OPINIA RZECZNIKA GENERALNEGO

MACIEJA SZPUNARA

przedstawiona w dniu 27 października 2022 r.

Sprawa C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

przeciwko

Premier ministre,

Ministère de la Culture

[wniosek o wydanie orzeczenia w trybie prejudycjalnym złożony przez Conseil d’État (radę stanu, Francja)]

(...)

PYTANIA PREJUDYCJALNE

32.      W tych okolicznościach Conseil d’État (rada stanu) postanowiła zawiesić postępowanie i zwrócić się do Trybunału z następującymi pytaniami prejudycjalnymi:

„1)       Czy dane dotyczące tożsamości cywilnej odpowiadające adresowi IP należą do danych o ruchu lub lokalizacji podlegających, co do zasady, obowiązkowi uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny posiadający uprawnienia władcze?

2)       W razie udzielenia odpowiedzi twierdzącej na pytanie pierwsze i przy uwzględnieniu niskiej wrażliwości danych dotyczących tożsamości cywilnej użytkowników, w tym ich danych kontaktowych – czy dyrektywę [2002/58] [odczytywaną] w świetle [karty] należy interpretować w ten sposób, że stoi ona na przeszkodzie uregulowaniu krajowemu przewidującemu gromadzenie przez organ administracyjny tych danych odpowiadających adresowi IP użytkowników bez uprzedniej kontroli sprawowanej przez sąd lub niezależny organ administracyjny posiadający uprawnienia władcze?

3)       W razie udzielenia odpowiedzi twierdzącej na pytanie drugie i przy uwzględnieniu niskiej wrażliwości danych dotyczących tożsamości cywilnej, okoliczności, że tylko te dane mogą być gromadzone, wyłącznie w celu zapobiegania naruszeniu obowiązków określonych w sposób precyzyjny, wyczerpujący i restrykcyjny w prawie krajowym, oraz faktu, że systematyczna kontrola dostępu do danych każdego użytkownika sprawowana przez sąd lub osobny organ administracyjny posiadający uprawnienia władcze mogłaby stanowić przeszkodę w realizacji [zadań publicznych] powierzonych niezależnemu organowi administracyjnemu, który sam jest niezależny i który gromadzi dane – czy dyrektywa [2002/58] stoi na przeszkodzie temu, by kontrola była dokonywana zgodnie z dostosowanymi procedurami, takimi jak przeprowadzanie zautomatyzowanej kontroli, w razie potrzeby pod nadzorem służby wewnętrznej organu dającego gwarancje niezależności i bezstronności w stosunku do urzędników odpowiedzialnych za gromadzenie danych?”.

A.      W przedmiocie pytań prejudycjalnych pierwszego i drugiego

34.      Poprzez pytania prejudycjalne pierwsze i drugie, które moim zdaniem należy zbadać łącznie, sąd odsyłający dąży w istocie do ustalenia, czy art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty należy interpretować w ten sposób, że sprzeciwia się on uregulowaniu krajowemu pozwalającemu na uzyskanie – przez organ administracyjny odpowiedzialny za ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw popełnionymi w Internecie – dostępu do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, tak aby organ ten mógł zidentyfikować posiadaczy tych adresów podejrzewanych o odpowiedzialność za te naruszenia i mógł w stosownych przypadkach podjąć przeciwko nim działania, przy czym dostęp ten nie podlega uprzedniej kontroli sądu lub niezależnego organu administracyjnego.

1.      Omówienie zakresu pytań prejudycjalnych

a)      Uprzednie zbieranie przez uprawnione podmioty adresów IP

35.      Z postanowienia odsyłającego wynika, że rozpatrywany w postępowaniu głównym mechanizm stopniowej odpowiedzi obejmuje dwie kolejne operacje przetwarzania danych polegające, po pierwsze, na uprzednim zbieraniu przez uprawnione podmioty w sieciach peer-to-peer adresów IP podmiotów naruszających prawo autorskie, a po drugie – na powiązaniu tych adresów IP z tożsamością cywilną osób przez Hadopi po wniesieniu do niego sprawy w celu wysłania zalecenia osobom, których dostęp do usług internetowej komunikacji publicznej został wykorzystany z naruszeniem przepisów prawa autorskiego.

36.      Pytania prejudycjalne pierwsze i drugie dotyczą wyłącznie drugiej operacji przetwarzania przeprowadzanej przez Hadopi.

37.      Skarżący w postępowaniu głównym utrzymują jednak, że Trybunał powinien zbadać pierwszą operację przetwarzania, ponieważ jeśli te adresy IP zostały uzyskane z naruszeniem przepisów dyrektywy 2002/58, ich wykorzystywanie w ramach drugiej operacji przetwarzania byłoby siłą rzeczy sprzeczne z tymi przepisami.

38.      Takie rozumowanie nie jest przekonujące. Artykuł 3 ust. 1 dyrektywy 2002/58 ogranicza swój zakres stosowania do „przetwarzania danych osobowych w związku z dostarczaniem […] usług łączności elektronicznej”. Tymczasem, jak wyjaśnił rząd francuski na rozprawie, uprawnione podmioty uzyskują rozpatrywane adresy IP nie za pośrednictwem dostawców usług łączności elektronicznej, lecz bezpośrednio w Internecie, poprzez zapoznanie się z danymi dostępnymi publicznie.

39.      Można zatem jedynie stwierdzić, że uprzednie zbieranie adresów IP przez uprawnione podmioty nie podlega przepisom dyrektywy 2002/58 i, jak podnosi Komisja, może być zatem analizowane w świetle przepisów rozporządzenia (UE) 2016/679(11). Taka analiza wydaje się zatem moim zdaniem wykraczać poza ramy pytań prejudycjalnych skierowanych do Trybunału, tym bardziej że sąd odsyłający nie przedstawił wyjaśnień dotyczących uprzedniego zbierania, co umożliwiłoby Trybunałowi udzielenie mu użytecznej odpowiedzi.

40.      W tych okolicznościach skoncentruję moją analizę na kwestii dostępu Hadopi do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP.

b)      Powiązanie adresów IP z danymi dotyczącymi tożsamości cywilnej

41.      Pytania prejudycjalne pierwsze i drugie odnoszą się do „danych dotyczących tożsamości cywilnej odpowiadających adresowi IP”, które zdaniem sądu odsyłającego są wrażliwe w niewielkim stopniu. Sąd ten odnosi się w swoim postanowieniu wyłącznie do punktów wyroku Quadrature du Net i in. odnoszących się do przechowywania danych dotyczących tożsamości cywilnej.

42.      Prawdą jest, że w orzecznictwie Trybunału dokonano rozróżnienia między regulacją prawną mającą zastosowanie do przechowywania i dostępu do adresów IP a regulacją prawną mającą zastosowanie do przechowywania i dostępu do danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej, przy czym ta druga jest mniej restrykcyjna niż ta pierwsza(12).

43.      Jednakże wydaje mi się, że w niniejszej sprawie, pomimo sformułowania tych dwóch pytań prejudycjalnych, nie chodzi o sam dostęp do danych dotyczących tożsamości cywilnej użytkowników środków łączności elektronicznej, lecz o powiązanie tych danych z adresami IP, którymi dysponuje Hadopi w następstwie ich zebrania i przekazania przez uprawnione podmioty. Jak bowiem podnosi Komisja, dostęp Hadopi do danych dotyczących tożsamości cywilnej ma na celu odblokowanie dostępu do szerszego zbioru danych, w szczególności adresów IP i fragmentów przeglądanych plików, oraz umożliwienie ich wykorzystania. Dane dotyczące tożsamości cywilnej i adresy IP, ujmowane w oderwaniu od siebie, są pozbawione znaczenia dla organów krajowych, ponieważ ani sama tożsamość cywilna, ani sam adres IP nie mogą udzielić informacji na temat działalności osób fizycznych w Internecie, jeżeli nie są one powiązane.

44.      Wynika z tego moim zdaniem, że pytania prejudycjalne pierwsze i drugie należy rozumieć jako odnoszące się nie tylko do danych dotyczących tożsamości cywilnej użytkowników środka komunikacji elektronicznej, lecz również do dostępu do adresów IP pozwalającego na identyfikację źródła połączenia.

c)      Przechowywanie adresów IP przez dostawców usług łączności

45.      Prawdą jest, jak podnoszą rząd francuski i Komisja, że pytania prejudycjalne skierowane do Trybunału nie dotyczą formalnie przechowywania danych przez dostawców usług łączności elektronicznej, lecz jedynie dostępu Hadopi do danych dotyczących tożsamości cywilnej odpowiadających adresom IP.

46.      Jednakże kwestia dostępu Hadopi do tych danych wydaje mi się w rzeczywistości nierozerwalnie związana z wyprzedzającą ją kwestią przechowywania owych danych przez dostawców usług łączności. Jak podkreślił Trybunał, dane są przechowywane wyłącznie w celu zapewnienia, w stosownych przypadkach, dostępności danych dla właściwych organów krajowych(13). Innymi słowy, przechowywanie i dostęp do danych nie mogą być postrzegane odrębnie, ponieważ drugie jest zależne od pierwszego.

47.      Prawdą jest, że Trybunał zbadał już zgodność z art. 15 ust. 1 dyrektywy 2002/58 uregulowania krajowego dotyczącego samego dostępu przez właściwe organy krajowe do niektórych danych osobowych niezależnie od kwestii zgodności z tym przepisem przechowywania rozpatrywanych danych(14). Na niniejsze pytania prejudycjalne można byłoby zatem udzielić odpowiedzi abstrahując od kwestii, czy rozpatrywane dane były przechowywane zgodnie z przepisami prawa Unii.

48.      Pragnę jednak zauważyć przede wszystkim, że w wyroku Ministerio Fiscal(15) badanie przeprowadzone przez Trybunał w odniesieniu do zgodności z prawem Unii dostępu organów krajowych do pewnych danych osobowych odpowiada ściśle tym samym zasadom, co badanie, które Trybunał przeprowadza w odniesieniu do oceny zgodności z prawem Unii przechowywania tych danych. Trybunał odnosi się bowiem wyłącznie do orzecznictwa wypracowanego w tym ostatnim względzie w celu transponowania go do kwestii dostępu do danych osobowych. Innymi słowy, w braku badania zgodności z prawem Unii przechowywania niektórych danych badanie to zostaje przeniesione na etap badania kwestii dostępu do tych danych, tak że zgodność z prawem tego dostępu zależy in fine od zgodności z prawem przechowywania.

49.      Następnie Trybunał wyraźnie wskazał, że dostęp do danych osobowych może zostać przyznany tylko wtedy, gdy dane te są przechowywane przez dostawców usług łączności elektronicznej w sposób zgodny z art. 15 ust. 1 dyrektywy 2002/58(16) oraz że dostęp do danych osobowych przez osoby prywatne w celu umożliwienia wszczęcia przed sądami cywilnymi postępowania przeciwko naruszeniom prawa autorskiego jest zgodny z prawem Unii jedynie pod warunkiem, że dane te są przechowywane w sposób zgodny z tym przepisem(17).

50.      Wreszcie Trybunał orzeka niezmiennie, że dostęp do danych o ruchu i do danych o lokalizacji przechowywanych przez dostawców w zastosowaniu środka przyjętego na podstawie art. 15 ust. 1 dyrektywy 2002/58, co musi mieć miejsce w pełnym poszanowaniu warunków wynikających z orzecznictwa, w którym dokonano wykładni dyrektywy 2002/58, może co do zasady być uzasadniony jedynie celem interesu ogólnego, dla którego dostawcy ci zostali zobowiązani do takiego przechowywania(18). Innymi słowy, zgodność z prawem Unii dostępu organów krajowych do określonych danych osobowych jest całkowicie zależna od zgodności z prawem Unii przechowywania tych danych.

51.      Wynika z tego moim zdaniem, że analiza zgodności z prawem Unii uregulowania krajowego przewidującego dostęp przez organ krajowy do danych osobowych wymaga uprzedniego ustalenia zgodności z prawem Unii przechowywania tych danych.

52.      W tych okolicznościach rozpocznę moją analizę od przypomnienia orzecznictwa Trybunału dotyczącego kwestii przechowywania adresów IP przypisywanych do źródła połączenia w celu wykazania jego ograniczeń i zaproponowania dostosowanego schematu rozumienia rozpatrywanego uregulowania.

2.      Orzecznictwo Trybunału dotyczące wykładni art. 15 ust. 1 dyrektywy 2002/58 w odniesieniu do środków mających na celu przechowywanie adresów IP przypisanych do źródła połączenia

53.      W art. 5 ust. 1 dyrektywy 2002/58 ustanowiono zasadę poufności zarówno łączności elektronicznej („komunikacji [elektronicznej]” jako takiej i „komunikatów”), jak i związanych z nią danych o ruchu, co oznacza w szczególności zakaz – nałożony co do zasady na każdą osobę inną niż użytkownicy – przechowywania tych komunikatów i tych danych bez ich zgody(19).

54.      Jeśli chodzi o przetwarzanie i przechowywanie przez dostawców usług łączności elektronicznej danych o ruchu dotyczących abonentów i użytkowników, art. 6 dyrektywy 2002/58 przewiduje w ust. 1, że dane te muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu, zaś w ust. 2 uściśla, że dane o ruchu, które są niezbędne do celów naliczania opłat abonenta i opłat rozliczeń międzyoperatorskich, można przetwarzać tylko do końca okresu, w którym rachunek może być zgodnie z prawem zakwestionowany lub w którym można dochodzić zapłaty. W odniesieniu do danych dotyczących lokalizacji innych niż dane o ruchu art. 9 ust. 1 rzeczonej dyrektywy przewiduje, że dane te mogą być przetwarzane wyłącznie po spełnieniu pewnych warunków i po ich anonimizacji lub za zgodą użytkowników lub abonentów(20).

55.      Tak więc, przyjmując dyrektywę 2002/58, prawodawca Unii skonkretyzował prawa określone w art. 7 i 8 karty w taki sposób, że użytkownicy środków łączności elektronicznej mają prawo co do zasady oczekiwać, że ich łączność elektroniczna („komunikacja [elektroniczna]” jako taka i „komunikaty”) i związane z nią dane pozostaną anonimowe i nie będą mogły być rejestrowane bez ich zgody(21). Wobec tego dyrektywa ta nie ogranicza się do określenia ram dostępu do takich danych za pomocą gwarancji mających na celu zapobieganie nadużyciom, ale także ustanawia w szczególności zasadę zakazu ich przechowywania przez osoby trzecie.

56.      W tych okolicznościach, w zakresie, w jakim art. 15 ust. 1 dyrektywy 2002/58 pozwala państwom członkowskim przyjmować środki ustawodawcze mające na celu „ograniczenie zakresu” praw i obowiązków przewidzianych w szczególności w jej art. 5, 6 i 9, wynikających z zasad poufności komunikacji i zakazu przechowywania związanych z nią danych, przepis ten ustanawia wyjątek od ogólnej reguły przewidzianej w szczególności w tych art. 5, 6 i 9 i powinien zatem – zgodnie z utrwalonym orzecznictwem – być ściśle interpretowany. Taki przepis nie może zatem uzasadniać tego, że odstępstwo od zasadniczego obowiązku zapewnienia poufności łączności elektronicznej i danych z nią związanych, a w szczególności od zakazu przechowywania tych danych, przewidzianego w art. 5 wspomnianej dyrektywy, stanie się regułą, gdyż pozbawiłoby to ten przepis jego znaczenia(22).

57.      Jeśli chodzi o cele, które mogą uzasadniać ograniczenie praw i obowiązków przewidzianych w szczególności w art. 5, 6 i 9 dyrektywy 2002/58, Trybunał orzekł już, że wyliczenie celów dokonane w art. 15 ust. 1 zdanie pierwsze tej dyrektywy ma charakter wyczerpujący, wobec czego środek ustawodawczy przyjęty na podstawie tego przepisu powinien odpowiadać rzeczywiście i ściśle jednemu z tych celów(23).

58.      Ponadto z art. 15 ust. 1 zdanie trzecie dyrektywy 2002/58 wynika, że środki przyjmowane przez państwa członkowskie na podstawie tego przepisu muszą przestrzegać zasad ogólnych prawa Unii, do których należy zasada proporcjonalności, i zapewniać poszanowanie praw podstawowych gwarantowanych w karcie. W tym względzie Trybunał orzekł już, że nałożony przez państwo członkowskie na dostawców usług łączności elektronicznej w przepisach krajowych obowiązek przechowywania danych o ruchu w celu udzielenia właściwym organom krajowym dostępu do nich w razie potrzeby budzi wątpliwości co do zgodności nie tylko z art. 7 i 8 karty, dotyczącymi, odpowiednio, ochrony życia prywatnego oraz ochrony danych osobowych, lecz również z art. 11 karty, dotyczącym wolności wypowiedzi, ponieważ ta wolność stanowi jeden z istotnych fundamentów pluralistycznego i demokratycznego społeczeństwa, zaliczając się do wartości, na jakich zgodnie z art. 2 TUE opiera się Unia(24).

59.      Niemniej jednak w zakresie, w jakim art. 15 ust. 1 dyrektywy 2002/58 pozwala państwom członkowskim na ograniczenie praw i obowiązków przewidzianych w art. 5, 6 i 9 tej dyrektywy, przepis ten odzwierciedla okoliczność, że prawa ustanowione w art. 7, 8 i 11 karty nie wydają się stanowić prerogatyw o charakterze absolutnym, lecz należy je rozważać z uwzględnieniem ich funkcji społecznej. Jak bowiem wynika z art. 52 ust. 1 karty, dopuszcza ona ograniczenia wykonywania tych praw, o ile ograniczenia te są przewidziane ustawą, szanują istotę omawianych praw oraz – z zastrzeżeniem zasady proporcjonalności – są konieczne i rzeczywiście odpowiadają celom interesu ogólnego uznawanym przez Unię lub potrzebom ochrony praw i wolności innych osób. A zatem wykładnia art. 15 ust. 1 dyrektywy 2002/58 w świetle karty wymaga uwzględnienia również znaczenia praw ustanowionych w art. 3, 4, 6 i 7 karty oraz znaczenia, jakie mają cele ochrony bezpieczeństwa narodowego i walki z poważną przestępczością, przyczyniające się do ochrony praw i wolności innych osób(25), z których mogą wynikać pozytywne obowiązki ciążące na organach publicznych(26).

60.      W obliczu tych różnych obowiązków do podjęcia określonych działań należy zatem pogodzić ze sobą różne wchodzące w rachubę uzasadnione interesy i prawa. W tych ramach z samego brzmienia art. 15 ust. 1 zdanie pierwsze dyrektywy 2002/58 wynika, że państwa członkowskie mogą uchwalić środek stanowiący odstępstwo od zasady poufności komunikacji, gdy taki środek jest „niezbędny, właściwy i proporcjonalny w ramach społeczeństwa demokratycznego”, gdyż motyw 11 tej dyrektywy wskazuje w tym celu, iż środek tego rodzaju musi być „ściśle” proporcjonalny do zamierzonego celu(27).

61.      W tym względzie z orzecznictwa Trybunału wynika, że możliwość uzasadnienia przez państwa członkowskie ograniczenia praw i obowiązków przewidzianych w szczególności w art. 5, 6 i 9 dyrektywy 2002/58 należy oceniać poprzez przeprowadzenie badania wagi ingerencji, jaką stanowi takie ograniczenie, oraz sprawdzenie, czy znaczenie celu interesu ogólnego, do którego zmierza to ograniczenie, pozostaje w relacji do tej wagi(28).

62.      Pragnę ponadto zauważyć, że Trybunał rozróżnia w swoim orzecznictwie z jednej strony ingerencje wynikające z dostępu do danych, które jako takie dostarczają dokładnych informacji o rozpatrywanych przypadkach komunikacji elektronicznej, a zatem na temat życia prywatnego osoby, i w odniesieniu do których system przechowywania danych jest rygorystyczny, a z drugiej strony ingerencje wynikające z dostępu do danych, które mogą dostarczać takich informacji tylko wtedy, gdy zostaną powiązane z innymi danymi, takimi jak adresy IP(29).

63.      W odniesieniu w szczególności do adresów IP Trybunał wskazał zatem, że są one generowane bez związku z określonym przypadkiem komunikacji elektronicznej i służą przede wszystkim identyfikowaniu przez dostawców usług łączności elektronicznej osoby fizycznej będącej właścicielem urządzenia końcowego, poprzez które odbywa się komunikacja za pośrednictwem Internetu. I tak, skoro przechowywane są jedynie adresy IP źródła danego przypadku komunikacji elektronicznej, a nie adresy jej odbiorcy, ta kategoria danych wykazuje mniejszy stopień wrażliwości niż inne dane o ruchu(30).

64.      Trybunał podkreśla jednocześnie, że skoro adresy IP mogą być wykorzystywane w szczególności do wyczerpującego prześledzenia poruszania się internauty w sieci, a w konsekwencji jego działalności w Internecie, dane te pozwalają na ustalenie jego szczegółowego profilu oraz na wyciągnięcie dokładnych wniosków na temat życia prywatnego użytkownika. Tak więc przechowywanie i analizowanie wspomnianych adresów IP stanowi poważną ingerencję w prawa podstawowe ustanowione w art. 7 i 8 karty i może mieć zniechęcające skutki dla wykonywania wolności wypowiedzi zagwarantowanej w art. 11 karty(31).

65.      Jednakże zgodnie z utrwalonym orzecznictwem do celów koniecznego pogodzenia rozpatrywanych praw i uzasadnionych interesów, wymaganego przez orzecznictwo, należy uwzględnić okoliczność, że w przypadku przestępstwa popełnionego w Internecie adres IP może stanowić jedyny środek pozyskiwania dowodów umożliwiający ustalenie tożsamości osoby, której adres ten był przypisany w chwili popełnienia tego przestępstwa(32).

66.      Wobec tego Trybunał orzekł, że środek ustawodawczy przewidujący uogólnione i niezróżnicowane przechowywanie jedynie adresów IP przypisanych do źródła połączenia nie wydaje się co do zasady sprzeczny z art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 karty, oraz z art. 52 ust. 1 karty, ponieważ możliwość ta musi być uzależniona od ścisłego spełnienia przesłanek materialnych i proceduralnych, które winny regulować wykorzystywanie tych danych, i mając na uwadze, że ze względu na poważny charakter ingerencji, jaką pociąga za sobą to przechowywanie, jedynie walka z poważną przestępczością i zapobieganie poważnym zagrożeniom dla bezpieczeństwa publicznego mogą, podobnie jak ochrona bezpieczeństwa narodowego, uzasadniać tę ingerencję(33).

67.      Trybunał uściśla ponadto, że okres przechowywania nie może przekraczać okresu ściśle niezbędnego w świetle zamierzonego celu, a środek tego rodzaju powinien przewidywać ścisłe warunki i gwarancje dotyczące wykorzystywania tych danych(34).

3.      Ograniczenia orzecznictwa dotyczącego wykładni art. 15 ust. 1 dyrektywy 2002/58 w odniesieniu do przepisów mających na celu przechowywanie adresów IP przypisanych do źródła połączenia

68.      Rozwiązanie wypracowane przez Trybunał w odniesieniu do przepisów krajowych mających na celu przechowywanie adresów IP przypisanych do źródła połączenia, interpretowanych w świetle art. 15 ust. 1 dyrektywy 2002/58, wydaje się jednak wiązać z dwojakiego rodzaju zasadniczymi trudnościami.

a)      Kwestia zgodności z orzecznictwem dotyczącym udostępniania adresów IP przypisanych do źródła połączenia w ramach powództw o ochronę praw własności intelektualnej

69.      W pierwszej kolejności, jak już wskazałem w mojej opinii w sprawie M.I.C.M.(35), istnieje pewne napięcie między tą linią orzeczniczą a linią dotyczącą udostępniania adresów IP w ramach powództw o ochronę praw własności intelektualnej podmiotom tych praw, która akcentuje obowiązek zapewnienia przez państwa członkowskie podmiotom praw autorskich rzeczywistych możliwości dochodzenia roszczeń odszkodowawczych wynikających z naruszenia tych praw(36).

70.      Jeśli chodzi bowiem o tę drugą linię orzeczniczą, Trybunał orzeka w sposób utrwalony, że prawo Unii nie stoi na przeszkodzie ustanowieniu przez państwa członkowskie obowiązku przekazania prywatnym osobom danych osobowych w celu umożliwienia wszczęcia przed sądami cywilnymi postępowania przeciwko naruszeniom prawa autorskiego(37).

71.      Trybunał wskazuje w tym względzie, że możliwość ustanowienia przez państwa członkowskie obowiązku ujawnienia w ramach postępowań cywilnych danych osobowych wynika przede wszystkim z możliwości takiego ujawnienia w kontekście ścigania przestępstw(38), która została następnie rozszerzona na postępowania cywilne.

72.      Jednocześnie, jeśli chodzi o adresy IP, Trybunał wymaga jednak, aby dane te mogły być przechowywane jedynie w ramach walki z poważną przestępczością i zapobiegania poważnym zagrożeniom dla bezpieczeństwa publicznego(39).

73.      Próby pogodzenia tych dwóch linii orzeczniczych prowadzą moim zdaniem do nieodpowiednich rezultatów i nie są przekonujące.

74.      Z jednej strony, wbrew temu, co twierdził rząd francuski na rozprawie, zwalczanie naruszeń praw własności intelektualnej nie może być objęte zakresem walki z poważną przestępczością. Pojęcie „poważnej przestępczości” należy moim zdaniem interpretować w sposób autonomiczny. Nie może ono zależeć od koncepcji każdego państwa członkowskiego, gdyż w przeciwnym razie umożliwiłoby to obejście wymogów określonych w art. 15 ust. 1 dyrektywy 2002/58 w zależności od tego, czy państwa członkowskie przyjmują mniej lub bardziej szeroką koncepcję walki z poważną przestępczością. Tymczasem, jak już wskazałem, interesów związanych z ochroną praw własności intelektualnej nie można mylić z interesami leżącymi u podstaw walki z poważną przestępczością(40).

75.      Z drugiej strony, dopuszczenie przekazania adresów IP podmiotom praw własności intelektualnej w ramach postępowań mających za przedmiot ich ochronę, podczas gdy ich przechowywanie jest możliwe jedynie w ramach walki z poważną przestępczością, byłoby wyraźnie sprzeczne z orzecznictwem Trybunału dotyczącym przechowywania danych dotyczących połączeń i sprowadzałoby się do pozbawienia skuteczności (effet utile) warunków wymaganych do przechowywania takich danych, ponieważ w każdym razie można byłoby uzyskać do nich dostęp z innych powodów.

76.      Wynika z tego moim zdaniem, że przechowywanie adresów IP w celu ochrony praw własności intelektualnej oraz ich udostępnianie podmiotom tych praw w ramach postępowań mających za przedmiot tę ochronę może być sprzeczne z art. 15 ust. 1 dyrektywy 2002/58, zgodnie z jego wykładnią dokonaną w orzecznictwie Trybunału. Obowiązek przekazywania osobom prywatnym danych osobowych w celu umożliwienia wszczęcia przed sądami cywilnymi postępowania przeciwko naruszeniom prawa autorskiego, choć umożliwiony przez sam Trybunał, jest więc w tym samym czasie neutralizowany przez jego własne orzecznictwo dotyczące przechowywania adresów IP przez dostawców usług łączności elektronicznej.

77.      Takie rozwiązanie nie jest jednak satysfakcjonujące, ponieważ podważałoby równowagę różnych wchodzących w grę interesów, którą Trybunał starał się zachować, pozbawiając właścicieli praw własności intelektualnej głównego, jeśli nie jedynego sposobu zidentyfikowania sprawców naruszeń tych praw w Internecie. Stwierdzenie to prowadzi mnie do wyjaśnienia drugiej trudności, która może moim zdaniem wynikać z orzecznictwa Trybunału w odniesieniu do przepisów krajowych mających na celu przechowywanie adresów IP przypisanych do źródła połączenia, interpretowanych w świetle art. 15 ust. 1 dyrektywy 2002/58.

b)      Kwestia ryzyka systemowej bezkarności w odniesieniu do przestępstw popełnianych wyłącznie w Internecie

78.      Tak więc, w drugiej kolejności, jestem zdania, że rozwiązanie to jest źródłem praktycznych trudności. Jak podkreśla sam Trybunał, w przypadku przestępstwa popełnionego wyłącznie w Internecie adres IP może stanowić jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia tego przestępstwa.

79.      Niemniej jednak wydaje mi się, że element ten nie jest w pełni brany pod uwagę przy wyważaniu wchodzących w grę interesów. Skoro Trybunał ogranicza jednak możliwość przechowywania adresów IP do ram walki z poważną przestępczością, jednocześnie wyklucza on możliwość przechowywania tych danych w celu zwalczania przestępstw w ogólności, chociaż niektórym z tych przestępstw można zapobiec lub je wykryć czy ukarać ich sprawców jedynie dzięki wspomnianym danym.

80.      Innymi słowy, orzecznictwo Trybunału mogłoby prowadzić do pozbawienia organów krajowych jedynego środka identyfikującego sprawców przestępstw popełnionych w Internecie, nienależących jednak do poważnej przestępczości, takich jak naruszenia praw własności intelektualnej. Wynikałaby z tego de facto systemowa bezkarność w przypadku przestępstw popełnionych wyłącznie w Internecie, nie tylko zresztą samych naruszeń praw własności intelektualnej. Myślę w szczególności o aktach zniesławienia popełnionych w Internecie. Prawo Unii przewiduje wprawdzie nakazy przeciwko pośrednikom, których usługi są używane do popełniania takich przestępstw(41), jednak z orzecznictwa Trybunału wydaje się wynikać, że sami autorzy tych aktów mogliby nigdy nie być ścigani.

81.      Jestem zdania, że równowaga między różnymi wchodzącymi w grę interesami powinna być przedmiotem ponownej analizy, w przeciwnym razie należałoby zaakceptować okoliczność, że wiele przestępstw nigdy nie będzie ściganych.

82.      Te różne rozważania prowadzą mnie do zaproponowania Trybunałowi pewnego zniuansowania orzecznictwa dotyczącego przepisów krajowych mających na celu przechowywanie adresów IP, interpretowanych w świetle art. 15 ust. 1 dyrektywy 2002/58.

4.      Propozycja zniuansowania orzecznictwa Trybunału dotyczącego wykładni art. 15 ust. 1 dyrektywy 2002/58 w odniesieniu do przepisów mających na celu przechowywanie adresów IP przypisanych do źródła połączenia

83.      Biorąc pod uwagę powyższe rozważania, jestem zdania, że art. 15 ust. 1 dyrektywy 2002/58 należy interpretować w ten sposób, iż nie stoi on na przeszkodzie przepisom przewidującym uogólnione i niezróżnicowane przechowywanie adresów IP przypisanych do źródła połączenia przez okres ograniczony czasowo do tego, co ściśle konieczne, w celu zapobiegania przestępstwom popełnionym w Internecie, ich dochodzenia, wykrywania i ścigania – w odniesieniu do których adres IP stanowi jedyny środek dochodzeniowy pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia naruszenia.

84.      W tym względzie pragnę podkreślić, że propozycja taka nie podważa moim zdaniem wymogu proporcjonalności nałożonego wobec przechowywania danych, zważywszy na poważny charakter ingerencji w prawa podstawowe ustanowione w art. 7 i 8 karty, która wiąże się z tym przechowywaniem(42). Przeciwnie, propozycja ta czyni w pełni zadość temu wymogowi.

85.      Po pierwsze, ograniczenie praw i obowiązków przewidzianych w art. 5, 6 i 9 dyrektywy 2002/58, jakim jest przechowywanie adresów IP, służy realizacji celu leżącego w interesie ogólnym, pozostającego w związku z tym poważnym charakterem, a mianowicie zapobiegania, a także dochodzenia, wykrywania i ścigania przestępstw, o których mowa w przepisach, które w przeciwnym razie zostałyby pozbawione skuteczności.

86.      Po drugie, ograniczenie to odbywa się w granicach tego, co jest absolutnie konieczne. Takie przechowywanie jest bowiem ograniczone do konkretnych sytuacji, a mianowicie do przestępstw popełnionych w Internecie, w odniesieniu do których identyfikacja sprawcy może nastąpić jedynie za pomocą przypisanego mu adresu IP. Innymi słowy, nie chodzi o zezwolenie na uogólnione i niezróżnicowane przechowywanie danych bez dodatkowych warunków, lecz jedynie o umożliwienie ścigania nie przestępstw w ogóle, lecz przestępstw ściśle określonych.

87.      Jednakże, choć art. 15 ust. 1 dyrektywy 2002/58 nie stoi na przeszkodzie uogólnionemu i niezróżnicowanemu przechowywaniu adresów IP przypisanych do źródła połączenia w celu zapewnienia zapobiegania, dochodzenia, wykrywania i ścigania przestępstw popełnionych w Internecie, w odniesieniu do których adres IP stanowi jedyny środek dochodzenia pozwalający na identyfikację osoby, której ten adres był przypisany w chwili popełnienia przestępstwa, to jednak należy jeszcze wyjaśnić, że zgodnie z orzecznictwem możliwość ta powinna być uzależniona od „drobiazgowego spełnienia warunków materialnych i proceduralnych, które winny regulować wykorzystywanie tych danych”(43). Trybunał precyzuje również, że taki przepis „powinien przewidywać ścisłe warunki i gwarancje dotyczące wykorzystywania tych danych”(44).

88.      Innymi słowy, jak już podkreśliłem, przechowywanie danych i dostęp do nich nie mogą być postrzegane odrębnie. W tych okolicznościach, o ile możliwość udzielenia Hadopi dostępu do adresów IP nie jest z założenia sprzeczna z art. 15 ust. 1 dyrektywy 2002/58 w zakresie, w jakim dane te były przechowywane zgodnie z wymogami przewidzianymi w tym przepisie, o tyle w celu udzielenia odpowiedzi na pytania prejudycjalne przedłożone Trybunałowi konieczne jest jeszcze zbadanie, czy warunki uzyskania przez Hadopi dostępu do adresów IP przypisanych do źródła połączenia są same w sobie zgodne ze wspomnianym przepisem, w szczególności w odniesieniu do konieczności uprzedniej kontroli takiego dostępu przez sąd lub niezależny organ administracyjny.

89.      Zbadawszy wstępną kwestię przechowywania adresów IP przypisanych do źródła połączenia, przeprowadzę analizę dostępu do tych danych przez Hadopi w świetle art. 15 ust. 1 dyrektywy 2002/58.

5.      Dostęp Hadopi do danych dotyczących tożsamości cywilnej odpowiadających adresom IP

90.      Z orzecznictwa Trybunału wynika, że jeśli chodzi o cele mogące uzasadniać przepis krajowy stanowiący odstępstwo od zasady poufności łączności elektronicznej, dostęp do danych musi odpowiadać ściśle i obiektywnie jednemu z tych celów, a cel realizowany przez te przepisy musi pozostawać w związku z wagą ingerencji w prawa podstawowe, jaką pociąga za sobą ten dostęp(45).

91.      Ponadto, jak już wskazałem(46), dostęp do danych przechowywanych przez dostawców w zastosowaniu przepisów przyjętych na podstawie art. 15 ust. 1 dyrektywy 2002/58 może co do zasady być uzasadniony jedynie celem interesu ogólnego, dla którego owi dostawcy zostali zobowiązani do tego przechowywania(47).

92.      Trybunał orzekł zatem, zgodnie z zasadą proporcjonalności, że poważna ingerencja może być uzasadniona w zakresie zapobiegania przestępstwom, ich dochodzenia, wykrywania i ścigania jedynie przez cel polegający na zwalczaniu przestępczości, którą również można uznać za poważną(48).

93.      W tym względzie pragnę zauważyć, wbrew twierdzeniom rządu francuskiego i Komisji, że dostęp Hadopi do danych dotyczących tożsamości cywilnej odpowiadających adresowi IP stanowi poważną ingerencję w prawa podstawowe. Chodzi tu bowiem nie tylko o dostęp do danych dotyczących tożsamości cywilnej, które same w sobie są wrażliwe w niewielkim stopniu, lecz o powiązanie tych danych z szerszym zbiorem danych, a mianowicie adresem IP, i również, jak podkreślają skarżący w postępowaniu głównym, z fragmentem pliku pobranego z naruszeniem prawa autorskiego. Chodzi zatem o powiązanie tożsamości cywilnej danej osoby z treścią przeglądanego pliku i z adresem IP, za pomocą którego uzyskano do niego dostęp.

94.      Jednakże, podobnie jak jestem zdania, że należy dozwolić również na przechowywanie danych stanowiące poważną ingerencję w prawa podstawowe w celu zapewnienia zapobiegania, a także dochodzenia, wykrywania i ścigania przestępstw popełnionych w Internecie, w odniesieniu do których adres IP stanowi jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia przestępstwa(49), uważam, że dostęp do tych danych powinien zostać umożliwiony w celu realizacji tego samego celu, gdyż w przeciwnym razie trzeba byłoby zgodzić się na ogólną bezkarność przestępstw popełnianych wyłącznie w Internecie.

95.      Dostęp Hadopi do danych dotyczących tożsamości cywilnej związanych z adresem IP wydaje mi się zatem uzasadniony celem interesu ogólnego, dla którego dostawcy usług łączności elektronicznej zostali zobowiązani do tego przechowywania.

96.      W orzecznictwie Trybunału uściślono jednak, że przepisy krajowe regulujące dostęp właściwych organów do zatrzymanych danych o ruchu i danych o lokalizacji nie mogą ograniczać się do wymagania, aby dostęp organów do danych odpowiadał celowi, do którego zmierza to uregulowanie, ale muszą również przewidywać warunki materialne i proceduralne regulujące dostęp organów krajowych do rozpatrywanych danych(50).

97.      W szczególności Trybunał orzekł, że skoro powszechnego dostępu do wszelkich przechowywanych danych, niezależnie od jakiegokolwiek związku z realizowanym celem, nie można uważać za ograniczony do tego, co absolutnie konieczne, przepisy krajowe winny opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu właściwym organom krajowym do danych użytkowników, tak aby zweryfikować, że dostęp zostanie przyznany jedynie w odniesieniu do danych dotyczących osób podejrzewanych o planowanie, popełnianie czy też popełnienie poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo(51).

98.      I tak zgodnie z orzecznictwem w celu zagwarantowania w praktyce pełnego przestrzegania tych warunków konieczne jest, aby dostęp właściwych organów krajowych do przechowywanych danych był co do zasady uzależniony od uprzedniej kontroli sądu lub niezależnego organu administracyjnego(52).

99.      Pragnę jednak zauważyć, że Trybunał ustanowił tę konieczność uprzedniej kontroli dostępu do danych osobowych w szczególnych okolicznościach, które różnią się od niniejszej sprawy, obejmujących szczególnie poważne ingerencje w życie prywatne użytkowników usług łączności elektronicznej.

100. W każdym z wyroków, w których podkreślono ten wymóg, chodziło bowiem o przepisy krajowe umożliwiające dostęp do wszystkich danych o ruchu i danych o lokalizacji użytkowników w odniesieniu do wszystkich środków łączności elektronicznej(53) lub przynajmniej w odniesieniu do telefonii stacjonarnej i komórkowej(54). Dokładniej rzecz ujmując, chodziło o dostęp do „zbioru danych […], które mogą dostarczyć informacji o połączeniach wykonywanych przez użytkownika środka łączności elektronicznej lub o lokalizacji używanego przez niego urządzenia końcowego oraz umożliwić wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego”(55), a więc wymóg uprzedniej kontroli dostępu do tych danych przez sąd lub niezależny organ administracyjny istnieje moim zdaniem wyłącznie w tych okolicznościach.

101. Tymczasem, po pierwsze, dostęp Hadopi ogranicza się do powiązania danych dotyczących tożsamości cywilnej z używanym adresem IP i do przeglądanego w konkretnym momencie pliku, przy czym nie prowadzi to do umożliwienia właściwym organom prześledzenia ścieżki działań danego użytkownika w Internecie ani, co za tym idzie, wyciągnięcia precyzyjnych wniosków co do jego życia prywatnego poza znajomością konkretnych plików przeglądanych w momencie popełnienia naruszenia. Nie chodzi zatem o umożliwienie śledzenia wszystkich czynności danego użytkownika w Internecie.

102. Po drugie, dane te dotyczą wyłącznie osób, które – jak stwierdzono w protokołach sporządzonych przez uprawnione podmioty – popełniły czyny mogące stanowić uchybienie obowiązkowi przewidzianemu w art. L. 336‑3 CPI. Dostęp Hadopi do danych dotyczących tożsamości cywilnej powiązanych z adresami IP jest zatem ściśle ograniczony do tego, co jest konieczne do osiągnięcia zamierzonego celu, a mianowicie umożliwienia zapobiegania przestępstwom, ich dochodzenia, wykrywania i ścigania –popełnionych w Internecie, w odniesieniu do których adres IP stanowi jedyny środek dochodzeniowy pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia przestępstwa, w który wpisuje się mechanizm stopniowej odpowiedzi.

103. W tych okolicznościach jestem zdania, że art. 15 ust. 1 dyrektywy 2002/58 nie wymaga uprzedniej kontroli dostępu Hadopi do danych dotyczących tożsamości cywilnej powiązanych z adresami IP użytkowników przez sąd lub niezależny organ administracyjny.

104. Co więcej, pragnę zauważyć, jak podkreśla rząd francuski, że dostęp Hadopi do tych danych, choć nie podlega uprzedniej kontroli sądu lub niezależnego podmiotu, nie jest jednak zwolniony z wszelkiej kontroli, ponieważ plik przesłany przez Hadopi operatorom łączności elektronicznej jest tworzony codziennie przez zaprzysiężonego urzędnika z uzyskanego materiału, zweryfikowanego w sposób losowy za pomocą próbek przed włączeniem go do pliku(56). W szczególności należy zauważyć, że procedura stopniowej odpowiedzi podlega przepisom dyrektywy (UE) 2016/680(57). W związku z tym osobom fizycznym, do których odnosi się działanie Hadopi, przysługuje szereg gwarancji materialnych i proceduralnych przewidzianych w tej dyrektywie. Obejmują one prawo dostępu, sprostowania i usunięcia danych osobowych przetwarzanych przez Hadopi, a także możliwość wniesienia odwołania do niezależnego organu sprawującego kontrolę, a następnie, w razie potrzeby, zaskarżenia do sądu na zasadach ogólnych(58).

105. W związku z tym proponuję, aby na pytania prejudycjalne pierwsze i drugie odpowiedzieć, że art. 15 ust. 1 dyrektywy 2002/58 w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniu krajowemu pozwalającemu na przechowywanie danych przez dostawców usług łączności elektronicznej i na uzyskanie dostępu do nich przez organ administracyjny, któremu powierzono ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw w Internecie, ograniczonego do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, tak aby organ ten mógł zidentyfikować posiadaczy tych adresów podejrzanych o popełnienie tych naruszeń i aby mógł podjąć w razie potrzeby działania wobec nich, bez poddania tego dostępu uprzedniej kontroli sądu lub niezależnego organu administracyjnego, jeśli te dane stanowią jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia naruszenia.

B.      W przedmiocie pytania prejudycjalnego trzeciego

106. Poprzez pytanie prejudycjalne trzecie sąd odsyłający zmierza do ustalenia, czy w przypadku udzielenia odpowiedzi twierdzącej na pytania pierwsze i drugie oraz z uwagi na niewielki stopień wrażliwości danych dotyczących tożsamości cywilnej ścisłe ramy dostępu do danych oraz wymóg, aby nie zagrażać realizacji zadań publicznych powierzonych danemu organowi administracyjnemu, art. 15 ust. 1 dyrektywy 2002/58, w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 karty, należy interpretować w ten sposób, że stoi on na przeszkodzie temu, by uprzednia kontrola dostępu była przeprowadzana zgodnie z dostosowanymi procedurami, takimi jak przeprowadzanie zautomatyzowanej kontroli, w razie potrzeby pod nadzorem służby wewnętrznej organu dającego gwarancje niezależności i bezstronności w stosunku do urzędników odpowiedzialnych za to zbieranie.

107. Z brzmienia pytania prejudycjalnego trzeciego oraz z odpowiedzi pisemnej rządu francuskiego na pytania zadane przez Trybunał wynika, że dostosowane procedury kontroli, o których mowa w tym pytaniu, dotyczą nie mechanizmu kontroli istniejącego w prawie krajowym, lecz możliwych do obrania dróg, zmierzających do dostosowania w razie potrzeby francuskiego mechanizmu do wymogów stawianych przez prawo Unii.

108. Tymczasem zgodnie z utrwalonym orzecznictwem wniosek o wydanie orzeczenia w trybie prejudycjalnym nie ma na celu formułowania opinii o charakterze doradczym w odpowiedzi na ogólne lub hipotetyczne pytania, ale faktyczne zaspokojenie potrzeby nierozerwalnie związanej z rzeczywistym rozstrzygnięciem sporu dotyczącego prawa Unii(59).

109. Skoro pytanie prejudycjalne trzecie ma zatem moim zdaniem charakter hipotetyczny, należy je uznać za niedopuszczalne.

110. W każdym razie, w świetle odpowiedzi, jakiej proponuję udzielić na pytania prejudycjalne pierwsze i drugie, nie ma potrzeby udzielenia odpowiedzi na pytanie trzecie.

V.      Wnioski

111. W świetle całości powyższych rozważań proponuję, aby na pytania prejudycjalne zadane przez Conseil d’État (radę stanu, Francja) Trybunał udzielił następującej odpowiedzi:

Artykuł 15 ust. 1 dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywy o prywatności i łączności elektronicznej) w związku z art. 7, 8 i 11 oraz art. 52 ust. 1 Karty praw podstawowych Unii Europejskiej

należy interpretować w ten sposób, że:

nie stoi on na przeszkodzie uregulowaniu krajowemu pozwalającemu na przechowywanie danych przez dostawców usług łączności elektronicznej i na uzyskanie dostępu do nich przez organ administracyjny, któremu powierzono ochronę praw autorskich i praw pokrewnych przed naruszeniami tych praw w Internecie, ograniczonego do danych dotyczących tożsamości cywilnej odpowiadających adresom IP, tak aby organ ten mógł zidentyfikować posiadaczy tych adresów podejrzanych o popełnienie tych naruszeń i aby mógł podjąć w razie potrzeby działania wobec nich, bez poddania tego dostępu uprzedniej kontroli sądu lub niezależnego organu administracyjnego, jeśli te dane stanowią jedyny środek dochodzenia pozwalający na identyfikację osoby, której adres ten był przypisany w chwili popełnienia naruszenia.

Źródło:https://curia.europa.eu/juris/document/document.jsf?text=&docid=267623&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=331954