Odliczamy do RODO

Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawie retencji danych (sprawy połączone C-203/15 i C-698/15)

Metadane
Podmiot udostępniający: Departament Edukacji Społecznej i Współpracy Międzynarodowej Biura GIODO
Wytworzył informację: Urszula Góral
Wprowadził‚ informację: Ania Zawiła 2016-12-21 15:12:52
Ostatnio modyfikował: Ania Zawiła 2016-12-21 15:58:18

W dniu 21 grudnia 2016 r. Trybunał Sprawiedliwości Unii Europejskiej wydał wyrok w sprawach połączonych C-203/15 Tele2 Sverige AB/ Post-ochtelestyrelsen i C-698/15 Secretary of State for the Home Department/Tom Watson i in., w którym stwierdził, że państwa członkowskie nie mogą nakładać na operatorów telekomunikacyjnych ogólnego obowiązku zatrzymywania danych.

TSUE wskazał, że prawo UE zabrania masowego zatrzymywania wszystkich danych dotyczących ruchu w sieci i lokalizacji. Tym niemniej państwa członkowskie mają możliwość wprowadzenia przepisów prawa, które pozwalają na retencję niektórych danych w celu zwalczania poważnej przestępczości. Jednak możliwość zatrzymania danych, zarówno w odniesieniu do zakresu danych, środków komunikacji, osób, których dane dotyczą, a także okresu retencji, musi być ograniczona tylko do tego co jest bezwzględnie konieczne. Dodatkowo prawo krajowe musi przewidywać warunki dostępu organów krajowych do zatrzymanych danych, w tym uprzednią kontrolę dostępu przez niezależny organ oraz obowiązek przechowywania danych na terytorium UE.

Należy przypomnieć, że TSUE w wyroku w sprawie Digital Rights Ireland z 2014 r. stwierdził nieważność dyrektywy 2006/24/WE w sprawie zatrzymywania generowanych lub przetworzonych danych w związku ze świadczeniem ogólnie dostepnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE, tzw. dyrektywy retencyjnej, gdyż ingerencja w prawa podstawowe wynikająca z ogólnego obowiązku zatrzymywania danych o ruchu oraz danych dotyczących lokalizacji wykracza poza to, co jest bezwzględnie konieczne. W następstwie wydania wyroku Digital Rights Ireland do TSUE wpłynęły dwie sprawy dotyczące nałożonego w Szwecji i w Zjednoczonym Królestwie na podmioty świadczące usługi telekomunikacyjne ogólnego obowiązku zatrzymywania danych dotyczących łączności elektronicznej, który to obowiązek został ustanowiony w unieważnionej dyrektywie retencyjnej.

W konsekwencji TSUE orzekł w tych sprawach, że krajowe przepisy prawne państw członkowskich, które przewidują masowe zatrzymywanie wszystkich danych o ruchu i lokalizacji są niezgodne z prawem Unii Europejskiej. Jednocześnie TSUE wskazał, że wszystkie przyjęte środki krajowe dotyczące zatrzymywania danych i dostępu do nich dla organów ścigania, wchodzą w zakres dyrektywy 2002/58/WE dotyczacej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej tzw. dyrektywa o prywatności. Nalezy przypomnieć, że dyrektywa o prywatności przewiduje mozliwość wprowadzenia pewnych ograniczeń poufności komunikacji, tym niemniej wyjatki te nie moga być regułą i nie mogą dotyczyć wszytskich danych.  

Dodatkowo TSUE uznał ingerencję będącą wynikiem stosowania przepisów krajowych przewidujących zatrzymywanie danych o ruchu i o lokalizacji za szczególnie poważną, ale może ona być uzasadniona ze względu na konieczność zwalczania poważnej przestępczości. Tym niemniej przepisy krajowe  mogą ustanawiać obowiązek indywidualnego zatrzymywania danych w celu zwalczania poważnej przestępczości, pod warunkiem, że takie zatrzymywanie w zakresie dotyczącym danych podlegających zatrzymywaniu, stosowanych środków łączności, kręgu zaangażowanych osób oraz przyjętego okresu przechowywania danych − nie będzie wykraczać poza to, co jest absolutnie konieczne.

 Zdaniem Trybunału wszystkie przyjęte w tym względzie przepisy muszą być jednoznaczne i szczegółowe oraz przewidywać gwarancje wystarczające do tego, aby chronić te dane przed ryzykiem ich nadużycia. W szczególności takie przepisy powinny opierać się na obiektywnych elementach umożliwiających namierzenie osób, których dane mogą mieć związek z poważną przestępczością. W zakresie dotyczącym dostępu odpowiednich organów krajowych do przechowywanych danych TSUE stwierdził, że przepisy krajowe nie mogą ograniczać się do ustanowienia jedynie  wymogu, by dostęp ten uwzględniał jeden z realizowanych przez dyrektywę celów, polegający na prowadzeniu walki z poważną przestępczością. Muszą one też ustanawiać materialne i proceduralne warunki takiego dostępu. Przepisy te powinny opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu do tych danych właściwym organom krajowym.

Uwzględniając cel polegający na zwalczaniu poważnej przestępczości, dostęp ten może co do zasady zostać przyznany jedynie odnośnie do danych dotyczących osób podejrzewanych o planowanie, popełnianie czy też dopuszczenie się już poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo. Trybunał uznał ponadto za istotne, aby dostęp do przechowywanych danych podlegał, za wyjątkiem pilnych przypadków, uprzedniej kontroli sprawowanej przez sąd lub inny niezależny organ.

Uwzględniając ilość tych danych, ich znaczenie oraz niebezpieczeństwo związane z uzyskaniem bezprawnego do nich dostępu, przepisy krajowe powinny ustanawiać obowiązek ich przechowywania na obszarze Unii, a także – obowiązek ich nieodwracalnego niszczenia po upływie okresu ich przechowywania.

Pełna treść wyroku w języku angielskim dostępna jest na stronie internetowej Trybunału Sprawiedliwości.

 

Serwisy GIODO:

Ostatnie aktualności