Rzecznik Generalny TSUE o pozyskiwaniu danych osobowych z IP

Nie kojarzę innej sprawy zawisłej przed Trybunałem Sprawiedliwości Unii Europejskiej, a dotyczącej pośrednio, przetwarzania danych osobowych, w której doszło do ponownego otwarcia ustnego etapu postępowania.

Tak się wydarzyło w sprawie La Quadrature du Net – jak widać udzielenie odpowiedzi na trzy pytania prejudycjalne nie jest takie łatwe.

Szczególnie, że wyrok TSUE będzie miał praktyczne znaczenie dla wszyskich organizacji zbiorowego zarządzania prawa autorskimi, a przede wszystkim uzyskamy odpowiedź jak pogodzić ze sobą prawo do ochrony życia prywatnego i ochrony danych osobowych, a z drugiej strony, ochrona praw i wolności innych osób tj. twórców audiowizualnych.

Francuska Rada Stanu złożyła, w lipcu 2021 r., następujące pytanie prejudycjalne:

czy dane dotyczące tożsamości cywilnej odpowiadające adresowi IP należą do danych o ruchu lub lokalizacji podlegających, co do zasady, obowiązkowi uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny posiadający uprawnienia władcze?

Rada Stanu zastanawia się nad tym, czy zgodną z prawem europejskim jest procedura dotycząca pozyskiwania danych osobowych właściciela adresu IP, w celu dochodzenia od niego odpowiedzialności czy co cywilnej czy karnej.

W październiku 2022 r. Rzecznik Generalny TSUE M. Szpunar przygotował obszerną opinię w przedmiotowym zakresie.

Zaproponował w niej, aby Trybunał wydał wyrok, w którym orzeknie, że:

artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu pozwalającemu na przechowywanie danych przez dostawców usług łączności elektronicznej i na uzyskanie dostępu do nich przez organ administracyjny, któremu powierzono ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw w Internecie, ograniczonego do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, tak aby organ ten mógł zidentyfikować posiadaczy tych adresów podejrzanych o popełnienie tych naruszeń i aby mógł podjąć w razie potrzeby działania wobec nich, bez poddania tego dostępu uprzedniej kontroli sądu lub niezależnego organu administracyjnego, jeśli te dane stanowią jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia naruszenia.

Z powyższego wynika, że Rzecznik Generalny widzi potrzebę ochrony prawa własności, które to prawo może być dochodzone poprzez wykorzystanie uzyskanych, w tym celu, danych osobowych.

Przedstawienie problemu zostało dokładnie zilustrowane w najnowszej opinie Rzecznika.  Tutaj Rzecznik opisał raz jeszcze mechanizm uzyskiwania danych osobowych osób, które udostępniają w sieci peer-to-peer pliki podlegającej prawnoautorskiej ochronie.

Mechanizm ten wygląda następująco:

Hadopi jest niezależnym organem administracyjnym odpowiadającym za ochronę prawa autorskiego i praw pokrewnych przed naruszeniami tych praw popełnianymi w Internecie. W tym celu został stworzony tzw. mechanizm „stopniowej odpowiedzi”, którego wdrożenie powierzono komisji ochrony praw przy Hadopi.

Komisja ta rozpoznaje wnioski składane przez organizacje zrzeszające uprawnionych, w ramach których niektórzy zaprzysiężeni i zatwierdzeni przez ministre de la Culture (ministra kultury) pełnomocnicy zbierają w sieciach peer-to-peer adresy IP internautów udostępniających publicznie utwory bez zgody właścicieli praw. Sporządzane są wówczas protokoły. Zawierają one między innymi adres IP dostępu do Internetu wykorzystanego do popełnienia tych naruszeń prawa autorskiego, datę i godzinę stwierdzonego naruszenia, a także tytuł utworu, którego dotyczy sprawa. Protokoły są przekazywane komisji ochrony praw przy Hadopi. Należy w tym względzie podkreślić, na co wskazał także Inspektor, że przetwarzanie danych osobowych przez pełnomocników w organizacjach zrzeszających uprawnionych odbywa się na podstawie upoważnienia Commission nationale de l’informatique et des libertés (krajowej komisji ds. informatyki i wolności, CNIL), francuskiego organu kontroli w dziedzinie ochrony danych(10).

Po otrzymaniu protokołów oraz po zautomatyzowanej kontroli mającej na celu zapewnienie, że zawierają one wszystkie wymagane dane, komisja ochrony praw przy Hadopi może uzyskać od dostawców usług łączności elektronicznej dane dotyczące tożsamości, adresu pocztowego, adresu elektronicznego i numeru telefonu posiadacza abonamentu, który został wykorzystany do popełnienia przestępstwa przeciwko prawu autorskiemu.

Hadopi może wówczas wysłać do takiej osoby „zalecenie”, informując ją, że jej dostęp do Internetu został wykorzystany w sposób naruszający prawo autorskie, oraz nakazując, aby osoba podejrzewana o uchybienie obowiązkowi zachowania należytej staranności w zakresie poszanowania w Internecie zasad dotyczących utworów chronionych prawem autorskim lub prawem pokrewnym, podporządkowała się temu obowiązkowi. Innymi słowy, zalecenie jest skierowane do posiadacza dostępu do Internetu, którym w praktyce może być osoba inna niż ta, która udostępniła utwór z naruszeniem prawa autorskiego. W razie ponownego stwierdzenia naruszenia prawa autorskiego z wykorzystaniem tego samego dostępu do Internetu może zostać wydane ponowne zalecenie. W przypadku kolejnych naruszeń komisja ochrony praw przy Hadopi może postanowić o złożeniu zawiadomienia do procureur de la République (prokuratora) w celu wszczęcia postępowania karnego. W tym względzie, jak wskazał rząd francuski w swoich pierwszych uwagach, urzędnicy Hadopi odpowiedzialni za stosowanie mechanizmu stopniowej odpowiedzi są zaprzysiężeni i upoważnieni przez prezesa Hadopi, mają obowiązek zachowania tajemnicy zawodowej oraz jako jedyni w Hadopi są upoważnieni do uzyskania dostępu do danych osobowych przetwarzanych w ramach tego mechanizmu.

Muszę w tym względzie wyjaśnić, że zbieranie i przekazywanie do Hadopi nie dotyczy danych wszystkich użytkowników sieci peer-to-peer, gdy ci ostatni ograniczają się do pobierania takich treści(11), lecz wyłącznie danych osób, które udostępniły treści naruszające prawo autorskie, to znaczy zamieściły takie treści.

 

Na marginesie ciekawa statystyka “skuteczności” takiego mechanizmu – nawet nie 0,5 % zebranych przypadków naruszenia prawa autorskiego zgłaszanych jest przez Hadopi do prokuratury:

tytułem przykładu, w 2021 r. Hadopi otrzymał prawie cztery miliony protokołów od organizacji zrzeszających uprawnionych, przesłał 210 595 pierwszych zaleceń i 53 564 ponownych zaleceń, a w 1484 przypadkach złożył zawiadomienia do procureur de la République (prokuratora).

Wracając do głównego tematu – M. Szpunar w najnowszej opinii podtrzymuje swój pierwotny pogląd i wzmacnia go kolejnymi argumentami:

(…) nie wydaje mi się, aby ochrona praw podstawowych w Internecie mogła uzasadniać uniemożliwienie uzyskania samych danych dotyczących adresu IP, do treści utworu oraz do tożsamości osoby, która go udostępniła z naruszeniem prawa autorskiego, a gwarancje powinny dotyczyć wyłącznie przechowywania i dostępu do tych ostatnich. W mojej ocenie analogia ze światem rzeczywistym jest w tym względzie wymowna: osoba podejrzana o kradzież nie może powoływać się na przysługujące jej prawo do ochrony życia prywatnego, aby uniemożliwić osobom prowadzącym dochodzenie w sprawie tego przestępstwa zapoznanie się z przedmiotem kradzieży. Natomiast osoba ta może zasadnie powoływać się na swoje prawa podstawowe w celu uniemożliwienia, w toku postępowania, dostępu do większego zbioru danych niż dane niezbędne do dokonania kwalifikacji prawnej zarzucanego przestępstwa.

z samego orzecznictwa Trybunału wynika, że w przypadku przestępstwa popełnionego wyłącznie w Internecie, takiego jak naruszenie prawa autorskiego w sieci peer-to-peer, adres IP może stanowić jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia tego przestępstwa.

moim zdaniem wynika z tego, że przechowywanie danych dotyczących tożsamości cywilnej odpowiadających adresowi IP i dostęp do nich w celu wykrywania i ścigania przestępstw przeciwko prawu autorskiemu popełnionych w Internecie są, w myśl orzecznictwa, ściśle niezbędne do osiągnięcia zamierzonego celu.

o ile orzecznictwo Trybunału od czasu wyroków Tele2 i La Quadrature du Net i in. zasługuje na aprobatę ze względu na to, że umożliwiło wdrożenie systemu chroniącego prawa podstawowe użytkowników usług komunikacji elektronicznej, o tyle jest ono nacechowane pewną kazuistyką. W miarę napływu spraw poddawanych Trybunałowi do rozstrzygnięcia, Trybunał uściślał bowiem stopniowo swoje orzecznictwo, co pozwalało mu analizować różne uregulowania krajowe w świetle art. 15 ust. 1 dyrektywy 2002/58. Jednakże Trybunał nie ma możliwości potencjalnie antycypować wszystkich środków, które mogłyby być przedmiotem analizy w świetle tego przepisu.

Świadczy o tym zresztą liczba dotyczących tego przepisu odesłań prejudycjalnych od czasu wyroku Tele2, która według mnie dowodzi trudności, z jakimi mogą mierzyć się sądy krajowe, stosując sformułowane w orzecznictwie Trybunału zasady do sytuacji różniących się od tych, na gruncie których zapadły tamte wyroki.