C-301/06
Opinia rzecznika generalnegoTSUE2008-10-14CELEX: 62006CC0301ECLI:EU:C:2008:558
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy art. 95 WE stanowi właściwą podstawę prawną dla dyrektywy 2006/24/WE w sprawie zatrzymywania danych generowanych lub przetwarzanych w związku ze świadczeniem usług łączności elektronicznej, czy też powinna ona być oparta na tytule VI traktatu UE dotyczącym współpracy policyjnej i sądowej w sprawach karnych?Ratio decidendi
Rzecznik Generalny uznał, że dyrektywa 2006/24/WE została słusznie przyjęta na podstawie art. 95 WE, ponieważ jej celem jest harmonizacja przepisów państw członkowskich dotyczących obowiązków dostawców usług łączności elektronicznej w zakresie zatrzymywania danych. Rozbieżności w krajowych regulacjach dotyczących zatrzymywania danych stanowiły przeszkodę dla wewnętrznego rynku łączności elektronicznej, uzasadniając działanie prawodawcy wspólnotowego w celu poprawy jego funkcjonowania. Mimo że dyrektywa jest motywowana walką z przestępczością, jej przepisy koncentrują się na technicznym aspekcie zatrzymywania danych przez operatorów, a nie na dostępie do tych danych przez organy ścigania, co należałoby do trzeciego filaru. Art. 47 UE daje pierwszeństwo prawu wspólnotowemu, jeśli akt mógłby być przyjęty na jego podstawie.Stan faktyczny
Irlandia wniosła skargę o stwierdzenie nieważności dyrektywy 2006/24/WE w sprawie zatrzymywania danych generowanych lub przetwarzanych w związku ze świadczeniem usług łączności elektronicznej. Irlandia, popierana przez Republikę Słowacką, argumentowała, że jedyną właściwą podstawą prawną dla tej dyrektywy jest tytuł VI Traktatu o Unii Europejskiej (współpraca policyjna i sądowa w sprawach karnych), a nie art. 95 WE (rynek wewnętrzny), ponieważ głównym celem dyrektywy jest zwalczanie poważnych przestępstw. Parlament Europejski i Rada Unii Europejskiej, popierane przez Królestwo Hiszpanii, Królestwo Niderlandów, Komisję Europejską oraz Europejskiego Inspektora Ochrony Danych, twierdziły, że dyrektywa ma na celu harmonizację przepisów krajowych w celu usunięcia przeszkód na rynku wewnętrznym, a jej przepisy nie dotyczą bezpośrednio dostępu do danych przez organy ścigania.Rozstrzygnięcie
Rzecznik Generalny proponuje, aby Trybunał oddalił skargę Irlandii. Proponuje również, aby Irlandia została obciążona kosztami postępowania, a Królestwo Hiszpanii, Królestwo Niderlandów, Republika Słowacka, Komisja Wspólnot Europejskich oraz Europejski Inspektor Danych Osobowych poniosły własne koszty.Pełny tekst orzeczenia
OPINIA RZECZNIKA GENERALNEGO
YVES’A BOTA
przedstawiona w dniu 14 października 2008 r.(1)
Sprawa C‑301/06
Irlandia
przeciwko
Parlamentowi Europejskiemu,
Radzie Unii Europejskiej
Skarga o stwierdzenie nieważności – Dyrektywa 2006/24/WE – Łączność elektroniczna – Zatrzymywanie danych – Wybór podstawy prawnej – Artykuł 95 WE – Tytuł VI traktatu UE
1. Sprawy dotyczące wyboru podstawy prawnej były ostatnio przedmiotem licznych wyroków, w których Trybunał dokonywał rozgraniczenia
między dziedzinami mieszczącymi się w ramach kompetencji Wspólnoty Europejskiej oraz kompetencji Unii Europejskiej(2).
2. Rozdzielenie kompetencji w ramach struktury konstytucyjnej obejmującej trzy filary, a mianowicie filar wspólnotowy oraz dwa
filary oparte zasadniczo na współpracy międzyrządowej, wywołuje tego rodzaju spory, w których Trybunał ma trudne i delikatne
zadanie wytyczenia linii demarkacyjnej pomiędzy dziedzinami działalności należącymi do prawodawcy wspólnotowego a dziedzinami
przyznanymi prawodawcy Unii.
3. W niniejszej sprawie do Trybunału zwrócono się z wnioskiem o określenie granicy pomiędzy filarem wspólnotowym a trzecim filarem,
czyli tytułem VI traktatu o Unii Europejskiej dotyczącym współpracy policyjnej i sądowej w sprawach karnych.
4. W swojej skardze Irlandia wnosi do Trybunału o stwierdzenie nieważności dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady
z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych
usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE(3) z uwagi na to, że nie została ona przyjęta na odpowiedniej podstawie prawnej.
5. Irlandia, popierana przez Republikę Słowacką, uważa bowiem, iż jedyna podstawa prawna, w oparciu o którą można w sposób ważny
przyjąć przepisy zawarte w dyrektywie 2006/24, znajduje się nie w art. 95 WE, lecz w ramach tytułu VI Traktatu o Unii Europejskiej
dotyczącego współpracy policyjnej i sądowej w sprawach karnych, a w szczególności w art. 30 UE, 31 ust. 1 lit. c) UE oraz
art. 34 ust. 2 lit. b) UE.
6. W niniejszej opinii przedstawię przyczyny, dla których uważam, iż prawodawca wspólnotowy słusznie przyjął art. 95 WE jako
podstawę prawną dla przyjęcia dyrektywy 2006/24.
I – Ramy prawne
7. Zgodnie z art. 47 UE:
„Z zastrzeżeniem postanowień zmieniających Traktat ustanawiający Europejską Wspólnotę Gospodarczą w celu ustanowienia Wspólnoty
Europejskiej, Traktat ustanawiający Europejską Wspólnotę Węgla i Stali oraz Traktat ustanawiający Europejską Wspólnotę Energii
Atomowej, żadne z postanowień końcowych niniejszego Traktatu w niczym nie narusza Traktatów ustanawiających Wspólnoty Europejskie
oraz późniejszych traktatów i aktów je zmieniających lub uzupełniających”.
8. Artykuł 95 ust. 1 WE stanowi:
„1. Na zasadzie odstępstwa od artykułu 94 i z zastrzeżeniem, że niniejszy traktat nie stanowi inaczej, do urzeczywistnienia
celów określonych w artykule 14 stosuje się następujące postanowienia. Rada, stanowiąc zgodnie z procedurą określoną w artykule 251
i po konsultacji z Komitetem Ekonomiczno-Społecznym, przyjmuje środki dotyczące zbliżenia przepisów ustawowych, wykonawczych
i administracyjnych państw członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego”.
9. To właśnie na podstawie art. 95 WE zostały przyjęte trzy następujące dyrektywy:
– dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych i swobodnego przepływu tych danych(4);
– dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony
prywatności w sektorze łączności elektronicznej (dyrektywa dotycząca prywatności i łączności elektronicznej)(5) oraz
– dyrektywa 2006/24.
A – Dyrektywa 95/46
10. Dyrektywa 95/46 ustanawia przepisy dotyczące przetwarzania danych osobowych w celu ochrony wolności i podstawowych praw osób
fizycznych, w szczególności ich życia prywatnego, równocześnie zapewniając swobodę przepływu tych danych w ramach Wspólnoty.
11. Artykuł 3 ust. 2 dyrektywy 95/46 przewiduje ograniczenie w przedmiotowym zakresie stosowania tej dyrektywy, ponieważ stanowi,
iż:
„Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
– w ramach działalności wykraczającej poza zakres prawa Wspólnoty, [takiej] jak [działalność], o któr[ej] stanowi tytuł V i VI
Traktatu o Unii Europejskiej, [i w każdym] razie [przetwarzania dotyczącego] bezpieczeństwa publicznego, obronności, bezpieczeństwa
państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa)
oraz działalności państwa w obszarach prawa karnego,
[…]”.
12. Zgodnie z brzmieniem art. 13 ust. 1 dyrektywy 95/46 zatytułowanym: „Zwolnienia i ograniczenia”:
„Państwo członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6
ust. 1, art. 10, 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
a) bezpieczeństwa narodowego;
b) obronności;
c) bezpieczeństwa publicznego;
d) działań prewencyjnych, prowadzonych czynności dochodzeniowo-śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie
zasad etyki w zawodach podlegających regulacji;
e) ważnego interesu ekonomicznego lub finansowego państwa członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi,
budżetowymi i podatkowymi;
f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach
wymienionych w punktach c)–e);
g) ochrony osoby, której dane dotyczą, oraz praw i wolności innych osób”.
B – Dyrektywa 2002/58
13. Dyrektywa 2002/58 została przyjęta w celu uzupełnienia dyrektywy 95/46 o przepisy szczególne w sektorze łączności elektronicznej.
14. Jak wynika z art. 1 ust. 1 dyrektywy 2002/58:
„Niniejsza dyrektywa harmonizuje przepisy państw członkowskich wymagane dla zapewnienia równoważnego poziomu ochrony podstawowych
praw i wolności, w szczególności prawa do prywatności, w odniesieniu do przetwarzania danych osobowych w sektorze łączności
elektronicznej oraz w celu zapewnienia swobodnego przepływu we Wspólnocie tego typu danych oraz urządzeń i usług łączności
elektronicznej”.
15. Podobnie jak art. 3 ust. 2 dyrektywy 95/46, art. 1 ust. 3 dyrektywy 2002/58 ustanawia ograniczenie w zakresie stosowania tej
dyrektywy, bowiem przewiduje, iż:
„Niniejsza dyrektywa nie ma zastosowania do działalności, która wykracza poza zakres Traktatu ustanawiającego Wspólnotę Europejską,
takiej jak działalność określona w tytułach V i VI Traktatu o Unii Europejskiej, ani w żadnym wypadku do działalności dotyczącej
bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (włączając dobrobyt gospodarczy państwa, gdy działalność odnosi
się do spraw bezpieczeństwa państwa) i działalności państwa w dziedzinie prawa karnego”.
16. Artykuły 5, 6 i 9 dyrektywy 2002/58/WE ustalają zasady odnoszące się do przetwarzania przez dostawców sieci i usług danych
o ruchu i lokalizacji generowanych w wyniku korzystania z usług łączności elektronicznej. Takie dane powinny zostać usunięte
lub uczynione anonimowymi, gdy nie są już potrzebne do celów transmisji komunikatu z wyjątkiem danych niezbędnych do naliczania
opłat i rozliczeń międzyoperatorskich. Niektóre dane, za zgodą abonenta, mogą być też przetwarzane w celach marketingowych
i świadczenia usług stanowiących wartość dodaną.
17. W szczególności art. 6 ust. 1 dyrektywy 2002/58 stanowi, iż:
„Dane o ruchu dotyczące abonentów i użytkowników przetwarzane i przechowywane przez dostawcę publicznej sieci łączności lub
publicznie dostępnych usług łączności elektronicznej muszą zostać usunięte lub uczynione anonimowymi, gdy nie są już potrzebne
do celów transmisji komunikatu, bez uszczerbku dla przepisów ust. 2, 3 i 5 niniejszego artykułu oraz art. 15 ust. 1”.
18. Zgodnie z art. 15 ust. 1 tejże dyrektywy:
„Państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków przewidzianych w art. 5,
6, 8 ust. 1–4, i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki niezbędne, właściwe i proporcjonalne w ramach
społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e. bezpieczeństwa państwa), obronności, bezpieczeństwa
publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw kryminalnych lub niedozwolonego używania systemów
łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE. W tym celu państwa członkowskie mogą, między
innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez określony czas uzasadnione na podstawie zasad
ustanowionych w niniejszym ustępie. Wszystkie środki określone w niniejszym ustępie są zgodne z ogólnymi zasadami prawa wspólnotowego,
w tym zasadami określonymi w art. 6 ust. 1 i 2 Traktatu o Unii Europejskiej”.
C – Dyrektywa 2006/24
19. Zgodnie z motywem 5 i 11 dyrektywy 2006/24:
„(5) Kilka państw członkowskich przyjęło przepisy przewidujące zatrzymywanie danych przez usługodawców w celu zapobiegania, dochodzenia,
wykrywania i ścigania przestępstw. Te przepisy krajowe różnią się od siebie w znacznym stopniu.
(6) Prawne i techniczne różnice pomiędzy przepisami krajowymi w zakresie zatrzymywania danych w celu zapobiegania, dochodzenia,
wykrywania i ścigania przestępstw stanowią przeszkodę dla wewnętrznego rynku łączności elektronicznej; usługodawcy napotykają
na różne wymogi odnośnie do rodzajów danych o ruchu i lokalizacji, które mają być zatrzymywane, oraz warunków i okresów zatrzymywania.
7) W konkluzjach z posiedzenia Rady ds. Wymiaru Sprawiedliwości i Spraw Wewnętrznych z dnia 19 grudnia 2002 r. podkreślono, że
z uwagi na znaczny wzrost możliwości, jakie daje łączność elektroniczna, dane odnoszące się do korzystania z łączności elektronicznej
są szczególnie ważne i w związku z tym stanowią istotne narzędzie służące zapobieganiu, dochodzeniu, wykrywaniu oraz ściganiu
przestępstw, zwłaszcza przestępczości zorganizowanej.
8) Przyjęta w dniu 25 marca 2004 r. przez Radę Europejską deklaracja w sprawie zwalczania terroryzmu zaleca Radzie zbadanie środków
w celu przyjęcia przepisów w sprawie zatrzymywania przez usługodawców danych o ruchu połączeń.
(9) Zgodnie z art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC) każdy ma prawo do poszanowania
swojego życia prywatnego i korespondencji. Władze publiczne mogą ingerować w to prawo jedynie w zgodzie z obowiązującym ustawodawstwem
i jeżeli jest to konieczne dla dobra społeczeństwa demokratycznego, między innymi w interesie bezpieczeństwa narodowego i publicznego,
w celu zapobiegania naruszaniu porządku lub przestępstwom bądź ochrony praw i swobód innych obywateli. Ponieważ zatrzymywanie
danych okazało się niezbędnym i skutecznym narzędziem egzekwowania prawa w śledztwach prowadzonych w niektórych państwach
członkowskich, a w szczególności dotyczących tak poważnych przypadków, jak przestępstwa zorganizowane i terroryzm, niezbędne
jest zagwarantowanie, że zatrzymywane dane przez pewien okres mogłyby być udostępniane organom odpowiedzialnym za egzekwowanie
prawa, zgodnie z warunkami określonymi w niniejszej dyrektywie. Przyjęcie instrumentu spełniającego wymogi art. 8 EKOPC, służącego
zatrzymywaniu danych, jest więc działaniem niezbędnym.
(10) W deklaracji z dnia 13 lipca 2005 r., potępiającej ataki terrorystyczne w Londynie, Rada podkreśla potrzebę możliwie szybkiego
przyjęcia wspólnych środków w sprawie zatrzymywania danych dotyczących połączeń.
(11) Zważywszy na znaczenie, jakie dane o ruchu i lokalizacji mają w dochodzeniu, wykrywaniu i ściganiu przestępstw, istnieje,
jak to wykazały badania i doświadczenia kilku państw członkowskich, potrzeba zapewnienia na poziomie europejskim zatrzymywania
przez pewien czas danych generowanych lub przetwarzanych przez dostawców dostępnej publicznie łączności elektronicznej lub
sieci łączności publicznej podczas świadczenia usług łączności, zgodnie z warunkami określonymi w niniejszej dyrektywie”.
20. W motywie 15 dyrektywy 2006/24 stwierdzono ponadto, iż:
„Dyrektywa 95/46/WE oraz dyrektywa 2002/58/WE w pełni się stosują do danych zatrzymywanych zgodnie z niniejszą dyrektywą […]”.
21. W świetle motywu 21 dyrektywy 2006/24:
„Jako że cele niniejszej dyrektywy, mianowicie harmonizacja obowiązków spoczywających na dostawcach, dotyczących zatrzymywania
pewnych danych, oraz zapewnienie dostępu do tych danych w celu dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych
w ustawodawstwie krajowym każdego państwa członkowskiego, nie mogą zostać osiągnięte w wystarczający sposób przez państwa
członkowskie, a mogą z uwagi na zasięg i skutki niniejszej dyrektywy zostać lepiej osiągnięte na poziomie wspólnotowym, Wspólnota
może przyjąć środki zgodnie z zasadą pomocniczości, przewidzianą w art. 5 Traktatu. Zgodnie z zasadą proporcjonalności, przewidzianą
w tym samym artykule, zakres niniejszej dyrektywy nie wykracza poza to, co jest konieczne dla osiągnięcia powyższych celów”.
22. Motyw 25 tej dyrektywy jest sformułowany w następujący sposób:
„Niniejsza dyrektywa pozostaje bez uszczerbku dla możliwości przyjmowania przez państwa członkowskie określonych przez nie
środków legislacyjnych dotyczących prawa dostępu i wykorzystania danych przez organy krajowe. Kwestie dostępu organów krajowych
do danych zatrzymywanych zgodnie z niniejszą dyrektywą w związku z działaniami, o których mowa w art. 3 ust. 2 tiret pierwsze
dyrektywy 95/46/WE, nie są objęte zakresem prawa wspólnotowego. Mogą one jednak podlegać przepisom krajowym lub działaniom
podejmowanym na mocy tytułu VI Traktatu o Unii Europejskiej, przy czym takie przepisy lub działania powinny zawsze być w pełni
zgodne z prawami podstawowymi, wynikającymi ze wspólnych tradycji konstytucyjnych państw członkowskich oraz gwarantowanymi
przez EK[O]PC. Artykuł 8 EK[O]PC, zgodnie z wykładnią Europejskiego Trybunału Praw Człowieka, wymaga, by ingerencja organów
publicznych w prawo do prywatności spełniała wymogi konieczności i proporcjonalności i w związku z tym służyła konkretnym,
wyraźnie określonym i uzasadnionym celom oraz była dokonywana w sposób adekwatny, odpowiedni i nie była nadmierna w stosunku
do swojego celu”.
23. Zgodnie z art. 1 ust. 1 dyrektywy 2006/24:
„Celem niniejszej dyrektywy jest zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych
usług łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie generowanych
lub przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw,
określonych w ustawodawstwie każdego państwa członkowskiego”.
24. Artykuł 3 tej dyrektywy ustanawia obowiązek zatrzymywania danych. Ustęp pierwszy tego artykułu ma następujące brzmienie:
„Na zasadzie odstępstwa od art. 5, 6 i 9 dyrektywy 2002/58/WE, państwa członkowskie przyjmują środki w celu zagwarantowania,
że dane określone w art. 5 niniejszej dyrektywy są zatrzymywane zgodnie z jej przepisami w stopniu, w jakim są generowane
lub przetwarzane na ich terenie przez dostawców ogólnie dostępnych usług łączności elektronicznej lub publicznej sieci łączności
w trakcie świadczenia odnośnych usług łączności”.
25. W odniesieniu do dostępu do zatrzymanych danych, art. 4 dyrektywy 2006/24 stanowi, iż:
„Państwa członkowskie podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane
jedynie właściwym organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania
dostępu do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone
w prawie krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego
prawa publicznego, w szczególności EKOPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka”.
26. Jeśli chodzi o okresy zatrzymywania, art. 6 tej dyrektywy przewiduje:
„Państwa członkowskie gwarantują, że wymienione w art. 5 kategorie danych są zatrzymywane na okresy nie krótsze niż 6 miesięcy
oraz nie dłuższe niż dwa lata od daty połączenia”.
27. Ponadto, w odniesieniu do wymogów dotyczących przechowywania zatrzymywanych danych, art. 8 dyrektywy 2006/24 stanowi:
„Państwa członkowskie gwarantują, że dane określone w art. 5 są zatrzymywane zgodnie z przepisami niniejszej dyrektywy, w sposób
umożliwiający przekazanie właściwym organom na ich wniosek zatrzymywanych danych i wszelkich informacji odnoszących się do
takich danych bez zbędnej zwłoki”.
28. Ze względu na obowiązek zatrzymywania danych ustanowiony w dyrektywie 2006/24, art. 11 tej dyrektywy wprowadza nowy ustęp
do art. 15 dyrektywy 2002/58. Ten ustęp jest sformułowany w następujący sposób:
„1a. Ustępu 1 nie stosuje się do danych, których zatrzymywanie jest wyraźnie wymagane na mocy dyrektywy 2006/24/WE […] dla
celów określonych w art. 1 ust. 1 tej dyrektywy”.
29. Wreszcie art. 12 dyrektywy 2006/24 ma następujące brzmienie:
„1. Państwo członkowskie znajdujące się w szczególnych okolicznościach, uzasadniających przedłużenie maksymalnego okresu zatrzymywania,
o którym mowa w art. 6, o ograniczony okres czasu, może podjąć niezbędne środki. Państwo członkowskie niezwłocznie powiadamia
Komisję oraz informuje pozostałe państwa członkowskie o środkach podjętych na podstawie tego artykułu, oraz wskazuje na przyczyny
ich podjęcia.
2. W ciągu sześciu miesięcy od powiadomienia, o którym mowa w ust. 1, Komisja przyjmuje lub odrzuca odnośne środki krajowe po
uprzednim zbadaniu, czy nie stanowią one środka arbitralnej dyskryminacji lub ukrytego ograniczenia w handlu pomiędzy państwami
członkowskimi oraz czy nie będą one stanowiły przeszkody dla funkcjonowania rynku wewnętrznego. W przypadku braku decyzji
Komisji w ciągu tego okresu środki krajowe zostają uznane za przyjęte.
[…]”.
II – Okoliczności powstania sporu
30. W dniu 28 kwietnia 2004 r. Republika Francuska, Irlandia, Królestwo Szwecji oraz Zjednoczone Królestwo Wielkiej Brytanii i Irlandii
Północnej przedstawiły Radzie projekt decyzji ramowej, która miałaby zostać przyjęta na podstawie art. 31 ust. 1 lit. c) UE
oraz art. 34 ust. 2 lit. b) Traktatu o Unii Europejskiej. Przedmiotem tego projektu było zatrzymywanie przetwarzanych i przechowywanych
danych w związku ze świadczeniem ogólnie dostępnych usług łączności lub danych przekazywanych za pośrednictwem publicznych
sieci łączności w celu przeciwdziałania, dochodzenia, wykrywania oraz ścigania przestępstw, w tym terroryzmu(6).
31. Mając na uwadze, iż ten projekt decyzji ramowej obejmował dwie części, a mianowicie, z jednej strony, obowiązek operatorów
zatrzymywania danych o ruchu dotyczących użytkowników ich usług przez określony czas, a z drugiej strony, obowiązki dotyczące
dostępu do tych danych i ich wymiany przez organy właściwe w sprawach karnych, Komisja opowiedziała się za przyjęciem art. 95 WE
jako podstawy prawnej środków ustanowionych w ramach pierwszej części wspomnianego projektu. W szczególności Komisja wskazała,
iż art. 47 UE nie pozwala na to, aby akt oparty na traktacie UE naruszał acquis communautaire, w tym przypadku dyrektywy 95/46
oraz 2002/58. Stojąc na stanowisku, iż określenie kategorii danych, które mają być zatrzymywane, oraz czasu ich zatrzymania
należy do prawodawcy wspólnotowego, Komisja zastrzegła sobie prawo przedstawienia projektu dyrektywy.
32. W dniu 21 września 2005 r. Komisja przyjęła projekt, opartej na art. 95 WE, dyrektywy Parlamentu Europejskiego i Rady w sprawie
zatrzymywania przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej oraz zmieniającej
dyrektywę 2002/58(7).
33. Na posiedzeniu w dniach 1 i 2 grudnia 2005 r. Rada uznała za właściwsze przyjęcie dyrektywy na podstawie traktatu WE aniżeli
kontynuowanie procedury przyjęcia decyzji ramowej.
34. W dniu 28 listopada 2005 r. komisja Parlamentu Europejskiego ds. wolności obywatelskich, sprawiedliwości i spraw wewnętrznych
zaaprobowała sprawozdanie dotyczące projektu dyrektywy(8). W dniu 14 grudnia 2005 r. Parlament przedstawił swoją opinię zgodnie z procedurą współdecydowania, ustanowioną w art. 251 WE(9).
35. Rada przyjęła większością kwalifikowaną dyrektywę 2006/24 na posiedzeniu w dniu 21 lutego 2006 r. Irlandia i Republika Słowacka
głosowały przeciwko przyjęciu tej dyrektywy.
III – Żądania stron
36. Irlandia wnosi do Trybunału o:
– stwierdzenie nieważności dyrektywy 2006/24 z uwagi na to, iż nie została ona przyjęta na odpowiedniej podstawie prawnej oraz
– obciążenie Rady i Parlamentu kosztami postępowania.
37. Parlament wnosi do Trybunału o:
– oddalenie skargi jako bezzasadnej oraz
– obciążenie skarżącej całością kosztów niniejszego postępowania,
– lub posiłkowo o stwierdzenie, iż zaskarżona dyrektywa obowiązuje do daty wejścia w życie nowego aktu.
38. Rada wnosi do Trybunału o:
– oddalenie skargi Irlandii o stwierdzenie nieważności dyrektywy 2006/24 oraz
– obciążenie Irlandii kosztami postępowania.
IV – Postępowanie przed Trybunałem
39. Postanowieniami z dnia 1 lutego 2007 r. Prezes Trybunału dopuścił Republikę Słowacką do udziału w sprawie w charakterze interwenienta
popierającego żądania strony skarżącej oraz Królestwo Hiszpanii, Królestwo Niderlandów, Komisję, jak również Europejskiego
Inspektora Ochrony Danych (zwanego dalej „EIOD”) do udziału w sprawie w charakterze interwenientów popierających żądania pozwanych.
V – Główne argumenty stron
40. Irlandia twierdzi, iż wybór art. 95 WE jako podstawy prawnej dyrektywy 2006/24 jest błędny. Zdaniem tego państwa członkowskiego,
ani art. 95 WE, ani żaden inny przepis traktatu WE nie mogą stanowić odpowiedniej podstawy prawnej dla tej dyrektywy.
41. Irlandia uważa przede wszystkim, iż jedynym lub, ewentualnie, podstawowym lub najważniejszym celem dyrektywy 2006/24 jest
ułatwienie dochodzenia, wykrywania i ścigania poważnych przestępstw, w tym również terroryzmu. W tej sytuacji, jak twierdzi
Irlandia, jedyna prawidłowa podstawa prawna wprowadzonych w tej dyrektywie środków znajduje się w tytule VI Traktatu o Unii
Europejskiej, a w szczególności w jego art. 30 UE, 31 ust. 1 lit. c) UE oraz art. 34 ust. 2 lit. b) UE.
42. Zdaniem skarżącej, analiza motywów (w szczególności motywów 7–11, a także 21) oraz podstawowych przepisów (w szczególności
art. 1 ust. 1) dyrektywy 2006/24 wskazuje, iż niewłaściwe jest przyjęcie art. 95 WE jako podstawy prawnej tej dyrektywy. Dyrektywa
ta jest bowiem w jasny sposób ukierunkowana na zwalczanie poważnych przestępstw.
43. Uznaje się, że działania podjęte na podstawie art. 95 WE powinny mieć za środek ciężkości zbliżenie przepisów krajowych w celu
ulepszenia funkcjonowania rynku wewnętrznego. Przepisy dyrektywy 2006/24 odnoszą się do zwalczania poważnych przestępstw i nie
mają na celu usuwania nieprawidłowości występujących na wewnętrznym rynku.
44. Ponadto, jeżeli Trybunał odmiennie od głównego żądania Irlandii miałby stwierdzić, iż celem dyrektywy 2006/24 jest między
innymi zapobieganie zakłóceniom konkurencji lub przeszkodom na wewnętrznym rynku, jej zdaniem cel ten powinien być uznany
za zdecydowanie drugorzędny w stosunku do podstawowego czy też najważniejszego wskazanego celu, jakim jest zwalczanie przestępczości.
45. Zdaniem tego państwa członkowskiego, prawodawca wspólnotowy nie jest upoważniony do przyjęcia na podstawie art. 95 WE dyrektywy
dokonującej zmian w celu wprowadzenia przepisów, które nie mieszczą się w ramach kompetencji przyznanej Wspólnocie zgodnie
z pierwszym filarem. Obowiązki mające na celu zapewnienie dostępu do danych w celu prowadzenia dochodzeń, wykrywania i ścigania
poważnych przestępstw należą do dziedziny, która może być regulowana wyłącznie w drodze aktu opartego na tytule VI traktatu
UE. Przyjęcie takiego aktu nie narusza zatem przepisów dyrektywy 2002/58 w rozumieniu art. 47 UE.
46. Ponadto Irlandia podnosi, iż art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 oraz art. 1 ust. 3 dyrektywy 2002/58 w sposób wyraźny
wyłączają z ich zakresu stosowania działania, które nie mieszczą się w ramach traktatu WE, dotyczące bezpieczeństwa publicznego,
obrony i bezpieczeństwa państwa jak również działania państwa w dziedzinach należących do prawa karnego. Dyrektywa 2006/24
nie zawiera żadnego wyłączenia tego rodzaju. Przeciwnie, dziedziny wyłączone z zakresu stosowania dyrektyw 95/46 i 2002/58
mieszczą się, zdaniem Irlandii, w zakresie stosowania dyrektywy 2006/24, jak to w sposób wyraźny wynika z art. 1 ust. 1 tej
ostatniej dyrektywy. Nawet jeśli nie może to mieć miejsca w stosunku do dyrektyw 95/46 i 2002/58, dopuszczalne jest zakwestionowanie
wyboru art. 95 WE jako podstawy prawnej dyrektywy 2006/24 ze względu na fakt objęcia tą dyrektywą dziedzin w sposób wyraźny
wyłączonych z dyrektyw wcześniejszych.
47. Okoliczność, iż dyrektywa 2006/24 nie zawiera przepisów, które przewidywałyby dostęp do danych w celu dochodzenia, wykrywania
i ścigania poważnych przestępstw, nie jest decydująca i nie stanowi przeszkody w przyjęciu przez Trybunał tego samego toku
rozumowania, którym Trybunał kierował się w ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji.
48. Wreszcie, w odniesieniu do wniosku Parlamentu, aby skutki ewentualnego wyroku stwierdzającego nieważność były ograniczone
w czasie, Irlandia podnosi, po pierwsze, iż takie stwierdzenie nieważności nie wiązałoby się z ryzykiem poważnych negatywnych
następstw gospodarczych oraz, po drugie, że pewność prawa nie wymaga utrzymania w mocy przepisów dyrektywy 2006/24 mimo jej
nieważności. W rezultacie Irlandia uważa, iż nie byłoby właściwe, aby Trybunał ograniczył w czasie skutki ewentualnego stwierdzenia
nieważności tej dyrektywy.
49. Republika Słowacka popiera stanowisko Irlandii. Uważa ona, iż art. 95 WE nie może stanowić podstawy prawnej dla dyrektywy
2006/24 z uwagi na to, iż podstawowym celem tej dyrektywy nie jest zniesienie barier i zakłóceń na rynku wewnętrznym. Dyrektywa
ta harmonizuje regulacje w zakresie zatrzymywania danych osobowych wykraczającego poza cele gospodarcze z zamiarem ułatwienia
działań państwa w dziedzinie prawa karnego. Z tego względu, nie może być ona przyjęta w ramach kompetencji Wspólnoty i to
niezależnie od faktu, czy akt wspólnotowy przewiduje przekazanie danych lub inną formę ich przetwarzania przez organy ścigania.
50. Zatrzymywanie danych osobowych w zakresie wymaganym w dyrektywie 2006/24 miałoby doprowadzić do istotnej ingerencji w prawo
jednostek do poszanowania życia prywatnego, podlegające ochronie zgodnie z art. 8 EKOPC. Wątpliwe byłoby, aby tak znaczna
ingerencja mogła być uzasadniona względami gospodarczymi, w tym przypadku lepszym funkcjonowaniem rynku wewnętrznego. Przyjęcie
aktu wykraczającego poza kompetencję Wspólnoty, którego podstawowym, a nie ukrytym celem byłoby zwalczanie przestępczości
i terroryzmu, stanowiłoby właściwsze rozwiązanie, dające bardziej odpowiednie uzasadnienie dla ingerencji w prawo jednostek
do poszanowania życia prywatnego.
51. Odmiennie aniżeli Irlandia, Republika Słowacka uważa, iż byłoby właściwe w przypadku stwierdzenia nieważności dyrektywy 2006/24,
aby Trybunał zawiesił skutki swojego wyroku aż do przyjęcia aktu zastępującego wspomnianą dyrektywę.
52. Zdaniem Parlamentu, skarga Irlandii jest oparta na niewłaściwej ocenie celu i treści dyrektywy 2006/24, jak również na błędnym
pojmowaniu kompetencji przyznanych Wspólnocie Europejskiej w ramach pierwszego filaru oraz kompetencji należących do Unii
Europejskiej w ramach trzeciego filaru, to znaczy tytułu VI traktatu UE.
53. Parlament podnosi, iż skarżąca analizuje przepisy dyrektywy 2006/24 w sposób wybiórczy. W motywie 5 i 6 tej dyrektywy stwierdzono,
iż podstawowym czy też najważniejszym celem tej dyrektywy jest usunięcie przeszkód dla wewnętrznego rynku łączności elektronicznej,
a motyw 25 wspomnianej dyrektywy potwierdza, iż dostęp do zatrzymanych danych i ich wykorzystywanie nie należą do kompetencji
Wspólnoty.
54. Artykuł 3 ust. 1 dyrektywy 2006/24 wprowadza odstępstwo od art. 5, 6 i 9 dyrektywy 2002/58, nakładając na dostawców usług
łączności elektronicznej obowiązek zatrzymywania danych, które wcześniej byli oni zobowiązani usunąć. Taka zmiana istniejących
obowiązków powinna być niewątpliwie wprowadzona na podstawie kompetencji mieszczących się w ramach pierwszego filaru, ponieważ
zastosowanie aktu z trzeciego filaru byłoby sprzeczne z art. 47 UE. Parlament zwraca również uwagę, iż podstawowe przepisy
dyrektywy 2006/24, czyli jej artykuły 5–8 bezsprzecznie mają na celu harmonizację warunków mających zastosowanie do zatrzymanych
danych.
55. Parlament wskazuje, iż w następstwie zamachów terrorystycznych, które miały miejsce w dniu 11 września 2001 r. w Stanach Zjednoczonych
Ameryki oraz późniejszych zamachów w Madrycie i Londynie, niektóre państwa członkowskie przyjęły lub miały zamiar przyjąć
znacząco różniące się między sobą regulacje w zakresie zatrzymywania danych. Takie różnice mogły utrudniać swobodny przepływ
danych osobowych pomiędzy państwami członkowskimi, a w rezultacie dostarczanie usług łączności elektronicznej.
56. Zatrzymywanie danych stanowi poważny koszt dla operatorów, których obowiązek ten dotyczy, i istnienie różnych przepisów w tej
dziedzinie mogłoby zniekształcać konkurencję na rynku wewnętrznym. Podstawowym celem dyrektywy 2006/24 jest harmonizacja obowiązków
nałożonych przez państwa członkowskie na dostawców usług łączności elektronicznej w zakresie zatrzymywania danych. Wynika
z tego, iż art. 95 WE stanowi właściwą podstawę prawną dla przyjęcia tej dyrektywy. Znaczenie nadane zwalczaniu przestępczości
nie sprzeciwia się oparciu tej dyrektywy na art. 95 WE. O ile zwalczanie przestępczości w sposób wyraźny wywarło wpływ na
rozwiązania przyjęte w dyrektywie 2006/24, to cel ten nie wpływa na wybór art. 95 WE jako podstawy prawnej tej dyrektywy.
57. Parlament zwraca również uwagę, iż dyrektywa 2006/24 nie zawiera żadnego przepisu, którego celem lub skutkiem byłoby udostępnianie
zatrzymanych danych lub zezwolenie na ich przetwarzanie w celach ścigania przestępczości, w przeciwieństwie do spraw zakończonych
ww. wyrokiem Parlament przeciwko Radzie i Komisji, w których przyznano dostęp organom ścigania państwa trzeciego. Ponadto
dyrektywa ta nie zawiera przepisów, które dotyczyłyby współpracy pomiędzy organami ścigania w rozumieniu art. 30 UE lub współpracy
pomiędzy organami sądowymi w rozumieniu art. 31 UE. Podsumowując, wspomniana dyrektywa nie zawiera żadnego przepisu, który
odnosiłby się do „działalności państwa w dziedzinie prawa karnego” w rozumieniu art. 1 ust. 3 dyrektywy 2002/58.
58. Zdaniem Parlamentu, o ile jest prawdą, iż przechowywanie danych osobowych jednostki może co do zasady stanowić naruszenie
w rozumieniu art. 8 EKOPC, to ingerencja ta może być uzasadniona w świetle tego artykułu ze względu na bezpieczeństwo publiczne
oraz zapobieganie przestępczości. Uzasadnienie to należy odróżnić od właściwego wyboru podstawy prawnej w ramach porządku
prawnego Unii, ponieważ jest to kwestia, z którą nie ma ono żadnego związku.
59. Wreszcie Parlament uważa, iż jeżeli Trybunał stwierdziłby nieważność dyrektywy 2006/24, to skutki tej dyrektywy powinny zostać
utrzymane, na podstawie art. 231 WE aż do daty przyjęcia aktu zastępującego tę dyrektywę. O ile bowiem skarżąca wnosi o stwierdzenie
nieważności tej dyrektywy ze względu na jej przyjęcie na nieodpowiedniej podstawie prawnej, to nie kwestionuje ona jej treści.
Utrzymanie skutków wspomnianej dyrektywy byłoby uzasadnione względami pewności prawa oraz w celu ochrony interesów osób, których
dyrektywa dotyczy.
60. Rada podnosi, iż w latach następujących po przyjęciu dyrektywy 2002/58, krajowe organy ścigania w coraz większym stopniu były
zaniepokojone wykorzystywaniem innowacji w dziedzinie usług łączności elektronicznej w celach przestępczych. Te zaistniałe
obawy skłoniły państwa członkowskie do przyjęcia regulacji zakazujących usuwania danych związanych z tą łącznością i do zapewnienia
dostępu do nich organom ścigania. Regulacje te wykazywały rozbieżności i zaczęły zakłócać prawidłowe funkcjonowanie rynku
wewnętrznego. Motywy 5 i 6 dyrektywy 2006/24 w sposób wyraźny się do tego odnoszą. Ta sytuacja doprowadziła prawodawcę wspólnotowego
do określenia w sposób ścisły i zharmonizowany warunków, których mają przestrzegać dostawcy usług w odniesieniu do ewentualnego
usuwania danych osobowych, o których mowa w art. 5 tej dyrektywy, wprowadzając w ten sposób wspólne reguły we Wspólnocie w celu
zapewnienia jednolitości na rynku wewnętrznym.
61. Rada uważa ponadto, iż o ile potrzeba zwalczania przestępczości, w tym terroryzmu, była czynnikiem decydującym o podjęciu
decyzji w sprawie zmiany zakresu praw i obowiązków przewidzianych w artykułach 5, 6 i 9 dyrektywy 2002/58, okoliczność ta
nie wyklucza, że dyrektywa 2006/24 powinna była zostać przyjęta na podstawie art. 95 WE. Ani art. 30 UE, 31 UE i 34 UE, ani
żaden inny artykuł traktatu UE nie może stanowić podstawy dla aktu, który zmienia obowiązki nałożone na operatorów w drodze
dyrektywy 2002/58, nie naruszając jednocześnie art. 47 UE.
62. Oprócz wskazania ograniczeń wynikających z art. 47 UE, Rada kwestionuje również, aby dziedzina regulowana w drodze dyrektywy
2006/24 mogła stanowić przedmiot aktu, który powinien być przyjęty zgodnie z tytułem VI traktatu UE, ponieważ dyrektywa ta
nie dotyczy organizacji współpracy, w szczególności pomiędzy siłami policyjnymi, organami celnymi oraz organami sądowymi,
ani też zbliżenia przepisów prawa karnego państw członkowskich.
63. Rada dodaje, iż prawa podlegające ochronie na podstawie art. 8 EKOPC nie mają charakteru absolutnego i mogą stanowić przedmiot
ograniczeń na warunkach przewidzianych w ust. 2 tego artykułu. Zatrzymywanie danych, tak jak zostało ono przewidziane w dyrektywie
2006/24, służy zaspokojeniu uzasadnionego interesu ogólnego, który został uznany w art. 8 ust. 2 EKOPC, i stanowi adekwatny
środek dla ochrony tego interesu.
64. Królestwo Hiszpanii oraz Królestwo Niderlandów popierają stanowisko Parlamentu i Rady, przedstawiając Trybunałowi argumenty
w zasadzie identyczne z argumentami przedstawionymi przez strony pozwane.
65. Komisja przypomina, iż przed przyjęciem dyrektywy 2006/24 liczne państwa członkowskie przyjęły w wykonaniu art. 15 ust. 1
dyrektywy 2002/58 krajowe środki dotyczące zatrzymywania danych. Podkreśla ona, iż pomiędzy tymi środkami występują istotne
rozbieżności. Przykładowo, okresy zatrzymania wynosiły od trzech miesięcy w Niderlandach do czterech lat w Irlandii. Obowiązki
dotyczące zatrzymywania danych miały istotne konsekwencje ekonomiczne dla dostawców usług. Rozbieżność pomiędzy tymi obowiązkami
może wywoływać poważne zakłócenia rynku. W tym kontekście prawidłowe było przyjęcie dyrektywy 2006/24 na podstawie art. 95 WE.
66. Dyrektywa ta ogranicza w sposób zharmonizowany na poziomie wspólnotowym obowiązki przewidziane w dyrektywie 2002/58. Ze względu
na fakt, iż ta ostatnia dyrektywa była przyjęta na podstawie art. 95 WE, zmieniająca ją dyrektywa 2006/24 również powinna
być oparta na tym samym artykule traktatu WE.
67. Komisja uważa również, odmiennie od tego, co wynika z argumentacji przedstawionej przez Irlandię, iż dyrektywę 2006/24 należy
rozumieć jako instrument ochrony danych, który mieści się w ramach prawnych ustanowionych w drodze dyrektyw 95/46 oraz 2002/58.
W szczególności, ważne jest, z punktu widzenia ochrony danych, dokonanie rozróżnienia pomiędzy przetwarzaniem, które nie mieści
się w ramach prawa wspólnotowego w oparciu o klauzulę wyłączenia, a przetwarzaniem, które podlega prawu wspólnotowemu, ale
może stanowić przedmiot pewnych uzasadnionych i proporcjonalnych ograniczeń w świetle klauzuli ograniczającej.
68. Oczywiście, art. 3 ust. 2 dyrektywy 95/46 oraz art. 1 ust. 3 dyrektywy 2002/58 wyłączają z zakresu stosowania tych dyrektyw
między innymi działalność państwa w obszarach prawa karnego. Jednakże dyrektywa 2006/24 dotyczy nie działalności państwa jako
takiej, lecz przetwarzania danych przez operatorów sieci telekomunikacyjnych w celach gospodarczych związanych z dostarczaniem
usług łączności elektronicznej w ramach publicznie dostępnej sieci łączności. Ta działalność mieści się w sposób wyraźny w zakresie
stosowania prawa wspólnotowego, a w szczególności dyrektyw 95/46 oraz 2002/58.
69. Ponadto, jeżeli możliwość, że państwo członkowskie ograniczy zakres praw w dziedzinie ochrony danych w celu dochodzenia, wykrywania
oraz ścigania poważnych przestępstw, rzeczywiście stanowi zagadnienie niemieszczące się w ramach prawa wspólnotowego, to art. 13
ust. 1 dyrektywy 95/46 oraz art. 15 ust. 1 dyrektywy 2002/58 są zbyteczne, a zatem pozbawione skuteczności względem art. 3
ust. 2 dyrektywy 95/46 oraz art. 1 ust. 3 dyrektywy 2002/58.
70. Wreszcie Komisja podnosi, iż wzmianka o dochodzeniu, wykrywaniu i ściganiu poważnych przestępstw umieszczona w art. 1 ust. 1
dyrektywy 2006/24 mieści się w ramach prawa wspólnotowego, ponieważ wskazuje słuszny cel, jakiemu służą wprowadzane przez
tę dyrektywę ograniczenia praw jednostek w zakresie ich danych osobowych. Takie wskazanie jest niezbędne zarówno w celu przestrzegania
wymagań wynikających z dyrektywy 95/46 oraz dyrektywy 2002/58, jak również w celu zapewnienia zgodności z art. 8 EKOPC.
71. Jeśli chodzi o EIOD, jego argumentacja polega w szczególności na wykazaniu wpływu wyboru podstawy prawnej na wspólnotowy system
ochrony danych osobowych. Jego zdaniem, jeśli traktat WE nie mógłby stanowić podstawy dla dyrektywy 2006/24, to przepisy prawa
wspólnotowego dotyczące ochrony tych danych nie chroniłyby obywateli w przypadku, gdy przetwarzanie ich danych osobowych ułatwiałoby
przeciwdziałanie i zwalczanie przestępczości. Przy takim założeniu, ogólny system ochrony danych na podstawie prawa wspólnotowego,
ustanowiony w szczególności w drodze dyrektyw 95/46 oraz 2002/58, miałby zastosowanie do przetwarzania danych dla celów gospodarczych,
ale nie do przetwarzania tych samych danych dla celów ścigania przestępczości. Wynikałaby z tego konieczność dokonywania przez
dostawców usług skomplikowanych rozróżnień i obniżenie poziomu ochrony przysługującej zainteresowanej osobie. Zdaniem EIOD,
należy uniknąć takiej sytuacji. Ta potrzeba zachowania spójności uzasadnia przyjęcie dyrektywy 2006/24 na podstawie traktatu
WE.
VI – Ocena
72. W celu wyznaczenia, w ramach spraw dotyczących wyboru podstawy prawnej, granicy pomiędzy dziedzinami działalności należącymi
do prawodawcy wspólnotowego a dziedzinami przypisanymi prawodawcy Unii Europejskiej, Trybunał sprecyzował zakres, jaki należy
nadać artykułowi 47 UE, który jest przepisem rozgraniczającym dziedziny należące do prawa wspólnotowego oraz te, które należą
do prawa Unii.
73. Przypominam, iż na mocy art. 47 UE żadne z postanowień Traktatu o Unii Europejskiej nie narusza postanowień traktatu WE. Ten
sam wymóg został zawarty również w art. 29 akapit pierwszy UE, który stanowi wprowadzenie do tytułu VI traktatu UE, zatytułowanego
„Postanowienia o współpracy policyjnej i sądowej w sprawach karnych”.
74. Stojąc na straży zgodnego z zasadą przewidzianą w art. 47 UE rozdzielenia pomiędzy dziedzinami należącymi do traktatu WE i traktatu
UE Trybunał czuwa nad tym, żeby akty prawne, co do których jedna ze stron utrzymuje, iż objęte są tytułem V lub VI traktatu
UE, nie naruszały kompetencji przyznanych Wspólnocie na mocy postanowień traktatu WE(10).
75. W tym zakresie należy uznać, iż do naruszenia kompetencji, które przysługują Wspólnocie na podstawie traktatu WE, dochodzi,
zgodnie z art. 47 UE, kiedy przepisy aktu przyjętego na podstawie traktatu UE mogły być przyjęte na podstawie któregoś z artykułów
traktatu WE(11). Zdaniem Trybunału, art. 47 UE zmierza zatem, zgodnie z art. 2 tiret piąte UE oraz art. 3 akapit pierwszy UE, do utrzymania
i rozwijania acquis communautaire(12).
76. W odniesieniu do metody stosowanej w celu ustalenia, czy akt przyjęty na podstawie traktatu UE mógł być przyjęty na podstawie
traktatu WE, Trybunał bada, czy ze względu na jego cel i treść, zasadniczym celem tego aktu jest wykonanie polityki przyznanej
traktatem WE Wspólnocie(13). Trybunał stosuje zatem utrwalone orzecznictwo, zgodnie z którym wybór podstawy prawnej aktu wspólnotowego musi opierać się
na obiektywnych czynnikach, które mogą zostać poddane kontroli sądowej, takich jak w szczególności cel i treść tego aktu(14).
77. W niniejszej sprawie oczywiście nie chodzi o ustalenie, czy akt przyjęty na podstawie traktatu UE mógł być przyjęty na podstawie
traktatu WE, ale o ustalenie, czy prawidłowe jest, iż akt został przyjęty na podstawie traktatu WE, a nie traktatu UE, o co
wnosi strona skarżąca. Metoda, którą należy zastosować, jest jednak identyczna. Polega ona na zbadaniu, czy ze względu na
środek ciężkości kwestionowanego aktu, w świetle art. 47 UE, dopuszczalne było jego przyjęcie na podstawie traktatu UE.
78. Problem w niniejszej sprawie polega zatem na ustaleniu, czy stanowisko przedstawione przez Irlandię, a mianowicie, iż dyrektywa
2006/24 powinna była zostać przyjęta na podstawie art. 30 UE, 31 ust. 1 lit. c) UE oraz art. 34 ust. 2 lit. b) UE, jest zgodne
z treścią art. 47 UE. Innymi słowy, czy przyjęcie środków przewidzianych w tej dyrektywie w oparciu o traktat UE stanowiłoby
naruszenie art. 47 UE? Aby odpowiedzieć na to pytanie, należy w pierwszej kolejności ustalić, czy ze względu na swój cel oraz
treść dyrektywa 2006/24 mieści się w dziedzinie objętej art. 95 WE.
79. W odniesieniu do zastosowania art. 95 WE jako podstawy prawnej aktu wspólnotowego z orzecznictwa Trybunału wynika, że o ile
samo stwierdzenie istnienia różnic między uregulowaniami krajowymi nie jest wystarczające do uzasadnienia zastosowania art. 95 WE,
o tyle odmiennie jest w przypadku rozbieżności między przepisami ustawowymi, wykonawczymi lub administracyjnymi państw członkowskich
mogących naruszać podstawowe swobody i wywierać w ten sposób bezpośredni wpływ na funkcjonowanie rynku wewnętrznego(15). Z utrwalonego orzecznictwa wynika również, że jakkolwiek zastosowanie art. 95 WE jako podstawy prawnej jest dopuszczalne
w celu zapobieżenia przyszłym przeszkodom w wymianie handlowej wynikającym z rozbieżnej ewolucji uregulowań krajowych, to
jednak wystąpienie tego rodzaju przeszkód musi być prawdopodobne, a wydane przepisy winny mieć na celu zapobieganie im(16). Podsumowując, dla uzasadnienia zastosowania artykułu 95 WE jako podstawy prawnej istotne jest, by akt wydany na tej podstawie
miał rzeczywiście na celu poprawę warunków ustanowienia i funkcjonowania rynku wewnętrznego(17).
80. Wydaje mi się, iż przyjęcie dyrektywy 2006/24 na podstawie art. 95 WE spełnia wymagania określone przez Trybunał.
81. Z motywów 4–6 tej dyrektywy wynika bowiem, iż prawodawca wspólnotowy wyszedł z założenia, iż istnieją rozbieżności prawne
i techniczne pomiędzy przepisami krajowymi dotyczącymi zatrzymywania danych przez dostawców usług. Liczne państwa członkowskie,
wykorzystując upoważnienie, które zostało im przyznane w art. 15 ust. 1 dyrektywy 2002/58, przyjęły akty prawne dotyczące
zatrzymywania danych przez dostawców usług w celu przeciwdziałania, dochodzenia, wykrywania i ścigania przestępstw karnych.
Jednakże te przepisy krajowe różniły się między sobą w istotny sposób, w szczególności jeśli chodzi o wymagany okres zatrzymania
oraz rodzaje danych podlegających zatrzymaniu(18).
82. Istnienie takich rozbieżności może zatem czynić koniecznym zbliżenie przepisów krajowych dotyczących obowiązków dostawców
ogólnie dostępnych usług łączności elektronicznej bądź publicznych sieci łączności w zakresie zatrzymywania danych.
83. Należy jednak ustalić, czy te stwierdzone rozbieżności były tego rodzaju, iż mogły wywoływać skutki w odniesieniu do ustanowienia
i funkcjonowania rynku wewnętrznego, co oznaczałoby, iż prawodawca wspólnotowy był upoważniony do przyjęcia środków zawartych
w dyrektywie 2006/24 na podstawie art. 95 WE.
84. W tym kontekście trzeba zwrócić uwagę, iż zatrzymywanie danych przez dostawców usług łączności elektronicznej stanowi dla
nich poważne obciążenie finansowe, które jest proporcjonalne do liczby oraz okresu zatrzymania danych(19).
85. Wynika z tego, iż w przypadku braku harmonizacji dostawca usług łączności elektronicznej powinien liczyć się z kosztami związanymi
z zatrzymywaniem danych, które byłyby różne w zależności od państwa członkowskiego, w którym zamierza on świadczyć swoje usługi.
Takie różnice mogą stanowić przeszkody w swobodnym przepływie usług łączności elektronicznej pomiędzy państwami członkowskimi
i mogą zatem powodować trudności w ustanowieniu i funkcjonowaniu rynku wewnętrznego łączności elektronicznej. Mogą one w szczególności
hamować ponadgraniczny rozwój nowych usług łączności elektronicznej, które są w sposób regularny wprowadzane w ramach społeczeństwa
informacyjnego. Mogą one również wywoływać zakłócenia konkurencji pomiędzy przedsiębiorstwami działającymi na rynku łączności
elektronicznej.
86. A zatem, jak w sposób wyraźny wynika z motywu 6 dyrektywy 2006/24, takie rozbieżności pomiędzy ustawodawstwami państw członkowskich
„stanowią przeszkodę dla wewnętrznego rynku łączności elektronicznej[,] [gdyż] usługodawcy napotykają na różne wymogi odnośnie
do rodzajów danych o ruchu i lokalizacji, które mają być zatrzymywane, oraz warunków i okresów zatrzymywania”.
87. Sądzę, iż w zakresie, w jakim dyrektywa 2006/24 dokonuje zbliżenia ustawodawstw krajowych dotyczących obowiązku zatrzymywania
danych (art. 3), kategorii danych podlegających zatrzymaniu (art. 5), okresu zatrzymywania danych (art. 6) jak również ochrony
i bezpieczeństwa danych (art. 7), sprzyja ona rozwojowi rynku wewnętrznego łączności elektronicznej, nakładając na dostawców
usług jednolite wymagania.
88. Należy dodać, iż wpływ, jaki wywołują na funkcjonowanie rynku wewnętrznego rozbieżności pomiędzy ustawodawstwami krajowymi
odnoszące się do zatrzymywania danych, został również uwzględniony w art. 12 ust. 2 dyrektywy 2006/24. W ramach bowiem oceny
przepisów krajowych przewidujących, w szczególnych okolicznościach i na czas określony, przedłużenie maksymalnego okresu zatrzymywania,
Komisja powinna sprawdzić, czy takie przepisy stanowią środek arbitralnej dyskryminacji lub ukryte ograniczenie w wymianie
pomiędzy państwami członkowskimi oraz czy ustanawiają one przeszkodę w funkcjonowaniu rynku wewnętrznego.
89. Ze względu na te okoliczności podjęcie działania przez prawodawcę wspólnotowego na podstawie art. 95 WE wydaje mi się uzasadnione.
90. Irlandia, popierana przez Republikę Słowacką, uważa z kolei, iż dyrektywa 2006/24 nie może być oparta na art. 95 WE ze względu
na to, iż jej punkt ciężkości nie dotyczy ustanowienia i funkcjonowania rynku wewnętrznego. Jedynym a co najmniej podstawowym
celem tej dyrektywy jest dochodzenie, wykrywanie i ściganie poważnych przestępstw. Irlandia opiera się w tym zakresie na licznych
przepisach wspomnianej dyrektywy, które rzeczywiście podkreślają ten cel.
91. Pośród tych przepisów należy wskazać motyw 11 dyrektywy 2006/24, zgodnie z którym, przypomnijmy, „zważywszy na znaczenie,
jakie dane o ruchu i lokalizacji mają w dochodzeniu, wykrywaniu i ściganiu przestępstw, istnieje, jak to wykazały badania
i doświadczenia kilku państw członkowskich, potrzeba zapewnienia na poziomie europejskim zatrzymywania przez pewien czas danych
generowanych lub przetwarzanych przez dostawców dostępnej publicznie łączności elektronicznej lub sieci łączności publicznej
podczas świadczenia usług łączności, zgodnie z warunkami określonymi w niniejszej dyrektywie”. Ponadto, zgodnie z art. 1 ust. 1
dyrektywy, jej celem jest „zbliżenie przepisów państw członkowskich w zakresie obowiązków dostawców ogólnie dostępnych usług
łączności elektronicznej lub publicznych sieci łączności w zakresie zatrzymywania pewnych danych przez nie generowanych lub
przetwarzanych, aby zapewnić dostępność przedmiotowych danych do celu dochodzenia, wykrywania i ścigania poważnych przestępstw,
określonych w ustawodawstwie każdego państwa członkowskiego”.
92. Żaden z uczestników nie zakwestionował w toku niniejszego postępowania i nie wydaje mi się możliwe do zakwestionowania, iż
uzasadnieniem obowiązku zatrzymywania danych nałożonego na dostawców usług komunikacji elektronicznej jest fakt, że obowiązek
ten pomaga w dochodzeniu, wykrywaniu i ściganiu poważnych przestępstw. Nie można zaprzeczyć, iż ponieważ zatrzymywanie danych
stanowi skuteczny środek dochodzenia w ramach postępowań prowadzonych przez organy ścigania państw członkowskich, a w szczególności
w sprawach dotyczących przestępczości zorganizowanej i terroryzmu, prawodawca wspólnotowy zamierzał uogólnić obowiązek zatrzymywania
danych o ruchu i danych o lokalizacji generowanych bądź przetwarzanych przez dostawców usług łączności elektronicznej lub
publicznych sieci łączności.
93. Prawodawca wspólnotowy pragnął zatem przejść do kolejnego etapu, w porównaniu z tym, co przewiduje art. 15 ust. 1 dyrektywy
2002/58. Należy przypomnieć, iż w świetle tego przepisu „państwa członkowskie mogą uchwalić środki ustawodawcze w celu ograniczenia
zakresu praw i obowiązków przewidzianych w art. 5, 6, 8 ust. 1–4 i art. 9 tej dyrektywy, gdy takie ograniczenia stanowią środki
niezbędne, właściwe i proporcjonalne w ramach społeczeństwa demokratycznego do zapewnienia bezpieczeństwa narodowego (i.e.
bezpieczeństwa państwa), obronności, bezpieczeństwa publicznego oraz zapobiegania, dochodzenia, wykrywania i karania przestępstw
kryminalnych lub niedozwolonego używania systemów łączności elektronicznej, jak określono w art. 13 ust. 1 dyrektywy 95/46/WE.
W tym celu państwa członkowskie mogą, między innymi, uchwalić środki ustawodawcze przewidujące przechowywanie danych przez
określony czas uzasadnione na podstawie zasad ustanowionych w niniejszym ustępie”. Przyjmując dyrektywę 2006/24, prawodawca
wspólnotowy chciał zrobić kolejny krok, z jednej strony, przekształcając to upoważnienie przyznane państwom członkowskim w obowiązek
zatrzymywania danych, a z drugiej strony, dokonując harmonizacji kategorii danych podlegających zatrzymaniu oraz okresu ich
zatrzymania.
94. Spośród przyczyn wskazanych w art. 15 ust. 1 dyrektywy 2002/58 prawodawca wspólnotowy odwołał się jedynie do przyczyny dotyczącej
dochodzenia, wykrywania i ścigania poważnych przestępstw. Wskazał w ten sposób zgodny z prawem cel wynikających z dyrektywy
2006/24 ograniczeń praw jednostek w zakresie ochrony ich danych osobowych. Jedną ze szczególnych cech tej dyrektywy jest bowiem
to, iż mieści się ona w ramach systemu ochrony danych osobowych, który został stopniowo wprowadzony przez prawodawcę wspólnotowego.
Ze względu na fakt, iż wspomniana dyrektywa wprowadza odstępstwo od niektórych środków ochronnych przewidzianych w dyrektywie
2002/58, konieczne było, aby prawodawca wspólnotowy wskazał taki cel interesu ogólnego dla wykazania konieczności przyjęcia
aktu dotyczącego zatrzymywania danych w świetle wymogów wynikających z art. 8 EKOPC.
95. Czy należy jednak uznać, iż wskazanie takiej przyczyny uzasadniającej ingerencję w prawo jednostek do poszanowania życia prywatnego
podlegające ochronie na podstawie art. 8 EKOPC oraz twierdzenie, iż zatrzymanie danych stanowi skuteczny środek w zakresie
ścigania przestępczości służący dochodzeniu, wykrywaniu i ściganiu poważnych przestępstw, są nie do pogodzenia z zastosowaniem
art. 95 WE jako podstawy prawnej aktu wspólnotowego, takiego jak dyrektywa 2006/24?
96. Nie sądzę, aby tak było z następujących przyczyn.
97. Trybunał miał już okazję stwierdzić, że w przypadku spełnienia warunków zastosowania art. 95 WE jako podstawy prawnej ustawodawca
wspólnotowy nie może zostać pozbawiony możliwości powołania się na to postanowienie z tego względu, iż interes publiczny jest
rozstrzygający dla podejmowanych decyzji(20). Nie można w tym zakresie pominąć okoliczności, iż art. 95 ust. 3 WE wymaga w sposób wyraźny, aby w przypadku dokonanej harmonizacji
były brane pod uwagę określone względy interesu ogólnego, które stanowią przedmiot szerokiej ochrony(21). Tymczasem chciałbym zauważyć, iż wśród tych względów znajdują się względy bezpieczeństwa. Moim zdaniem, akt taki jak dyrektywa
2006/24, który harmonizuje warunki dotyczące zatrzymywania określonych danych w celu dochodzenia, wykrywania i ścigania poważnych
przestępstw, spełnia takie wymaganie zapewnienia wysokiego poziomu bezpieczeństwa na rynku wewnętrznym. Artykuł 95 ust. 3 WE
upoważnia zatem do przyjmowania środków dotyczących zbliżania przepisów ustawowych, wykonawczych i administracyjnych państw
członkowskich, które mają na celu ustanowienie i funkcjonowanie rynku wewnętrznego i które służą zarazem realizacji celu w zakresie
interesu ogólnego, jakim jest zapewnienie wysokiego poziomu bezpieczeństwa w ramach Wspólnoty.
98. Ponadto, przeciwnie do stanowiska Irlandii, uważam, iż sam fakt, że akt służy takiemu celowi jak dochodzenie, wykrywanie i ściganie
poważnych przestępstw, nie jest wystarczający do przesunięcia tego aktu z pierwszego do trzeciego filaru. Innymi słowy, istnienie
takiego celu nie może być, moim zdaniem, wystarczające do wydania aktu z dziedziny wchodzącej w zakres „współpracy policyjnej
i sądowej w sprawach karnych” w rozumieniu tytułu VI traktatu UE.
99. Z art. 29 UE wynika, iż bez uszczerbku dla kompetencji Wspólnoty, cel Unii, jakim jest zapewnienie obywatelom wysokiego poziomu
bezpieczeństwa osobistego w przestrzeni wolności, bezpieczeństwa i sprawiedliwości, zostaje osiągnięty poprzez zapobieganie
i zwalczanie przestępczości dzięki trzem rodzajom działań. Chodzi, po pierwsze, o ściślejszą współpracę pomiędzy policją,
organami celnymi oraz innymi właściwymi organami w państwach członkowskich zarówno bezpośrednio, jak i za pośrednictwem Europejskiego
Urzędu Policji (Europolu), zgodnie z art. 30 UE i 32 UE. Po drugie, chodzi o ściślejszą współpracę pomiędzy organami sądowymi
oraz innymi właściwymi organami w państwach członkowskich, w tym współpracę za pośrednictwem Zespołu ds. Współpracy Sądowej
w Unii Europejskiej (Eurojust), zgodnie z art. 31 UE i 32 UE. Trzecim rodzajem działań jest zbliżenie, w miarę potrzeby, norm
prawa karnego w państwach członkowskich, zgodnie z art. 31 lit. e) UE.
100. Tymczasem uważam, iż obowiązek zatrzymywania danych generowanych lub przetwarzanych w ramach dostarczania usług łączności
nie mieści się w ramach żadnego z tych trzech typów działań. Nie wykazuje on zatem cech, które pozwalałyby go umieścić w zakresie
stosowania tytułu VI traktatu UE.
101. Oczywiście, cel dotyczący dochodzenia, wykrywania i ścigania poważnych przestępstw jest powiązany z aspektami karnymi, co
skłania do umieszczenia wszystkich aktów, które realizują ten cel w ramach trzeciego filaru. Takie podejście oznaczałoby jednak
rozszerzenie w sposób nadmierny zakresu stosowania tytułu VI traktatu UE, który, jak zostało wskazane, nie ogranicza się do
określenia celu, ale wymienia rodzaje działań, które składają się na pojęcie „współpracy policyjnej i sądowej w sprawach karnych”
w rozumieniu tego tytułu.
102. Należy stwierdzić w tym zakresie, iż środki przewidziane w dyrektywie 2006/24 nie zakładają żadnej bezpośredniej ingerencji
organów ścigania państw członkowskich. Zostało jedynie przewidziane, iż dostawcy ogólnie dostępnych usług łączności elektronicznej
lub publicznej sieci łączności powinni zatrzymywać dane, które są generowane lub przetwarzane podczas dostarczania danych
usług łączności, to znaczy wyłącznie takie, które są ściśle związane z wykonywaniem przez tych dostawców ich działalności
gospodarczej.
103. A zatem dyrektywa 2006/24 zawiera przepisy, które dotyczą stadium poprzedzającego ewentualne wykonanie działań w zakresie
współpracy policyjnej i sądowej w sprawach karnych. Nie harmonizuje ona ani kwestii dostępu do danych przez właściwe krajowe
organy ścigania, ani kwestii dotyczącej wykorzystania i wymiany tych danych pomiędzy tymi organami, na przykład w ramach postępowań
karnych. Te kwestie, które mieszczą się, moim zdaniem, w dziedzinie objętej tytułem VI tytułu UE, zostały słusznie wyłączone
spośród przepisów dyrektywy 2006/24(22).
104. W motywie 25 tej dyrektywy zostało ponadto w sposób wyraźny wskazane, iż dyrektywa ta „pozostaje bez uszczerbku dla możliwości
przyjmowania przez państwa członkowskie określonych przez nie środków legislacyjnych dotyczących prawa dostępu i wykorzystania
danych przez organy krajowe. Kwestie dostępu organów krajowych do danych zatrzymywanych zgodnie z niniejszą dyrektywą w związku z działaniami, o których
mowa w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46/WE, nie są objęte zakresem prawa wspólnotowego. Mogą one jednak podlegać
przepisom krajowym lub działaniom podejmowanym na mocy tytułu VI Traktatu o Unii Europejskiej”(23). Jedyny wymóg w zakresie dostępu do danych, na który prawodawca wspólnotowy chciał położyć nacisk i który bardziej przypomina
ostrzeżenie aniżeli środek harmonizacji, znajduje się w art. 4 dyrektywy 2006/24, który stanowi, iż „państwa członkowskie
podejmują środki w celu zagwarantowania, że dane zatrzymywane w myśl niniejszej dyrektywy są udostępniane jedynie właściwym
organom krajowym, w szczególnych przypadkach i zgodnie z krajowym ustawodawstwem. Proces oraz warunki uzyskiwania dostępu
do zatrzymanych danych, w przypadkach gdy został spełniony wymóg konieczności oraz proporcjonalności, są określone w prawie
krajowym każdego państwa członkowskiego, podlegając odpowiednim przepisom prawa Unii Europejskiej lub międzynarodowego prawa
publicznego, w szczególności EKOPC, zgodnie z interpretacją Europejskiego Trybunału Praw Człowieka”.
105. Granica pomiędzy środkami należącymi do filaru wspólnotowego oraz tymi, które powinny być przyjęte w ramach tytułu VI traktatu
UE, może zatem być, moim zdaniem, wyznaczona w następujący sposób.
106. Do filaru wspólnotowego należą środki, które harmonizują warunki zatrzymywania przez dostawców usług łączności danych o ruchu
i lokalizacji, które są generowane i przetwarzane w ramach wykonywania przez nich działalności gospodarczej. Takie zbliżenie
krajowych ustawodawstw w dziedzinie zatrzymywania danych ogranicza bowiem ryzyko powstania przeszkód w rozwoju rynku wewnętrznego
łączności elektronicznej, poprzez nałożenie na operatorów jednolitych wymagań. Okoliczność, iż prawodawca wspólnotowy uznał
za konieczne nałożenie obowiązku zatrzymywania danych w celu zapewnienia skuteczności tego instrumentu dla dochodzenia, wykrywania
i ścigania poważnych przestępstw, nie jest wystarczająca dla wyłączenia tego aktu spoza filaru wspólnotowego, ponieważ ten
nadrzędny wymóg interesu ogólnego może być uwzględniony przez akt harmonizujący wydany na podstawie art. 95 WE. Ponadto wzmianka
o takim nadrzędnym wymogu interesu ogólnego jest niezbędna w celu uzasadnienia ingerencji prawodawcy wspólnotowego w prawo
do poszanowania życia prywatnego osób korzystających z usług łączności elektronicznej.
107. Stanowią z kolei część trzeciego filaru środki harmonizujące warunki, na jakich właściwe krajowe organy ścigania mogą uzyskać
dostęp do zatrzymanych danych, wykorzystywać je i dokonywać ich wymiany w celu realizacji ich zadań. Bezpośrednia interwencja
takich organów u operatorów sektora prywatnego i obowiązkowe przekazanie przez nich tych danych w celach ścigania mieszczą
się, moim zdaniem, w ramach „współpracy policyjnej i sądowej w sprawach karnych” w rozumieniu tytułu VI traktatu UE. W tym
bowiem stadium udział prywatnych operatorów w procedurze ścigania oraz ich współpraca z właściwymi organami krajowymi nabierają
konkretnego i pewnego charakteru.
108. Taka linia demarkacyjna nie jest oczywiście przyjmowana w pełni bezkrytycznie i może się pod pewnymi względami wydawać sztuczna.
Zgadzam się, iż bardziej zadowalające byłoby, gdyby ogólny problem zatrzymywania danych przez dostawców usług łączności elektronicznej
i zasady ich współpracy z właściwymi krajowymi organami ścigania stanowił przedmiot jednego aktu, który zapewniałby spójność
pomiędzy tymi dwoma aspektami. Choć można tego żałować, konstytucyjna struktura składająca się z trzech filarów wymaga jednak
podziału pomiędzy dziedzinami działania. Najważniejszym w tym kontekście jest zagwarantowanie pewności prawa poprzez jak najściślejsze
wytyczenie granicy między dziedzinami działania należącymi do różnych filarów.
109. Zaproponowana analiza nie wydaje mi się sprzeczna z rozstrzygnięciem przyjętym przez Trybunał w ww. wyroku w sprawie Parlament
przeciwko Radzie i Komisji. Przeciwnie, pozwala ona na wyjaśnienie znaczenia, jakie należy moim zdaniem nadać temu wyrokowi.
110. Przypominam, iż w sprawie zakończonej tym wyrokiem Parlament wnosił o stwierdzenie nieważności, po pierwsze, decyzji Rady
2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki
w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do Departamentu
Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic(24) i, po drugie, decyzji Komisji 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych
w Passenger Name Record (PNR) pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych(25).
111. W swoim wyroku Trybunał w pierwszej kolejności zbadał zgodność z prawem decyzji o odpowiedniej ochronie i to w świetle art. 3
ust. 2 tiret pierwsze dyrektywy 95/46. Przypominam, iż przepis ten wyłącza z zakresu stosowania tej dyrektywy przetwarzanie
danych osobowych „w ramach działalności wykraczającej poza zakres prawa Wspólnoty, [takiej] jak [działalność], o któr[ej]
stanowi tytuł V i VI Traktatu o Unii Europejskiej, [i w każdym] razie [przetwarzanie dotyczące] bezpieczeństwa publicznego,
obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarczą państwa, gdy działalność ta dotyczy spraw związanych
z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego”.
112. Trybunał stwierdził, iż przekazywanie danych osobowych zawartych w rezerwacji pasażera (zwanych dalej „danymi PNR”) do Biura
Celnego i Ochrony Granic Stanów Zjednoczonych amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego (zwanego dalej „CBP”)
stanowi przetwarzanie dotyczące bezpieczeństwa publicznego oraz działalności państwa w zakresie prawa karnego. Trybunał podkreślił,
iż decyzja o odpowiedniej ochronie nie dotyczy przetwarzania danych niezbędnego w celu świadczenia usług, ale przetwarzania
uznanego za niezbędne w celu ochrony bezpieczeństwa publicznego oraz w celu zwalczania przestępczości. Ponadto, o ile z wyroku
z dnia 6 listopada 2003 r. w sprawie Lindqvist(26) wynika, iż rodzaje działalności wymienione tytułem przykładu w art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 stanowią w każdym
razie działalność właściwą państwom lub władzom państwowym, odmienną od dziedzin działalności jednostek, to zdaniem Trybunału,
nie wynika z tego jednak, by przekazywanie danych PNR nie wchodziło w zakres zastosowania tego przepisu, tylko dlatego że
dane te gromadzone są przez podmioty prywatne do celów działalności gospodarczej i że to te podmioty przekazują dane do państwa
trzeciego. Trybunał twierdzi bowiem, iż przekazanie to następuje w ramach ustanowionych przez władze publiczne i mających
na celu ochronę bezpieczeństwa publicznego.
113. Trybunał wywnioskował z tego, iż decyzja o odpowiedniej ochronie dotyczy przetwarzania danych w rozumieniu art. 3 ust. 2 tiret
pierwsze dyrektywy 95/46. Decyzja ta nie wchodzi zatem w zakres zastosowania tej dyrektywy. Trybunał orzekł więc, iż należy
stwierdzić nieważność decyzji o odpowiedniej ochronie.
114. Badając następnie zgodność z prawem decyzji Rady, Trybunał wypowiedział się wyłącznie co do zarzutu dotyczącego niewłaściwego
wyboru artykułu 95 WE jako podstawy prawnej tej decyzji. Trybunał stwierdził, iż art. 95 WE w związku z art. 25 dyrektywy
95/46 nie może stanowić podstawy dla zawarcia przez Wspólnotę Porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi
Ameryki w sprawie przetwarzania i przekazywania danych dot. nazwy rekordu pasażera (PNR) przez przewoźników lotniczych do
Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Ochrony Granic (zwanego dalej „porozumieniem”)
przyjętego przez Wspólnotę w drodze decyzji(27). Na poparcie tego twierdzenia Trybunał podkreślił, iż porozumienie to dotyczyło tego samego przekazywania danych, co decyzja
o odpowiedniej ochronie, a zatem przetwarzania danych, które są wyłączone z zakresu stosowania tej dyrektywy. Trybunał wywnioskował
z tego, iż decyzja Rady nie mogła być w sposób ważny przyjęta na podstawie artykułu 95 WE.
115. Irlandia powołuje się na ww. wyrok w sprawie Parlament przeciwko Radzie i Komisji w celu poparcia tezy, której broni w niniejszym
postępowaniu, zgodnie z którą ze względu na jedyny lub przynajmniej podstawowy cel założony w dyrektywie 2006/24, polegający
na dochodzeniu, wykrywaniu i ściganiu poważnych przestępstw, dyrektywa ta powinna być przyjęta w ramach tytułu VI traktatu
UE. Wyrok ten został jednak wydany w kontekście, którego najważniejsze aspekty pozwalają na odróżnienie go od niniejszej sprawy.
116. W sprawie zakończonej ww. wyrokiem w sprawie Parlament przeciwko Radzie i Komisji, głównym celem porozumienia było ustanowienie
względem przewoźników lotniczych obsługujących loty pasażerskie w zagranicznym transporcie lotniczym do lub ze Stanów Zjednoczonych
wymogu elektronicznego udostępnienia CBP danych PNR zgromadzonych i przechowywanych w automatycznych systemach kontroli rezerwacji/odlotów
przewoźników lotniczych. Porozumienie ustanawiało zatem formę współpracy międzynarodowej pomiędzy umawiającymi się stronami,
którego celem było pogodzenie zwalczania terroryzmu i innych poważnych przestępstw z ochroną danych osobowych pasażerów lotniczych(28). Istnienie takiej formy współpracy międzynarodowej z organem administracji publicznej państwa trzeciego stanowi już istotną
różnicę w porównaniu z niniejszą sprawą.
117. Ponadto należy podkreślić, iż przetwarzanie danych, którego dotyczyła sprawa zakończona ww. wyrokiem w sprawie Parlament przeciwko
Radzie i Komisji, obejmowało późniejszy etap niż początkowe gromadzenie danych przez przedsiębiorstwa lotnicze. Przetwarzanie
to dotyczyło wglądu do danych, wykorzystywania przez CBP oraz udostępniania CBP danych o pasażerach samolotów pochodzących
z systemów rezerwacji przewoźników lotniczych mających siedzibę na terytorium państw członkowskich(29). Chodziło zatem o formę współpracy, w którą byli włączeni nie tylko operatorzy prywatni, ale również organ publiczny, w tym
przypadku CBP, w celu zwalczania terroryzmu i innych poważnych przestępstw.
118. W tym kontekście akt przewidujący wgląd do danych osobowych i ich wykorzystywanie przez podmiot, którego funkcja polega na
zapewnieniu ochrony bezpieczeństwa wewnętrznego państwa, a także udostępnianie tych danych takiemu podmiotowi, można traktować
na równi z aktem współpracy pomiędzy władzami publicznymi. W szczególności w takim przypadku obowiązkowego ujawniania danych
organowi krajowemu do celów związanych z bezpieczeństwem i ściganiem przestępstw nie wydaje się, aby wymaganie od osoby prawnej
dokonania transferu danych zasadniczo różniło się od bezpośredniej wymiany danych pomiędzy władzami publicznymi, w szczególności
w toku postępowań karnych(30).
119. Międzynarodowy wymiar powołanej do życia współpracy jak również zasady prowadzenia współpracy pomiędzy przewoźnikami lotniczymi
a CBP, które powodują, iż mieści sie ona w dziedzinie objętej tytułem VI traktatu UE, stanowią dwie zasadnicze różnice w porównaniu
z sytuacją, która jest przedmiotem niniejszej sprawy.
120. Ponadto, właśnie ze względu na cechy, które wyodrębniłem, decyzja Rady 2007/551/WPZiB/WSiSW z dnia 23 lipca 2007 r. w sprawie
podpisania, w imieniu Unii Europejskiej, Umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu
przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów
Zjednoczonych (DHS) (porozumienie PNR 2007)(31) została przyjęta na podstawie art. 24 UE i 38 UE.
121. Różnice, które wskazałem, pozwalają również na lepsze zrozumienie zakresu ww. wyroku w sprawie Parlament przeciwko Radzie
i Komisji.
122. Wyrok ten jednak nie oznacza, moim zdaniem, iż samo zbadanie celu, któremu ma służyć przetwarzanie danych osobowych, jest
istotne dla włączenia lub wyłączenia takiego przetwarzania z zakresu stosowania systemu ochrony danych wprowadzonego dyrektywą
95/46. Należy również sprawdzić, w ramach jakiego rodzaju działalności ma miejsce takie przetwarzanie danych. Jedynie w przypadku,
w którym takie przetwarzanie następuje w celu wykonywania działalności właściwej państwom lub władzom państwowym, odmiennej
od dziedzin działalności jednostek, przetwarzanie to jest wyłączone ze wspólnotowego systemu ochrony danych osobowych, ustanowionego
w dyrektywie 95/46, i to na podstawie art. 3 ust. 2 tiret pierwsze tej dyrektywy. Do prawodawcy Unii Europejskiej należy zatem
podjęcie działania i ustanowienie ogólnego systemu ochrony danych, który objąłby swoim zakresem przetwarzanie danych dokonywane
w ramach takich działań właściwych państwom(32).
123. W ww. wyroku w sprawie Parlament przeciwko Radzie i Komisji, Trybunał stwierdził, iż taki transfer danych przez przewoźników
lotniczych do CBP w celu zapewnienia bezpieczeństwa publicznego oraz w celu ścigania przestępczości jest zbliżony do przetwarzania
danych dokonywanego w celu wykonywania działalności właściwej państwom lub władzom państwowym, odmiennej od dziedzin działalności
jednostek. To z tego względu Trybunał orzekł, iż transfer ten jest wyłączony z zakresu stosowania dyrektywy 95/46.
124. W ten sposób interpretowany, ww. wyrok w sprawie Parlament przeciwko Radzie i Komisji pozwala na łatwe zrozumienie rozróżnienia,
którego należy dokonać pomiędzy klauzulami wyłączającymi a klauzulami ograniczającymi, które występują zarówno w dyrektywie
95/46, jak i w dyrektywie 2002/58.
125. Jak słusznie wyjaśniła Komisja w ramach niniejszego postępowania, art. 3 ust. 2 tiret pierwsze dyrektywy 95/46 oraz art. 1
ust. 3 dyrektywy 2002/58 stanowią klauzule wyłączające, gdyż wyłączają z zakresu stosowania tych dwóch dyrektyw przetwarzanie
danych, które następuje w ramach działań nieobjętych traktatem WE, takich jak te, które zostały przewidziane w tytułach V
i VI traktatu UE, a w każdym razie, w ramach działalności dotyczącej zapewnienia bezpieczeństwa publicznego, obrony, bezpieczeństwa
państwa oraz działalności państwa należącej do dziedziny prawa karnego.
126. Z kolei, klauzule ograniczające, znajdujące się w art. 13 ust. 1 dyrektywy 95/46, jak również w art. 15 ust. 1 dyrektywy 2002/58
mają zupełnie inny zakres. Pozwalają one wyłącznie państwom członkowskim na ograniczenie zakresu pewnych praw i obowiązków
określonych w tych dwóch dyrektywach, w przypadku gdy takie ograniczenie ustanawia środek niezbędny dla realizacji celu w zakresie
interesu ogólnego, takiego jak bezpieczeństwo państwa, obrona oraz zdrowie publiczne jak również dochodzenie, wykrywanie i ściganie
przestępstw karnych Przetwarzanie danych, o których mowa, wciąż jednak należy do wspólnotowego systemu ochrony danych osobowych.
127. Okoliczność, iż w tych dwóch typach klauzul wspomniane są podobne cele interesu ogólnego, wywołuje z pewnością wątpliwości
co do ich odpowiedniego zakresu. Te wątpliwości prawdopodobnie częściowo uzasadniają stanowisko Irlandii, w zakresie w jakim
to państwo członkowskie powołuje się wyłącznie na klauzule wyłączające, interpretując je jako oznaczające, iż sam fakt, że
akt zmierza do realizacji celu w zakresie interesu ogólnego, takiego jak dochodzenie, wykrywanie i ściganie poważnych przestępstw,
o którym mowa w art. 1 ust. 1 dyrektywy 2006/24, wystarcza, aby został on wyłączony z zakresu stosowania prawa wspólnotowego.
128. Samo istnienie klauzul ograniczających zawartych w dyrektywach 95/46 i 2002/58, które określają względy interesu ogólnego,
na podstawie których zakres praw i obowiązków w dziedzinie ochrony danych osobowych może być ograniczony, świadczy jednak,
iż stanowisko to jest błędne i że sama wzmianka o celu z zakresu interesu ogólnego, jakim jest dochodzenie, wykrywanie i ściganie
poważnych przestępstw, o którym mowa w art. 1 ust. 1 dyrektywy 2006/24, nie jest wystarczająca do ustalenia, co należy do
prawa wspólnotowego, a konkretniej do wspólnotowego systemu ochrony danych osobowych.
129. W celu zapewnienia skuteczności klauzulom ograniczającym i uniknięcia sytuacji, w której stanowią one zwykłe powtórzenie klauzul
wyłączających, należy w rezultacie stwierdzić, iż w wyniku zastosowania klauzul wyłączających zawartych w art. 3 ust. 2 tiret
pierwsze dyrektywy 95/46 oraz w art. 1 ust. 3 dyrektywy 2002/58 jedynie w przypadku, w którym przetwarzanie danych następuje
w celu wykonywania działalności właściwej państwom lub władzom państwowym, odmiennej od dziedzin działalności jednostek, zgodnie
z formułą zastosowaną przez Trybunał w ww. wyrokach w sprawie Lindqvist, a następnie w sprawie Parlament przeciwko Radzie
i Komisji, przetwarzanie to zostaje wyłączone ze wspólnotowego systemu ochrony danych osobowych.
130. Mając na uwadze te rozważania, twierdzę, iż w zakresie w jakim dyrektywa 2006/24 nie zawiera przepisów harmonizujących warunki
dostępu do danych i wykorzystania danych w celu wykonywania działalności właściwej państwom lub władzom państwowym, odmiennej
od dziedzin działalności jednostek, a w szczególności żadnego przepisu, który może być objęty pojęciem „współpracy policyjnej
i sądowej w sprawach karnych” w rozumieniu tytułu VI traktatu UE, słusznie została ona przyjęta w ramach filaru wspólnotowego,
a konkretnie na podstawie art. 95 WE.
131. Przyjęcie stanowiska Irlandii, zgodnie z którym podstawą dyrektywy 2006/24 powinny być art. 30 UE, 31 ust. 1 lit. c) UE oraz
art. 34 ust. 2 lit. b), prowadziłoby do naruszenia art. 47 UE.
132. Wreszcie należy dodać, że chociaż uznano, iż dyrektywa 2006/24 składa się z dwóch części, ponieważ dotyczy ustanowienia i funkcjonowania
rynku wewnętrznego zgodnie z art. 95 WE oraz „współpracy policyjnej i sądowej w sprawach karnych” w rozumieniu tytułu VI traktatu
UE, przy czym żadna z tych części nie jest pomocnicza w stosunku do drugiej, art. 47 UE stoi na przeszkodzie zastosowaniu
podstawy prawnej wynikającej z tego tytułu traktatu UE.
133. Trybunał określił bowiem w ww. wyroku z dnia 20 maja 2008 r. w sprawie Komisja przeciwko Radzie zakres art. 47 UE, w przypadku
gdy analiza danego środka wykazuje, iż służy on realizacji podwójnego celu lub składa się z dwóch części, objętych odpowiednio
traktatem WE oraz traktatem UE, z których żadna nie jest pomocnicza w stosunku do drugiej. W takiej sytuacji Trybunał orzekł,
iż skoro art. 47 UE stoi na przeszkodzie przyjęciu przez Unię na podstawie traktatu UE środka, który mógłby zostać skutecznie
wydany na podstawie traktatu WE, to Unia nie może korzystać z podstawy prawnej należącej do dziedziny objętej traktatem UE
w celu wydania przepisów, które mieszczą się również w kompetencji Wspólnoty przyznanej jej traktatem WE.
134. A zatem, jeżeli dany środek składa się z dwóch części, które pozwalają na jego wydanie zarówno na podstawie traktatu WE, jak
i traktatu UE, art. 47 UE nadaje w każdym przypadku pierwszeństwo traktatowi WE.
VII – Wnioski
135. Z powyższych względów proponuję, aby Trybunał orzekł w następujący sposób:
1) Skarga zostaje oddalona.
2) Irlandia zostaje obciążona kosztami postępowania.
3) Królestwo Hiszpanii, Królestwo Niderlandów, Republika Słowacka, Komisja Wspólnot Europejskich jak również Europejski Inspektor
Danych Osobowych ponoszą własne koszty.
1 – Język oryginału: francuski.
2 – Mam w szczególności na myśli wyroki z dnia 13 września 2005 r. w sprawie C‑176/03 Komisja przeciwko Radzie, Zb.Orz. s. I‑7879;
z dnia 30 maja 2006 r. w sprawach połączonych C‑317/04 i C‑318/04 Parlament przeciwko Radzie i Komisji, Zb.Orz. s. I‑4721;
z dnia 23 października 2007 r. w sprawie C‑440/05 Komisja przeciwko Radzie, Zb.Orz. s. I‑9097, oraz z dnia 20 maja 2008 r.
w sprawie C‑91/05 Komisja przeciwko Radzie (Zb.Orz. s. I‑3651).
– Dz.U. L 105, s. 54.
4– Dz.U. L 281, s. 31.
5– Dz.U. L 201, s. 37.
– Dokument Rady nr 8958/04, CRIMORG 36 TELECOM 82.
– COM(2005) 438 wersja ostateczna.
– A6‑0365/2005.
– T6‑0512/2005.
10– Zobacz podobnie ww. wyrok z dnia 20 maja 2008 r. w sprawie Komisja przeciwko Radzie (pkt 33 i przytoczone tam orzecznictwo).
11– Ibidem (pkt 58 i przytoczone tam orzecznictwo).
12 – Ibidem (pkt 59).
13 – Ibidem (pkt 60).
14 – Wyżej wymieniony wyrok z dnia 23 października 2007 r. w sprawie Komisja przeciwko Radzie, (pkt 61).
15– Wyrok z dnia 12 grudnia 2006 r. w sprawie C‑380/03 Niemcy przeciwko Parlamentowi i Radzie, Zb.Orz. s. I‑11573, pkt 37 i przytoczone
tam orzecznictwo.
16 – Ibidem (pkt 38 i przytoczone tam orzecznictwo).
17 – Ibidem (pkt 80 i przytoczone tam orzecznictwo).
18– Zobacz w tym zakresie załącznik 1 do odpowiedzi na skargę, złożonej przez Parlament, jak również dokument roboczy Komisji
z dnia 21 września 2005 r. znajdujący się w załączniku do przedstawionego przez Komisję projektu dyrektywy [SEC(2005) 1131,
pkt 1.4].
– Zobacz w szczególności dane szacunkowe wskazane we wspomnianym dokumencie roboczym Komisji, op.cit. (pkt 4.3.4).
20– Zobacz podobnie w dziedzinie zdrowia publicznego, ww. wyrok w sprawie Niemcy przeciwko Parlamentowi i Radzie (pkt 39 i przytoczone
tam orzecznictwo).
21– Ibidem (pkt 40 i przytoczone tam orzecznictwo).
22 – Pośród projektów decyzji ramowych, które dotyczą kwestii wglądu, wykorzystania oraz wymiany informacji przez właściwe organy
ścigania, zob. w szczególności projekt decyzji ramowej Rady z dnia 12 października 2005 r. w sprawie wymiany informacji w ramach
zasady dostępności [COM(2005) 490 wersja ostateczna], jak również projekt decyzji ramowej Rady z dnia 6 listopada 2007 r.
w sprawie wykorzystania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa [COM(2007) 654 wersja
ostateczna].
23 – Podkreślenie moje.
24– Dz.U. L 183, s. 83, zwana dalej „decyzją Rady”.
25– Dz.U. L 235, s. 11, zwana dalej „decyzją o odpowiedniej ochronie”.
– C‑101/01, Rec. s. I‑12971.
– Porozumienie to było następnie przedmiotem sprostowania (Dz.U. 2005, L 255, s. 168).
28– Zobacz pkt 139 opinii rzecznika generalnego Légera przedstawionej w sprawie zakończonej ww. wyrokiem w sprawie Parlament
przeciwko Radzie i Komisji.
29 – Ibidem (pkt 102).
30– Ibidem (punkty 159 i 160).
31– Dz.U. L 204, s. 16.
32 – Zobacz w tym zakresie projekt decyzji ramowej Rady z dnia 4 października 2005 r. w sprawie ochrony danych osobowych przetwarzanych
w ramach współpracy policyjnej i sądowej w sprawach karnych [COM(2005) 475 wersja ostateczna].
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 14.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło