W serwisie Trybunału Sprawiedliwości EU wreszcie opublikowano polski tekst uzasadnienia bardzo ciekawego wyroku, w którym stwierdzono, że przepisy nakazujące masowe przekazywanie służbom danych o ruchu i lokalizacji usługobiorców korzystających z usług łączności elektronicznej jest sprzeczne z prawem unijnym. Chociaż od wydania orzeczenia minęło już kilka tygodni, myślę, że warto się mu przyjrzeć, bo płynące zeń wnioski są bardzo ciekawe.
wyrok Trybunału Sprawiedliwości z 6 października 2020 r. w/s Privacy International (C‑623/17)
1) [Dyrektywą o prywatności i łączności elektronicznej] objęte jest uregulowanie krajowe umożliwiające organowi państwa zobowiązanie dostawców usług łączności elektronicznej do transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji do celów ochrony bezpieczeństwa narodowego.
2) [Dyrektywa o prywatności i łączności elektronicznej i Karta praw podstawowych Unii Europejskiej] stoją na przeszkodzie uregulowaniu krajowemu umożliwiającemu organowi państwa nałożenie na dostawców usług łączności elektronicznej obowiązku uogólnionego i niezróżnicowanego transmitowania służbom wywiadu i bezpieczeństwa danych o ruchu i danych o lokalizacji do celów ochrony bezpieczeństwa narodowego.
Sprawa zaczęła się od ujawnienia informacji, że brytyjskie służby specjalne (GCHQ, MI5 i MI6) masowo pozyskują dane telekomunikacyjne dotyczące ruchu i lokalizacji użytkowników, w tym bezpośrednio od operatorów, po części na podstawie „poleceń” wydawanych przez sekretarza stanu, a następnie wykorzystują je na potrzeby związane z działalnością wywiadowczą i w celu zapewnienia bezpieczeństwa państwowego.
Zdaniem organizacji Privacy International doszło w ten sposób do naruszenia prywatności użytkowników sieci telekomunikacyjncyh, zatem do sądu trafiła stosowna skarga.
art. 1 ust. 3 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej
Niniejsza dyrektywa nie ma zastosowania do działalności, która wykracza poza zakres Traktatu ustanawiającego Wspólnotę Europejską, takiej jak działalność określona w tytułach V i VI Traktatu o Unii Europejskiej, ani, w żadnym wypadku do działalności dotyczącej bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając dobrobyt gospodarczy państwa, gdy działalność odnosi się do spraw bezpieczeństwa państwa) i działalności państwa w dziedzinie prawa karnego.
W toku postępowania ustalono, iż rzeczywiście doszło do przechwytywania danych, ich krzyżowej analizy i przetwarzania zautomatyzowanego, zaś następnie informacje mogły zostać ujawnione innym osobom, w tym zagranicznym partnerom służb brytyjskich. Działalność taka była całkowicie legalna w świetle brytyjskiego prawa, jednakże sąd postanowił zwrócić się do TSUE z pytaniem o zgodność z prawem unijnym.
Zdaniem rządu brytyjskiego (wspartego przez władze kilku innych państw) skarga była o tyle bezzasadna, że sprawy związane z bezpieczeństwem narodowym nie są objęte prawem unijnym.
art. 4 ust. 2 Traktatu o Unii Europejskiej
(…) bezpieczeństwo narodowe pozostaje w zakresie wyłącznej odpowiedzialności każdego Państwa Członkowskiego.
Trybunał Sprawiedliwości EU stwierdził, że w orzecznictwie nie budzi wątpliwości, iż pozyskiwanie danych przez wywiad w oparciu o masowe zatrzymywanie danych może być objęte dyrektywą o prywatności i łączności elektronicznej. Sęk bowiem w tym, że dyrektywa co do zasady dotyczy działalności związanej z dostarczaniem usług łączności elektronicznej, a przez to odnosi się do dostawców takich usług (operatorów telekomunikacyjnych). Państwa są uprawnione do wprowadzenia legislacji ograniczającej część praw (art. 15 ust. 1 dyrektywy), jednakże nałożenie na operatorów obowiązku retencji danych o ruchu i lokalizacji oraz udzielania służbom dostępu do tych danych oznacza, że dane te są przetwarzane przez dostawców usług — zatem nie stanowią działalności państwa. (Analogicznie wydane polecenie ujawniania danych służbom wywiadowczym oznacza polecenie przetwarzania danych osobowych w rozumieniu RODO.)
Ujawnienie danych osobowych poprzez transmisję, podobnie jak zatrzymywanie danych lub każdy inny rodzaj udostępniania, stanowi przetwarzanie w rozumieniu art. 3 dyrektywy 2002/58, a co za tym idzie — mieści się w zakresie stosowania tej dyrektywy.
W utrwalonym orzecznictwie przyjęto, iż wyłączenie spraw bezpieczeństwa narodowego spod prawodawstwa unijnego nie oznacza zwolnienia państwa z konieczności przestrzegania tego prawa. Wyłącznie prawo krajowe miałoby zastosowanie tylko wówczas, gdyby odstępstwa od poufności łączności elektronicznej nie wiązały się z nałożonymi na dostawców usług obowiązkami w zakresie przetwarzania danych użytkowników.
art. 7 Karty praw podstawowych Unii Europejskiej
Każdy ma prawo do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się.
Niezależnie od tego TSUE stwierdził, że przepis prawa krajowego pozwalający rządowi nakazać dostawcom usług łączności elektronicznej przekazywanie służbom specjalnym masowych danych telekomunikacyjnych — w odniesieniu do wszystkich użytkowników łączności elektronicznej, bez sądowej kontroli lub zgody wyrażonej przez niezależny organ — jest sprzeczny z prawem do prywatności, gwarancjami ochrony danych osobowych i wolnością wypowiedzi.
Jest to konsekwencją oceny, iż nawet cel związany z bezpieczeństwem narodowym nie usprawiedliwia naruszenia podstawowych reguł dyrektywy gwarantującej prywatność użytkownikom sieci telekomunikacyjnych — poufność prowadzonej komunikacji i danych o ruchu. Dyrektywa o prywatności w łączności elektronicznej zakazuje wszakże „słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia” treści komunikatów, zakaz ten dotyczy każdego przypadku udostępniania przez dostawców usług danych ich użytkowników służbom wywiadowczym, bez względu na sposób dalszego wykorzystania tych informacji. Wyjątkowo dopuszczalne są odstępstwa od tej zasady, jednak pod warunkiem współmierności do zamierzonego celu, ustanowienia go w ustawie, a także proporcjonalności — a przecież przez to, że informacje są przekazywane „jak leci” — dotyczą wszystkich użytkowników, także tych, którzy nie są w jakikolwiek sposób posądzani o zagrażanie bezpieczeństwu — odstępstwo od zasady poufności staje się regułą, a nie wyjątkiem. Trzeba mieć także na uwadze, iż nawet dane o ruchu i lokalizacji mogą posłużyć służbom do sporządzenia profilu osób, zaś informacje te podlegają takiej samej ochronie jak treść komunikacji; świadomość ciągłego przekazywania danych może także wywołać u osób poczucie permanentnej inwigilacji — zatem stanowi to naruszenie prawa do swobodnej komunikacji i wolności wypowiedzi.
Tak szerokiej ingerencji nie usprawiedliwiają nawet cele związane z bezpieczeństwem narodowym.