Stan faktyczny
Estoński sąd skazał H.K. na karę dwóch lat pozbawienia wolności za popełnienie licznych kradzieży, posłużenie się kartą bankową należącą do innej osoby i dopuszczenie się przemocy wobec osoby uczestniczącej w postępowaniu sądowym. Protokoły, na których opiera się ustalenie popełnienia tych przestępstw, zostały sporządzone w szczególności na podstawie danych o łączności elektronicznej, zgodnie z § 1111 ust. 2 estońskiej ustawy o łączności elektronicznej (dalej: UŁE). Estoński Sąd Najwyższy wyraził wątpliwości, co do zgodności z prawem Unii warunków, w jakich organy dochodzeniowe uzyskały dostęp do tych danych. Dotyczą one kwestii tego, czy okres, w odniesieniu do którego organy dochodzeniowe miały dostęp do danych, stanowi kryterium pozwalające ocenić wagę ingerencji, jaką stanowi ten dostęp, w prawa podstawowe podmiotów danych. Ponadto, czy estońska prokuratura stanowi „niezależny” organ administracyjny w rozumieniu wyroku TSUE z 21.12.2016 r., C‑203/15 i C‑698/15, EU:C:2016:970 w sprawie Tele2 Sverige i Watson i in.?
Zakres dostępu
W odniesieniu do warunków, na jakich organy władzy publicznej mogą, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, uzyskać dostęp do danych o ruchu i danych o lokalizacji zatrzymywanych przez dostawców usług łączności elektronicznej na podstawie środka podjętego zgodnie z art. 15 ust. 1 dyrektywy Parlamentu Europejskiego i Rady 2002/58/WE z 12.7.2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) (Dz.Urz. UE L z 2002 r. Nr 201, s. 37 ze zm.; dalej: dyrektywa 2002/58/WE), Trybunał orzekł, że taki dostęp może zostać przyznany tylko wtedy, gdy dane te są zatrzymywane przez tych dostawców w sposób zgodny z tym przepisem (wyrok TSUE z 6.10.2020 r., La Quadrature du Net i in., C‑511/18, Legalis, C‑512/18 i C‑520/18, EU:C:2020:791, pkt 167). Z orzecznictwa TSUE wynika również, że art. 15 ust. 1 w zw. z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej (2012/C 326/02) z 26.10.2012 r. (Dz.Urz. UE C z 2012 r. Nr 326, s. 391; dalej: KPP) stoi na przeszkodzie regulacjom przewidującym w tych celach prewencyjne uogólnione i niezróżnicowane zatrzymywanie danych o ruchu i danych o lokalizacji (wyrok La Quadrature du Net i in., pkt 168). Z orzecznictwa TSUE wynika, po pierwsze, że dostęp organów władzy publicznej do danych osobowych zatrzymywanych przez dostawców usług łączności elektronicznej na podstawie środka zgodnego z tymi przepisami może być uzasadniony jedynie celem interesu ogólnego, dla którego ci dostawcy usług zostali zobowiązani do takiego zatrzymywania (wyrok La Quadrature du Net i in., pkt 166). Po drugie, Trybunał orzekł, że możliwość uzasadnienia przez państwa członkowskie ograniczenia praw i obowiązków przewidzianych zwłaszcza w art. 5, 6 i 9 dyrektywy 2002/58/WE należy oceniać, badając wagę ingerencji, jaką stanowi takie ograniczenie, oraz sprawdzając, czy znaczenie celu interesu ogólnego, do którego zmierza to ograniczenie, pozostaje jest proporcjonalne (wyrok La Quadrature du Net i in., pkt 131).
Zdaniem TSUE jedynie cele w postaci zwalczania poważnej przestępczości lub zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego mogą uzasadniać dostęp organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanych przez niego urządzeń końcowych i umożliwiają wyciągnięcie precyzyjnych wniosków na temat życia prywatnego osób, których dane dotyczą (wyrok TSUE z 2.10.2018 r., C‑207/16, Ministerio Fiscal, EU:C:2018:788, pkt 54).
Trybunał orzekł, że art. 15 ust. 1 dyrektywy 2002/58/WE w zw. z art. 7, 8 i 11 oraz art. 52 ust. 1 KPP należy interpretować w ten sposób, że sprzeciwia się on przepisom krajowym umożliwiającym dostęp organów władzy publicznej do zbioru danych o ruchu lub danych o lokalizacji, które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanego przez niego urządzenia końcowego oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, do celów zapobiegania, dochodzenia, wykrywania i karania przestępstw, bez ograniczania takiego dostępu do postępowań mających na celu zwalczanie poważnej przestępczości lub zapobieganie poważnym zagrożeniom bezpieczeństwa publicznego, niezależnie od długości okresu, na jaki wniesiono o dostęp do takich danych, oraz ilości i rodzaju danych dostępnych przez taki okres.
Zezwolenie udzielone przez prokuraturę
W celu zapewnienia w praktyce pełnej zgodności z tymi warunkami ważne jest, aby dostęp właściwych organów państwowych do zatrzymanych danych był uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego, a decyzja tego sądu lub organu była wydawana na uzasadniony wniosek owych organów, złożony w szczególności w ramach postępowań mających na celu zapobieganie, wykrywanie lub karanie przestępstw.
Trybunał stwierdził, że zwłaszcza w przypadku dochodzenia karnego, taka kontrola wymaga, aby sąd lub organ był w stanie zapewnić właściwą równowagę pomiędzy z jednej strony interesami związanymi z potrzebami dochodzenia w ramach zwalczania przestępczości, a z drugiej strony prawami podstawowymi do poszanowania życia prywatnego i ochrony danych osobowych osób, których dane są udostępniane. Jeżeli kontrola ta jest dokonywana nie przez sąd, lecz przez niezależny organ administracyjny, musi on posiadać status pozwalający mu działać przy wykonywaniu swoich obowiązków w sposób obiektywny i bezstronny i w tym celu powinien pozostawać poza jakimkolwiek wpływem z zewnątrz (wyrok TSUE z 9.3.2010 r., C‑518/07 Komisja/Niemcy, EU:C:2010:125, pkt 25).
Trybunał podkreślił, że prokuratura ma za zadanie nie rozstrzyganie sporu przy zachowaniu całkowitej niezależności, ale, ewentualnie, jako strona postępowania, która wnosi akt oskarżenia, skierowanie sporu do właściwego sądu. Okoliczność, że prokuratura, zgodnie z przepisami regulującymi jej kompetencje i status, jest zobowiązana do weryfikacji okoliczności obciążających i odciążających, do zapewnienia zgodności z prawem postępowania przygotowawczego i działania wyłącznie zgodnie z ustawą i własnymi przekonaniami, nie może wystarczyć do przyznania jej statusu strony trzeciej w stosunku do spornych interesów. Zdaniem TS z powyższego wynika, że prokuratura nie jest w stanie przeprowadzić uprzedniej kontroli.
Trybunał orzekł, że art. 15 ust. 1 dyrektywy 2002/58/WE w zw. z art. 7, 8 i 11 oraz art. 52 ust. 1 KPP należy interpretować w ten sposób, że sprzeciwia się on przepisom krajowym przyznającym prokuraturze, której zadaniem jest kierowanie postępowaniem przygotowawczym oraz sprawowanie, w stosownych przypadkach, funkcji oskarżyciela publicznego w ramach późniejszego postępowania, kompetencję do udzielania zezwoleń na dostęp organu publicznego do danych o ruchu i danych o lokalizacji do celów postępowania przygotowawczego.
Niniejszy wyrok TSUE jest bardzo ważny dla trwającej, również w Polsce, dyskusji dotyczącej dostępu organów krajowych do przechowywanych danych o łączności elektronicznej obywateli (obowiązek polegający na zatrzymywaniu i przechowywaniu danych o ruchu oraz danych dotyczących lokalizacji został przewidziany w polskim prawie w art. 180a ustawy z 16.7.2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2019 r. poz. 2460 ze zm.).
W niniejszym wyroku TSUE kontynuuje dotychczasową linię orzeczniczą utrzymując, że dostęp do takich danych powinien być realizowany na podstawie obiektywnych kryteriów oraz musi być ograniczony celem interesu ogólnego, jakim jest przykładowo zwalczanie poważnej przestępczości. Trybunał szczegółowo wyjaśnił, że jeśli przepisy krajowe spełniają wymóg interesu ogólnego, to właściwe organy powinny dodatkowo zapewnić w każdym indywidualnym przypadku, aby zarówno dana kategoria, jak i okres, na jaki wniesiono o dostęp do nich, były ograniczone do tego, co jest ściśle niezbędne do celów danego dochodzenia.
W niniejszym wyroku TSUE analizował również pojęcie „niezależności” w odniesieniu do prokuratury jako organu, który jest odpowiedzialny za przeprowadzenie uprzedniej kontroli oraz udziela zezwolenia na uzyskanie danych osobowych od dostawcy elektronicznych usług telekomunikacyjnych. Z dotychczasowego orzecznictwa Trybunału wynika, że zwłaszcza w dziedzinie prawa karnego wymóg niezależności oznacza, że organ odpowiedzialny za tę uprzednią kontrolę, po pierwsze, nie jest zaangażowany w prowadzenie danego dochodzenia karnego, a po drugie, zajmuje neutralną pozycję wobec stron postępowania karnego. Wydaje się, że trafnie TS przyjął w niniejszym wyroku, poprzedzając swoje stanowisko szczegółową analizą, że prokuratura nie spełnia powyższe wymogu niezależności.