Oczywistych oczywistości nigdy dość, zatem dziś czas na krótką omówkę kolejnego orzeczenia, w którym TSUE stwierdza, że prewencyjne, uogólnione i niezróżnicowane zatrzymywanie przez operatorów danych o ruchu i lokalizacji narusza prawo Unii — bo nie da się go pogodzić z prywatnością i przysługującym użytkownikom prawem do zachowania tajemnicy komunikacji.
wyrok Trybunału Sprawiedliwości UE z 5 kwietnia 2022 r. (C-140/20)
Art. 15 ust. 1 dyrektywy 2002/58 o prywatności i łączności elektronicznej w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że stoi on na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego, prewencyjne, uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji. Natomiast wspomniany art. 15 ust. 1 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych nie stoi na przeszkodzie środkom ustawodawczym przewidującym, do celów zwalczania poważnej przestępczości i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego:
– ukierunkowane zatrzymywanie danych o ruchu i danych o lokalizacji, którego granice zostają wyznaczone na podstawie obiektywnych i niedyskryminacyjnych przesłanek w zależności od kategorii osób, których dane dotyczą, lub za pomocą kryterium geograficznego, przez okres ograniczony do tego, co ściśle niezbędne, ale odnawialny;
– uogólnione i niezróżnicowane zatrzymywanie adresów IP przydzielonych źródłu połączenia, przez okres ograniczony do tego, co ściśle niezbędne;
– uogólnione i niezróżnicowane zatrzymywanie danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej; oraz
– posłużenie się skierowanym do dostawców usług łączności elektronicznej, w drodze decyzji właściwego organu poddanej skutecznej kontroli sądowej, nakazem szybkiego zatrzymania przez określony czas danych o ruchu i danych o lokalizacji, którymi dysponują ci dostawcy usług,
o ile środki te, za pomocą jasnych i precyzyjnych przepisów, zapewniają, że odnośne zatrzymywanie danych jest uzależnione od spełnienia związanych z nim materialnych i proceduralnych przesłanek oraz że osoby, których dane dotyczą, dysponują skutecznymi gwarancjami chroniącymi przed ryzykiem nadużyć.
Sprawa zaczęła się od wydanego przez sąd irlandzki wyroku skazującego sprawcę zabójstwa na dożywotnie więzienie. W toku postępowania jednym z dowodów oskarżenia były dane o ruchu i lokalizacji telefonu komórkowego, które zostały zarejestrowane przez operatora „jak leci”, na podstawie lokalnych przepisów — co zdaniem oskarżonego naruszało regulacje gwarantujące prywatność osób korzystających z łączności elektronicznej.
Spór dotyczący ważności krajowej regulacji (w dodatku wydanej na podstawie dyrektywy, której nieważność została już stwierdzona, wyrok TSUE z 8 kwietnia 2014 r. w/s Digital Rights Ireland, C-293/12 i C-594/12) trafił do sądu krajowego, który zdecydował się wystąpić do TSUE z pytaniem prejudycjalnym o dopuszczalność stosowania ogólnego, powszechnego systemu zatrzymywania danych telekomunikacyjnych w celu zwalczania najpoważniejszych przestępstw, choćby i podlegającego niezależnej lub sądowej kontroli — i czy dane pozyskane w ramach nieograniczonej inwigilacji mogą stanowić dowód w postępowaniu karnym?
art. 15 ust. 1 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej
Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1-4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej.
W wydanym wyroku Trybunał Sprawiedliwości UE przypomniał, że prawo Unii Europejskiej nie pozwala na przyjmowanie przez władze poszczególnych krajów przepisów pozwalających na „prewencyjne, uogólnione i niezróżnicowane” zatrzymywanie danych o ruchu i lokalizacji użytkowników korzystających ze środków łączności elektronicznej, nawet jeśli jej celem jest walka z poważnymi naruszeniami prawa. Jest to efektem przyjętego założenia, iż co do zasady każdy abonent ma prawo do poszanowania prywatności i poufności prowadzonej komunikacji.
Owszem, dyrektywa o prywatności i łączności elektronicznej pozwala na retencję takich danych ze względu na bezpieczeństwo publiczne, w tym w celu zwalczania przestępczości (por. „Ogólny nakaz przechwytywania danych telekomunikacyjnych „jak leci” narusza prawo do prywatności” oraz „Dane o lokalizacji komórek mogą być wykorzystywane jako dowód tylko w grubych sprawach”), z tym, że:
- zatrzymywane dane o ruchu i lokalizacji użytkownika są ukierunkowane co do określonego kręgu osób lub kryterium geograficznego;
- dozwolone jest uogólnione i niezróżnicowane logowanie przydzielonych adresów IP oraz „tożsamości cywilnej” użytkowników;
- natomiast na operatora można nałożyć obowiązek zapisywania danych o ruchu i lokalizacji określonego użytkownika przez określony czas — jednak wyłącznie na podstawie nakazu („quick freeze”) właściwego organu, podlegającego kontroli sądowej.
Sęk bowiem w tym, iż dopuszczenie do retencji danych stanowi poważne odstępstwo od zasady ochrony poufności komunikacji oraz prywatności i danych osobowych użytkowników — zatem musi być wprowadzane w sposób gwarantujący poszanowanie tych praw. Stąd też nie jest dopuszczalne, by ewentualne policyjne wnioski o zezwolenie na inwigilację były rozpatrywane przez innego funkcjonariusza policji, nawet jeśli przysługuje mu w tym zakresie pewna doza autonomii i podlega następczej kontroli ze strony sądu.
Równocześnie TSUE stwierdził, iż nie jest władny do rozstrzygnięcia czy w toku postępowania dopuszczalne są dowody uzyskane w ten sposób. Kwestia ta leży bowiem wyłącznie w gestii państw członkowskich, którym przysługuje autonomia w określaniu procedur sądowych.