TSUE wypowiada się o możliwości wykorzystania danych osobowych dotyczących łączności elektronicznej

Jedno z najnowszych orzeczeń Trybunału Sprawiedliwości Unii Europejskie jest szalenie istotne dla podmiotów prowadzących postępowania administracyjne, w trakcie którego miano by wykorzystywać dane zatrzymywane przez dostawców usług łączności elektronicznej, które mogą dostarczać informacji o danych użytkownika środków łączności elektronicznej i o połączeniach realizowanych przez takiego użytkownika.

Niech tym razem wprowadzeniem do orzeczenia będzie przytoczenie przepisów krajowych – tak, aby sprowadzić trochę omawianą sprawę na ziemię.

Zgodnie z postanowieniami dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej), zmienionej dyrektywą Parlamentu Europejskiego i Rady 2009/136/WE z dnia 25 listopada 2009 r.:

Artykuł 5

Poufność komunikacji

1. Państwa Członkowskie zapewniają, poprzez ustawodawstwo krajowe, poufność komunikacji i związanych z nią danych o ruchu za pośrednictwem publicznie dostępnej sieci łączności i publicznie dostępnych usług łączności elektronicznej. W szczególności zakazują słuchania, nagrywania, przechowywania lub innych rodzajów przejęcia lub nadzoru komunikatu i związanych z nim danych o ruchu przez osoby inne niż użytkownicy, bez zgody zainteresowanych użytkowników, z wyjątkiem upoważnienia zgodnego z art. 15 ust. 1. Niniejszy ustęp nie zabrania technicznego przechowywania, które jest niezbędne do przeka- ( zania komunikatu bez uszczerbku dla zasady poufności. 1) Dz.U. L 108 z 24.4.2002, str. 33. 520 PL Dziennik Urzędowy Unii Europejskiej 13/t. 29

2. Ustęp 1 nie dotyczy jakichkolwiek przypadków prawnie dozwolonego rejestrowania komunikatów i związanych z nimi danych o ruchu stosowanego w zgodnej z prawem praktyce handlowej do celów zapewnienia dowodów transakcji handlowej lub do celów łączności w działalności handlowej.

3. Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej, lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika.

Artykuł 6

Dane o ruchu

1. Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1.

2. Można przetwarzać dane o ruchu niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich. Przetwarzanie takie jest dozwolone tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym należy uiścić opłatę.

Artykuł 9

Dane dotyczące lokalizacji inne niż dane o ruchu

1. W przypadku gdy dane dotyczące lokalizacji inne niż dane o ruchu, odnoszące się do użytkowników lub abonentów publicznych sieci łączności lub publicznie dostępnych usług łączności elektronicznej, mogą być przetwarzane, przetwarzanie może mieć miejsce tylko wówczas gdy dane te są anonimowe, lub za zgodą użytkowników lub abonentów, w zakresie i przez okres niezbędny do świadczenia usługi tworzącej wartość dodaną. Przed uzyskaniem zgody użytkowników lub abonentów dostawca usług musi ich poinformować o rodzaju danych dotyczących lokalizacji innych niż dane o ruchu, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane stronie trzeciej do celów świadczenia usługi tworzącej wartość dodaną. Użytkownicy lub abonenci mają możliwość odwołania w każdej chwili swojej zgody na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu.

2. W przypadku gdy uzyskana została zgoda użytkowników lub abonentów na przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu, użytkownik lub abonent musi nadal posiadać możliwość, w sposób prosty i wolny od opłat, czasowego odwołania zgody na przetwarzanie tych danych w przypadku każdego połączenia z siecią lub każdej transmisji komunikatu.

3. Przetwarzanie danych dotyczących lokalizacji innych niż dane o ruchu, zgodnie z ust. 1 i 2, musi być ograniczone do osób działających z upoważnienia dostawcy publicznej sieci łączności lub publicznie dostępnych usług łączności elektronicznej lub strony trzeciej świadczącej usługę tworząc a wartość dodaną oraz musi być ograniczone do celów niezbędnych do świadczenia usługi tworzącej wartość dodaną.

I te powyższe zabezpieczenia naszego prawa do zachowania w tajemnicy powyższych informacji mogą zostać ograniczone przez przepisy krajowe na podstawie art. 15 dyrektywy 2002/58/WE:

Artykuł 15

Stosowanie niektórych przepisów dyrektywy 95/46/WE

1. Państwa Członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5, 6, art. 8 ust. 1–4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu, Państwa Członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego, w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej.

1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania danych wygenerowanych lub przetworzonych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności (1) dla celów określonych w art. 1 ust. 1 tej dyrektywy.

1b. Dostawcy ustanawiają wewnętrzne procedury odpowiedzi na wnioski o dostęp do danych osobowych użytkownika w oparciu o krajowe przepisy przyjęte zgodnie z art. 1. Na żądanie przedstawiają oni właściwemu organowi krajowemu informacje o tych procedurach, liczbie otrzymanych wniosków, ich uzasadnieniu prawnym oraz udzielonej przez nich odpowiedzi.

2. Przepisy rozdziału III dotyczącego środków zaskarżenia, odpowiedzialności i sankcji dyrektywy 95/46/WE stosuje się w odniesieniu do przepisów krajowych przyjętych zgodnie z niniejszą dyrektywą i w odniesieniu do indywidualnych uprawnień wynikających z niniejszej dyrektywy.

3. Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych powołana zgodnie z art. 29 dyrektywy 95/46/WE podejmuje również zadania ustanowione w art. 30 wspomnianej dyrektywy w odniesieniu do spraw objętych niniejszą dyrektywą, mianowicie ochrony podstawowych praw i wolności oraz uzasadnionego interesu w sektorze łączności elektronicznej.

Teraz możemy przejść do stanu faktycznego sprawy, w której orzekł TSUE. 

Litewska Prokuratura generalna wszczęła dochodzenie administracyjne przeciwko skarżącemu w postępowaniu głównym, zajmującemu wówczas stanowisko prokuratora w litewskiej prokuraturze, ponieważ istniały przesłanki wskazujące na to, że w ramach prowadzonego przez siebie postępowania dostarczył on w sposób niezgodny z prawem informacje istotne dla tego postępowania podejrzanemu i jego adwokatowi.

W sprawozdaniu z tego dochodzenia komisja prokuratury generalnej stwierdziła, że skarżący w postępowaniu głównym rzeczywiście dopuścił się przewinienia dyscyplinarnego.

Zgodnie z tym sprawozdaniem owo przewinienie dyscyplinarne zostało wykazane za pomocą dowodów zebranych w dochodzeniu administracyjnym. W szczególności informacje uzyskane podczas działań wywiadu kryminalnego oraz dane zebrane w toku dwóch karnych postępowań przygotowawczych potwierdziły istnienie rozmów telefonicznych między skarżącym w postępowaniu głównym a adwokatem podejrzanego w postępowaniu przygotowawczym dotyczącego tego podejrzanego, które prowadził skarżący w postępowaniu głównym. Ze wspomnianego sprawozdania wynika ponadto, że postanowieniem sądowym dopuszczone zostało przechwytywanie i nagrywanie treści informacji przekazywanych poprzez sieci łączności elektronicznej, dotyczących danego adwokata, i że innym postanowieniem sądowym dopuszczony został ten sam środek w odniesieniu do skarżącego w postępowaniu głównym.

Skarżący w postępowaniu głównym odwołał się do Lietuvos vyriausiasis administracinis teismas (najwyższego sądu administracyjnego Litwy), będącego sądem odsyłającym, podnosząc, że dostęp organów wywiadu, w ramach działań wywiadu kryminalnego, do danych o ruchu i do samej treści komunikatów elektronicznych, stanowił naruszenie praw podstawowych na tyle poważne, że ze względu na przepisy dyrektywy 2002/58 i Kartę praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) dostęp ten mógł zostać przyznany jedynie dla celów zwalczania poważnych przestępstw.

Tymczasem art. 19 ust. 3 ustawy o wywiadzie kryminalnym stanowi, że takie dane mogą być wykorzystywane przy badaniu nie tylko poważnych przestępstw, lecz również przewinień służbowych lub dyscyplinarnych związanych z aktami korupcji.

TSUE wskazał, że:

w odniesieniu do warunków, w jakich dane te mogą zostać wykorzystane w postępowaniu administracyjnym dotyczącym przewinień dyscyplinarnych związanych z korupcją, należy przede wszystkim przypomnieć, że dostęp do tych danych może zostać przyznany na podstawie środka przyjętego na mocy art. 15 ust. 1 dyrektywy 2002/58 tylko wtedy, gdy owe dane zostały zatrzymane przez tych dostawców w sposób zgodny z tym przepisem [zob. podobnie wyrok z dnia 2 marca 2021 r., Prokuratuur (Warunki dostępu do danych dotyczących łączności elektronicznej), (C‑746/18, EU:C:2021:152, pkt 29 i przytoczone tam orzecznictwo)].

następnie późniejsze wykorzystanie danych o ruchu i danych dotyczących lokalizacji związanych z taką łącznością dla celów zwalczania poważnej przestępczości jest możliwe tylko pod warunkiem, z jednej strony, że zatrzymywanie danych przez dostawców usług łączności elektronicznej było zgodne z art. 15 ust. 1 dyrektywy 2002/58, tak jak jest on interpretowany przez Trybunał, a z drugiej strony, że dostęp do owych danych udzielony właściwym organom był również zgodny z tym przepisem.

jeśli chodzi o cel polegający na zapobieganiu przestępstwom, ich dochodzeniu, wykrywaniu i ściganiu, Trybunał zauważył, że zgodnie z zasadą proporcjonalności jedynie walka z poważną przestępczością i zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać poważne ingerencje w prawa podstawowe ustanowione w art. 7 i 8 karty, takie jak te, które są związane z zatrzymywaniem danych o ruchu i danych o lokalizacji. A zatem jedynie takie ingerencje we wspomniane prawa podstawowe, które nie mają poważnego charakteru, mogą być uzasadnione przez cel polegający na zapobieganiu przestępstwom w ogólności, ich dochodzeniu, wykrywaniu i ściganiu (wyrok z dnia 5 kwietnia 2022 r., Commissioner of An Garda Síochána i in., C‑140/20, EU:C:2022:258, pkt 59 i przytoczone tam orzecznictwo).

Sentencję wyroku ukształtował następująco: