W dniu 21 grudnia 2016 roku zapadł ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie retencji danych (w sprawach połączonych C-203/15 Tele2 Sverige AB/ Post-ochtelestyrelsen i C-698/15 Secretary of State for the Home Department/Tom Watson, Peter Brice, Geoffrey Lewis).

Trybunał Sprawiedliwości wskazał, iż:

1. Artykuł 15 (1) Dyrektywy 2002/58/ WE Parlamentu Europejskiego i z Rady 12 lipca 2002 dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej tzw. dyrektywy o prywatności, musi być interpretowany w ten sposób, iż wykluczone jest wprowadzanie krajowych przepisów, które w celu walki z przestępczością, wprowadzają masowe zatrzymywanie wszystkich danych o ruchu i lokalizacji, dotyczące wszystkich abonentów i zarejestrowanych użytkowników oraz w odniesieniu do wszystkich środków komunikacji elektronicznej.
2. Krajowe regulacje prawne dotyczące ochrony i bezpieczeństwa danych o ruchu i lokacji nie mogą zezwalać uprawnionym organom państwowym na dostęp do danych w związku z każdym przestępstwem, a jedynie poważnymi przestępstwami (tj. przestępczość zorganizowana i terroryzm), jednocześnie dostęp takich organów powinien uprzednio być zatwierdzony przez sąd lub inny niezależny organ państwowy, a także koniecznym jest aby dane przechowywane były na terenie Unii Europejskiej.  

TSUE orzekł w przedmiotowych sprawach, że krajowe przepisy prawne państw członkowskich, które przewidują masowe zatrzymywanie wszystkich danych o ruchu i lokalizacji są niezgodne z prawem Unii Europejskiej. Trybunał zauważa, że Dyrektywa 2002/58/ WE dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej tzw. dyrektywa o prywatności przewiduje możliwość wprowadzenia pewnych ograniczeń poufności komunikacji oraz przechowywanie danych przez określony czas przy czym podkreśla, iż musi odbywać się to z uwzględnieniem zasad przewidzianych w Karcie praw podstawowych Unii Europejskiej i w samej Dyrektywie i nie może być interpretowane rozszerzająco. Wszelkie ograniczenia w korzystaniu z praw i wolności określonych w Karcie praw podstawowych Unii Europejskiej muszą być przewidziane ustawą i muszą szanować istotę tych praw i wolności. Z należytym uwzględnieniem zasady proporcjonalności, ograniczenia mogą być nakładane na korzystanie z tych praw i wolności tylko wtedy, gdy są konieczne i jeśli rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych. W odniesieniu do tej ostatniej kwestii, pierwsze zdanie artykułu 15 (1) dyrektywy 2002/58 stanowi, że państwa członkowskie mogą przyjąć środek, który jest odstępstwem od zasady poufności komunikacji i danych dotyczących ruchu, jeżeli jest to "konieczne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego ", ze względu na cele określone w tym przepisie. W odniesieniu do motywu 11 tej dyrektywy stwierdza, że środek tego rodzaju musi być "ściśle" proporcjonalny do zamierzonego celu.

W odniesieniu do retencji danych, wymóg określony w zdaniu drugim art 15 (1) tej Dyrektywy stanowi, że dane powinny być zatrzymane "przez ograniczony okres" i być "uzasadnione" w odniesieniu do jednego z celów wymienionych w pierwszym zdaniu artykułu 15 (1) tej Dyrektywy. Trybunał wskazuje, że uzasadnione zatrzymanie oznacza, iż powinno ono odnosić się do konkretnego zakresu zatrzymywanych danych, kategorii danych czy środków komunikacji. W celu spełnienia tych wymogów przepisy krajowe muszą, po pierwsze, ustanawiać jasne i precyzyjne regulacje proceduralne i materialne wskazujące zakres i podstawy stosowania takiego środka jakim jest zatrzymanie danych oraz nakładać wymagania w zakresie minimalnych zabezpieczeń, dzięki czemu osoby, których dane zostały zatrzymane mają gwarancje skutecznej ochrony ich danych osobowych przed ryzykiem nadużyć. Ustawa przedmiotowa powinna w szczególności wskazać, w jakich okolicznościach i na jakich warunkach retencja danych może być stosowana, jako środek zapobiegawczy poważnym przestępstwom lub dla ich wykrywania czy ścigania  - należy zapewnić, że działanie takie jest ograniczone tylko do sytuacji gdy jest to bezwzględnie konieczne, nie może mieć charakteru powszechnego. Celem przepisów powinno być ograniczenie stosowania tego środka, tylko do indywidualnych wyraźnie wskazanych i ograniczonych przypadków, a jego użycie powinno mieć podstawy w obiektywnych przesłankach, dających się zweryfikować.

Rozstrzygnięcie z dnia 21 grudnia 2016 r. jest konsekwencją wcześniejszego wyroku TSUE stwierdzającym, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych jest nieważna.

Jak w świetle powyższego przedstawiają się nasze polskie regulacje?

Zgodnie z art. 180a ust. 1 pkt. 1 Prawa telekomunikacyjnego:

Z zastrzeżeniem art. 180c ust. 2 pkt 2, operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej lub przez nich przetwarzane, na terytorium Rzeczypospolitej Polskiej, przez okres 12 miesięcy, licząc od dnia połączenia lub nieudanej próby połączenia, a z dniem upływu tego okresu dane te niszczyć, z wyjątkiem tych, które zostały zabezpieczone, zgodnie z przepisami odrębnymi.

Zastosowanie wskazanych przez TSUE kryteriów do oceny polskich przepisów o retencji danych telekomunikacyjnych prowadzi do konkluzji, że przepisy te nie spełniają wymagań, na które wskazał Trybunał. Niewątpliwie nasza krajowa regulacja przewidująca obligatoryjne i masowe zatrzymywanie danych byłaby oceniona przez TSUE podobnie do regulacji szwedzkich i angielskich tj. za sprzeczną z prawem Unii Europejskiej.

W świetle wydanego przez TSUE wyroku należy negatywnie ocenić również tzw. ustawę inwigilacyjną (tj. ustawę z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw), która wprowadziła uprawnienie dla policji, Straży Granicznej, wywiadu skarbowego, Żandarmerii Wojskowej, ABW i AW, SKW i SWW, CBA, Służby Celnej do właściwie nieograniczonego dostępu do danych telekomunikacyjnych, pocztowych oraz „danych internetowych”. Choć Trybunał dopuszcza dostęp do takich danych przez ww. organy to powinien być on jednak uprzednio zatwierdzony przez sąd lub inny niezależny organ państwowy, mieć związek z poważnym przestępstwem, a nadto powinien być realizowany na podstawie obiektywnych, weryfikowalnych przesłanek.

Jaki skutek ma orzeczenie dla polskich podmiotów?

Wyrok wydany został w odniesieniu do przepisów szwedzkich i angielskich. Orzeczenie TSUE nie ma zatem bezpośredniego przełożenia na ważność przepisów krajowych, to jednak należy oczekiwać, iż zostaną podjęte kroki ustawodawcze zmierzające do zapewnienia zgodności naszych polskich regulacji z prawodawstwem unijnym w nakreślonym przez TSUE kształcie. Być może także Trybunał Konstytucyjny, który będzie rozpatrywał wniosek Rzecznika Praw Obywatelskich o zbadanie zgodności z Konsytuacją ustawy inwigilacyjnej również uwzględni stanowisko TSUE.

radca prawny Julia Kamińska-Kasjaniuk