Dzisiejszy wyrok wydano w składzie wielkiej izby. Trybunał orzekł, że sprzeczne z dyrektywą 2002/58/WE o prywatności i łączności elektronicznej, interpretowaną w świetle karty praw podstawowych, są takie przepisy krajowe, które umożliwiają dostęp organów władzy publicznej do danych o ruchu lub danych o lokalizacji mogących dostarczyć informacji o połączeniach wykonywanych przez użytkownika lub o lokalizacji jego urządzenia oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, do celów dochodzenia, wykrywania i karania przestępstw lub zapobiegania im. I nie ma znaczenia długość okresu, na jaki wniesiono o dostęp do tych danych, ani ilość bądź rodzaj danych. Taki dostęp jest dopuszczalny tylko w przypadku postępowań, których celem jest zwalczanie poważnej przestępczości lub zapobieganie poważnym zagrożeniom bezpieczeństwa publicznego - wskazał Trybunał.
Jednocześnie TSUE orzekł, że prokuraturze nie powinno się przyznawać kompetencji do udzielania zezwoleń na dostęp organu władzy publicznej do danych o ruchu lub lokalizacji. Nie jest to zgodne z dyrektywą.
TSUE zaznaczył, że warunki, na jakich dostawcy usług łączności elektronicznej powinni udzielić właściwym organom państwowym dostępu do danych, powinny być jasno i precyzyjnie określone w przepisach prawa. Prawo powinno też wskazywać, w jakich okolicznościach i pod jakimi warunkami materialnymi i proceduralnymi można przyjąć środek przewidujący przetwarzanie takich danych osobowych, by obywatele mieli wystarczające gwarancje i skuteczną ochronę przed ewentualnymi nadużyciami.
- W celu zapewnienia w praktyce pełnej zgodności z tymi warunkami, ważne jest, aby dostęp właściwych organów państwowych do zatrzymanych danych był uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego, a decyzja tego sądu lub organu była wydawana na uzasadniony wniosek organów państwowych, złożony w szczególności w ramach postępowań mających na celu wykrywanie lub karanie przestępstw lub zapobieganie im. W pilnych i należycie uzasadnionych przypadkach kontrola powinna nastąpić w krótkim czasie - wskazał Trybunał.
TSUE wyjaśnił, że uprzednia kontrola wymaga m.in., aby sąd lub organ odpowiedzialny za przeprowadzenie tej kontroli dysponował wszelkimi uprawnieniami i gwarancjami niezbędnymi do pogodzenia poszczególnych wchodzących w grę interesów i praw. W przypadku postępowania karnego, taka kontrola wymaga, aby sąd lub organ był w stanie zapewnić właściwą równowagę pomiędzy, z jednej strony - potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony - prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane. Jeżeli kontrola ta jest dokonywana nie przez sąd, lecz przez niezależny organ administracyjny, musi on posiadać status pozwalający mu działać przy wykonywaniu swoich obowiązków w sposób obiektywny i bezstronny i w tym celu powinien on pozostawać poza jakimkolwiek wpływem z zewnątrz.
- Z tego wynika, że organ odpowiedzialny za przeprowadzenie uprzedniej kontroli, musi mieć status strony trzeciej w stosunku do organu wnoszącego o udzielenie dostępu do danych, tak aby ten pierwszy był w stanie przeprowadzić tę kontrolę w sposób obiektywny i bezstronny, poza jakimkolwiek wpływem z zewnątrz. Wymóg niezależności oznacza, że organ odpowiedzialny za tę uprzednią kontrolę, po pierwsze, nie jest zaangażowany w prowadzenie omawianego dochodzenia karnego, a po drugie - zajmuje neutralną pozycję wobec stron postępowania karnego. W przypadku prokuratury tak nie jest, bo to ona kieruje dochodzeniem i sprawuje funkcję oskarżyciela publicznego - wskazał TSUE.
