Retencja danych: Przymknięte oko tajnych służb

Z wyroku Digital Rights Ireland (C-293/12 & C-594/12) wynika, że Trybunał Sprawiedliwości Unii Europejskiej (TS UE) stwierdził nieważność dyrektywy 2006/24 w sprawie zatrzymywania danych ze względu na naruszenie art. 7 (poszanowanie życia prywatnego) i 8 (ochrona danych osobowych) Karty Praw Podstawowych Unii Europejskiej (Karta). Rozwiązania zawarte w dyrektywie nie spełniały wymogu proporcjonalności (art. 52 ust. 1 Karty). Zdaniem TS UE ten sam cel (tj. zwalczanie poważnej przestępczości oraz bezpieczeństwo publiczne) można było osiągnąć środkami, które  mniej  ingerują w prawa chronione Kartą. Stwierdzenie nieważności dyrektywy 2006/24 nastąpiło na skutek dwóch pytań sądów krajowych (Irlandii i Austrii) w wyroku prejudycjalnym (art. 267 traktatu o funkcjonowaniu Unii Europejskiej, (traktat), który, po ogłoszeniu 8 kwietnia 2014 r., jest ostateczny i ma pełną moc wiążącą.

Czy dyrektywa wciąż obowiązuje?

Skutki stwierdzenia nieważności dyrektywy w trybie prejudycjalnym nie zostały do tej pory jednoznacznie określone. Przyjmuje się wedle dominującego poglądu, że dyrektywa uznana w tym trybie za nieważną nie przestaje formalnie obowiązywać, a konsekwencją takiego wyroku jest nałożenie na właściwe instytucje unijne obowiązku podjęcia środków niezbędnych do usunięcia stwierdzonej bezprawności. Wynika to z art. 266 traktatu (odnoszącego się wprost do skargi bezpośredniej na nieważność aktu prawa UE z art. 263 traktatu), który zdaniem TS UE ma zastosowanie per analogiam w postępowaniu prejudycjalnym (C120-1/06 P FIAMM).

Po wyroku Digital Rights Ireland występuje więc pewna dwuznaczność stanu prawnego – przyjmuje się, że dyrektywa formalnie nie przestaje obowiązywać, ale materialnie, jako akt sprzeczny z aktem wyższego rzędu (w tym wypadku Karty), nie może praktycznie wywoływać żadnych skutków prawnych i powinna zostać uchylona przez właściwe instytucje unijne ze względu m.in. na zasadę pewności prawa.

Praktyczne skutki wyroku

Dominującym poglądem jest, że poza formalną różnicą co do obowiązywania unieważnionego aktu, praktyczne skutki wyroku prejudycjalnego stwierdzającego nieważność dyrektywy są porównywalne z tymi, które wywołuje stwierdzenie nieważności w trybie skargi na nieważność aktu prawa UE (art. 263 traktatu). W związku z tym uznaje się, że taki wyrok ma skutek erga omnes i ex tunc. Oznacza to, że jest wiążący nie tylko dla sądu krajowego, który zwrócił się do TS UE z pytaniem prejudycjalnym, ale stanowi również dla każdego innego sądu krajowego wystarczającą podstawę do tego, by uznać ten akt za nieważny w odniesieniu do rozstrzygnięcia, które ma on podjąć (66/80 ICC). Przemawiają za tym względy pewności prawa i konieczności jednolitego stosowania aktów prawa UE.

Ponadto, na mocy zasady lojalności (art. 4 ust. 3 traktatu o Unii Europejskiej) wyrok prejudycjalny stwierdzający nieważność aktu prawa UE wiąże wszystkie organy państw członkowskich, w tym organy legislacyjne oraz, co wymaga podkreślenia, również krajowe organy wykonawcze (policja, służby specjalne itp.). Organy państwa nie mogą więc pomijać treści wyroku Digital Rights Ireland w wykonywaniu kompetencji. Pod względem czasowym, wyrok prejudycjalny stwierdzający nieważność dyrektywy w zasadzie wiąże z mocą wsteczną od chwili wejścia w życie aktu, który jest przedmiotem wyroku, podobnie jak wyrok stwierdzający nieważność w trybie art. 263 traktatu (C-228/92 Roquette Frères). TS UE może ograniczyć jego skutki w czasie, jednak zobowiązany jest to uczynić w tym samym wyroku, w którym orzeka o nieważności. Ponieważ TSUE w wyroku Digital Rights Ireland nie odniósł się do jego skutków w czasie, należy przyjąć, że wyrok ten wywiera skutek wsteczny.

Konsekwencje dla krajowego systemu prawa

Dyrektywa jest aktem prawa unijnego, który wymaga implementacji przez ustawodawcę krajowego. Zakłada się, że na terytorium państw członkowskich UE obowiązuje akt prawa krajowego przekładający założenia dyrektywy (in casu m.in. art. 180a i nast. prawa telekomunikacyjnego). Wyrok prejudycjalny TS UE stwierdzający nieważność dyrektywy nie ma więc bezpośredniego przełożenia na ważność aktu implementującego dyrektywę. Organy krajowe powinny jednak wyciągnąć wszelkie konsekwencje prawne z wyroku TS UE, zgodnie z właściwymi regulacjami danego państwa członkowskiego (w tym prawa konstytucyjnego). Od chwili wydania wyroku przez TS UE organy krajowe nie mogą natomiast uwzględniać samej dyrektywy 2006/24 jako elementu stanu prawnego sprawy, a co za tym idzie, jako podstawy prawnej wydawania decyzji oraz orzeczeń (chyba że jest to niezbędne do udzielenia ochrony prawnej np. w kontekście odpowiedzialności odszkodowawczej). Wobec stwierdzenia nieważności dyrektywy 2006/24 odpada też konieczność jej implementacji przez organy krajowe.

W wyroku Digital Rights Ireland TS UE ocenił wprost określone rozwiązania zawarte w dyrektywie 2006/24 jako niespełniające wymogów proporcjonalności z art. 7 i 8 Karty. W związku z tym powstaje pytanie, czy pod tym samym kątem można ocenić rozwiązania przyjęte (albo inaczej: brak określonych rozwiązań wymaganych przez zasadę proporcjonalności) w prawie krajowym mającym na celu implementację unieważnionej dyrektywy. W tym względzie konstelacja prawna po wyroku Digital Rights Ireland jest precedensowa i nie ma dla niej jednoznacznego rozwiązania.

Wymóg poszanowania praw podstawowych zawartych w Karcie literalnie odnosi się do sytuacji, w której państwa członkowskie „stosują prawo Unii" (art. 51 Karty), jednak w świetle najnowszego orzecznictwa TS UE (C206/13 Siragusa) należy ten wymóg rozumieć szeroko, tj. że Karta wiąże państwa członkowskie, gdy działają one „w zakresie zastosowania prawa UE". W związku z tym konieczne jest ustalenie, czy krajowe regulacje implementujące dyrektywę 2006/24 pozostają, po jej unieważnieniu, w obszarze stosowania prawa UE w świetle kryteriów zawartych w orzecznictwie TS UE. Żeby to ustalić, należy m.in. zbadać, czy omawiane uregulowanie krajowe ma na celu wykonanie przepisu prawa Unii, a także to, czy istnieją przepisy prawa Unii regulujące daną dziedzinę w sposób szczególny lub mogące mieć dla niej znaczenie. W tym świetle wydaje się, że nieważność dyrektywy 2006/24 nie powoduje automatycznie, że krajowa regulacja implementująca zasady retencji danych (w zakresie objętym unieważnioną dyrektywą) pozostaje poza zastosowaniem prawa UE (a tym samym Karty). TS UE nie stwierdził bowiem nieważności dyrektywy 2006/24 ze względu na brak kompetencji instytucji UE do przyjęcia dyrektywy na płaszczyźnie unijnej, a reguły ją implementujące, jako przyjęte pierwotnie w celu wykonania przepisów prawa UE, pozostaną najpewniej w obszarze zastosowania prawa UE także po jej unieważnieniu.

Jest tak, po pierwsze, dlatego, że prawo UE nakłada w zakresie regulowanym przez przepisy implementujące dyrektywę 2006/24 pewne obowiązki na państwa członkowskie. Unieważniona dyrektywa 2006/24 harmonizowała jedynie wyjątki, które państwa członkowskie mogły wprowadzić na mocy art. 15 ust. 1 dyrektywy 2002/58 (dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej). W świetle dyrektywy 2002/58 wszelkie odstępstwa od zasady, że dane powinny zostać usunięte lub uczynione anonimowymi, są dopuszczalne wyłącznie wtedy, gdy okażą się niezbędne, właściwe i proporcjonalne zgodnie z wytycznymi wynikającymi z art. 15 ust. 1 dyrektywy 2002/58. Oznacza to, że jeżeli państwo członkowskie chce utrzymać przepisy pozwalające na retencję danych wbrew dyrektywie 2002/58 (z uwagi m.in. na względy bezpieczeństwa publicznego, zwalczania przestępczości itp.), przepisy krajowe powinny spełniać wymagania art. 15 ust. 1 dyrektywy 2002/58.  To zaś oznacza, że regulacje krajowe dotyczące retencji danych wprowadzone wskutek implementacji dyrektywy 2006/24 pozostają w obszarze regulowanym przez przepisy prawa UE.

Po drugie, regulacje stanowiące implementację dyrektywy 2006/24 mogą mieć bezpośredni wpływ na funkcjonowanie rynku wewnętrznego UE. Jak stwierdził sam TS UE, „obowiązki w zakresie zatrzymywania danych mają dla dostawców usług bardzo istotne skutki ekonomiczne, ponieważ mogą pociągać za sobą poważne inwestycje i koszty eksploatacji" (C-301/06 Irlandia p. PE i RUE). W związku z tym krajowe regulacje ustanawiające takie obowiązki mogą przeszkadzać w świadczeniu usług na rynku wewnętrznym. Takie zapatrywanie pozwalałoby w pewnych okolicznościach na objęcie przepisów krajowych implementujących dyrektywę 2006/24 prawem UE.

W obu powyższych sytuacjach przepisy krajowe implementujące dyrektywę (nawet po stwierdzeniu, że jest ona nieważna) będą mogły być (za pomocą różnych technik – jako element badania zgodności z art. 15 ust. 1 dyrektywy 2002/58 albo odstępstwa od swobody rynku wewnętrznego) oceniane pod kątem Karty, co zakłada konieczność uwzględnienia treści orzeczenia Digital Rights Ireland. W takim wypadku sprzeczność przepisów krajowych z Kartą mogłaby uruchomić mechanizmy służące usunięciu tych sprzeczności (prounijna wykładnia prawa krajowego/zasada pierwszeństwa prawa UE itp.). Organy krajowe, w tym sądy, powinny w szczególny sposób uwzględnić zawarte w wyroku Digital Rights Ireland wytyczne dotyczące zasady proporcjonalności i ocenić pod tym kątem rozwiązania krajowe, które wejdą w obszar stosowania prawa UE.