Dane osobowe

Retencja danych: obowiązek zatrzymywania może być zgodny z prawem Unii

123RF
Tylko walka z poważnymi przestępstwami może uzasadniać nałożenie na firmy świadczące usługi łączności elektronicznej ogólnego obowiązku zatrzymywania danych. A i to pod pewnymi warunkami.

Tak uważa rzecznik generalny Saugmandsgaard Oe, który dzisiaj przedłożył Trybunałowi Sprawiedliwości Unii Europejskiej (TSUE) swoją opinię w dwóch połączonych sprawach  (C-203/15  i C-698/15) dotyczących przepisów szwedzkich i brytyjskich o retencji danych.

Wątpliwości o wyroku

Retencja danych to rutynowe zatrzymywanie  przez operatorów szczegółowych informacji o połączeniach (kto, z kim i kiedy łączył się lub próbował połączyć) za pomocą środków komunikacji elektronicznej.  Obowiązek taki wynikał z przepisów  dyrektywy 2006/24/WE o retencji danych telekomunikacyjnych. Jednak w wyroku z 8 kwietnia 2014 r. w połączonych sprawach C-293/12 Digital Rights Ireland Ltd. oraz C-594/12 Kärntner Landesregierung i inni (dalej - Digital Rights Ireland) TSUE uznał, że dyrektywa 2006/24/WE jest nieważna, ponieważ zbyt szeroko ingerowała w gwarantowane w Karcie Praw Podstawowych UE prawo do prywatności i ochrony danych osobowych. Brakowało w niej także  odpowiednich gwarancji chroniących przed nadużyciami - system ustanowiony na podstawie dyrektywy nie ograniczał się do tego, co ściśle niezbędne do zwalczania poważnych przestępstw.

Z dniem publikacji wyroku dyrektywa stała się nieważna ze skutkiem od jej wydania.  Ale nie rozwiało to wątpliwości , czy przepisy krajowe implementujące dyrektywę powinny być dalej stosowane.

Dzień po ogłoszeniu wyroku w sprawie Digital Rights Ireland przedsiębiorstwo telekomunikacyjne Tele2 Sverige powiadomiło szwedzki organ nadzoru na  rynkiem pocztowym i telekomunikacyjnym, że zaprzestaje zatrzymywania danych oraz zamierza usunąć danych już utrwalone, chociaż szwedzkie prawo zobowiązuje podmioty świadczące usługi łączności elektronicznej do zatrzymania niektórych danych osobowych swoich abonentów.

Podobne przepisy obowiązują w Wielkiej Brytanii. Nakazują publicznym operatorom telekomunikacyjnym zatrzymywanie (przez maksymalnie 12 miesięcy) wszystkich danych dotyczących połączeń, z wyjątkiem przekazywanych za ich pomocą treści. Zaskarżyli je Tom Watson, Peter Brice i Geoffrey Lewis.

Zarówno w Szwecji, jak i w Zjednoczonym Królestwie obowiązek retencji obejmuje dane pozwalające na wskazanie i zlokalizowanie zarówno źródła, jak i adresata informacji, daty, godziny i czasu trwania połączenia, a także dane pozwalające na określenie rodzaju połączenia i rodzaju wykorzystywanego sprzętu. Nie dotyczy natomiast treści przekazywanych za pomocą połączenia.

Sądy szwedzki i brytyjski zwróciły się do Trybunału o wskazanie, czy przepisy prawa krajowego, które nakładają na podmioty świadczące usługi łączności elektronicznej ogólny obowiązek są zgodne z prawem Unii, a zwłaszcza z dyrektywą o przetwarzaniu danych osobowych i ochronie prywatności w sektorze łączności elektronicznej (2002/58/WE) oraz z niektórymi postanowieniami Karty praw podstawowych UE.

Wyroki, jakie zapadną w tych sprawach przed TSUE, będą okazją do uściślenia, jaką wykładnię wyroku w sprawie Digital Rights Ireland należy przyjąć w regulacjach krajowych. Także w Polsce, gdzie Prawo telekomunikacyjne zobowiązuje operatorów do przechowywania danych przez rok w celach związanych z bezpieczeństwem publicznym i udostępniania ich uprawnionym instytucjom.

Materia jest skomplikowana, więc przed wydaniem orzeczenia Trybunał poprosił o opinię rzecznika generalnego. Nie musi się nią kierować, lecz praktyka wskazuje, że zwykle to czyni.

Retencja tak, ale w ryzach

W upublicznionej dzisiaj opinii rzecznik generalny Henrik Saugmandsgaard Oe stwierdził, że ogólny obowiązek zatrzymywania danych może być zgodny z prawem Unii. Państwo, które ten obowiązek wprowadza, musi jednak podporządkować go rygorystycznym wymogom, a krajowe sądy powinny ustalić, czy wymogi te są spełnione w świetle wszystkich mających znaczenie cech przepisów prawa krajowego. O co chodzi?

Przede wszystkim ogólny obowiązek zatrzymywania danych oraz towarzyszące mu gwarancje powinny zostać ustanowione w przepisach ustawowych lub wykonawczych odznaczających się przystępnością, przewidywalnością oraz odpowiednią ochroną przed arbitralnością. Po drugie, obowiązek musi respektować istotę prawa do poszanowania życia prywatnego, a także prawa do ochrony danych osobowych, które to prawa ustanowiono w Karcie praw podstawowych. Po trzecie, przypomniał rzecznik generalny, prawo Unii wymaga, by wszelka ingerencja w prawa podstawowe służyła celowi interesu ogólnego.

- Jedynie walka z poważnymi przestępstwami stanowi cel interesu ogólnego, który może uzasadniać ogólny obowiązek zatrzymywania danych, w przeciwieństwie do walki z przestępstwami pospolitymi albo do sprawnego przebiegu postępowań niemających charakteru karnego - uważa rzecznik generalny.

Zdaniem rzecznika walka z poważnymi przestępstwami nie może uzasadniać obowiązku zatrzymywania danych, jeśli inne przepisy prawa albo ich kombinacja mogą być równie skuteczne, a jednocześnie mniej zagrażać prawom podstawowym.

- Po to, by ograniczyć naruszenia praw podstawowych do tego, co ściśle niezbędne, obowiązek retencji powinien uwzględniać przesłanki wymienione w wyroku w sprawie Digital Rights Ireland odnoszące się do dostępu do danych, czasu zatrzymania danych, a także ochrony i bezpieczeństwa danych - stwierdził rzecznik.

W jego ocenie ogólny obowiązek zatrzymywania danych powinien być także proporcjonalny, w demokratycznym społeczeństwie, do celu walki z ciężkimi przestępstwami, co oznacza, że poważne zagrożenia jakie mogą następstwem zatrzymania danych, nie mogą być większe niż korzyści w walce z poważnymi przestępstwami.

Źródło: rp.pl

REDAKCJA POLECA

NAJNOWSZE Z RP.PL