatkov posameznikov, do katerih podatkov se dostopa, na drugi strani (sodba z dne 5. aprila 2022, Commissioner of An Garda Síochána in drugi, C‑140/20, EU:C:2022:258, točka 107 in navedena sodna praksa).

126

Drugič, če tega nadzora ne izvaja sodišče, ampak neodvisen upravni organ, mora imeti ta organ status, ki mu omogoča, da pri izvajanju svojih nalog deluje objektivno in nepristransko, pri čemer mora biti zato zaščiten pred kakršnim koli zunanjim vplivom. Tako zahteva po neodvisnosti, ki jo mora izpolnjevati subjekt, pristojen za izvajanje predhodnega nadzora, zahteva, da je ta oseba v razmerju do organa, ki prosi za dostop do podatkov, tretja oseba, tako da lahko navedeni subjekt ta nadzor izvaja objektivno in nepristransko, pri čemer je zaščiten pred vsakršnim zunanjim vplivom. Natančneje, na kazenskem področju zahteva po neodvisnosti pomeni, da organ, pristojen za ta predhodni nadzor, prvič, ne sodeluje pri preiskovanju zadevnih kaznivih dejanj, in drugič, da je glede strank v kazenskem postopku nevtralen (sodba z dne 5. aprila 2022, Commissioner of An Garda Síochána in drugi, C‑140/20, EU:C:2022:258, točka 108 in navedena sodna praksa).

127

Tretjič, neodvisen nadzor, ki se zahteva v skladu s členom 15(1) Direktive 2002/58, mora biti opravljen pred kakršnim koli dostopom do zadevnih podatkov, razen v ustrezno utemeljenih nujnih primerih, pri čemer mora biti navedeni nadzor izveden v kratkem času. S poznejšim nadzorom namreč ne bi bilo mogoče izpolniti cilja predhodnega nadzora, ki je preprečiti, da se dovoli dostop do zadevnih podatkov, ki presega to, kar je nujno potrebno (sodba z dne 5, aprila 2022, Commissioner of An Garda Síochána in drugi, C‑140/20, EU:C:2022:258, točka 110).

128

To pomeni, da čeprav je Sodišče – kot izhaja iz sodne prakse, navedene v točki 124 te sodbe – razsodilo, da je „bistveno“, da je dostop pristojnih nacionalnih organov do podatkov o prometu in podatkov o lokaciji predmet predhodnega nadzora, ki ga opravi sodišče ali neodvisni upravni organ, se je ta sodna praksa razvila v okviru nacionalnih ukrepov, s katerimi je bil zaradi cilja boja proti hudemu kriminalu dopusten splošen dostop do vseh shranjenih podatkov o prometu in podatkov o lokaciji, ne glede na kakršno koli povezavo, tudi če le posredno, z zastavljenim ciljem, in ki so torej pomenili resne ali celo „posebej resne“ posege v zadevne temeljne pravice.

129

Nasprotno pa Sodišče pri obravnavanju okoliščin, v katerih je bilo mogoče utemeljiti dostop do podatkov o istovetnosti na podlagi člena 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 Listine, ni nikjer izrecno navedlo zahteve po takšnem predhodnem nadzoru (glej v tem smislu sodbe z dne 2. oktobra 2018, Ministerio Fiscal, C‑207/16, EU:C:2018:788, točke 59, 60 in 62; z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 157 in 158, in z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 34).

130

Iz sodne prakse Sodišča v zvezi z načelom sorazmernosti, katerega spoštovanje zahteva člen 15(1), prvi stavek, Direktive 2002/58, zlasti sodne prakse, v skladu s katero je treba možnost držav članic, da utemeljijo omejitev pravic in obveznosti, določenih zlasti s členi 5, 6 in 9 Direktive 2002/58, presojati tako, da se oceni resnost posega v temeljne pravice iz členov 7, 8 in 11 Listine, ki ga vključuje taka omejitev, in preveri, ali je cilj splošnega interesa, ki se uresničuje s to omejitvijo, v sorazmerju s to resnostjo posega (sodba z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točka 131), je namreč razvidno, da je treba pri materialnih in procesnih jamstvih, ki jih je treba zagotoviti pri tem dostopu in med katerimi je zahteva po predhodnem nadzoru, ki ga opravi sodišče ali neodvisni upravni organ, upoštevati tudi stopnjo posega v zadevne temeljne pravice, ki ga pomeni dostop do zadevnih osebnih podatkov, in stopnjo občutljivosti teh podatkov.

131

Zato je treba v zvezi z načelom sorazmernosti šteti, da je zahteva po predhodnem nadzoru, ki ga opravi sodišče ali neodvisni upravni organ, podana, kadar v okviru nacionalne ureditve, ki določa dostop javnega organa do osebnih podatkov, pri tem dostopu obstaja nevarnost resnega posega v temeljne pravice zadevne osebe v smislu, da bi lahko javni organ na njegovi podlagi prišel do natančnih ugotovitev o zasebnem življenju te osebe in, odvisno od primera, izdelal njen podrobni profil.

132

Nasprotno se ta zahteva po predhodnem nadzoru ne uporablja, kadar posega v zadevne temeljne pravice zaradi dostopa javnega organa do osebnih podatkov ni mogoče šteti za resnega.

133

Za tak primer gre pri dostopu do podatkov o istovetnosti uporabnikov elektronskih komunikacijskih sredstev, ki se opravi zgolj zaradi identifikacije zadevnega uporabnika in pri katerem teh podatkov ni mogoče povezati z informacijami o opravljenih komunikacijah, saj v skladu s sodno prakso Sodišča posega zaradi take obdelave navedenih podatkov načeloma ni mogoče opredeliti kot resnega (glej v tem smislu sodbo z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 157 in 158).

134

Iz tega sledi, da se v primeru določitve ukrepa hrambe, kot je ta, opisan v točkah od 86 do 89 te sodbe, za dostop javnega organa do podatkov o istovetnosti, ki ustrezajo tako shranjenim IP-naslovom, načeloma ne zahteva predhodni nadzor, ki ga opravi sodišče ali neodvisni upravni organ.

135

To pomeni, da – kot je bilo že navedeno v točkah 110 in 111 te sodbe – ni mogoče izključiti, da bi se v neobičajnih položajih na podlagi omejenih podatkov in informacij, ki bi se dali na voljo javnemu organu v okviru postopka, kot je postopek postopnega odgovora iz zadeve v glavni stvari, lahko razkrile informacije – v nekaterih primerih občutljive – o vidikih zasebnega življenja zadevne osebe, torej informacije, na podlagi katerih bi lahko ta organ, če bi jih obravnaval skupaj, prišel do natančnih ugotovitev o zasebnem življenju te osebe in po potrebi izdelal njen podroben profil.

136

Kot izhaja iz točke 112 te sodbe, je lahko pravica do zasebnega življenja med drugim tako ogrožena, kadar neka oseba izvaja dejavnosti, s katerimi redno ali obsežno krši avtorsko ali sorodne pravice na omrežjih enakovrednih partnerjev, v povezavi z določenimi vrstami varovanih del, ki se lahko združijo skupaj na podlagi izrazov iz njihovega naslova, ki lahko razkrijejo informacije – v nekaterih primerih občutljive – o vidikih njenega zasebnega življenja.

137

Tako je lahko v obravnavanem primeru v okviru upravnega postopka postopnega odgovora imetnik IP-naslova še posebej izpostavljen možnosti take ogrozitve njegove pravice do zasebnega življenja, če postopek preide v fazo, ko se mora Hadopi odločiti, ali bo zadevo predložila državnemu tožilstvu zaradi pregona tega imetnika zaradi dejanj, ki bi jih bilo mogoče opredeliti kot prekršek hude malomarnosti ali kaznivo dejanje ponarejanja.

138

Za tako predložitev je namreč potrebno, da so bili na imetnika IP-naslova že naslovljeni dve priporočili in obvestilo, v katerem je bil poučen, da se lahko njegove dejavnosti kazensko preganjajo, ki so ukrepi, zaradi katerih je Hadopi vsakič dostopila do podatkov o istovetnosti imetnika, katerega IP-naslov je bil uporabljen za dejavnosti, s katerimi so se kršile avtorska ali sorodne pravice, in do datoteke v zvezi s tem delom, ki vključuje zlasti njegov naslov.

139

Ni namreč mogoče izključiti, da lahko tako posredovani podatki v različnih fazah upravnega postopka postopnega odgovora, če se obravnavajo skupaj, med tem postopkom razkrijejo skladne in v nekaterih primerih občutljive informacije o vidikih zasebnega življenja zadevne osebe, na podlagi katerih se lahko po potrebi izdela njen profil.

140

Tako je verjetno, da se intenzivnost posega v pravico do spoštovanja zasebnega življenja s tem, da postopek postopnega odgovora, ki je večfazni postopek, prehaja v različne faze, povečuje.

141

V obravnavanem primeru lahko Hadopi na podlagi dostopa do vseh podatkov v zvezi z zadevno osebo, ki se zberejo v različnih fazah tega postopka, s povezavo teh podatkov pride do natančnih ugotovitev o zasebnem življenju zadevne osebe. Zato mora nacionalna ureditev v okviru postopka, kot je postopek postopnega odgovora iz zadeve v glavni stvari, na določeni stopnji navedenega postopka določiti tudi, da sodišče ali neodvisni upravni organ v skladu s pogoji, na katere je bilo opozorjeno v točkah od 125 do 127 te sodbe, opravi predhodni nadzor, da se izključi nevarnost nesorazmernega posega v temeljne pravice varstva zasebnega življenja in osebnih podatkov zadevne osebe. To pomeni, da mora biti v praksi tak nadzor opravljen, preden lahko Hadopi poveže podatke o istovetnosti osebe, ki ustrezajo IP-naslovu in ki jih je dobila od ponudnika elektronskih komunikacijskih storitev, saj je na to osebo že naslovila dve priporočili, z datoteko v zvezi z delom, ki je bilo dano na voljo na spletu, da bi se drugim osebam omogočil njegov prenos. Zato mora biti naveden nadzor opravljen, preden se morda pošlje uradno obvestilo iz člena R. 331-40 CPI, v katerem je ugotovljeno, da je ta oseba storila dejanja, ki lahko pomenijo kršitev iz hude malomarnosti. Hadopi lahko tako uradno obvestilo pošlje in po potrebi zadevo predloži državnemu tožilstvu zaradi pregona te kršitve šele po takem predhodnem nadzoru, ki ga opravi sodišče ali neodvisni upravni organ, in ko za to od sodišča ali neodvisnega upravnega organa pridobi dovoljenje.

142

Hadopi bi moralo biti omogočeno, da opredeli primere, v katerih imetnik IP‑naslova doseže to tretjo fazo takega postopka postopnega postopka odgovora. Zato mora biti ta postopek organiziran in strukturiran tako, da osebe, ki so pri Hadopi pristojne za preiskavo dejanja, podatkov o istovetnosti osebe, ki ustrezajo IP-naslovom, ki so bili predhodno pridobljeni na spletu in ki so jih zbrali ponudniki elektronskih komunikacijskih storitev, ne morejo samodejno povezati z datotekami, v katerih so elementi, iz katerih se lahko ugotovijo naslovi varovanih del, katerih dajanje na voljo na spletu je bil razlog za to zbiranje.

143

Zato je treba to povezovanje v tretji fazi postopnega odgovora prekiniti, kadar mora sodišče ali neodvisni upravni organ zaradi zbiranja navedenih podatkov o istovetnosti, ki ustreza primeru druge možne ponovitve dejavnosti, s katero se kršijo avtorska ali sorodne pravice, opraviti predhodni nadzor, opisan v točki 141 te sodbe.

144

Poleg tega ureditev zahteve po predhodnem nadzoru, opisana v točkah od 141 do 143 te sodbe, glede na to, da je omejena na tretjo fazo navedenega postopka postopnega odgovora in se v njegovih prejšnjih fazah ne uporablja, omogoča tudi upoštevanje argumenta, da je treba ohraniti uporabnost tega postopka, za katero je – zlasti v fazah pred morebitnim pošiljanjem uradnega obvestila in po potrebi predložitvijo zadeve državnemu tožilstvu – značilna ogromna količina zahtev javnega organa za dostop, ki izhaja iz prav tako velikega števila zapisnikov, ki jih nanjo naslovijo organizacije imetnikov pravic.

145

Glede predmeta predhodnega nadzora, opisanega v točkah od 141 do 143 te sodbe, je iz sodne prakse, navedene v točkah 95 in 96 te sodbe, razvidno, da v primerih, v katerih je zadevna oseba osumljena storitve kršitve „hude malomarnosti“, opredeljene v členu R. 335-5 CPI, ki spada med kazniva ravnanja na splošno, mora sodišče ali neodvisni upravni organ, ki je pristojen za ta nadzor, zavrniti dostop, če bi lahko javni organ, ki ta dostop zahteva, na njegovi podlagi prišel do natančnih ugotovitev o zasebnem življenju navedene osebe.

146

Vendar pa bi moral biti tudi dostop, na podlagi katerega se lahko pride to takih natančnih ugotovitev, dopusten v primerih, v katerih iz elementov, s katerimi se to sodišče ali neodvisni upravni organ seznani, izhaja sum, da je zadevna oseba storila kaznivo dejanje ponarejanja iz člena L. 335-2 CPI ali člena L. 335-4 tega zakonika, glede na to, da lahko država članica za tako kaznivo dejanje – ker se z njim ogroža temeljni družbeni interes – šteje, da spada na področje hudega kriminala.

147

Nazadnje, francoska vlada glede načina izvedbe tega predhodnega nadzora meni, da bi bilo ob upoštevanju posebnih značilnosti dostopa Hadopi do zadevnih podatkov, zlasti njegove obsežnosti, primerno, da je tak predhodni nadzor, če bi bil potreben, povsem avtomatiziran. S takim nadzorom, ki je povsem objektiven, naj bi se namreč zlasti želelo preveriti, da so v zapisniku, ki je bil predložen Hadopi, vse potrebne informacije in podatki, ne da bi morala Hadopi v zvezi z njimi izvesti presojo.

148

Vendar pa predhodni nadzor nikakor ne sme biti popolnoma avtomatiziran, saj mora zadevno sodišče ali neodvisni upravni organ – kot izhaja iz sodne prakse, navedene v točki 125 te sodbe – v primeru preiskave kaznivih dejanj v okviru takega nadzora zagotoviti pravično ravnotežje med interesi, povezanimi s potrebami preiskave, ki se nanaša na boj proti kriminalu, na eni strani ter temeljnimi pravicami do spoštovanja zasebnega življenja in varstva osebnih podatkov posameznikov, do katerih podatkov se dostopa, na drugi.

149

Tako tehtanje različnih legitimnih interesov in zadevnih pravic pa mora opraviti fizična oseba, kar je še toliko bolj potrebno v primeru, v katerem je pravica do zasebnega življenja zaradi avtomatiziranosti in velikega obsega zadevne obdelave podatkov ogrožena.

150

Poleg tega se s popolnoma avtomatiziranim nadzorom načeloma ne more zagotoviti, da dostop ne preseže meja nujno potrebnega in da imajo osebe, na katere se osebni podatki nanašajo, na voljo učinkovita jamstva pred tveganji zlorabe in pred vsakršnim nezakonitim dostopom do teh podatkov in njihovo nezakonito uporabo.

151

Zato je treba poleg avtomatiziranih nadzorov, čeprav se z njimi lahko preverijo nekatere informacije iz zapisnikov organizacij imetnikov pravic, vsekakor vedno opraviti tudi nadzore, ki jih opravijo fizične osebe in ki v celoti izpolnjujejo zahteve, navedene v točkah od 125 do 127 te sodbe.

152

Iz sodne prakse Sodišča izhaja, da je dostop do osebnih podatkov v skladu z zahtevo po sorazmernosti iz člena 15(1) Direktive 2002/58 le, če je v zakonodajnem ukrepu, ki ta dostop dopušča, z jasnimi in natančnimi pravili določeno, da morajo biti za navedeni dostop izpolnjeni s tem povezani materialni in postopkovni pogoji in da imajo zadevne osebe na voljo jamstva pred tveganji nezakonitega dostopa do teh podatkov in njihove nezakonite uporabe oziroma dostopa in uporabe, ki bi pomenila zlorabo (glej v tem smislu sodbi z dne 6. oktobra 2020, La Quadrature du Net in drugi, C‑511/18, C‑512/18 in C‑520/18, EU:C:2020:791, točki 132 in 173), in z dne 2. marca 2021, Prokuratuur (Pogoji za dostop do podatkov o elektronskih komunikacijah), C‑746/18, EU:C:2021:152, točka 49 in navedena sodna praksa).

153

Kot je poudarilo Sodišče, je nujnost obstoja takih jamstev toliko pomembnejša, če se osebni podatki obdelujejo avtomatizirano (sodba z dne 16. julija 2020, Facebook Ireland in Schrems, C‑311/18, EU:C:2020:559, točka 176 in navedena sodna praksa).

154

S tega vidika je francoska vlada v odgovoru na vprašanje, ki ji ga je Sodišče postavilo za obravnavo 5. julija 2022, potrdila – kot je med drugim navedeno v členu L. 331-29 CPI – da je dostop Hadopi do podatkov o istovetnosti v okviru postopka postopnega odgovora rezultat pretežno avtomatizirane obdelave podatkov zaradi ogromnega števila ponarejanja na omrežjih enakovrednih partnerjev, ki jih zaznajo organizacije imetnikov pravic, katerih ugotovitve se posredujejo Hadopi v obliki zapisnikov.

155

Iz spisa, ki je na voljo Sodišču, natančneje izhaja, da uslužbenci Hadopi pri tej obdelavi podatkov v bistvu avtomatizirano in brez presoje zadevnih dejanj kot takih pregledujejo, ali zapisniki, ki so predloženi Hadopi, vsebujejo vse informacije in podatke iz točke 1 priloge k odloku št. 2010-236, zlasti dejstva o zadevnem nezakonitem dajanju na voljo na spletu in IP-naslove, ki so bili pri tem uporabljeni. Poleg take obdelave je namreč treba izvesti tudi nadzor, ki ga opravijo fizične osebe.

156

Ker lahko taka avtomatizirana obdelava vključuje nekaj lažnih pozitivnih primerov in zlasti nevarnost, da se bodo tretje osebe nezakonito ali z namenom zlorabe polastile morda zelo visokega števila osebnih podatkov, je pomembno, da je v skladu z zakonodajnim ukrepom sistem obdelave podatkov, ki ga uporablja javni organ, predmet rednega nadzora, ki ga opravi neodvisen organ, ki je v razmerju do tega javnega organa tretja oseba, v okviru katerega se preveri celovitost sistema, vključno z učinkovitimi jamstvi pred tveganji zlorabe in pred vsakršnim nezakonitim dostopom do teh podatkov ali njihovo nezakonito uporabo, ki morajo biti s tem sistemom zagotovljena, kot tudi njegova učinkovitost in zanesljivost za odkrivanje kršitvenih ravnanj, ki bi jih bilo mogoče v primeru ponovitev opredeliti kot hudo malomarnost ali ponarejanje.

157

Nazadnje je treba dodati, da mora biti obdelava osebnih podatkov, ki jo izvede javni organ, kot je ta, ki jo v okviru postopka postopnega odgovora izvaja Hadopi, v skladu s posebnimi pravili o varstvu podatkov, določenimi v Direktivi 2016/680, katere cilj je v skladu z njenim členom 1 določiti pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo zaradi preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

158

Čeprav Hadopi v obravnavanem primeru po veljavnem nacionalnem pravu nima pristojnosti za odločanje, jo je treba – kadar v okviru postopka postopnega odgovora obdeluje osebne podatke in sprejema ukrepe, kot sta priporočilo ali uradno obvestilo zadevni osebi, da so zadevna dejanja lahko predmet kazenskega pregona – šteti za „javni organ“ v smislu člena 3 Direktive 2016/680, ki sodeluje pri preprečevanju in odkrivanju kaznivih dejanj, in sicer prekrških hude malomarnosti ali kaznivih dejanj ponarejanja, in torej v skladu s členom 1 spada na področje uporabe te direktive.

159

Francoska vlada je v zvezi s tem v odgovoru na vprašanje Sodišča za obravnavo 5. julija 2022 navedla, da glede na to, da so ukrepi, ki jih Hadopi sprejme v okviru izvajanja postopka postopnega odgovora, „pred-kazenski in neposredno povezani s sodnim postopkom“, za sistem upravljanja ukrepov za varstvo del na spletu, ki ga izvaja Hadopi, kot je razvidno iz sodne prakse predložitvenega sodišča, veljajo določbe nacionalnega prava, sprejete za prenos Direktive 2016/680.

160

Nasprotno pa obravnava podatkov, ki jo opravlja Hadopi, ne spada na področje uporabe SUVP. Člen 2(2)(d) SUVP določa, da se ta uredba ne uporablja za obdelavo osebnih podatkov, ki jo opravijo pristojni organi zaradi preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

161

Kot je generalni pravobranilec navedel v točki 104 sklepnih predlogov z dne 27. oktobra 2022, glede na to, da mora Hadopi v okviru postopka postopnega odgovora postopati v skladu z Direktivo 2016/680, morajo biti osebam, ki so v takem postopku, zagotovljena vsa materialna in postopkovna jamstva, vključno s pravico do dostopa, popravka in izbrisa osebnih podatkov, ki jih je obdelala Hadopi, in možnost vložitve pritožbe pri neodvisnem nadzornem organu, ki mu v nekaterih primerih sledi vložitev tožbe pri sodišču v skladu s splošno pravno ureditvijo.

162

V teh okoliščinah iz nacionalne zakonodaje iz zadeve v glavni stvari izhaja, da v okviru postopka postopnega odgovora, natančneje pri pošiljanju drugega priporočila in sledečega uradnega obvestila o tem, da bi bilo mogoče ugotovljena dejanja opredeliti kot kaznivo ravnanje, ima naslovnik teh dopisov nekatera postopkovna jamstva, kot je pravica podati stališča, pravica do pridobitve pojasnil o očitani kršitvi in – v zvezi z navedenim obvestilom – pravica zahtevati zaslišanje in pravica do pravne pomoči zagovornika.

163

Vsekakor mora predložitveno sodišče preveriti, ali ta nacionalna zakonodaja določa vsa materialna in postopkovna jamstva, ki jih določa Direktiva 2016/680.

164

Na podlagi navedenega je treba na vsa tri vprašanja za predhodno odločanje odgovoriti, da je treba člen 15(1) Direktive 2002/58 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine razlagati tako, da ne nasprotuje nacionalni zakonodaji, ki javnemu organu, pristojnemu za varstvo avtorske in sorodnih pravic pred kršitvami teh pravic na spletu, dopušča dostop do podatkov, ki jih hranijo ponudniki javno dostopnih elektronskih komunikacijskih storitev, o istovetnosti, ki ustrezajo IP-naslovom in ki so jih prej zbrale organizacije imetnikov pravic, da lahko ta organ identificira imetnike teh naslovov, ki so bili uporabljeni za dejavnosti, ki bi lahko pomenile take kršitve, in po potrebi zoper njih sprejme ukrepe, če je v skladu s to ureditvijo

165

Ker je ta postopek za stranke v postopku v glavni stvari ena od stopenj v postopku pred predložitvenim sodiščem, to odloči o stroških. Stroški za predložitev stališč Sodišču, ki niso stroški omenjenih strank, se ne povrnejo.

Iz teh razlogov je Sodišče (občna seja) razsodilo:

Člen 15(1) Direktive 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), kakor je bila spremenjena z Direktivo 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 v povezavi s členi 7, 8 in 11 ter členom 52(1) Listine Evropske unije o temeljnih pravicah

je treba razlagati tako, da

ne nasprotuje nacionalni zakonodaji, ki javnemu organu, pristojnemu za varstvo avtorske in sorodnih pravic pred kršitvami teh pravic na spletu, dopušča dostop do podatkov, ki jih hranijo ponudniki javno dostopnih elektronskih komunikacijskih storitev, o istovetnosti, ki ustrezajo IP‑naslovom in ki so jih prej zbrale organizacije imetnikov pravic, da lahko ta organ identificira imetnike teh naslovov, ki so bili uporabljeni za dejavnosti, ki bi lahko pomenile take kršitve, in po potrebi zoper njih sprejme ukrepe, če je v skladu s to ureditvijo