Retencja danych: oddalenie skargi w sprawie C-301/06, polska transpozycja dyrektywy

W Niemczech oraz w Szwecji organizacje zabiegające o prawa człowieka starają się wciąż walczyć z dyrektywą 2006/24/WE (chodzi o tzw. retencję danych telekomunikacyjnych i organizacje walczą raczej z transpozycjami dyrektywy). Wcześniej takie próby podejmowano również w Irlandii. Irlandia argumentowała, że dyrektywę przyjęto na błędnej podstawie traktatowej. Przy tej ostatniej próbie asystowało kilkadziesiąt organizacji pozarządowych z krajów unijnych. 10 lutego 2009 r. Trybunał Sprawiedliwości Wspólnot Europejskich oddalił skargę Irlandii. W Polsce zaś Sejm przyjął 19. marca ustawę o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw, która to ustawa stanowi implementację dyrektywy.

Zacznijmy od Polski. W Polsce implementacja dyrektywy o retencji danych telekomunikacyjnych miała pewne trudności (por. Transpozycja dyrektywy o retencji danych - kolejna próba, a wcześniej: Warto pamiętać o retencji danych i z lat wcześniejszych, poczynając od Dziś retencja spadła z porządku obrad Sejmu, klikając w kolejne linki do wcześniejszych doniesień), chociaż implementacja ta właśnie odbywa się za pomocą ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw. Można prześledzić proces legislacyjny związany z Rządowym projektem ustawy o zmianie ustawy - Prawo telekomunikacyjne oraz niektórych innych ustaw.

19. marca odbyło się III czytanie projektu ustawy, a przyjętą ustawę przekazano Prezydentowi i Marszałkowi Senatu dzień później. Treść przyjętej ustawy dostępna jest na stronach Sejmu. Tam m.in. art. 176.: "Przedsiębiorca telekomunikacyjny jest obowiązany do wykonywania zadań i obowiązków na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego w zakresie i na warunkach określonych w niniejszej ustawie oraz w przepisach odrębnych". Jest tam również "kilka" innych przepisów (warto zwrócić uwagę na nowy art. 179 ust. 3, dodany ust. 3a, nowe brzmienie ust. 4, dodane ust. 4a-4c, dodany art. 180a, 180b, 180c, 180d, 180e, 180f i 180g...)

Ciekawostką jest to, że wniesionego przez rząd tekstu projektu ustawy na stronie sejmowej do tej pory nie ma, zaś ustawa jest już przyjęta przez Sejm (chociaż proces legislacyjny jeszcze nie nie zakończył)... Czyli - patrząc na to z punktu widzenia swobód obywatelskich i transparentności procesu legislacyjnego - obywatele mogą dowiedzieć się jaki jest efekt pracy niejako post factum...

W kwietniu 2008 roku 43 organizacje pozarządowe z 11 krajów europejskich, w tym The Open Rights Group, przedstawiły Trybunałowi Sprawiedliwości Wspólnot Europejskich argumenty (Submission concerning the action brought on 6 July 2006 Irland v Council of the European Union, European Parliament Case C-301/06 (PDF)), które wspierając skargę Irlandii zmierzały do podważenia dyrektywy pozwalającej na "blankietowe podsłuchiwanie komunikacji elektronicznej 494 Europejczyków". Organizacja Open Rights Group opublikowała wówczas notatkę Fighting the data retention directive.

Przypomnę kilka tekstów, które opublikowałem w czasie, gdy w Unii Europejskiej trwały prace nad dyrektywą oraz w chwili jej przyjmowania (w Polsce również wówczas pojawiły się pewne postulaty):

• Czy złamano procedurę unijną?
• Retencja przeszła w UE
• Głosowania w sprawie retencji - teraz
• EFF: najpierw musicie uzasadnić retencję
• Polska, Europa: jeszcze o retencji przed ostatecznymi rozstrzygnięciami
• Z linii frontu
• Wspólny przekaz
• Retencja danych - list otwarty
• W Polsce bez dyskusji
• Parlament Europejski: głosowanie w sprawie retencji danych
• PiS: oczekujemy przechowywania bilingów przez 15 lat
• LIBE zaakceptowało propozycję Komisji ze zmianami
• Dziś głosowanie w sprawie zbierania danych telekomunikacyjnych

Irlandia wniosła do Trybunału o stwierdzenie nieważności dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE (Dz.U. L 105, s. 54) z tego powodu, że nie została ona wydana na właściwej podstawie prawnej. Jednym z głównych argumentów było to, że wybranie art. 95 WE jako podstawy prawnej dyrektywy było błędem:

Ani ten artykuł, ani żadne inne postanowienie traktatu WE nie może jej zdaniem dostarczyć podstawy prawnej dla tej dyrektywy. To państwo członkowskie uważa zasadniczo, że głównym lub dominującym celem tej dyrektywy jest ułatwienie zapobiegania, dochodzenia, wykrywania i ścigania przestępstw, w tym także działalności terrorystycznej. W tej sytuacji jedyną podstawą prawną mogącą skutecznie uzasadnić środki zawarte w dyrektywie 2006/24 jest zdaniem tego państwa tytuł VI traktatu UE, w szczególności jego art. 30, art. 31 ust. 1 lit. c) oraz art. 34 ust. 2 lit. b).

W praktyce ten argument oznacza tyle, że należało wydać decyzję ramową, a ta przyjmowana jest przez Radę Unii Europejskiej jednogłośnie. Jeśli jednogłośnie, nie zaś w procedurze współdecyzji - wymaga to uzyskania kompromisów, a ostateczna treść nie jest tak radykalna...

Broniący się Parlament odpierał te argumenty:

...skarga Irlandii opiera się na wybiórczym odczytaniu przepisów dyrektywy 2006/24. Jego zdaniem w motywie 5 i 6 tej dyrektywy stwierdzono, iż głównym czy też dominującym celem tej dyrektywy jest usunięcie przeszkód dla wewnętrznego rynku łączności elektronicznej, a motyw 25 wspomnianej dyrektywy potwierdza, iż dostęp do zatrzymanych danych i ich wykorzystywanie nie należą do kompetencji wspólnotowej.

Trybunał wydał wyrok 10 lutego 2009 roku: Judgment of the Court (Grand Chamber) of 10 February 2009 - Ireland v European Parliament, Council of the European Union (Case C-301/06), w którym oddalił sprawę (dismisses the action).

W wywodzie Trybunału można przeczytać:

(...)
Tytułem wstępu należy zauważyć, że kwestia kompetencji Unii Europejskiej przedstawia się w różny sposób w zależności od tego, czy dana kompetencja została już przyznana Unii Europejskiej w szerokim znaczeniu, czy nie została jej jeszcze przyznana. W pierwszym przypadku chodzi o rozstrzygnięcie w przedmiocie podziału kompetencji w ramach Unii, a dokładnie o ustalenie, czy działania należy podejmować w drodze dyrektywy na podstawie traktatu WE, czy w drodze decyzji ramowej na podstawie traktatu UE. W drugim natomiast przypadku chodzi o rozstrzygnięcie w przedmiocie podziału kompetencji między Unię i państwa członkowskie, a dokładniej o ustalenie, czy Unia wkroczyła w kompetencje państw członkowskich. Niniejsza sprawa dotyczy obu tych sytuacji.

Należy również wskazać, że skarga Irlandii dotyczy wyłącznie wyboru podstawy prawnej, a nie ewentualnego naruszenia praw podstawowych wynikających z ingerencji w wykonywanie prawa do poszanowania życia prywatnego, jakie powoduje dyrektywa 2006/24.

Irlandia, popierana przez Republikę Słowacką, podnosi, że podstawą dyrektywy 2006/24 nie może być art. 95 WE, ponieważ jej „środkiem ciężkości” nie jest funkcjonowanie rynku wewnętrznego. Jej jedynym, a przynajmniej głównym celem jest jej zdaniem dochodzenie, wykrywanie i ściganie przestępstw.

Ze stanowiskiem tym nie sposób się zgodzić.

Zgodnie z utrwalonym orzecznictwem Trybunału wybór podstawy prawnej aktu wspólnotowego musi opierać się na obiektywnych czynnikach, które mogą zostać poddane kontroli sądowej, do których należą w szczególności cel i treść aktu (zob. w szczególności wyrok z dnia 23 października 2007 r. w sprawie C?440/05 Komisja przeciwko Radzie, Zb.Orz. s. I?9097, pkt 61 i przytoczone tam orzecznictwo).

Dyrektywa 2006/24 została przyjęta na podstawie traktatu WE, w szczególności jego art. 95.

Artykuł 95 ust. 1 WE przewiduje, że Rada przyjmuje środki dotyczące zbliżenia przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego.

Prawodawca wspólnotowy może skorzystać z art. 95 WE w szczególności w razie zaistnienia rozbieżności między przepisami krajowymi, jeżeli takie rozbieżności mogą naruszać podstawowe swobody lub powodować zakłócenia konkurencji i wywierać w ten sposób bezpośredni wpływ na funkcjonowanie rynku wewnętrznego (zob. podobnie wyrok z dnia 12 grudnia 2006 r. w sprawie C?380/03 Niemcy przeciwko Parlamentowi i Radzie, Zb.Orz. s. I?11573, pkt 37 i przytoczone tam orzecznictwo).

Ponadto, jakkolwiek zastosowanie art. 95 WE jako podstawy prawnej jest dopuszczalne w celu zapobieżenia przyszłym przeszkodom w wymianie handlowej wynikającym z rozbieżnej ewolucji uregulowań krajowych, to jednak wystąpienie tego rodzaju przeszkód musi być prawdopodobne, a wydane przepisy winny mieć na celu zapobieganie im (ww. wyrok w sprawie Niemcy przeciwko Parlamentowi i Radzie, pkt 38 i przytoczone tam orzecznictwo).

Należy ustalić, czy sytuacja, która doprowadziła do przyjęcia dyrektywy 2006/24, spełnia warunki przedstawione w dwóch punktach poprzedzających.

Jak wynika z motywu 5 i 6 omawianej dyrektywy, punktem wyjścia prawodawcy wspólnotowego było stwierdzenie, że istnieją rozbieżności prawne i techniczne między uregulowaniami krajowymi dotyczącymi zatrzymywania danych przez dostawców usług.

W tej kwestii materiał przedłożony Trybunałowi potwierdza, że w następstwie zamachów terrorystycznych wskazanych w pkt 36 niniejszego wyroku niektóre państwa członkowskie – zdając sobie sprawę, że dane dotyczące łączności elektronicznej stanowią skuteczny środek wykrywania i zwalczania przestępstw, w tym terroryzmu – wprowadziły na podstawie art. 15 ust. 1 dyrektywy 2002/58 przepisy nakładające na dostawców usług obowiązki związane z zatrzymywaniem takich danych.

Z akt sprawy wynika także, że obowiązki w zakresie zatrzymywania danych mają dla dostawców usług bardzo istotne skutki ekonomiczne, ponieważ mogą pociągać za sobą poważne inwestycje i koszty eksploatacji.

Materiał przedłożony Trybunałowi potwierdza, że przepisy krajowe wprowadzane do 2005 r. na podstawie art. 15 ust. 1 dyrektywy 2002/58 różniły się między sobą w sposób zasadniczy, w szczególności w odniesieniu do rodzaju zatrzymywanych danych i okresu ich zatrzymywania.

Wreszcie z łatwością można było przewidzieć, że te z państw członkowskich, które do tej pory nie posiadały uregulowań w sprawie zatrzymywania danych, wprowadzą w tej dziedzinie przepisy jeszcze wyraźniej akcentujące rozbieżności między różnymi istniejącymi przepisami krajowymi.

W świetle tych okoliczności okazuje się, że rozbieżności między różnymi przepisami krajowymi wprowadzanymi w dziedzinie zatrzymywania danych dotyczących łączności elektronicznej mogły mieć bezpośredni wpływ na funkcjonowanie rynku wewnętrznego i można było przewidywać, że wpływ ten będzie się pogłębiał.

Taka sytuacja uzasadniała wprowadzenie przez prawodawcę wspólnotowego zharmonizowanych przepisów w celu ochrony prawidłowego funkcjonowania rynku wewnętrznego.

Ponadto należy zauważyć, że przewidując zharmonizowany poziom zatrzymywania danych dotyczących komunikacji elektronicznej, dyrektywa 2006/24 zmieniła dyrektywę 2002/58.

Ta ostatnia dyrektywa została wprowadzona na podstawie art. 95 WE.

Zgodnie z art. 47 UE żadne z postanowień traktatu UE nie narusza postanowień traktatu WE. Ten sam wymóg został zawarty również w art. 29 akapit pierwszy UE, który stanowi wprowadzenie tytułu VI traktatu UE, zatytułowanego „Postanowienia o współpracy policyjnej i sądowej w sprawach karnych” (ww. wyrok w sprawie Komisja przeciwko Radzie, pkt 52).

Artykuł 47 UE, przewidując, iż żadne z postanowień traktatu UE nie narusza traktatów ustanawiających Wspólnoty Europejskie ani późniejszych traktatów i aktów je zmieniających lub uzupełniających, ma na celu – zgodnie z art. 2 tiret piąte UE i art. 3 akapit pierwszy UE – zachowanie i rozwój dorobku wspólnotowego (wyrok z dnia 20 maja 2008 r. w sprawie C?91/05 Komisja przeciwko Radzie, dotychczas nieopublikowany w Zbiorze, pkt 59).

Do Trybunału należy więc zapewnienie, żeby akty prawne, co do których Rada utrzymuje, iż objęte są tytułem VI traktatu UE, i które ze swej istoty mogą wywoływać skutki prawne, nie naruszały kompetencji przyznanych Wspólnocie na mocy postanowień traktatu WE (ww. wyrok z dnia 20 maja 2008r. w sprawie Komisja przeciwko Radzie, pkt 33 i przytoczone tam orzecznictwo).

Tak długo jak zmiana dyrektywy 2002/58 dokonana dyrektywą 2006/24 wchodzi w zakres kompetencji wspólnotowych, nie mogła ona zostać przeprowadzona na podstawie postanowienia traktatu UE, nie naruszając przy tym jego art. 47.

W celu ustalenia, czy prawodawca wybrał właściwą podstawę prawną dla przyjęcia dyrektywy 2006/24, należy jeszcze – jak wynika z pkt 60 niniejszego wyroku – zbadać treść jej przepisów.

W tej kwestii należy stwierdzić, że przepisy tej dyrektywy są zasadniczo ograniczone do działalności dostawców usług i nie regulują dostępu do danych ani ich wykorzystywania przez organy policyjne lub sądowe państw członkowskich.

Bardziej konkretnie przepisy dyrektywy 2006/24 mają na celu zbliżenie ustawodawstw państw członkowskich w zakresie obowiązku zatrzymywania danych (art. 3), kategorii danych przeznaczonych do zatrzymania (art. 5), okresu zatrzymania danych (art. 6), ochrony i bezpieczeństwa danych (art. 7) oraz wymogów dotyczących ich przechowywania (art. 8).

Środki przewidziane w dyrektywie 2006/24 nie oznaczają natomiast same w sobie interwencji natury karnej ze strony organów państw członkowskich. Jak wynika w szczególności z art. 3 tej dyrektywy, postanowiono w niej, że dostawcy usług powinni zatrzymywać jedynie te dane, które są generowane lub przetwarzane w trakcie świadczenia odnośnych usług łączności. Są to wyłącznie takie dane, które są ściśle związane z wykonywaniem działalności handlowej przez tych dostawców.

Dyrektywa 2006/24 reguluje zatem czynności niezależne od wdrożenia jakiegokolwiek ewentualnego działania w dziedzinie współpracy policyjnej i sądowej w sprawach karnych. Nie harmonizuje ona ani kwestii dostępu do danych ze strony organów krajowych właściwych w sprawach karnych, ani kwestii związanych z wykorzystaniem takich danych przez te organy i ich wymianą między nimi. Kwestie te, wchodzące co do zasady w zakres tytułu VI traktatu UE, zostały wyłączone z przepisów dyrektywy, na co wskazują w szczególności jej motyw 25 i art. 4.

Z powyższego wynika, że treść dyrektywy 2006/24 obejmuje zasadniczo działalność dostawców usług w danym sektorze rynku wewnętrznego, z wyłączeniem działań państwowych wchodzących w zakres tytułu VI traktatu UE.

Mając na względzie treść dyrektywy 2006/24, należy uznać, że w przeważającej mierze dotyczy ona funkcjonowania rynku wewnętrznego.

W obliczu takiego stwierdzenia Irlandia podnosi, że ww. wyrokiem w sprawie Parlament przeciwko Radzie i Komisji Trybunał stwierdził nieważność decyzji Rady 2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (Dz.U. L 183, s. 83 i – sprostowanie – Dz.U. 2005, L 255, s. 168).

W punkcie 68 ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji Trybunał stwierdził, że porozumienie to dotyczyło tego samego przekazywania danych co decyzja Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych (Dz.U. L 235, s. 11).

Decyzja ta dotyczyła przekazywania danych pasażerów lotniczych pochodzących z systemów rezerwacji przewoźników lotniczych położonych na terytorium państw członkowskich do Biura Celnego i Ochrony Granic Stanów Zjednoczonych. Trybunał stwierdził, że przedmiotem tej decyzji było przetwarzanie danych, które nie było niezbędne w celu świadczenia usług, lecz uznane zostało za niezbędne w celu ochrony bezpieczeństwa publicznego oraz w celu zwalczania przestępczości. W pkt 57–59 ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji Trybunał orzekł, że takie przetwarzanie danych wchodzi w zakres art. 3 ust. 2 dyrektywy 95/46, zgodnie z którym dyrektywa ta nie stosuje się w szczególności do przetwarzania danych w celu ochrony bezpieczeństwa publicznego oraz w ramach działalności państwa w zakresie prawa karnego. Trybunał stwierdził zatem, że decyzja 2004/535 nie wchodziła w zakres zastosowania dyrektywy 95/46.

Skoro porozumienie będące przedmiotem decyzji 2004/496 dotyczyło, tak samo jak decyzja 2004/535, przetwarzania danych wyłączonego z zakresu stosowania dyrektywy 95/46, Trybunał orzekł, że decyzja 2004/496 nie mogła zostać zgodnie z prawem wydana na podstawie art. 95 WE (ww. wyrok w sprawie Parlament przeciwko Radzie i Komisji, pkt 68 i 69).

Takie rozważania nie przekładają się na dyrektywę 2006/24.

W odróżnieniu bowiem od decyzji 2004/496, która dotyczyła przekazywania danych osobowych w ramach zakreślonych przez władze publiczne w celu zapewnienia bezpieczeństwa publicznego, dyrektywa 2006/24 dotyczy działalności dostawców usług na rynku wewnętrznym i w żaden sposób nie reguluje działań władz publicznych w celach prawnokarnych.

Wynika stąd, że argumenty, jakie Irlandia wywodzi z faktu stwierdzenia nieważności decyzji 2004/496 ww. wyrokiem w sprawie Parlament przeciwko Radzie i Komisji, nie zasługują na uwzględnienie.
(...)

Teraz zaś the Open Rights Group opublikowała tekst Data retention endangers democracy, w którym informuje, że toczą się jeszcze batalie prawne w Niemczech i w Szwecji, gdzie jeszcze nie implementowano postanowień dyrektywy do krajowego porządku prawnego. Zwraca również uwagę na to, że Trybunał odrzucił skargę Irlandii zarzucającej złą podstawę prawną przyjęcia dyrektywy, ale Trybunał "pozostawił furtkę" podważenia dyrektywy na gruncie ochrony praw człowieka.

Przeczytaj również:

• Parlament Europejski dostrzegł "prawa fundamentalne" w walce z cyber-przestępczością
• Firmy antywirusowe w rozkroku wobec wizji policyjnych włamań
• Zdalne przeszukanie komputerów (niemieckich) obywateli - cd. dyskusji
• Wyrok ETPCz: prawo dochodzenia roszczeń w przypadku naruszenia prywatności
• Skanowanie "tradycyjnej poczty" ze względu na bezpieczeństwo państwa
• Inwigilacja w Wielkiej Brytanii - projekt centralnej bazy danych na temat komunikacji elektronicznej obywateli
• Państwa chcą wiedzieć więcej
• "Szwedzi witają nowy porządek", czyli retencja danych "na granicach"
• Zdalna inwigilacja komputerów obywateli i rozstrzygnięcie niemieckiego Trybunału Konstytucyjnego
• ETS: nie muszą przekazywać danych w celu zapewnienia ochrony praw autorskich w ramach postępowania cywilnego
• ETPCz o inwigilacji obywateli, prawach człowieka i bułgarskiej ustawie
• Konflikt: czynności operacyjne policji – prawa zasadnicze jednostki
• Sąd Najwyższy o podsłuchach: tylko konkretnych ludzi i tylko przy najcięższych przestępstwach
• Walka z terroryzmem, ale nie kosztem prywatności
• Rząd nielegalnie podsłuchuje obywateli - stwierdził amerykański sąd
• Sprawa EFF przeciwko AT&T - bitwa o prywatność obywateli
• Jak podsłuchiwano polityków w Grecji