TSUE w wyroku z dnia 21 grudnia 2016 r. przesądził, że nałożenie na operatorów telekomunikacyjnych obowiązku masowej i niekontrolowanej retencji danych przez państwa członkowskie jest niezgodne z prawem UE. Jednocześnie w wyroku Trybunał wyznaczył kryteria, zgodnie z którymi państwa członkowskie pod pewnymi warunkami mogą nakazać zatrzymywanie niektórych danych. Nie ulega wątpliwości, że przedmiotowy wyrok ma istotne znaczenie zarówno dla podmiotów przechowujących dane, jak i samych obywateli.

****

Sprawy rozpoznane przez TSUE (sygn. C-203/15 oraz C-698/15)

Sprawy, w których zapadł omawiany wyrok, dotyczyły zakwestionowania zgodności z prawem UE krajowych regulacji w Szwecji i Wielkiej Brytanii w zakresie ogólnego obowiązku retencji danych nałożonego na operatorów telekomunikacyjnych w celu przeciwdziałania przestępstwom. Impulsem do zainicjowania spraw było uznanie przez TSUE w wyroku z dnia 8 kwietnia 2014 r. w sprawie Digital Rights Ireland i in. (sygn. C-293/12 i C-594/12) tzw. dyrektywy retencyjnej za nieważną. Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r., bo o nią chodziło, określała zasady retencji danych telekomunikacyjnych, które według TSUE naruszały Kartę Praw Podstawowych. Niemniej jednak, przepisy dyrektywy retencyjnej zostały wcześniej implementowane do krajowych porządków prawnych – stąd powstała konieczność ich oceny z perspektywy prawa UE.

Pytania sądów krajowych, które stały się przedmiotem rozważań TSUE, dotyczyły rozstrzygnięcia, czy regulacje krajowe mogą zobowiązywać dostawców telekomunikacyjnych do ogólnej retencji danych (takich jak dane o połączeniach, nadawcach, odbiorcach) bez żadnych ograniczeń i bez wprowadzenia jej szczegółowego uzasadnienia (np. retencja danych w celu walki z przestępczością). W wypadku, gdyby taka ogólna retencja danych okazała się niezgodna z regulacjami unijnymi, sądy krajowe chciały dowiedzieć się, czy dane mogą być zatrzymywane w danym państwie UE pod warunkiem wprowadzenia konkretnych ograniczeń tej retencji oraz gwarancji praw obywateli.

Na powyższe pytania odpowiedział najpierw Rzecznik Generalny TSUE – Henrik Saugmandsgaard Øe, który w opinii z dnia 19 lipca 2016 r. uznał ogólny obowiązek retencji danych wprowadzany przez państwa członkowskie za – co do zasady – dopuszczalny. Jednocześnie, wyznaczył on kilka warunków takiej dopuszczalności, koniecznych do zapewnienia zgodności przepisów krajowych z Kartą Praw Podstawowych. Opinia Rzecznika była już omawiana na blogu, a artykuł dostępny jest tutaj.

Co na to Trybunał?

Innego zdania był jednak TSUE. W wyroku z dnia 21 grudnia 2016 r. wskazał, że masowe zatrzymywanie wszystkich danych dotyczących ruchu i lokalizacji wszelkich użytkowników w celu walki z przestępczością (jako ogólnie sformułowanych kryteriów) nie jest zgodne z prawem UE.

Jednocześnie w swoim orzeczeniu TSUE wskazał, że retencja danych jest dopuszczalna w pewnych przypadkach i pod precyzyjnie określonymi warunkami. Dostosowanie regulacji państw UE do przedstawionych kryteriów pozwoli na wprowadzenie odpowiedniego i jednolitego poziomu ochrony fundamentalnych praw i wolności dotyczących prywatności i poufności w zakresie przechowywania danych telekomunikacyjnych w UE.

TSUE wskazał również, że środki krajowe, które związane są z retencją danych telekomunikacyjnych i możliwym dostępem do tych informacji przez organy państwowe zajmujące się ściganiem przestępstw, wchodzą w zakres dyrektywy 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej: „dyrektywa o ochronie prywatności”). Dyrektywa o ochronie prywatności przewiduje natomiast generalną regułę poufności komunikacji, zgodnie z którą zabronione jest przechowywanie danych telekomunikacyjnych o danym użytkowniku bez jego zgody. Wyjątki od tej zasady, wynikające z art. 15 tej dyrektywy, muszą być więc wyraźnie uregulowane i ściśle interpretowane oraz zgodne z celem ich wprowadzenia.

Kryteria legalności przechowywania danych określone przez TSUE

Jak wskazano wyżej, Trybunał wyróżnił szereg kryteriów, które muszą być łącznie spełnione w celu zgodnego z prawem wprowadzenia w danym kraju UE obowiązku retencji danych telekomunikacyjnych przez operatorów:

  • Przepisy dotyczące retencji danych telekomunikacyjnych muszą być jednoznaczne i szczegółowe, co ma zapewnić gwarancję prawidłowego zatrzymywania tych danych i zniwelowania zakresu nadużyć w tej dziedzinie.
  • Retencja możliwa jest jedynie w zakresie danych, które są bezwzględnie konieczne w celu zwalczania poważnej przestępczości. To dosyć niejednoznaczne kryterium musi być jednak wyraźnie doprecyzowane w regulacjach krajowych – nie wystarczy umieszczenie w nich ogólnego stwierdzenia na ten temat.
  • Zakres danych, środki komunikacji oraz krąg osób, których dane zostaną poddane retencji również musi być wyraźnie określony i doprecyzowany w regulacjach krajowych. W tym zakresie istotne jest głównie wprowadzenie przepisów, które pozwolą na namierzenie osób, które są z taką poważną przestępczą działalnością związane (tzn. są podejrzane o planowanie lub popełnienie poważnego przestępstwa albo są w takie działania w inny sposób zaangażowane). Kryterium to oznacza, że retencja danych nie jest możliwa w każdym przypadku i w stosunku do każdej osoby bez ograniczeń.
  • Państwa członkowskie muszą określić zasady dostępu właściwych organów krajowych do zatrzymanych danych poprzez wyróżnienie przesłanek materialnych i proceduralnych takiego dostępu. W praktyce, chodzi o wyznaczenie przesłanek, które uprawniają służby do dostępu do takich danych i określenie procedury tego dostępu (terminy, właściwe organy itd.).
  • Dostęp do zatrzymanych danych telekomunikacyjnych powinien być poprzedzony uprzednią kontrolą sprawowaną przez sąd lub inny niezależny organ. Możliwe jest jednak wprowadzenie wyjątku – określenie wąskiego kręgu sytuacji, z uwagi na np. zagrożenie działaniami terrorystycznymi bezpieczeństwa narodowego, obronności, czy też porządku publicznego, które uzasadniają uzyskanie zgody następczej, jeśli istnieją obiektywne przesłanki, że szybki dostęp do zatrzymywanych danych pozwoli na zapobieżenie niebezpieczeństwu.
  • Regulacje krajowe powinny również kreować obowiązek przechowywania przez operatorów telekomunikacyjnych danych przy zapewnieniu odpowiednich środków technicznych i organizacyjnych, w tym przechowywać je jedynie na terytorium UE. Jest to istotne w szczególności z uwagi na dużą ilość danych oraz ich znaczenie i niebezpieczeństwo związane z możliwością uzyskania do nich bezprawnego dostępu.
  • Dane telekomunikacyjne powinny być przechowywane tylko przez niezbędny do celu przechowywania okres, który powinien być wyraźnie ustalony w regulacjach krajowych. Po upływie okresu przechowywania danych, dane te powinny być w określony, nieodwracalny sposób niszczone lub anonimizowane.

Praktyczne znaczenie wyroku TSUE

Rozszerzenie obowiązków państw UE, które są zainteresowane jak najszerszym i najbardziej sprawnym dostępem do danych osób znajdujących się na ich terytorium w celu zwalczania przestępczości, może spowodować konieczność dostosowania regulacji krajowych związanych z wrażliwą tematyką retencji danych. Zmiany tych przepisów niewątpliwie będą miały też wpływ na obowiązki i prawa operatorów telekomunikacyjnych.

Należy jednak podkreślić, że wyrok TSUE wydaje się mieć najistotniejsze znaczenie z perspektywy obywateli UE. Orzeczenie to potwierdza także prezentowane już wcześniej stanowisko TSUE, który nie zgadza się na zbyt inwazyjne i dalekie ingerowanie w prawa i wolności obywateli UE, takie jak prywatność oraz poufność ich danych. Dane telekomunikacyjne w ocenie Trybunału mogą być bowiem przechowywane jedynie w zakresie absolutnie niezbędnym i tylko w bezwzględnie koniecznych przypadkach, w celu zapobieżenia poważnym przestępstwom. TSUE duży nacisk położył również na to, że treść regulacji krajowych w zakresie obowiązku retencji danych musi być formułowana w sposób dokładny i precyzyjny, tak by pod pretekstem ochrony bezpieczeństwa obywateli, dane nie były gromadzone w sposób niekontrolowany, ogólny i w stosunku do dowolnego kręgu osób.

Wpływ wyroku na polskie regulacje

Skutkiem omawianego wyroku TSUE będzie niewątpliwie konieczność weryfikacji przez państwa członkowskie UE i dostosowania krajowych aktów prawa do przedstawionych kryteriów retencji danych przy nakładaniu obowiązku retencyjnego na operatorów telekomunikacyjnych.

Odnosząc powyższe do polskich przepisów, trzeba zwrócić uwagę przede wszystkim na ustawę z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (potocznie nazywaną „ustawą inwigilacyjną”), której niektóre regulacje wydają się nie spełniać kryteriów ustalonych przez TSUE. Wątpliwości, co do zgodności przepisów z prawem UE budzi chociażby już sam cel, w którym służby będą mogły uzyskiwać dostęp do danych telekomunikacyjnych. Cel ten w polskiej ustawie został bowiem określony bardzo szeroko, jako zarówno zapobieganie oraz wykrywanie przestępstw, jak również „cel ratowania życia lub zdrowia ludzkiego”, oraz „wsparcie działań poszukiwawczych lub ratowniczych” (art. 20 c ustawy o policji z dnia z dnia 6 kwietnia 1990 r., t.j. Dz.U. z 2016 r. poz. 1782, dalej „ustawa o policji”). Tym samym, polski ustawodawca nie ograniczył retencji danych jedynie do celów zwalczania „poważnych przestępstw”, lecz uznał, że możliwość popełnienia każdego czynu zabronionego określonego w kodeksie karnym lub innych ustawach uzasadnia dostęp służb do danych telekomunikacyjnych. Tak ogólnie i szeroko określony cel może stanowić pole do nadużyć – gdyż pozornie może usprawiedliwiać niekontrolowany i nieograniczony dostęp do retencjonowanych danych.

Ponadto, dodatkowe obawy wzbudza również fakt, że w ustawa o Policji nie przewiduje mechanizmu uprzedniej kontroli sądu lub niezależnego organu i jego zgody na dostęp do danych telekomunikacyjnych przez służby krajowe. Przewidziany został jedynie mechanizm (art.20ca ustawy o policji), zgodnie z którym organ Policji ma co pół roku składać do właściwego sądu okręgowego sprawozdanie z pozyskiwania w tym okresie danych telekomunikacyjnych. W wyniku zapoznania się z takim sprawozdaniem, sąd okręgowy może, (ale nie musi) dodatkowo zapoznać się z materiałami uzasadniającymi udostępnienie Policji danych telekomunikacyjnych oraz ma poinformować organ o wyniku kontroli. Tak uregulowany system kontroli retencji danych wydaje się nie być zgodnym z wytycznymi określonymi przez TSUE, gdyż nie zapewnia gwarancji ochrony praw jednostki, której dane są retencjonowane. Zgodnie z tymi przepisami, służby krajowe mogą więc samodzielnie decydować o możliwości pozyskiwania danych, a dopiero po okresie pół roku ten dostęp podlega następczej kontroli sądu okręgowego, która w praktyce może zakończyć się jedynie zapoznaniem się przez sąd z protokołami przekazanymi mu przez organ krajowy, bez podjęcia dalszych działań – gdyż ustawodawca nie określił jej skutków i dopuszczalnych działań sądu.

Podsumowując, o ile na chwilę obecną brak jest informacji o pracach ustawodawcy nad nowelizacją omówionych wyżej przepisów, pozostaje mieć nadzieję że zostaną one dostosowane do standardu wyznaczonego przez TSUE. Z perspektywy przejrzystej listy kryteriów, dzięki którym ochrona prywatności i danych osobowych będą bardziej kompleksowe, takie zmiany są jak najbardziej pozytywnie i oczekiwane.