Praktyki retencji danych, czyli rutynowe zatrzymywanie przez operatorów informacji o tym, kto, z kim i kiedy łączył się w telefonach komórkowych, wyszły na jaw m.in. w sprawie Grahama Dwyera, skazanego w 2015 r. na dożywocie za zabójstwo opiekunki do dzieci Elaine O'Hary. Śledczy odkryli, że pani O'Hara miała konto w serwisie internetowym poświęconym fetyszom dla dorosłych, za pośrednictwem którego od 2007 roku kontaktowała się z Dwyerem. Metadane telefonu odegrały ważną rolę w skazaniu Dwyera za morderstwo. Pozwoliły zlokalizować jego telefon blisko miejsca zabójstwa Elaine O'Hary, co w połączeniu z treścią wysyłanych wiadomości tekstowych, doprowadziło do uznania go winnym śmierci O'Hary. Ława przysięgłych stwierdziła, że Dwyer zabił kobietę dla własnej satysfakcji seksualnej, po sadystycznym związku.
Dwyer podważa wyrok twierdząc, że korzystanie z danych z jego telefonu narusza jego prawa, w tym prawo do prywatności. Sprawa trafiła do Trybunału Sprawiedliwości w Luksemburgu, który postanowił przed wydaniem orzeczenia zasięgnąć opinii rzecznika generalnego. Przy okazji poprosił o opinię w kilku innych, podobnych sprawach prowadzonych przez sądy francuskie i niemieckie. Wszystkie sprawy są rozpatrywane łącznie (C-793/19 SpaceNet i C-794/19 Telekom Deutschland, C-140/20 Commissioner of the Garda Síochána i in. oraz C-339/20 VD i C-397/20 SR).
Ale to już było
Manuel Campos Sánchez-Bordona przypomniał, że TSUE już wypowiadał się w sprawie retencji danych, m.in. w wyrokach z 8 kwietnia 2014 r. (C-293/12 i C-594/12 Digital Rights Ireland i in.) oraz z 6 października 2020 r. w sprawie Privacy International (sprawa C-623/17) i La Quadrature du Net i in. (sprawy połączone C-511/18, C-512/18 i C-520/18). Jak się okazało, orzeczenia te nie rozwiały wątpliwości sądów krajowych w państwach Unii.
Oprócz rozpatrywanej przez sąd najwyższy Irlandii sprawy Dwyera (C-140/20), do 6 października 2020 r. w TSUE zostały zarejestrowane dwa inne wnioski o wydanie orzeczenia w trybie prejudycjalnym, w których Federalny sąd administracyjny w Niemczech wyraził wątpliwości co do utrwalonego orzecznictwa dotyczącego wyjątków od obowiązku zapewnienia poufności komunikacji i danych użytkowników. Sąd ten bada odwołania wniesione przez Federalną Agencję ds. Sieci przeciwko rozstrzygnięciom uwzględniającym żądania dwóch spółek świadczących usługi dostępu do Internetu zawarte w skargach, w których spółki te kwestionowały ustanowiony w prawie niemieckim obowiązek przechowywania danych o ruchu telekomunikacyjnym ich klientów począwszy od 1 lipca 2017 r. (sprawy połączone C-793/19 i C-794/19).
Po zapoznaniu się z odpowiedziami udzielonymi przez Trybunał Sprawiedliwości w wyrokach z 6 października 2020 r. sądy niemiecki i irlandzki podtrzymały swoje wnioski o wydanie przez TSUE orzeczeń w trybie prejudycjalnym.
Do nich doszły jeszcze dwa, tym razem skierowane przez sąd kasacyjny we Francji, który ma wydać rozstrzygnięcie ws. skargi dwóch osób fizycznych, które zostały oskarżone o popełnienie przestępstw polegających na wykorzystywaniu informacji poufnych i praniu pieniędzy w ramach postępowania prowadzonego przez francuski urząd nadzoru rynków finansowych. Urząd ten wykorzystał dane osobowe dotyczące korzystania z linii telefonicznych, a uzyskane w oparciu o francuski kodeks pieniężny i finansowy (sprawy połączone C-339/20 i C-397/20).
W swoich dzisiejszych opiniach w tych sprawach rzecznik generalny uznał, że na wszystkie pytania sądów krajów odpowiedzi można znaleźć w dotychczasowym orzecznictwie Trybunału Sprawiedliwości lub też można je z nich bez większych trudności wywieść.
Czytaj więcej
Tylko walka z poważnymi przestępstwami może uzasadniać nałożenie na firmy świadczące usługi łączności elektronicznej ogólnego obowiązku zatrzymywania danych. A i to pod pewnymi warunkami.
Sprawa irlandzka
W opinii rzecznika generalnego odpowiedzi na pytania Supreme Court zostały udzielone w wyrokach w sprawach La Quadrature du Net i Prokuratuur6; ten drugi wyrok został wydany już po tym, jak irlandzki sąd postanowił podtrzymać zadane pytania prejudycjalne.
Rzecznik generalny M. Campos Sánchez Bordona podkreślił, że bezpieczeństwo narodowe może uzasadniać dokonywanie uogólnionego i niezróżnicowanego zatrzymywania danych dotyczących ruchu i danych dotyczących lokalizacji, nie odnosi się to jednak do ścigania przestępstw, nawet poważnych. Przepisy irlandzkie nie są zatem zgodne z dyrektywą o prywatności i łączności elektronicznej, gdyż zezwalają, z powodów wykraczających poza te związane z ochroną bezpieczeństwa narodowego, na prewencyjne, uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i lokalizacji wszystkich abonentów przez okres dwóch lat.
Po drugie, dostęp odpowiednich organów krajowych do zatrzymywanych danych nie wydaje się podlegać uprzedniej kontroli sądu lub niezależnego organu, tak jak wymaga tego orzecznictwo Trybunału Sprawiedliwości, tylko objęty jest swobodnym uznaniem funkcjonariusza policji określonej rangi. Do Supreme Court należy zbadanie, czy ten urzędnik posiada wymagane przez orzecznictwo Trybunału Sprawiedliwości status „niezależnego organu" oraz charakter „strony trzeciej" wobec organu władzy, który zwraca się o udzielenie dostępu. Rzecznik generalny przypomniał też, że kontrola ta musi poprzedzać udzielenie dostępu do danych, a nie być przeprowadzana ex post.
Wreszcie, rzecznik generalny przypomniał, że, zgodnie z wyrokiem w sprawie La Quadrature du Net, krajowy organ sądowniczy nie może ograniczyć w czasie skutków stwierdzenia niezgodności normy krajowej z prawem Unii.
Sprawy niemieckie
Manuel Campos Sánchez-Bordona podkreślił, że dostrzega zmiany, jakie poczyniono w ustawodawstwie niemieckim, by dostosować je do wymogów wynikających z orzecznictwa TSUE. Jednak ustanowiony w tym ustawodawstwie obowiązek uogólnionego i niezróżnicowanego przechowywania nadal obejmuje bardzo obszerny zbiór wielu innych kategorii danych dotyczących ruchu i danych dotyczących lokalizacji. - Ustanowienie ograniczenia w czasie tego zatrzymywania nie może temu zaradzić, ponieważ poza przypadkami uzasadnionymi ochroną bezpieczeństwa narodowego, możliwe jest jedynie selektywne przechowywanie danych dotyczących łączności elektronicznej, a to ze względu na poważne ryzyko, jakie wiązałoby się z ich uogólnionym zatrzymywaniem - stwierdził rzecznik generalny.
Przypomniał też, że dostęp do tych danych wiąże się w każdym przypadku z poważną ingerencją w prawa podstawowe do poszanowania życia prywatnego i rodzinnego oraz do ochrony danych osobowych, niezależnie od długości okresu, na jaki wnosi się o dostęp do tych danych.
Sprawy francuskie
Rzecznik generalny wskazał, że przedmiot dwóch postępowań we Francji jest w istocie taki sam, jak w przypadku pozostałych trzech wniosków do TSUE, a mianowicie jest to kwestia, czy państwa członkowskie mogą ustanawiać obowiązek zatrzymywania w sposób uogólniony i niezróżnicowany danych o ruchu połączeń elektronicznych. Z tego względu - pomimo, że w sprawach z Francji w grę wchodzą dyrektywa w sprawie wykorzystywania poufnych informacji i manipulacji na rynku i rozporządzenie dotyczące nadużyć na rynku, należy odwołać się do wyroku TSUE w sprawie La Quadrature du Net. Przepisy te należy interpretować w kontekście systemu ustanowionego dyrektywą o prywatności i łączności elektronicznej, która stanowi punkt odniesienia w tym zakresie.
- Ani dyrektywa, ani rozporządzenie dotyczące nadużyć na rynku nie przyznają szczególnych i autonomicznych uprawnień do zatrzymywania danych, a jedynie upoważniają właściwe organy administracji do uzyskania dostępu do danych zatrzymanych w istniejących rejestrach, które należało sporządzić zgodnie z dyrektywą o prywatności i łączności elektronicznej. Chodzi tu konkretnie o rejestry czy też nagrania, które mogą być zatrzymywane w celu zwalczania poważnej przestępczości i ochrony bezpieczeństwa publicznego, których nie można utożsamiać z danymi zatrzymywanymi w sposób prewencyjny, uogólniony i niezróżnicowany w celu obrony bezpieczeństwa narodowego, wskutek czego nie ma potrzeby podważać starannego wyważenia leżącego u podstaw wyroku w sprawie La Quadrature du Net - stwierdził rzecznik.
Zdaniem rzecznika generalnego, prawo Unii stoi na przeszkodzie przepisom krajowym, które nakładają na operatorów łączności elektronicznej, w ramach dochodzenia w sprawie wykorzystywania informacji poufnych lub manipulacji i nadużyć na rynku, obowiązek uogólnionego i niezróżnicowanego zatrzymywania danych o ruchu. W takim przypadku również krajowy organ sądowniczy nie może ograniczyć w czasie skutków takiej niezgodności.
