Istotą dostępu do danych jest poufność

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w połączonych sprawach C-203/15 Tele2 Sverige AB/Post-ochtelestyrelsen i C-698/15 Secretary of State for the Home Department/Tom Watson i in. wydał 21 grudnia 2016 r. wyrok dotyczący zatrzymywania danych.

Krajowe przepisy wciąż obowiązują

W poprzednim takim wyroku z 8 kwietnia 2014 r. w połączonych sprawach C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i in. TSUE stwierdził nieważność dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (dyrektywa 2006/24/WE). Uzasadniając wyrok, Trybunał stwierdził m.in., że w dyrektywie brakuje definicji „poważnych przestępstw" (art. 1 ust. 1 odsyła do pojęcia „poważnych przestępstw" w ustawodawstwie każdego państwa członkowskiego). Dyrektywa nie określa żadnych materialnych i proceduralnych przesłanek uzyskania przez właściwe organy krajowe dostępu do danych, a następnie ich wykorzystania. Uzyskanie przez właściwe organy krajowe dostępu do danych nie podlega uprzedniej kontroli sądu lub niezależnego organu administracyjnego. Trybunał wskazał, że dyrektywa ta obejmuje generalnie wszystkie jednostki, środki łączności elektronicznej i dane o ruchu. Nie przewidziano w niej żadnego zróżnicowania, ograniczenia ani wyjątku w zależności od celu dotyczącego zwalczania poważnych przestępstw. Brak również zróżnicowania, ograniczenia lub wyjątku, gdy chodzi o osoby.

Wreszcie dyrektywa nie tylko nie wyznacza ogólnych granic swojego zastosowania, ale także nie przewiduje żadnego obiektywnego kryterium, które pozwoliłoby zagwarantować, że właściwe organy krajowe będą miały dostęp do danych i będą mogły je wykorzystywać wyłącznie do zapobiegania, wykrywania i ścigania przestępstw.

Dyrektywa 2006/24/WE została implementowana do polskiego prawa nowelizacją prawa telekomunikacyjnego z 24 kwietnia 2009 r. Stała się podstawą do nałożenia na przedsiębiorców telekomunikacyjnych obowiązku zatrzymywania i przechowywania, a następnie – na żądanie określonych organów – udostępniania danych telekomunikacyjnych. Stworzyła prawne ramy dostępu do danych przez upoważnione podmioty.

Konsekwencją wyroku TSUE jest nieważność dyrektywy 2006/24/WE, co oznacza, że nie ma już aktu prawnego na poziomie EU, który zobowiązywałby państwa członkowskie do wprowadzenia lub utrzymania regulacji dotyczących przechowywania danych. Dyrektywa 2006/24/WE nie powinna być zatem dalej stosowana. Utrata stosowalności nie powoduje jednak nieważności przepisów implementujących tę dyrektywę w prawie krajowym. Nie stają się one automatycznie nieważne. W praktyce oznacza to, że do chwili, gdy przepisy krajowe nie zostaną zmienione, nadal obowiązują.

Po wyroku TSUE z 8 kwietnia 2014 r. został wydany przez polski Trybunał Konstytucyjny 30 lipca 2014 r. wyrok, sygn. K 23/11, w którym TK określił m.in. przesłanki dopuszczalności czynności operacyjno-rozpoznawczych, w tym zatrzymywania danych. W tym wyroku TK określił minimalne wymagania, jakie łącznie muszą spełniać przepisy ograniczające konstytucyjne wolności i prawa. Tylko jednak pośrednio odniósł się do wyroku TSUE z 8 kwietnia 2014 r.

Nadal były wątpliwości

W wykonaniu wyroku TK z 30 lipca 2014 r. polski ustawodawca przyjął ustawę z 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (DzU z 2016 r., poz. 147). Wprowadziła ona istotne zmiany w ustawach regulujących wykonywanie czynności operacyjno-rozpoznawczych uprawnionych podmiotów.

Charakterystyczne, że sprawa, w której wydany został drugi wyrok TSUE z 21 grudnia 2016 r., została zainicjowana w dzień po wydaniu pierwszego wyroku TSUE z 8 kwietnia 2014 r. Świadczy to o tym, że nadal istniały wątpliwości co do interpretacji przepisów krajowych o zatrzymywaniu danych. Na odważny krok zdecydowało się szwedzkie przedsiębiorstwo telekomunikacyjne Tele2 Sverige, które powiadomiło krajowy organ nadzorujący rynek pocztowy i telekomunikacyjny o swojej decyzji o zaprzestaniu zatrzymywania danych oraz o zamiarze usunięcia już utrwalonych danych (sprawa C-203/15).

Zarówno sądy szwedzkie, jak i brytyjskie (sprawa C-698/15) postanowiły się zwrócić do TSUE, czy przepisy prawa krajowego, które nakładają na podmioty świadczące usługi łączności elektronicznej ogólny obowiązek zatrzymywania danych oraz przyznają właściwym organom krajowym dostęp do przechowywanych danych, nie ograniczając tego dostępu jedynie do celów związanych ze zwalczaniem poważnej przestępczości i nie poddając go uprzedniej kontroli niezależnego organu sądowniczego lub administracyjnego, są zgodne z prawem Unii (zwłaszcza z dyrektywą o prywatności i łączności elektronicznej w kontekście karty praw podstawowych).

TSUE w wyroku z 21 grudnia 2016 r. stwierdził, że przepisy regulujące zatrzymywanie danych nie mogą być ogólne. Musi istnieć związek pomiędzy danymi, które mają być zatrzymywane, a zagrożeniem bezpieczeństwa publicznego. W szczególności muszą przewidywać ograniczenia w zatrzymywaniu danych w czasie i miejscu oraz w kręgu osób, które mogłyby być zaangażowane w poważne przestępstwo.

Na potrzeby walki z terroryzmem

Przepisy krajowe, które będą wykraczać poza granice absolutnej konieczności, nie będą mogły być uznane, zdaniem TSUE, za uzasadnione w demokratycznym społeczeństwie. Wszystkie przyjęte przepisy muszą być jednoznaczne i szczegółowe oraz przewidywać gwarancje wystarczające do chronienia tych danych przed ryzykiem ich nadużycia. Przepisy krajowe muszą ustanawiać materialne i proceduralne warunki dostępu odpowiednich organów krajowych do przechowywanych danych.