Zatrzymywanie danych przez operatorów świadczących usługi łączności elektronicznej
Prawo krajowe nie może umożliwiać ogólnego i niezróżnicowanego zatrzymywania przez operatorów świadczących usługi łączności elektronicznej danych o ruchu przez rok od dnia ich zapisu. We Francji toczy się postępowanie sądowe wobec V. i S. dotyczące wykorzystywania informacji poufnych uzyskanych w ramach świadczenia usług łączności elektronicznej. Sprawa dotyczy zgodności francuskich przepisów z unijnymi regulacjami. Trybunał wskazał, że ograniczenia dotyczące zatrzymywania danych powinny być interpretowane zgodnie z prawem Unii Europejskiej.
Tematyka: operatorzy łączności elektronicznej, zatrzymywanie danych, Trybunał Sprawiedliwości, zgodność z prawem UE, ochrona danych osobowych
Prawo krajowe nie może umożliwiać ogólnego i niezróżnicowanego zatrzymywania przez operatorów świadczących usługi łączności elektronicznej danych o ruchu przez rok od dnia ich zapisu. We Francji toczy się postępowanie sądowe wobec V. i S. dotyczące wykorzystywania informacji poufnych uzyskanych w ramach świadczenia usług łączności elektronicznej. Sprawa dotyczy zgodności francuskich przepisów z unijnymi regulacjami. Trybunał wskazał, że ograniczenia dotyczące zatrzymywania danych powinny być interpretowane zgodnie z prawem Unii Europejskiej.
Prawo krajowe nie może umożliwiać ogólnego i niezróżnicowanego zatrzymywania przez operatorów świadczących usługi łączności elektronicznej danych o ruchu przez rok od dnia ich zapisu, zapobiegawczo, w celu zwalczania naruszeń w postaci nadużyć na rynku, do których należy wykorzystywanie informacji poufnych. Ponadto, skutki stwierdzenia nieważności przepisu krajowego przewidującego takie zatrzymywanie nie mogą być ograniczone w czasie. Stan faktyczny We Francji wobec V. i S. wszczęto sądowe postępowanie przygotowawcze w przedmiocie czynów mających znamiona przestępstwa polegającego na wykorzystywaniu i ukrywaniu informacji poufnych, korupcji oraz praniu pieniędzy. Postępowanie to było oparte na danych osobowych pochodzące z rozmów telefonicznych przeprowadzonych przez V. i S., uzyskanych w ramach świadczenia usług łączności elektronicznej, które to dane zostały przekazane sędziemu śledczemu przez francuski urząd ds. rynków finansowych (AMF). V. i S. twierdzili, że w celu zgromadzenia tych danych AMF oparł się na francuskich przepisach, które nie były zgodne z prawem UE w zakresie, w jakim przewidywały uogólnione i niezróżnicowane zatrzymywanie danych dotyczących połączeń oraz nie określały żadnych ograniczeń w zakresie uprawnień śledczych AMF do uzyskania dostępu do zatrzymanych danych. Wniosek prejudycjalny dotyczył zgodności tych francuskich przepisów z przepisami dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z 12.7.2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.Urz. UE L z 2002 r. Nr 201, s. 37) w świetle Karty praw podstawowych Unii Europejskiej (dalej jako: KPP) oraz z przepisami dyrektywy Parlamentu Europejskiego i Rady 2003/6/WE z 28.1.2003 r. w sprawie wykorzystywania poufnych informacji i manipulacji na rynku (nadużyć na rynku) (Dz.Urz. UE L z 2003 r. Nr 96, s. 16) i rozporządzenia Parlamentu Europejskiego i Rady (UE) Nr 596/2014 z 16.4.2014 r. w sprawie nadużyć na rynku (rozporządzenia w sprawie nadużyć na rynku) oraz uchylającego dyrektywę 2003/6 i dyrektywy Komisji 2003/124/WE, 2003/125/WE, 2004/72/WE (Dz.Urz. UE L z 2014 r. Nr 173, s. 1). Stanowisko TS Uogólnione i niezróżnicowane zatrzymywanie danych Przepis art. 12 ust. 2 lit. d) dyrektywy 2003/6 odnosi się do uprawnienia organu właściwego w sprawach finansowych do „żądania wydania rejestrów połączeń i rejestrów przesyłu danych”. Art. 23 ust. 2 lit. g) i h) rozporządzenia Nr 596/2014 odsyła do uprawnienia tego organu do żądania wydania z jednej strony „zapisów danych o ruchu przechowywanych przez firmy inwestycyjne, instytucje kredytowe lub instytucje finansowe”, a z drugiej strony „żądania, w zakresie dozwolonym prawem krajowym, wydania istniejących zapisów danych o ruchu przechowywanych przez operatora telekomunikacyjnego”. Trybunał wskazał, że z treści tych przepisów wynika jednoznacznie, że ograniczają się one do zakreślenia ram uprawnienia tego organu do „żądania” lub „żądania wydania” danych, którymi dysponują te podmioty gospodarcze, co odpowiada dostępowi do tych danych. Ponadto, odwołanie się do zapisów „istniejących”, takich jak „przechowywane” przez danych operatorów, sugeruje, że prawodawca Unii nie zamierzał regulować możliwości ustanowienia przez ustawodawcę krajowego obowiązku przechowywania takich zapisów. Zgodnie z utrwalonym orzecznictwem jeżeli znaczenie unijnego przepisu wynika jednoznacznie z samej jego treści, Trybunał nie może odejść od tej wykładni (wyrok TS z 25.1.2022 r., C-181/20, , EU:C:2022:51, pkt 39). Zdaniem TS za wykładnią przemawia zarówno kontekst, w jaki wpisują się art. 12 ust. 2 lit. a) i d) dyrektywy 2003/6 i art. 23 ust. 2 lit. g) i h) rozporządzenia Nr 596/2014, jak i cele uregulowania, którego część stanowią te przepisy. Trybunał uznał, że ocena zgodności z prawem przetwarzania zapisów przechowywanych przez operatorów usług łączności elektronicznej w rozumieniu art. 12 ust. 2 lit. d) dyrektywy 2003/6 i art. 23 ust. 2 lit. g) i h) rozporządzenia Nr 596/2014 powinna być dokonywana w świetle przesłanek przewidzianych w dyrektywie 2002/58, a także wykładni tej dyrektywy w orzecznictwie TS. To stanowisko, zdaniem TS, potwierdza art. 3 ust. 1 pkt 27 rozporządzenia 596/2014 w zakresie, w jakim przewiduje on, że zapisy danych o ruchu dla celów tego rozporządzenia oznaczają zapisy w rozumieniu art. 2 akapit drugi lit. b) dyrektywy 2002/58. Ponadto zgodnie z motywem 44 dyrektywy 2003/6, jak również z motywami 66 i 77 rozporządzenia 596/2014, cele tych aktów powinny być realizowane z poszanowaniem praw podstawowych i zasad uznanych w KPP, w tym prawa do prywatności. W tym względzie prawodawca Unii wyraźnie wskazał w motywie 66 rozporządzenia 596/2014, że w celu wykonywania uprawnień przyznanych organowi właściwemu w sprawach finansowych na mocy tego rozporządzenia, które mogą stanowić poważną ingerencję w prawo do poszanowania życia prywatnego i rodzinnego, miru domowego i komunikowania się – państwa członkowskie powinny dysponować wystarczającymi i skutecznymi zabezpieczeniami przed nadużyciami, na przykład w formie wymogu uzyskania w stosowanych przypadkach uprzedniej zgody organów sądowych danego państwa członkowskiego. Państwa powinny dać właściwym organom możliwość wykonywania takich naruszających prywatność uprawnień wyłącznie w zakresie niezbędnym do właściwego przeprowadzenia czynności nadzorczych w poważnych przypadkach, w których nie istnieją równoważne środki pozwalające na uzyskanie takich samych rezultatów. Sporne francuskie uregulowanie odnosi się do wszystkich środków łączności telefonicznej i obejmuje wszystkich użytkowników tych środków, bez zróżnicowania czy wprowadzania wyjątku w tym względzie. Ponadto, to uregulowanie zobowiązuje operatorów usług łączności elektronicznej do zatrzymywania w szczególności danych niezbędnych do ustalenia źródła połączenia i jego przeznaczenia, określenia daty, godziny, czasu trwania i rodzaju połączenia, wskazania wykorzystanego urządzenia komunikacyjnego, a także ustalenia położenia urządzeń końcowych i umiejscowienia połączeń. Trybunał stwierdził, że całokształt tych danych może dostarczyć bardzo precyzyjnych wskazówek dotyczących życia prywatnego osób, których dane są zatrzymywane. Trybunał wskazał, że rozpatrywane uregulowanie dotyczy – obok innych celów – wykrywania, stwierdzania i ścigania przestępstw kryminalnych, w tym nadużyć na rynku, do których zalicza się wykorzystywanie informacji poufnych. Tymczasem w szczególności z pkt 140–168 wyroku w sprawie La Quadrature du Net i in. wynika, że takie zatrzymywanie nie może być uzasadnione powyższymi celami na podstawie art. 15 ust. 1 dyrektywy 2002/58. Trybunał orzekł, że art. 12 ust. 2 lit. a) i d) dyrektywy 2003/6 oraz art. 23 ust. 2 lit. g) i h) rozporządzenia 596/2014, w zw. z art. 15 ust. 1 dyrektywy 2002/58 oraz w świetle art. 7, 8, 11 i art. 52 ust. 1 KPP, należy interpretować w ten sposób, że sprzeciwiają się one środkom ustawodawczym przewidującym zapobiegawczo w celu zwalczania przestępstw polegających na nadużyciach na rynku, do których zalicza się wykorzystywanie informacji poufnych, ogólne i niezróżnicowane zatrzymywanie danych o ruchu przez rok od dnia ich zapisu. Ograniczenie w czasie Trybunał orzekł, że prawo Unii należy interpretować w ten sposób, iż sprzeciwia się ono temu, aby sąd krajowy ograniczył w czasie skutki stwierdzenia nieważności, którego na mocy prawa krajowego ma on dokonać w odniesieniu do przepisów krajowych. Dotyczy to przepisów, które z jednej strony, nakładają na operatorów świadczących usługi łączności elektronicznej uogólniony i niezróżnicowany obowiązek zatrzymywania danych o ruchu. Natomiast z drugiej strony, pozwalają na przekazywanie tych danych organowi właściwemu w sprawach finansowych bez uprzedniego zezwolenia sądu lub niezależnego organu administracyjnego, ze względu na niezgodność tych przepisów z art. 15 ust. 1 dyrektywy 2002/58 interpretowanym w świetle KPP. Dopuszczalność dowodów uzyskanych na podstawie krajowych przepisów ustawowych niezgodnych z prawem Unii podlega, zgodnie z zasadą autonomii proceduralnej państw członkowskich, prawu krajowemu, z zastrzeżeniem poszanowania w szczególności zasad równoważności i skuteczności. Komentarz Trybunał kolejny raz odniósł się do kwestii, czy państwa członkowskie mogą ustanawiać obowiązek zatrzymywania w sposób uogólniony i niezróżnicowany danych dotyczących ruchu połączeń elektronicznych. Z niniejszego wyroku wynika, że w ocenie TS ani dyrektywy 2003/6, ani rozporządzenia 596/2014 nie można interpretować w ten sposób, iż mogą one stanowić podstawę prawną ogólnego obowiązku zatrzymywania zapisów danych o ruchu przechowywanych przez operatorów usług łączności elektronicznej w celu wykonywania uprawnień powierzonych organowi właściwemu w sprawach finansowych na podstawie dyrektywy 2003/6 i rozporządzenia 596/2014. Z prezentowanego wyroku wynika również, że art. 12 ust. 2 lit. a) i d) dyrektywy 2003/6 oraz art. 23 ust. 2 lit. g) i h) rozporządzenia 596/2014 należy interpretować w ten sposób, iż nie zezwalają one na uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji w celu zwalczania przestępstw w postaci nadużyć na rynku, a w szczególności wykorzystywania informacji poufnych. Przy czym TS wskazał, że zgodność z prawem Unii przepisów krajowych przewidujących takie zatrzymywanie należy oceniać na podstawie art. 15 ust. 1 dyrektywy 2002/58, odczytywanego w świetle art. 7, 8, 11 i art. 52 ust. 1 KPP, tak jak interpretowany jest on w orzecznictwie TS. Trybunał konsekwentnie orzeka co do możliwości utrzymania w mocy skutków przepisów krajowych co do których stwierdził niezgodność z prawem UE. Trafnie TS przyjął, że utrzymanie w mocy skutków przepisów krajowych takich jak rozpatrywane oznaczałoby, iż te przepisy w dalszym ciągu nakładają na dostawców usług łączności elektronicznej obowiązki, które są sprzeczne z prawem Unii i które powodują poważną ingerencję w prawa podstawowe osób, których dane są zatrzymywane. W konsekwencji TS uznał, że sąd odsyłający nie może ograniczyć w czasie skutków stwierdzenia nieważności, którego ma on dokonać na podstawie prawa krajowego w odniesieniu do spornego uregulowania krajowego. Wyrok TS z 20.9.2022 r., C-339/20 i C-397/20,
Trybunał Europejski stwierdził, że dyrektywa 2003/6 oraz rozporządzenie 596/2014 nie pozwalają na ogólne i niezróżnicowane zatrzymywanie danych o ruchu w celu zwalczania przestępstw, w tym nadużyć na rynku. Ponadto, TS uznał, że skutki nieważności przepisów krajowych nie mogą być ograniczone w czasie, co ma istotne znaczenie dla ochrony praw podstawowych osób dotkniętych zatrzymywaniem danych.