C-57/23
WyrokTSUE2025-11-20CELEX: 62023CJ0057ECLI:EU:C:2025:905
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy art. 4 ust. 1 lit. c) i e), art. 6, art. 8 ust. 2 i art. 10 dyrektywy (UE) 2016/680 należy interpretować w ten sposób, że stoją one na przeszkodzie krajowym przepisom zezwalającym na niezróżnicowane zbieranie i przechowywanie danych biometrycznych i genetycznych od osób podejrzanych lub oskarżonych o popełnienie umyślnego czynu zabronionego, bez określenia maksymalnego terminu przechowywania, oraz czy pojęcie „prawa państwa członkowskiego” może obejmować orzecznictwo sądowe?Ratio decidendi
Trybunał uznał, że pojęcie „prawa państwa członkowskiego” w rozumieniu art. 8 i 10 dyrektywy 2016/680 może obejmować orzecznictwo sądów krajowych, pod warunkiem jego dostępności i przewidywalności, ponieważ termin „ustawa” w Karcie Praw Podstawowych ma znaczenie materialne. W kwestii zbierania danych, dyrektywa nie sprzeciwia się niezróżnicowanemu zbieraniu danych biometrycznych i genetycznych od wszystkich podejrzanych lub oskarżonych o umyślne czyny zabronione, o ile cele zbierania nie wymagają rozróżnienia między tymi kategoriami, a administratorzy przestrzegają zasad minimalizacji przetwarzania danych i bezwzględnej niezbędności, co wymaga oceny wagi przestępstwa, karalności i innych okoliczności. Co do przechowywania danych, Trybunał stwierdził, że dyrektywa nie stoi na przeszkodzie krajowym regulacjom bez maksymalnego okresu przechowywania, pod warunkiem że przewidują one odpowiednie terminy okresowego przeglądu konieczności przechowywania danych, a organy policji oceniają bezwzględną niezbędność ich dalszego przechowywania, nawet na podstawie przepisów wewnętrznych, o ile zakres uznania jest precyzyjnie określony przez prawo krajowe i orzecznictwo.Stan faktyczny
Sprawa dotyczy JH, wobec którego w 2015 r. wszczęto postępowanie karne za naruszenie obowiązków w ramach zarządzania cudzym majątkiem. W 2016 r. czeska policja pobrała od JH odciski palców, wymaz z policzka do stworzenia profilu DNA oraz wykonała zdjęcia i rysopis, pomimo jego braku zgody. JH zaskarżył te czynności jako niezgodną z prawem ingerencję w jego prawo do życia prywatnego. Městský soud w Pradze początkowo zawiesił sprawę, oczekując na orzeczenie Ústavní soud, a następnie uwzględnił skargę JH, nakazując usunięcie danych. Czeska komenda główna policji wniosła skargę kasacyjną do Nejvyšší správní soud, który skierował pytania prejudycjalne do TSUE.Rozstrzygnięcie
1) Artykuły 8 i 10 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW należy interpretować w ten sposób, że: w odniesieniu do zbierania, przechowywania oraz usuwania danych biometrycznych i genetycznych pojęcie „prawa państwa członkowskiego” w rozumieniu tych artykułów należy rozumieć jako dotyczące przepisu o charakterze generalnym ustanawiającego minimalne warunki zbierania, przechowywania i usuwania takich danych, takiego jak przepis interpretowany w orzecznictwie sądów krajowych, pod warunkiem że orzecznictwo to jest dostępne i wystarczająco przewidywalne.
2) Artykuł 6 i art. 4 ust. 1 lit. c) dyrektywy 2016/680 w związku z art. 10 tej dyrektywy należy interpretować w ten sposób, że: nie stoją one na przeszkodzie uregulowaniom krajowym, które zezwalają – bez rozróżnienia – na zbieranie danych biometrycznych i genetycznych każdej osoby oskarżonej o popełnienie umyślnego czynu zabronionego lub podejrzanej o popełnienie takiego czynu zabronionego, o ile, po pierwsze, cele tego zbierania nie wiążą się z wymogiem wprowadzenia rozróżnienia między tymi dwiema kategoriami osób, a po drugie, administratorzy są zobowiązani, zgodnie z prawem krajowym, w tym orzecznictwem sądów krajowych, do przestrzegania wszystkich zasad i szczególnych wymogów ustanowionych w art. 4 i 10 wspomnianej dyrektywy.
3) Artykuł 4 ust. 1 lit. e) dyrektywy 2016/680 należy interpretować w ten sposób, że: nie stoi on na przeszkodzie uregulowaniom krajowym, na mocy których konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, mimo że uregulowania te nie przewidują maksymalnego okresu przechowywania, pod warunkiem że wspomniane uregulowania określają odpowiednie terminy okresowego przeglądu konieczności przechowywania tych danych oraz że w ramach tego przeglądu zostanie oceniona bezwzględna niezbędność przedłużenia ich przechowywania.Pełny tekst orzeczenia
WYROK TRYBUNAŁU (piąta izba)
z dnia 20 listopada 2025 r. (
*1
)
Odesłanie prejudycjalne – Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar oraz swobodny przepływ takich danych – Dyrektywa (UE) 2016/680 – Artykuł 4 ust. 1 lit. c) i e) – Minimalizacja przetwarzania danych – Ograniczenie przechowywania danych osobowych – Artykuł 10 – Zbieranie i przechowywanie danych biometrycznych i genetycznych – Bezwzględna niezbędność – Artykuł 6 lit. a) – Obowiązek dokonania rozróżnienia danych osobowych poszczególnych kategorii osób – Przepisy krajowe przewidujące zbieranie danych biometrycznych i genetycznych od każdej osoby podejrzanej lub oskarżonej o popełnienie umyślnego czynu zabronionego – Artykuł 5 – Odpowiednie terminy usuwania lub okresowego przeglądu konieczności przechowywania tych danych – Brak maksymalnego terminu przechowywania – Ocena konieczności przechowywania danych biometrycznych i genetycznych przez policję na podstawie przepisów wewnętrznych – Artykuł 8 ust. 2 – Zgodność przetwarzania tych danych z prawem – Pojęcie „prawa państwa członkowskiego” – Możliwość uznania orzecznictwa krajowego za „prawo państwa członkowskiego”
W sprawie C‑57/23
mającej za przedmiot wniosek o wydanie, na podstawie art. 267 TFUE, orzeczenia w trybie prejudycjalnym, złożony przez Nejvyšší správní soud (najwyższy sąd administracyjny, Republika Czeska) postanowieniem z dnia 26 stycznia 2023 r., które wpłynęło do Trybunału w dniu 2 lutego 2023 r., w postępowaniu:
JH
przeciwko
Policejní prezidium,
TRYBUNAŁ (piąta izba),
w składzie: M.L. Arastey Sahún, prezeska izby, J. Passer, E. Regan (sprawozdawca), D. Gratsias i B. Smulders, sędziowie,
rzecznik generalny: J. Richard de la Tour,
sekretarz: I. Illéssy, administrator,
uwzględniając pisemny etap postępowania i po przeprowadzeniu rozprawy w dniu 28 listopada 2024 r.,
rozważywszy uwagi, które przedstawili:
–
w imieniu JH – M. Mandzák, L. Nezpěvák i L. Trojan, advokáti,
–
w imieniu rządu czeskiego – M. Smolek, O. Serdula, J. Vláčil, T. Suchá i L. Březinová, w charakterze pełnomocników,
–
w imieniu Irlandii – M. Browne, Chief State Solicitor, A. Joyce i D. O’Reilly, w charakterze pełnomocników, których wspierała A. Mulligan, BL,
–
w imieniu rządu niderlandzkiego – J. Langer, w charakterze pełnomocnika,
–
w imieniu rządu polskiego – B. Majczyna, w charakterze pełnomocnika,
–
w imieniu Komisji Europejskiej – A. Bouchagiar, H. Kranenborg, P. Němečková i F. Wilman, w charakterze pełnomocników,
po zapoznaniu się z opinią rzecznika generalnego na posiedzeniu w dniu 27 lutego 2025 r.,
wydaje następujący
Wyrok
Niniejszy wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczy wykładni art. 4 ust. 1 lit. c) i e), art. 6, art. 8 ust. 2 i art. 10 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW (Dz.U. 2016, L 119, s. 89).
Wniosek ten został złożony w ramach sporu, jaki zaistniał pomiędzy JH a Policejní prezidium (komendą główną policji, Republika Czeska) (zwaną dalej „czeską komendą główną policji”), dotyczącego w szczególności zebrania danych biometrycznych i genetycznych dotyczących JH w ramach postępowania karnego oraz przechowywania tych danych przez policję czeską.
Ramy prawne
Prawo Unii
Motywy 1, 2, 26, 33, 37 i 96 dyrektywy 2016/680 mają następujące brzmienie:
„(1)
Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej »Kartą«) oraz art. 16 ust. 1 traktatu [FUE] stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.
(2)
Zasady i przepisy dotyczące ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych powinny – niezależnie od ich obywatelstwa czy miejsca zamieszkania – przestrzegać ich podstawowych praw i wolności, zwłaszcza prawa do ochrony danych osobowych. […]
[…]
(26)
Przetwarzanie danych osobowych musi być zgodne z prawem, rzetelne i przejrzyste względem zainteresowanej osoby fizycznej oraz służyć wyłącznie konkretnym celom określonym prawem. Nie stanowi to dla organów ścigania przeszkody w prowadzeniu czynności takich jak nadzór niejawny lub monitoring wizyjny. Czynności takie można prowadzić do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jeżeli czynności te są określone prawem i stanowią środek niezbędny i proporcjonalny w społeczeństwie demokratycznym, z należytym uwzględnieniem uzasadnionych interesów danej osoby fizycznej. […] Osobom fizycznym należy uświadomić ryzyko, zasady, zabezpieczenia i prawa związane z przetwarzaniem ich danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. Wyraźne, uzasadnione i określone w momencie zbierania danych osobowych powinny być w szczególności konkretne cele ich przetwarzania. Dane osobowe powinny być adekwatne i właściwe w stosunku do celów przetwarzania. […] Dane osobowe powinny być przetwarzane tylko wtedy, gdy celu przetwarzania nie można rozsądnie osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Państwa członkowskie powinny ustanowić odpowiednie zabezpieczenia dla danych osobowych przechowywanych dłużej w celu archiwizacji w interesie publicznym, wykorzystania do celów naukowych, statystycznych lub historycznych.
[…]
(33)
Jeżeli w niniejszej dyrektywie jest mowa o prawie państwa członkowskiego, podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Takie prawo państwa członkowskiego, podstawa prawna lub akt prawny powinny jednak być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości i Europejskiego Trybunału Praw Człowieka. Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu zastosowania niniejszej dyrektywy powinno co najmniej określać cele ogólne, dane osobowe mające podlegać przetwarzaniu, cele przetwarzania oraz procedury pozwalające chronić integralność i poufność danych osobowych oraz procedury niszczenia tych danych, a tym samym powinno zapewniać dostateczną ochronę przed ryzykiem nadużyć i arbitralności.
[…]
(37)
Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko naruszenia podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszej dyrektywie terminu »pochodzenie rasowe« nie oznacza, że Unia akceptuje teorie sugerujące istnienie osobnych ras ludzkich. Takich danych nie należy przetwarzać, chyba że przetwarzanie podlega odpowiednim, określonym prawem gwarancjom praw i wolności osoby, której dane dotyczą, i jest dozwolone w przypadkach dopuszczonych prawem, a jeżeli nie jest dotąd dopuszczone takim prawem – jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, albo też dotyczy danych w sposób oczywisty upublicznionych przez samą osobę, której dane dotyczą. Odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, mogą obejmować możliwość zbierania takich danych tylko w połączeniu z innymi danymi dotyczącymi danej osoby fizycznej, możliwość odpowiedniego zabezpieczenia takich danych, ściślejsze uregulowanie dostępu pracowników właściwego organu do danych lub zakaz przesyłania danych. […]
[…]
(96)
Na transponowanie niniejszej dyrektywy państwom członkowskim należy przyznać nie więcej niż dwa lata od dnia jej wejścia w życie. Przetwarzanie, które w tym dniu jest w toku, powinno w terminie dwóch lat od dnia wejścia w życie niniejszej dyrektywy zostać dostosowane do jej przepisów. Jeżeli jednak takie przetwarzanie jest zgodne z prawem Unii mającym zastosowanie przed dniem wejścia niniejszej dyrektywy w życie, wymogi niniejszej dyrektywy dotyczące uprzednich konsultacji z organem nadzorczym nie powinny mieć zastosowania do operacji przetwarzania, które już ma miejsce, gdyż z uwagi na ich charakter wymogi te powinny zostać spełnione przed przetwarzaniem. […]
[…]”.
Artykuł 1 tej dyrektywy, zatytułowany „Przedmiot i cele”, stanowi w ust. 1:
„Niniejsza dyrektywa ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom”.
Artykuł 2 wspomnianej dyrektywy, zatytułowany „Zakres zastosowania”, stanowi w ust. 1:
„Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów określonych w art. 1 ust. 1”.
Zgodnie z art. 3 tej dyrektywy, zatytułowanym „Definicje”:
„Na użytek niniejszej dyrektywy:
1)
»dane osobowe« oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
2)
»przetwarzanie« oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
[…]
12)
»dane genetyczne« oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;
13)
»dane biometryczne« oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby fizycznej, takie jak wizerunek twarzy lub dane daktyloskopijne;
[…]”.
Artykuł 4 dyrektywy 2016/680, zatytułowany „Zasady dotyczące przetwarzania danych osobowych”, stanowi w ust. 1:
„Państwa członkowskie zapewniają, by dane osobowe były:
a)
przetwarzane zgodnie z prawem i rzetelnie;
b)
zbierane w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami;
c)
adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane;
d)
prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
e)
przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;
[…]”.
Artykuł 5 tej dyrektywy, zatytułowany „Terminy przechowywania i przeglądu”, brzmi następująco:
„Państwa członkowskie zapewniają, by przyjęto odpowiednie terminy usuwania danych osobowych lub okresowego przeglądu konieczności przechowywania danych osobowych. Przestrzeganiu tych terminów powinny służyć odpowiednie środki proceduralne”.
Artykuł 6 wspomnianej dyrektywy, zatytułowany „Rozróżnianie poszczególnych kategorii osób, których dane dotyczą”, stanowi:
„Państwa członkowskie zapewniają, by administrator – w stosownym przypadku i w miarę możliwości – wyraźnie rozróżniał dane osobowe poszczególnych kategorii osób, których dane dotyczą, takich jak:
a)
osoby, w stosunku do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony;
b)
osoby skazane za czyn zabroniony;
c)
pokrzywdzeni czynem zabronionym lub osoby, w przypadku których określone fakty wskazują, że mogą stać się ofiarą czynu zabronionego; oraz
d)
osoby inne w stosunku do czynu zabronionego, takie jak osoby, które mogą zostać wezwane do złożenia zeznań w ramach postępowania przygotowawczego w sprawie czynu zabronionego lub na dalszych etapach postępowania karnego, osoby, które mogą dostarczyć informacji o czynach zabronionych, lub osoby, które mają kontakty lub powiązania z jedną z osób, o których mowa w lit. a) i b)”.
Artykuł 8 tej dyrektywy, zatytułowany „Zgodność przetwarzania z prawem”, stanowi:
„1. Państwa członkowskie zapewniają, by przetwarzanie było zgodne z prawem wyłącznie wówczas i w zakresie, w jakim jest ono niezbędne do wykonania zadania realizowanego przez właściwy organ w celach określonych w art. 1 ust. 1 oraz ma podstawę w prawie Unii lub prawie państwa członkowskiego.
2. Prawo państwa członkowskiego regulujące przetwarzanie w zakresie stosowania niniejszej dyrektywy określa co najmniej powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania”.
Zgodnie z art. 10 dyrektywy 2016/680, zatytułowanym „Przetwarzanie szczególnych kategorii danych osobowych”:
„Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej jest dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, oraz:
a)
jest dopuszczone prawem Unii lub prawem państwa członkowskiego;
b)
jest niezbędne dla ochrony żywotnych interesów osoby fizycznej, której dane dotyczą, lub innej osoby; lub
c)
takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą”.
Na podstawie art. 63 ust. 1 tej dyrektywy państwa członkowskie powinny były przyjąć i opublikować do dnia 6 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania wspomnianej dyrektywy. Ponadto państwa członkowskie są zobowiązane do stosowania tych przepisów od tego samego dnia.
Zgodnie z art. 64 tej dyrektywy weszła ona w życie w dniu 5 maja 2016 r.
Prawo czeskie
Paragraf 11 zákon č. 273/2008 Sb., o Policii České republiky (ustawy nr 273/2008 o policji Republiki Czeskiej), w brzmieniu mającym zastosowanie do sporu w postępowaniu głównym (zwanej dalej „ustawą o policji czeskiej”), zatytułowany „Proporcjonalność czynności”, stanowi:
„Policja i funkcjonariusz policji są zobowiązani do:
[…]
c)
postępowania w taki sposób, aby ewentualna ingerencja w prawa i wolności osób, których ta czynność dotyczy, lub osób, których ona nie dotyczy, nie wykraczała poza to, co jest konieczne do osiągnięcia celu realizowanego poprzez tę czynność”.
Paragraf 65 ustawy o policji czeskiej stanowi:
„1. Podczas wykonywania swoich zadań policja do celów przyszłej identyfikacji może w przypadku:
a)
osoby oskarżonej o popełnienie umyślnego czynu zabronionego lub osoby, której przedstawiono zarzut popełnienia takiego czynu zabronionego,
b)
osoby, która odbywa karę pozbawienia wolności za popełnienie umyślnego czynu zabronionego,
c)
osoby, wobec której zastosowano przymusowe środki medyczne lub zatrzymanie prewencyjne, lub
d)
osoby poszukiwanej, która została odnaleziona i której zdolność do czynności prawnych jest ograniczona,
pobierać odciski palców, identyfikować cechy fizyczne, dokonywać pomiarów ciała, wykonywać nagrania obrazu, dźwięku i podobne oraz pobierać próbki biologiczne umożliwiające uzyskanie informacji o strukturze genetycznej.
2. Jeżeli czynność, o której mowa w ust. 1, nie może zostać dokonana ze względu na to, że ta osoba sprzeciwia się temu, funkcjonariusz policji ma prawo, po bezskutecznym wezwaniu tej osoby do podporządkowania się, użyć przymusu. Sposób, w jaki funkcjonariusz używa przymusu, musi być proporcjonalny do intensywności sprzeciwu. Funkcjonariusz policji nie może użyć przymusu wobec danej osoby w przypadku pobrania krwi lub innej podobnej czynności naruszającej nietykalność cielesną.
3. Jeżeli czynności, o której mowa w ust. 1, nie można dokonać na miejscu, funkcjonariusz policji ma prawo doprowadzić daną osobę w celu przeprowadzenia czynności. Funkcjonariusz po dokonaniu wspomnianej czynności zwalnia tę osobę.
4. Funkcjonariusz sporządza sprawozdanie na temat dokonanych w ten sposób czynności.
5. Policja usuwa dane osobowe uzyskane zgodnie z ust. 1, gdy tylko ich przetwarzanie przestaje być konieczne do celów zapobiegania lub wykrywania przestępczości albo ścigania czynów zabronionych, zapewnienia bezpieczeństwa Republiki Czeskiej, porządku publicznego lub bezpieczeństwa wewnętrznego”.
Paragraf 79 tej ustawy, zatytułowany „Podstawowe przepisy dotyczące przetwarzania danych osobowych w ramach wykonywania niektórych zadań policji”, stanowi:
„1. Ustępy 2–6 i paragrafy 79a–88 stosuje się do przetwarzania danych osobowych w celu zapobiegania, wykrywania i ujawniania przestępczości, ścigania czynów zabronionych, zapewnienia bezpieczeństwa Republiki Czeskiej lub utrzymania porządku publicznego i bezpieczeństwa wewnętrznego, w tym poszukiwania osób i rzeczy.
2. Policja może przetwarzać dane osobowe, jeżeli jest to konieczne do osiągnięcia celów, o których mowa w ust. 1. Policja może przetwarzać dane osobowe również w celu ochrony ważnych interesów osoby, której te dane dotyczą, związanych z celami, o których mowa w ust. 1.
[…]”.
Paragraf 82 wspomnianej ustawy, zatytułowany „Weryfikacja niezbędności kontynuowania przetwarzania danych osobowych”, brzmi następująco:
„1. Co najmniej raz na trzy lata policja sprawdza, czy dane osobowe przetwarzane do celów, o których mowa w § 79 ust. 1, są nadal niezbędne do wykonywania jej zadań w tej dziedzinie.
2. Do celów weryfikacji, o której mowa w ust. 1, policja jest uprawniona do żądania wyciągu z rejestru karnego.
3. Organy ścigania i organy sądowe, Ministerstvo spravedlnosti (ministerstwo sprawiedliwości, Republika Czeska), Ústavní soud (trybunał konstytucyjny, Republika Czeska) i Kancelář prezidenta republiky (kancelaria prezydenta Republiki, Republika Czeska) systematycznie informują policję, w granicach swoich kompetencji, do celów weryfikacji, o której mowa w ust. 1, o swoich ostatecznych decyzjach, o przedawnieniu postępowania karnego, o wykonaniu kary lub o decyzjach prezydenta Republiki dotyczących postępowania karnego, kar, amnestii lub ułaskawienia”.
Postępowanie główne i pytania prejudycjalne
Postanowieniem z dnia 11 grudnia 2015 r. jednostka ds. wykrywania korupcji i przestępczości gospodarczej w ramach służby kryminalno-dochodzeniowej w ekspozyturze w Pilźnie (Republika Czeska), która jest jednostką policji czeskiej o ogólnokrajowym zasięgu działania, wszczęła postępowanie karne przeciwko JH w związku z naruszeniem obowiązków w ramach sprawowania zarządu cudzym majątkiem.
W ramach danego postępowania karnego w dniu 13 stycznia 2016 r. policja czeska przede wszystkim odebrała wyjaśnienia od JH oraz zarządziła przeprowadzenie następujących czynności identyfikacyjnych, które przeprowadziła pomimo braku zgody JH: pobranie elektroniczne odcisków palców JH, wymaz z jego śluzówki policzka, który posłużył do stworzenia profilu DNA, wykonanie zdjęć i sporządzenie rysopisu JH. Następnie zarejestrowała te informacje w odpowiednich bazach danych.
W wyroku z dnia 15 marca 2017 r. Městský soud v Praze (sąd miejski w Pradze, Republika Czeska) orzekł, że JH popełnił, w drodze pomocnictwa, występek polegający na naruszeniu obowiązku zarządzania cudzym majątkiem oraz przestępstwo nadużycia władzy przez funkcjonariusza publicznego. Wspomniany sąd wymierzył mu karę trzech lat pozbawienia wolności z warunkowym zawieszeniem jej wykonania, na okres czterech lat nałożył nań zakaz pełnienia w administracji publicznej funkcji kierowniczych obejmujących zarządzanie majątkiem nieruchomym i ruchomym oraz nakazał mu naprawienie, w granicach jego możliwości, wyrządzonej szkody.
W dniu 8 marca 2016 r. JH wniósł do Městský soud v Praze (sądu miejskiego w Pradze) skargę o stwierdzenie, że dokonanie czynności identyfikacyjnych na podstawie § 65 ustawy o czeskiej policji, przechowywanie uzyskanych informacji i próbek, a także utworzenie wówczas wpisu w bazie danych policji czeskiej stanowiły niezgodną z prawem ingerencję w jego podstawowe prawo do poszanowania życia prywatnego.
Zważywszy, że w ramach innego toczącego się wówczas postępowania Městský soud v Praze (sąd miejski w Pradze) zwrócił się już do Ústavní soud (trybunału konstytucyjnego, Republika Czeska) z wnioskiem o ocenę zgodności z konstytucją § 65 ustawy o czeskiej policji, sąd ten zawiesił rozpoznawanie skargi wniesionej przez JH.
Orzeczeniem z dnia 22 marca 2022 r. Ústavní soud (trybunał konstytucyjny) oddalił złożony przez Městský soud v Praze (sąd miejski w Pradze) wniosek o stwierdzenie niezgodności z konstytucją § 65 ustawy o czeskiej policji. W następstwie wydania tego orzeczenia ten ostatni sąd podjął postępowanie ze skargi wniesionej przez JH.
W wyroku z dnia 23 czerwca 2022 r. Městský soud v Praze (sąd miejski w Pradze) uwzględnił skargę JH, orzekając, że dokonane przez policję czeską w dniu 13 stycznia 2016 r. czynności były niezgodne z prawem. W związku z tym sąd ten nakazał policji czeskiej usunięcie z jej baz danych wszystkich danych osobowych wynikających z tych czynności.
W wyroku tym wspomniany sąd podkreślił, że pobieranie materiału genetycznego stanowi istotną ingerencję w prawo podstawowe do poszanowania życia prywatnego zainteresowanego, chronione w szczególności w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności, podpisanej w Rzymie w dniu 4 listopada 1950 r. (zwanej dalej „EKPC”), i w art. 10 ust. 3 Listina základních práv a svobod (karty podstawowych praw i podstawowych wolności Republiki Czeskiej). W § 65 ustawy o policji czeskiej nie zawarto zaś wskazówek wystarczających do tego, aby móc dokonać oceny proporcjonalnego charakteru tej ingerencji. Jedyną weryfikacją wymaganą w tym ostatnim paragrafie jest bowiem to, by policja czeska sprawdziła przed dokonaniem takiego pobrania, czy popełniony czyn zabroniony ma „umyślny” charakter.
Sąd ten zauważył zresztą, że JH był ścigany jedynie za popełnienie występku, czyli czynu zabronionego mniejszej wagi, że wykonanie wymierzonej mu kary pozbawienia wolności zostało warunkowo zawieszone, co potwierdza mniejszą wagę zarzucanych mu czynów, że nigdy wcześniej nie był skazany w postępowaniu karnym, że nie zachodzi wysokie prawdopodobieństwo recydywy oraz że nie było pewne, czy popełnione czyny zabronione mają charakter występków, których sprawcy popełniliby w przyszłości czyn zabroniony, do zidentyfikowania którego to czynu mogłyby przyczynić się przechowywane dane osobowe. Sąd ten wywiódł na tej podstawie, że przeprowadzone przez policję czeską czynności identyfikacyjne będące przedmiotem sporu w postępowaniu głównym nie spełniały wymogu proporcjonalności.
Czeska komenda główna policji wniosła skargę kasacyjną od tego wyroku do Nejvyšší správní soud (najwyższego sądu administracyjnego Republika Czeska), który jest sądem odsyłającym.
Na poparcie swej skargi kasacyjnej przedstawiciel czeskiej komendy głównej policji podnosi, że cel przetwarzania danych osobowych jest jasno określony w § 65 ustawy o czeskiej policji. Utrzymuje on również, że w danym przypadku właściwe organy policji czeskiej oceniły proporcjonalność pobrania i przechowywania danych osobowych JH z uwzględnieniem czynnika recydywy, możliwej eskalacji zachowań zabronionych przez prawo oraz okoliczności, że JH w przeszłości już dopuścił się szeregu czynów zabronionych.
Ustosunkowując się do tego, JH twierdzi w szczególności, że organy policji czeskiej przeprowadziły czynności identyfikacyjne bez uprzedniego zbadania proporcjonalnego charakteru danej ingerencji. JH krytykuje również to, że instrukcje policji czeskiej dotyczące przeprowadzania czynności identyfikacyjnych nie są podane do wiadomości publicznej.
Sąd odsyłający zaznacza, że zgodnie z jego najnowszym orzecznictwem samo spełnienie wymogów formalnych ustanowionych w § 65 ust. 1 ustawy o czeskiej policji, w szczególności wymogu dotyczącego uznania czynu zabronionego za „umyślny”, nie wystarcza, by zbieranie i przechowywanie danych osobowych, o których mowa w tym paragrafie, można było traktować jako zgodne z prawem. W związku z tym organy policji mają obowiązek dokonania oceny proporcjonalności pobrania w każdym konkretnym przypadku, biorąc pod uwagę w szczególności uprzednią karalność, osobowość i zachowanie osoby, której dane dotyczą, wagę czynu zabronionego, w związku z którym osoba ta została wezwana w celu przeprowadzenia czynności identyfikacyjnych, oraz – w ramach wniosku o usunięcie ex post – czas, jaki upłynął od popełnienia danego czynu zabronionego.
Na podstawie tego orzecznictwa sądy krajowe stwierdziły niezgodność z prawem czynności identyfikacyjnych, takich jak zbieranie danych biometrycznych i genetycznych, w szczególności w przypadku czynów zabronionych bez użycia przemocy, popełnionych przez osoby, które nigdy nie były skazane.
Właśnie w powyższym kontekście sąd odsyłający powziął wątpliwości co do zgodności systemu prawnego ustanowionego w § 65 ustawy o czeskiej policji z dyrektywą 2016/680.
W pierwszej kolejności sąd ten zastanawia się, czy wymogi ustanowione w tej dyrektywie stoją na przeszkodzie niezróżnicowanemu zbieraniu danych biometrycznych i genetycznych wszystkich osób podejrzanych o popełnienie umyślnego przestępstwa.
Po pierwsze, z orzecznictwa Europejskiego Trybunału Praw Człowieka dotyczącego prawa do poszanowania życia prywatnego i rodzinnego, zagwarantowanego w art. 8 EKPC, ma wynikać, że układające się strony są zobowiązane do wprowadzenia rozróżnienia pomiędzy przestępstwami, w przypadku których próbki kwasu dezoksyrybonukleinowego (DNA) są zbierane ze względu na społeczną wagę tych przestępstw. Układające się strony nie mogą traktować w ten sam sposób z jednej strony sprawców poważnych czynów zabronionych, takich jak przestępstwa popełnione z użyciem przemocy, w przypadku których pobieranie i przechowywanie próbek DNA są zgodne z prawem, a z drugiej strony sprawców mniej poważnych czynów zabronionych.
Po drugie, wymogi wynikające z zasady proporcjonalności, takie jak w szczególności wymóg skonkretyzowany w zakresie stosowania dyrektywy 2016/680 w formie zasady minimalizacji przetwarzania danych i obowiązek wprowadzenia rozróżnienia pomiędzy poszczególnymi kategoriami osób, których dane dotyczą, przewidziane, odpowiednio, w art. 4 ust. 1 lit. c) i art. 6 tej dyrektywy, wiążą się z wątpliwościami co do kwestii, czy wprowadzenie rozróżnień in abstracto na poziomie legislacyjnym na podstawie w szczególności wagi przewidzianych czynów zabronionych jest wystarczające lub czy jest konieczne dokonanie oceny in concreto proporcjonalnego charakteru danego pobrania w każdym konkretnym przypadku.
W drugiej kolejności sąd odsyłający zastanawia się, czy wymogi ustanowione w dyrektywie 2016/680 stoją na przeszkodzie przechowywaniu danych biometrycznych i genetycznych bez wyraźnego ograniczenia tego przechowywania w czasie. Ponadto obowiązujące uregulowania krajowe nie określają maksymalnego okresu przechowywania danych identyfikacyjnych. Tymczasem zgodnie z dokonaną przez sąd odsyłający interpretacją orzecznictwa Europejskiego Trybunału Praw Człowieka orzecznictwo to wymaga ustalenia takiego maksymalnego okresu.
W trzeciej kolejności sąd odsyłający zastanawia się, czy orzecznictwo czeskich sądów administracyjnych można uznać za „prawo państwa członkowskiego” w rozumieniu art. 8 dyrektywy 2016/680, w którym określono warunki zgodności przetwarzania danych osobowych z prawem.
Paragraf 65 ustawy o czeskiej policji nie precyzuje bowiem ani konkretnych warunków przechowywania i rodzajów informacji, które można uzyskać z pobranych próbek, ani warunków przechowywania i usuwania danych biometrycznych i genetycznych, skutkiem czego paragraf ten sam w sobie nie spełnia wymogów ustanowionych w art. 8 ust. 2 dyrektywy 2016/680 w związku z art. 10 tej dyrektywy.
Wprawdzie ów § 65 ustawy o czeskiej policji jest uzupełniony wytycznymi komendanta głównego policji wdrażającymi ów przepis, lecz jako że wytyczne te ani nie są tekstami normatywnymi, ani nie zostały opublikowane, nie mogą one w żadnym wypadku zostać uznane za „prawo państwa członkowskiego” w rozumieniu art. 8 ust. 2 dyrektywy 2016/680.
Z tego względu powstaje pytanie, czy można uznać, że prawo państwa członkowskiego przewiduje wystarczające gwarancje materialne i proceduralne w zakresie przetwarzania danych wrażliwych w rozumieniu art. 10 tej dyrektywy, takich jak dane biometryczne i genetyczne, jeżeli te gwarancje wynikają z orzecznictwa.
W tych okolicznościach Nejvyšší správní soud (najwyższy sąd administracyjny) postanowił zawiesić postępowanie i zwrócić się do Trybunału z następującym pytaniami prejudycjalnymi:
„1)
Jakiego stopnia rozróżnienia pomiędzy poszczególnymi podmiotami, których dotyczą dane osobowe, wymaga art. 4 ust. 1 lit. c) lub art. 6 [dyrektywy 2016/680] w związku z art. 10 [tej dyrektywy]? Czy zgodne z zasadą minimalizacji przetwarzania danych osobowych, jak również z obowiązkiem wprowadzenia rozróżnienia pomiędzy poszczególnymi kategoriami podmiotów, których dane dotyczą, jest to, żeby ustawodawstwo krajowe zezwalało na pobieranie danych genetycznych od wszystkich osób podejrzanych lub oskarżonych o popełnienie umyślnego czynu zabronionego?
2)
Czy zgodna z art. 4 ust. 1 lit. e) dyrektywy 2016/680 jest sytuacja, w której ze względu na ogólny cel, jakim jest zapobieganie lub wykrywanie przestępczości, potrzeba dalszego przechowywania profilu DNA jest oceniana przez organy policji na podstawie ich wewnętrznych regulacji, co w praktyce często oznacza przechowywanie wrażliwych danych osobowych przez czas nieokreślony, bez określenia jakiegokolwiek maksymalnego okresu przechowywania tych danych osobowych? Jeżeli nie jest to zgodne z tym przepisem, to według jakich kryteriów należy ewentualnie oceniać proporcjonalność w aspekcie czasowym przechowywania danych osobowych gromadzonych i przechowywanych w takim celu?
3)
Jaki jest minimalny zakres warunków materialnych lub proceduralnych pozyskiwania, przechowywania i usuwania szczególnie wrażliwych danych osobowych w rozumieniu art. 10 dyrektywy 2016/680, który to zakres musi zostać uregulowany w »przepisach o charakterze generalnym« prawa państwa członkowskiego? Czy również orzecznictwo sądowe może zostać uznane za »prawo państwa członkowskiego« w rozumieniu art. 8 ust. 2 [dyrektywy 2016/680] w związku z art. 10 [tej dyrektywy]?”.
W przedmiocie pytań prejudycjalnych
W przedmiocie pytania trzeciego
Poprzez pytanie trzecie, które należy zbadać w pierwszej kolejności, sąd odsyłający dąży zasadniczo do ustalenia, czy art. 8 i 10 dyrektywy 2016/680 należy interpretować w ten sposób, że w odniesieniu do zbierania, przechowywania oraz usuwania danych biometrycznych i genetycznych pojęcie „prawa państwa członkowskiego” w rozumieniu tego przepisu należy rozumieć jako dotyczące tylko jednego przepisu o charakterze generalnym ustanawiającego minimalne warunki zbierania, przechowywania i usuwania takich danych, czy też orzecznictwo sądów krajowych, które określa te warunki, może również być objęte tym pojęciem.
W tym względzie należy przypomnieć, że zgodnie z art. 3 pkt 2 dyrektywy 2016/680 w związku z art. 3 pkt 12 i 13 tej dyrektywy zbieranie, przechowywanie i usuwanie danych biometrycznych i genetycznych stanowią przypadki przetwarzania danych osobowych w rozumieniu tej dyrektywy.
Artykuł 4 dyrektywy 2016/680 przewiduje poszczególne zasady, którym podlegają te przypadki przetwarzania, odzwierciedlające, jak wynika z motywów 1 i 2 tej dyrektywy, sposób, w jaki w granicach przewidzianych w art. 52 Karty prawodawca Unii zamierzał skonkretyzować w stosunku do wspomnianych przypadków przetwarzania podstawowe prawo osób fizycznych do ochrony ich danych osobowych, uznane w art. 8 Karty, które to prawo jest ściśle związane z ustanowionym w art. 7 Karty prawem do poszanowania życia prywatnego, biorąc pod uwagę szczególny charakter czynności zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar.
Wśród tych zasad art. 4 ust. 1 lit. a) dyrektywy 2016/680 przewiduje, że wszystkie dane osobowe muszą być przetwarzane zgodnie z prawem i rzetelnie.
W art. 8 ust. 1 dyrektywy 2016/680 uściślono w tym względzie, że państwa członkowskie powinny zapewnić, by przetwarzanie danych osobowych objętych zakresem stosowania tej dyrektywy było uznane za zgodne z prawem wyłącznie wówczas i w zakresie, w jakim jest ono niezbędne do wykonania zadania realizowanego przez właściwy organ w celach określonych w art. 1 ust. 1 wspomnianej dyrektywy oraz ma podstawę w prawie Unii lub prawie państwa członkowskiego.
Ponadto na podstawie art. 8 ust. 2 tej dyrektywy przetwarzanie takich danych jest możliwe tylko wtedy, gdy prawo państwa członkowskiego regulujące to przetwarzanie określa co najmniej powody tego przetwarzania, dane osobowe mające podlegać wspomnianemu przetwarzaniu oraz jego cele.
W odniesieniu do określonych kategorii danych osobowych, takich jak dane biometryczne lub genetyczne, art. 10 dyrektywy 2016/680 zmierza do zapewnienia ich zwiększonej ochrony, definiując bardziej rygorystyczne warunki zgodności z prawem przetwarzania takich danych [zob. podobnie wyroki: z dnia 30 stycznia 2024 r., Direktor na Glavna direktsia „Natsionalna politsia” pri MVR – Sofia, C‑118/22, EU:C:2024:97, pkt 48; z dnia 4 października 2024 r.Bezirkshauptmannschaft Landeck (Próba uzyskania wglądu do danych osobowych przechowywanych w telefonie komórkowym), C‑548/21, EU:C:2024:830, pkt 107]. Te kategorie danych są bowiem, jak zaznaczono w motywie 37 tej dyrektywy, z racji swego charakteru szczególnie wrażliwe w świetle podstawowych praw i wolności, gdyż kontekst przetwarzania takich danych może powodować poważne ryzyko naruszenia podstawowych praw i wolności osób, których dane dotyczą.
I tak, zgodnie z art. 10 dyrektywy 2016/680 przetwarzanie dotyczące danych osobowych objętych jedną z kategorii wyliczonych wyczerpująco w tym artykule (zwanych dalej „wrażliwymi danymi osobowymi”) powinno być dopuszczone prawem Unii lub prawem państwa członkowskiego.
Z powyższego wynika, że art. 8 i 10 dyrektywy 2016/680 mają na celu doprecyzowanie zakresu poszczególnych zasad określonych w art. 4 tej dyrektywy, które konkretyzują – w dziedzinie objętej wspomnianą dyrektywą – w szczególności podstawowe prawo osób fizycznych do ochrony ich danych osobowych, uznane w art. 8 Karty.
Pojęcie „prawa państwa członkowskiego” zastosowane w art. 8 i 10 dyrektywy 2016/680 należy zatem rozumieć jako konkretyzujące w dziedzinie objętej tą dyrektywą warunek określony w art. 8 ust. 2 Karty, zgodnie z którym to warunkiem przetwarzanie danych osobowych, które nie ma miejsca za zgodą osoby zainteresowanej, powinno zostać zrealizowane na innej uzasadnionej podstawie przewidzianej ustawą, przy czym warunek ten sam w sobie jedynie odzwierciedla wymóg określony w art. 52 Karty, zgodnie z którym to wymogiem wszelkie ograniczenia w korzystaniu z praw podstawowych uznanych w Karcie muszą być przewidziane ustawą. Pojęcie to dotyczy zatem ważności odniesienia się do prawa krajowego jako podstawy prawnej przetwarzania danych osobowych.
Tymczasem z jednej strony, jak zaznaczył rzecznik generalny w pkt 82 opinii, Trybunał, uwzględniając utrwalone orzecznictwo Europejskiego Trybunału Praw Człowieka, orzekł, że termin „ustawa” użyty w zawartym w art. 8 ust. 2 Karty w wyrażeniu „uzasadniona podstawa przewidziana ustawą” należy rozumieć w jego znaczeniu materialnym, a nie formalnym (wyrok z dnia 16 listopada 2023 r., Roos i in./Parlament, C‑458/22 P, niepublikowany, EU:C:2023:871, pkt 61). Z drugiej strony zgodnie z tym orzecznictwem Europejskiego Trybunału Praw Człowieka wspomniane znaczenie terminu „ustawa” w wyrażeniu „przewidziane ustawą”, o którym mowa w art. 8 ust. 2 EKPC, oznacza, że termin ten dotyczy obowiązującego tekstu zgodnie z jego wykładnią dokonaną przez właściwe sądy (zob. podobnie wyrok ETPC z dnia 23 stycznia 2025 r. w sprawie H.W. przeciwko Francji, CE:ECHR:2025:0123JUD 001380521, pkt 65).
Ponadto, jak wynika z orzecznictwa Trybunału, o ile wymóg, zgodnie z którym wszelkie ograniczenia korzystania z praw podstawowych uznanych przez Kartę muszą być przewidziane ustawą, oznacza, że podstawa prawna, która pozwala na ingerencję w te prawa, musi sama określać zakres tego ograniczenia, o tyle wymaganie to nie wyklucza jednak z jednej strony, by to ograniczenie było sformułowane w sposób wystarczająco otwarty, tak aby można je było dostosować do różnych przypadków i zmieniających się sytuacji, a z drugiej strony, by właściwy sąd mógł w stosownym przypadku doprecyzować poprzez wykładnię konkretny zakres wspomnianego ograniczenia z punktu widzenia zarówno samego brzmienia tej podstawy prawnej, która pozwala na ingerencję, jak i ogólnej systematyki wspomnianej podstawy prawnej oraz celów, którym służy ta ostatnia (zob. analogicznie wyrok z dnia 21 czerwca 2022 r., Ligue des droits humains, C‑817/19, EU:C:2022:491, pkt 114).
W rezultacie pojęcie „prawa państwa członkowskiego” w rozumieniu art. 8 i 10 dyrektywy 2016/680 w związku z art. 8 ust. 2 Karty należy rozumieć jako mogące odnosić się do przepisu przewidującego wyraźnie przetwarzanie danych osobowych objętych zakresem stosowania tej dyrektywy, takiego jak przepis interpretowany w orzecznictwie sądów krajowych.
W każdym razie, jak zauważono w pkt 47 niniejszego wyroku, art. 8 ust. 2 dyrektywy 2016/680 przewiduje, że przetwarzanie danych osobowych objętych zakresem stosowania tej dyrektywy jest możliwe tylko wtedy, gdy prawo państwa członkowskiego regulujące to przetwarzanie określa co najmniej jego powody, dane osobowe mające mu podlegać oraz jego cele.
Tymczasem w tym względzie należy zauważyć, że z jednej strony odniesienie do „prawa” państwa członkowskiego „regulującego” rozpatrywane przetwarzanie oznacza, iż powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele są – co najmniej co do ich zasady – przewidziane w przepisie o charakterze generalnym. Z drugiej strony celem tego art. 8 ust. 2 jest, jak wynika wyraźnie z motywu 33 wspomnianej dyrektywy, to, by prawo państwa członkowskiego będącego administratorem było jasne i precyzyjne, a zastosowanie tego prawa było przewidywalne dla osób mu podlegających – jak wymaga tego orzecznictwo Trybunału i Europejskiego Trybunału Praw Człowieka.
Zgodnie z utrwalonym orzecznictwem Europejskiego Trybunału Praw Człowieka każdy akt stanowiący podstawę prawną przetwarzania danych osobowych powinien posiadać określone cechy, a mianowicie zasadniczo powinien on być przede wszystkim zgodny z normami wyższego rzędu, następnie – dostępny, i wreszcie – wystarczająco przewidywalny, to znaczy w rozsądnym stopniu w okolicznościach danej sprawy, by umożliwić zainteresowanym jednostkom odpowiednie dostosowanie ich zachowania, co oznacza, że akt ten wystarczająco wyraźnie określa zakres i warunki wykonywania uprawnień przyznanych właściwym organom (zob. podobnie w szczególności wyroki ETPC: z dnia 26 kwietnia 1979 r. w sprawie Sunday Times przeciwko Zjednoczonemu Królestwu, CE:ECHR:1979:0426JUD00065387, §§ 25, 52; z dnia 1 lipca 2008 r. w sprawie Liberty i in. przeciwko Zjednoczonemu Królestwu, CE:ECHR:2008:0701JUD005824300, §§ 62, 63; z dnia 4 grudnia 2008 r. w sprawie S. i Marper przeciwko Zjednoczonemu Królestwu, CE:ECHR:2008:1204JUD003056204, § 95).
Podobnie z orzecznictwa Trybunału wynika, że aby spełnić zawarty w art. 52 Karty wymóg, że uregulowania Unii stanowiące ingerencję w prawa podstawowe gwarantowane w art. 7 i 8 Karty muszą być przewidziane ustawą, uregulowania te muszą zawierać jasne i dokładne reguły dotyczące zakresu i sposobu stosowania rozpatrywanych środków, a także ustanawiać minimalne zabezpieczenia służące temu, aby osoby, których dane osobowe zostają dotknięte ingerencją, miały wystarczające gwarancje pozwalające na skuteczną ochronę ich danych przed ryzykiem nadużyć oraz uzyskaniem do nich bezprawnego dostępu i ich wykorzystywaniem (zob. wyroki: z dnia 8 kwietnia 2014 r., Digital Rights Ireland i in., C‑293/12 i C‑594/12, EU:C:2014:238, pkt 54; a także z dnia 6 października 2015 r., Schrems, C‑362/14, EU:C:2015:650, pkt 91).
Ponieważ celem art. 8 ust. 2 dyrektywy 2016/680 jest zapewnienie przestrzegania wymogów przypomnianych w pkt 56 i 57 niniejszego wyroku, wynika z tego, że powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania objętego zakresem tej dyrektywy powinny wynikać w sposób wystarczająco precyzyjny i jasny z samego przepisu służącego uregulowaniu tego przetwarzania, aby przetwarzanie to można było uznać za spełniające wymóg bycia przewidzianym ustawą w rozumieniu orzecznictwa Europejskiego Trybunału Praw Człowieka i art. 52 Karty.
W świetle całości powyższych rozważań na pytanie trzecie trzeba odpowiedzieć, że art. 8 i 10 dyrektywy 2016/680 należy interpretować w ten sposób, iż w odniesieniu do zbierania, przechowywania oraz usuwania danych biometrycznych i genetycznych pojęcie „prawa państwa członkowskiego” w rozumieniu tych artykułów należy rozumieć jako dotyczące przepisu o charakterze generalnym ustanawiającego minimalne warunki zbierania, przechowywania i usuwania takich danych, takiego jak przepis interpretowany w orzecznictwie sądów krajowych, pod warunkiem że orzecznictwo to jest dostępne i wystarczająco przewidywalne.
W przedmiocie pytania pierwszego
W przedmiocie dopuszczalności
W swych uwagach na piśmie Komisja Europejska twierdzi, że pierwsze pytanie jest niedopuszczalne z tego względu, iż policja czeska pobrała materiał genetyczny JH i dokonała jego pomiarów biometrycznych w dniu 13 stycznia 2016 r., czyli przed datą wejścia w życie dyrektywy 2016/680, które nastąpiło w dniu 5 maja 2016 r., i przed upływem terminu na jej transpozycję, ustalonego w art. 63 ust. 1 tej dyrektywy na dzień 6 maja 2018 r.
W tym względzie należy przypomnieć, że odmowa udzielenia odpowiedzi przez Trybunał na pytanie prejudycjalne postawione przez sąd krajowy jest możliwa tylko wtedy, gdy jest oczywiste, że wykładnia prawa Unii, o którą wniesiono, nie ma żadnego związku ze stanem faktycznym lub z przedmiotem postępowań głównych, gdy problem jest natury hipotetycznej bądź gdy Trybunał nie dysponuje informacjami w zakresie stanu faktycznego lub prawnego niezbędnymi do udzielenia użytecznej odpowiedzi na postawione mu pytania (wyrok z dnia 20 marca 2025 r., Anib i in., od C‑728/22 do C‑730/22, EU:C:2025:200, pkt 48).
W niniejszym przypadku art. 64 dyrektywy 2016/680 przewiduje, że wchodzi ona w życie w dniu 5 maja 2016 r., zaś art. 63 tej dyrektywy precyzuje, iż państwa członkowskie powinny przyjąć i opublikować do dnia 6 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do jej wykonania.
Jednakże z akt sprawy, którymi dysponuje Trybunał, wynika, że dane osobowe zebrane w odniesieniu do JH na podstawie próbek genetycznych i pomiarów biometrycznych tego ostatniego w dniu 13 stycznia 2016 r. nadal były przechowywane w bazach danych policji czeskiej, a zatem zostały przetworzone po dniu 6 maja 2018 r.
Tymczasem, z zastrzeżeniem sytuacji przewidzianych w art. 4 ust. 2 dyrektywy 2016/680, z art. 4 ust. 1 lit. b) tej dyrektywy wynika, że dane osobowe nie mogą być przedmiotem przetwarzania, jeżeli ich zbieranie nie zostało usprawiedliwione uzasadnionymi celami.
W konsekwencji, jak zaznaczył rzecznik generalny w pkt 34 opinii, dane osobowe objęte zakresem dyrektywy 2016/680, które zostały zebrane zgodnie z prawem przed dniem wejścia w życie tej dyrektywy, lecz które zostałyby zebrane z naruszeniem zasad ustanowionych w tej dyrektywie, gdyby miało to miejsce już po dniu, w którym wspomniana dyrektywa została przetransponowana, lub – w braku transpozycji – po dniu, w którym powinna była zostać przetransponowana, a mianowicie w dniu 6 maja 2018 r., nie mogą być przechowywane po dniu, w którym wspomniana dyrektywa została przetransponowana, lub – w braku transpozycji – po dniu, w którym powinna była zostać przetransponowana.
W niniejszym przypadku nie jest zatem oczywiste, by pytanie pierwsze było nieuchronnie zupełnie pozbawione związku ze stanem faktycznym lub z przedmiotem postępowania głównego czy też by problem był natury hipotetycznej ze względu na podniesiony przez Komisję argument, że pytanie to dotyczy danych biometrycznych i genetycznych zebranych przed wejściem w życie dyrektywy 2016/680.
W zakresie, w jakim ponadto Trybunał dysponuje wszystkimi niezbędnymi informacjami w zakresie stanu faktycznego i prawnego, umożliwiającymi mu udzielenie użytecznej odpowiedzi na pytanie pierwsze, pytanie to należy uznać za dopuszczalne.
Co do istoty
Poprzez pierwsze ze swych pytań sąd odsyłający dąży zasadniczo do ustalenia, czy art. 6 lub art. 4 ust. 1 lit. c) dyrektywy 2016/680 w związku z art. 10 tej dyrektywy należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniom krajowym, które pozwalają na zbieranie bez rozróżnienia biometrycznych i genetycznych danych osobowych każdej osoby oskarżonej lub podejrzanej o popełnienie umyślnego czynu zabronionego.
W tym względzie, co się tyczy w pierwszej kolejności art. 6 dyrektywy 2016/680, należy przypomnieć, że artykuł ten nakłada na państwa członkowskie obowiązek zapewnienia, by administrator „w stosownym przypadku i w miarę możliwości” wyraźnie rozróżniał dane osobowe poszczególnych kategorii osób, których dane dotyczą, takich jak osoby wspomniane w lit. a)–d) rzeczonego artykułu, a mianowicie, odpowiednio, osoby, w stosunku do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony, osoby skazane za czyn zabroniony, pokrzywdzeni czynem zabronionym lub osoby, w przypadku których określone fakty wskazują, że mogą stać się ofiarą czynu zabronionego, i wreszcie, osoby inne w stosunku do czynu zabronionego, takie jak osoby, które mogą zostać wezwane do złożenia zeznań w ramach postępowania przygotowawczego w sprawie czynu zabronionego lub na dalszych etapach postępowania karnego, osoby, które mogą dostarczyć informacji o czynach zabronionych, lub osoby, które mają kontakty lub powiązania z jedną z osób, o których mowa w lit. a) i b) tego artykułu.
Zgodnie z tym artykułem państwa członkowskie muszą zatem zapewnić, aby administrator „w stosownym przypadku i w miarę możliwości” dokonał wyraźnego rozróżnienia danych poszczególnych kategorii osób, których dane dotyczą, tak aby nie ingerować w podstawowe prawo do ochrony ich danych osobowych w taki sam sposób, bez względu na kategorię, do której one należą, przy czym kategorie te muszą być przede wszystkim ustalone na podstawie przysługującego zainteresowanemu statusu karnego.
Jak zaznaczono w wyrażeniu „w stosownym przypadku i w miarę możliwości”, zawartym w art. 6 dyrektywy 2016/680, nałożony tym artykułem na państwa członkowskie obowiązek dokonania rozróżnienia niektórych kategorii osób nie jest bezwzględny, lecz zależy w szczególności od kwestii, czy w każdym wypadku może być dokonane wyraźne rozróżnienie tych kategorii osób [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 84] i celów przetwarzania.
W niniejszej sprawie rząd czeski utrzymuje, że poczynione przez sąd odsyłający odniesienie do kategorii osób podejrzanych należy rozumieć jako odnoszące się do osób, którym przedstawiono w uproszczonym postępowaniu przygotowawczym zarzuty, co w przepisach krajowych rozpatrywanych w postępowaniu głównym wymaga, tak jak w przypadku osób oskarżonych, aby zebrano wystarczające dowody wykazujące, że zainteresowani popełnili czyn bezprawny.
Gdyby zaś tak było, czego zbadanie należy do sądu odsyłającego, te dwie kategorie osób mogłyby zostać uznane, do celów danego przetwarzania, za objęte kategorią określoną w art. 6 lit. a) dyrektywy 2016/680, o ile cele, którym służy dane przetwarzanie, nie wymagają wprowadzenia rozróżnienia między wspomnianymi dwiema kategoriami.
W konsekwencji art. 6 dyrektywy 2016/680 należy interpretować w ten sposób, że nie stoi on na przeszkodzie uregulowaniom krajowym, które pozwalają na zbieranie bez rozróżnienia danych biometrycznych i genetycznych osób należących do kategorii osób „oskarżonych o popełnienie umyślnego czynu zabronionego” oraz osób należących do kategorii osób „podejrzanych o popełnienie takiego czynu zabronionego” w rozumieniu prawa krajowego, jeżeli cele tego zbierania nie wiążą się z wymogiem wprowadzenia rozróżnienia między tymi dwiema kategoriami osób, których dane mogą zostać zebrane na podstawie tych uregulowań.
W drugiej kolejności, w odniesieniu do art. 4 ust. 1 lit. c) dyrektywy 2016/680 w związku z art. 10 tej dyrektywy, pierwszy z tych przepisów przewiduje, że dane osobowe powinny być adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane. Ten ostatni wymóg oznacza zatem przestrzeganie przez państwa członkowskie zasady minimalizacji przetwarzania danych w świetle powodów, jakim ma służyć dane przetwarzanie, i realizowanych przez nie celów.
Artykuł 10 wspomnianej dyrektywy przewiduje z kolei, że w odniesieniu do wrażliwych danych osobowych, w tym danych biometrycznych i genetycznych, przetwarzanie musi spełniać, poza wymogiem, iż powinno być objęte jednym z trzech przypadków wyliczonych wyczerpująco w lit. a)–c), dwa inne warunki, a mianowicie, po pierwsze, warunek, zgodnie z którym muszą istnieć odpowiednie zabezpieczenia dla praw i wolności osoby, której dane dotyczą, a po drugie, warunek, zgodnie z którym planowane przetwarzanie musi spełniać wymóg bezwzględnej niezbędności.
Tymczasem w odniesieniu do tego ostatniego warunku, wymaga on przede wszystkim, by ta niezbędność była oceniana w sposób szczególnie rygorystyczny w świetle celów, jakim służy rozpatrywane przetwarzanie, a zatem takie przetwarzanie może być uznane za niezbędne wyłącznie w ograniczonej liczbie wypadków [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 118].
Cele przetwarzania biometrycznych i genetycznych danych osobowych nie mogą być zatem określone w sposób zbyt ogólny, lecz muszą być zdefiniowane w sposób wystarczająco precyzyjny i konkretny, tak aby umożliwić ocenę „bezwzględnej niezbędności” tego przetwarzania [wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 124].
W tym względzie, o ile dyrektywa 2016/680 nie definiuje pojęcia „celów przetwarzania”, o tyle można zauważyć, że w art. 8 ust. 2 tej dyrektywy dokonano wyraźnie rozróżnienia między tym pojęciem a pojęciem „powodów przetwarzania”. Tymczasem w art. 4 ust. 1 lit. b) wspomnianej dyrektywy przewidziano, że cele, jakim służy przetwarzanie danych osobowych, muszą być w szczególności konkretne i wyraźne oraz że dane te nie mogą być przetwarzane w sposób niezgodny z tymi celami, podczas gdy w art. 4 ust. 1 lit. c) tej dyrektywy przewidziano, że właśnie w świetle tych celów dokonuje się oceny w szczególności tego, czy charakter danych osobowych będących przedmiotem tego przetwarzania jest adekwatny, stosowny i nienadmierny do celów, dla których są one przetwarzane.
Na tej podstawie można zatem wywnioskować, że pojęcie „powodów przetwarzania” w rozumieniu art. 8 ust. 2 odsyła do bardziej ogólnych celów wskazanych w art. 1 ust. 1 dyrektywy 2016/680, którym powinno służyć przetwarzanie, by było ono objęte zakresem tej dyrektywy, podczas gdy pojęcie „celów przetwarzania” w rozumieniu w szczególności art. 8 ust. 2 wspomnianej dyrektywy należy rozumieć jako odnoszące się do szczególnych i konkretnych celów, którym służy przetwarzanie danych osobowych w świetle powierzonych administratorowi zadań, takich jak określone zadania związane z zapobieganiem przestępczości lub prowadzeniem postępowania przygotowawczego czy też wykrywaniem i ściganiem czynów zabronionych lub wykonywaniem kar.
Następnie, zważywszy, że – jak wynika z motywu 26 dyrektywy 2016/680 w związku z zasadą proporcjonalności – w prdanych osobowych innych niż wrażliwe wymóg niezbędności w rozumieniu tej dyrektywy jest spełniony, gdy cel odnośnego przetwarzania danych nie może zostać racjonalnie osiągnięty w sposób równie skuteczny za pomocą innych środków, w mniejszym stopniu naruszających prawa podstawowe osób, których dane dotyczą, należy z tego wywieść, iż warunek przetwarzania wrażliwych danych osobowych, polegający na konieczności spełnienia wymogu bezwzględnej niezbędności, wymaga z kolei, by administrator upewnił się, że cel, jakiemu ma służyć dane przetwarzanie, nie może być osiągnięty w sposób równie skuteczny poprzez odniesienie się do kategorii danych innych niż kategorie wymienione w art. 10 dyrektywy 2016/680 [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 126].
Ponadto, mając na względzie istotne ryzyko, jakie stanowi przetwarzanie wrażliwych danych osobowych dla praw i wolności osób, których dane dotyczą, w szczególności w kontekście zadań właściwych organów wykonywanych do celów wskazanych w art. 1 ust. 1 dyrektywy 2016/680, wymóg „bezwzględnej niezbędności” oznacza konieczność uwzględnienia szczególnego znaczenia celu, jakiemu ma służyć dane przetwarzanie, przy czym takie znaczenie można ocenić w szczególności przy uwzględnieniu charakteru tego celu, okoliczności, że owo przetwarzanie służy szczególnemu i konkretnemu celowi związanemu z zapobieganiem czynom zabronionym lub zagrożeniom bezpieczeństwa publicznego wykazującym określony poziom istotności, karaniu za popełnienie takich czynów zabronionych lub ochronie przed takimi zagrożeniami, a także w świetle szczególnych okoliczności, w jakich wspomniane przetwarzanie jest dokonywane [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 127].
W każdym razie w odniesieniu do zbierania biometrycznych i genetycznych danych osób oskarżonych o popełnienie umyślnego czynu zabronionego lub o to podejrzanych do celów przyszłej identyfikacji lub przyszłego porównania tych osób bezwzględna niezbędność tego zbierania powinna uwzględniać wszystkie istotne okoliczności, takie jak w szczególności charakter i waga zarzucanego tym osobom przestępstwa, szczególne okoliczności tego przestępstwa, ewentualny związek wspomnianego przestępstwa z innymi toczącymi się postępowaniami, wcześniejsze sprawy sądowe lub indywidualny profil danych osób [zob. podobnie wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 132].
Wreszcie, przesłanka „bezwzględnej niezbędności” jest związana z koniecznością przeprowadzenia szczególnie rygorystycznej kontroli poszanowania wynikającej z art. 4 ust. 1 lit. c) dyrektywy 2016/680 zasady minimalizacji przetwarzania odnośnych danych [zob. wyrok z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję), C‑205/21, EU:C:2023:49, pkt 125].
W szczególności, co się tyczy przechowywania lub wykorzystywania danych pobranych z DNA osób w celu identyfikacji lub porównania, zasada taka oznacza, że w celu dokonania oceny bezwzględnej niezbędności takich przypadków przetwarzania trzeba należycie uwzględnić możliwość posłużenia się wyłącznie polimorfizmami występującymi w niekodujących obszarach DNA, czyli w obszarach, co do których przyjmuje się, że nie zawierają żadnych informacji na temat przynależności etnicznej lub chorób genetycznych tych osób.
W konsekwencji, o ile państwo członkowskie może zastosować się do dyrektywy 2016/680, albo przekazując właściwym organom zadanie, by zapewniły w każdym konkretnym przypadku przestrzeganie warunku – w odniesieniu do przetwarzania wrażliwych danych osobowych – by spełniało ono wymóg bezwzględnej niezbędności, albo poprzez ustalenie na poziomie legislacyjnym kryteriów oceny, które organy powinny następnie stosować w sposób niedyskrecjonalny, o tyle w tym drugim przypadku kryteria te powinny spełniać wszystkie wymogi wynikające z tego warunku, wymienione w pkt 77–83 niniejszego wyroku.
W wyroku z dnia 26 stycznia 2023 r., Ministerstvo na vatreshnite raboti (Rejestracja danych biometrycznych i genetycznych przez policję) (C‑205/21, EU:C:2023:49, pkt 135), Trybunał orzekł, że niezgodne z tym wymogiem bezwzględnej niezbędności są przepisy krajowe przewidujące systematyczne zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, dla celów ich rejestracji, bez przewidzenia obowiązku weryfikacji i wykazania przez właściwy organ, po pierwsze, czy to zbieranie danych jest bezwzględnie niezbędne dla realizacji zamierzonych konkretnych celów, i po drugie, czy te cele nie mogą zostać osiągnięte za pomocą środków stanowiących ingerencję mniejszej wagi w prawa i wolności osoby, której dane dotyczą.
Niemniej jednak, podczas gdy zbieranie danych przewidziane w uregulowaniach rozpatrywanych w sprawie, w której zapadł ten wyrok, miało w sposób bezwzględny zastosowanie do wszystkich osób, którym przedstawiono zarzuty popełnienia umyślnych przestępstw ściganych z oskarżenia publicznego, pytanie pierwsze w niniejszej sprawie dotyczy uregulowań, w których organom policji przyznano jedynie uprawnienie do pobrania danych biometrycznych i genetycznych w odniesieniu do osób oskarżonych lub podejrzanych o popełnienie umyślnego przestępstwa.
Tymczasem okoliczność, że w uregulowaniach przyznano takie uprawnienie organom policji, nie oznacza, że prawo danego państwa członkowskiego pozwala na to, by zbieranie to było systematyczne lub mogło być dokonywane z naruszeniem w szczególności zasady minimalizacji przetwarzania danych, ustanowionej w art. 4 ust. 1 lit. c) dyrektywy 2016/680, lub przewidzianego w art. 10 tej dyrektywy warunku – w odniesieniu do danych przypadków przetwarzania – by spełniało ono wymóg bezwzględnej niezbędności, w zakresie, w jakim prawo to, w tym orzecznictwo sądów krajowych, określa w sposób właściwy i wystarczająco precyzyjny cele, którym służy takie przetwarzanie danych biometrycznych i genetycznych, czyli szczególne i konkretne cele przetwarzania danych osobowych w świetle zadania powierzonego administratorowi, oraz o ile takie uprawnienie jest wykonywane zgodnie z wymogami przedstawionymi w pkt 77–83 niniejszego wyroku.
Z informacji, którymi dysponuje Trybunał, wynika zatem, że w niniejszym przypadku orzecznictwo krajowe ustanawia pewne wymogi mające na celu zapewnienie przestrzegania tej zasady, takie jak obowiązek uwzględnienia przez policję – przed pobraniem próbki DNA – w szczególności uprzedniej karalności sprawcy popełnionego czynu zabronionego, wagi tego czynu w zależności od rodzaju danego czynu i szczególnych okoliczności jego popełnienia wiążących się z pobraniem próbek, a także osobowości sprawcy.
W tej sytuacji do sądów krajowych należy sprawdzenie w każdym przypadku, czy zbieranie danych zostało przeprowadzone przez organy policji z naruszeniem zasad regulujących przetwarzanie danych osobowych ustanowionych w art. 4 dyrektywy 2016/680 oraz szczególnych wymogów mających zastosowanie do przypadków przetwarzania wrażliwych danych osobowych, określonych w art. 10 tej dyrektywy, interpretowanych w świetle art. 7 i 8 Karty.
W tym względzie należy jeszcze zaznaczyć, że sama okoliczność, iż czyn zabroniony zarzucany danej osobie ma charakter ekonomiczny, a zbieranie danych biometrycznych i genetycznych tej osoby nastąpi, zanim zostanie ona prawomocnie skazana, nie wystarcza, aby wykluczyć, że takie zbieranie danych można uznać za spełniające wymóg bezwzględnej niezbędności, ponieważ biorąc pod uwagę cele, którym ono służy, to zbieranie, w tym z uwagi na dany rodzaj danych, może okazać się bezwzględnie niezbędne, w szczególności w celu umożliwienia ustalenia, czy wspomniana osoba, ze względu na jej ewentualną przynależność do organizacji przestępczej, mogła uczestniczyć w innych czynach zabronionych, dla których dane tego rodzaju mogłyby być istotne, czy też, w przypadku istnienia ryzyka ucieczki, w celu umożliwienia identyfikacji.
W świetle całości powyższych rozważań na pytanie pierwsze należy odpowiedzieć, że art. 6 i art. 4 ust. 1 lit. c) dyrektywy 2016/680 w związku z art. 10 tej dyrektywy należy interpretować w ten sposób, iż nie stoją one na przeszkodzie uregulowaniom krajowym, które zezwalają – bez rozróżnienia – na zbieranie danych biometrycznych i genetycznych każdej osoby oskarżonej o popełnienie umyślnego czynu zabronionego lub podejrzanej o popełnienie takiego czynu zabronionego, o ile, po pierwsze, cele tego zbierania nie wiążą się z wymogiem wprowadzenia rozróżnienia między tymi dwiema kategoriami osób, a po drugie, administratorzy są zobowiązani, zgodnie z prawem krajowym, w tym orzecznictwem sądów krajowych, do przestrzegania wszystkich zasad i szczególnych wymogów ustanowionych w art. 4 i 10 wspomnianej dyrektywy.
W przedmiocie pytania drugiego
Na wstępie należy zauważyć, że chociaż formułując pytanie drugie, sąd odsyłający powołuje się na uregulowania krajowe skutkujące tym, iż rozpatrywane dane osobowe są w większości przypadków przechowywane przez „czas nieokreślony”, to z informacji zawartych w aktach sprawy, którymi dysponuje Trybunał, wynika, że przez „czas nieokreślony” sąd ten zmierza ostatecznie do powołania się na okoliczność, iż nie określono żadnego maksymalnego okresu przechowywania, a nie na okoliczność, że takie przechowywanie jest nieograniczone w czasie.
W konsekwencji należy rozumieć, że poprzez drugie ze swych pytań sąd odsyłający dąży zasadniczo do ustalenia, czy art. 4 ust. 1 lit. e) dyrektywy 2016/680 należy interpretować w ten sposób, iż stoi on na przeszkodzie uregulowaniom krajowym, na mocy których konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, przy czym w uregulowaniach tych nie przewidziano maksymalnego okresu przechowywania.
W tym względzie art. 4 ust. 1 lit. e) dyrektywy 2016/680 stanowi, że państwa członkowskie zapewniają, by dane osobowe były przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania tych danych.
Co się tyczy w pierwszej kolejności okoliczności, że rozpatrywane uregulowania krajowe nie przewidują maksymalnego okresu przechowywania, należy przypomnieć, że zgodnie z wymogami art. 4 ust. 1 lit. e) dyrektywy 2016/680 art. 5 tej dyrektywy nakłada na państwa członkowskie obowiązek ustalenia odpowiednich terminów usuwania danych osobowych lub okresowego przeglądu konieczności przechowywania owych danych, a także przepisów proceduralnych umożliwiających zapewnienie przestrzegania tych terminów.
Natomiast w art. 5 wspomnianej dyrektywy pozostawiono państwom członkowskim określenie wspomnianych terminów, pod warunkiem że są one „odpowiednie”, oraz podjęcie decyzji, czy dotyczą one usuwania tych wspomnianych danych, czy też okresowego przeglądu konieczności ich przechowywania.
Prawdą jest, że art. 4 ust. 1 lit. e) i art. 5 dyrektywy 2016/680 należy interpretować w szczególności w związku z art. 10 tej dyrektywy, w związku z czym przechowywanie danych biometrycznych lub genetycznych musi spełniać wymóg bezwzględnej niezbędności i zapewniać odpowiednie zabezpieczenia dla praw i wolności osoby, której dane dotyczą.
Jednakże w przypadku gdy państwo członkowskie ustala odpowiednie terminy okresowego przeglądu konieczności przechowywania danych osobowych i gdy w ramach tego przeglądu powinna być oceniona bezwzględna niezbędność przedłużenia tego przechowywania, prawo danego państwa członkowskiego należy uznać za spełniające takie wymogi. Zatem nawet gdy przechowywane dane są wrażliwymi danymi osobowymi, takie państwo członkowskie nie ma obowiązku określenia bezwzględnych ograniczeń czasowych przechowywania tych danych, po przekroczeniu których to ograniczeń dane te powinny zostać automatycznie usunięte (zob. podobnie wyrok z dnia 30 stycznia 2024 r., Direktor na Glavna direktsia Natsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, pkt 52).
Natomiast odpowiedni charakter takich terminów okresowego przeglądu wymaga, po pierwsze, aby zgodnie z art. 4 ust. 1 lit. c) i e) dyrektywy 2016/680 w związku z art. 52 ust. 1 Karty dotychczas przechowywane dane osobowe zostały usunięte, i to na warunkach przewidzianych w art. 16 ust. 2 i 3 tej dyrektywy, jeżeli w ramach jednego z przeprowadzonych przeglądów przechowywanie tych samych danych nie wydaje się już bezwzględnie konieczne i w konsekwencji okazuje się nadmierne w stosunku do realizowanych celów (zob. podobnie wyrok z dnia 30 stycznia 2024 r., Direktor na Glavna direktsiaNatsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, pkt 45, 48, 50 i przytoczone tam orzecznictwo).
Po drugie, ze względu na przewidziane w art. 4 ust. 1 lit. c) dyrektywy 2016/680 wymogi, aby wszystkie dane osobowe były adekwatne, stosowne i nienadmierne w stosunku do celów, dla których są przetwarzane, na okoliczność, że ten przepis i art. 8 tej dyrektywy należy interpretować w świetle wymogów wynikających z art. 52 Karty, a także na przewidziany w art. 6 wspomnianej dyrektywy obowiązek wprowadzenia przez administratora w danym wypadku wyraźnego rozróżnienia między danymi osobowymi poszczególnych kategorii osób, których dane dotyczą, tych terminów przeglądu nie można uznać za odpowiednie, jeżeli zmiany statusu karnego osoby, której dane dotyczą, uznane za istotne w świetle celu, któremu służy to przechowywanie, nie pociągają za sobą po stronie administratora obowiązku ponownego zbadania w rozsądnym terminie konieczności przechowywania danych dotyczących tej osoby.
Co się tyczy w drugiej kolejności okoliczności, że konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, okoliczność taka nie jest sama w sobie sprzeczna z art. 8 ust. 2 dyrektywy 2016/680 w zakresie, w jakim owe przepisy wewnętrzne nakładają na te organy obowiązek zapewnienia przestrzegania warunku dotyczącego istnienia bezwzględnej niezbędności przechowywania tych danych, a zakres uznania przysługujący tym organom jest wystarczająco precyzyjnie określony przez prawo krajowe, w tym orzecznictwo sądów krajowych.
O ile bowiem okoliczność, że przepisy są wewnętrzne, a zatem niedostępne dla ogółu osób, których dane osobowe mogą podlegać przetwarzaniu, skutkuje tym, iż takie przepisy nie mogą zostać powołane przez właściwe organy w celu wykazania, że organy te przestrzegają ciążących na nich wymogów, o tyle okoliczność ta nie skutkuje automatycznie niezgodnością z prawem przypadków przetwarzania danych osobowych, o których to przypadkach zadecydowano w świetle tych przepisów, lecz oznacza, że w razie potrzeby, w wypadku zaskarżenia decyzji o dokonaniu jednego z takich rodzajów przetwarzania, organy policji wykazują przed właściwym sądem, niezależnie od tych przepisów wewnętrznych, że warunek „bezwzględnej niezbędności” został należycie spełniony.
W niniejszej sprawie, po pierwsze, zdaniem rządu czeskiego, w szczególności z § 65 ust. 5 ustawy o czeskiej policji, czego sprawdzenie należy do sądu odsyłającego, wynika, że profile DNA osób oskarżonych lub podejrzanych o popełnienie umyślnego czynu zabronionego powinny zostać usunięte, jeżeli ich przechowywanie nie jest już konieczne w świetle realizowanych celów, to znaczy gdy osoby te nie są już oskarżone lub podejrzane oraz nie są ścigane w ramach innego postępowania karnego lub nie popełniły wcześniej innych zbrodni lub występków.
W tym względzie należy jednak przypomnieć, że przechowywanie danych biometrycznych i genetycznych można uznać za odpowiadające wymogowi, zgodnie z którym musi ono być dozwolone wyłącznie „wtedy, jeżeli jest bezwzględnie niezbędne” w rozumieniu art. 10 dyrektywy 2016/680, jedynie w sytuacji, gdy uwzględnia ono nie tylko ewentualny związek osoby, której dane dotyczą, z innymi toczącymi się postępowaniami czy też uprzednią karalność lub profil tej osoby, lecz również charakter i wagę przestępstwa, które skutkowało prawomocnym skazaniem, lub inne okoliczności, takie jak szczególny kontekst, w jakim przestępstwo to zostało popełnione (zob. podobnie wyrok z dnia 30 stycznia 2024 r., Direktor na Glavna direktsiaNatsionalna politsia pri MVR – Sofia, C‑118/22, EU:C:2024:97, pkt 67).
Po drugie, o ile prawo czeskie nie przewiduje maksymalnego okresu przechowywania danych osobowych zgromadzonych na podstawie § 65 ust. 1 czeskiej ustawy o policji, o tyle § 82 ust. 1 tej ustawy nakłada na organy policji obowiązek sprawdzania co najmniej raz na trzy lata, czy przechowywanie tych danych jest nadal konieczne do wykonywania ich zadań.
W związku z tym do sądu odsyłającego będzie należało ustalenie, czy w świetle celów, jakim służy przechowywanie odnośnych danych biometrycznych i genetycznych, taki trzyletni termin na przegląd można uznać za odpowiedni, przy czym należy jednak uściślić, że w przeciwnym wypadku usunięcie tych danych nie byłoby wymagane, gdyby zostało wykazane, że ich przechowywanie jest w każdym razie bezwzględnie konieczne.
W świetle całości powyższych rozważań na pytanie drugie należy odpowiedzieć, że art. 4 ust. 1 lit. e) dyrektywy 2016/680 należy interpretować w ten sposób, iż nie stoi on na przeszkodzie uregulowaniom krajowym, na mocy których konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, mimo że uregulowania te nie przewidują maksymalnego okresu przechowywania, pod warunkiem że wspomniane uregulowania określają odpowiednie terminy okresowego przeglądu konieczności przechowywania tych danych oraz że w ramach tego przeglądu zostanie oceniona bezwzględna niezbędność przedłużenia ich przechowywania.
W przedmiocie kosztów
Dla stron w postępowaniu głównym niniejsze postępowanie ma charakter incydentalny, dotyczy bowiem kwestii podniesionej przed sądem odsyłającym, do niego zatem należy rozstrzygnięcie o kosztach. Koszty poniesione w związku z przedstawieniem uwag Trybunałowi, inne niż koszty stron w postępowaniu głównym, nie podlegają zwrotowi.
Z powyższych względów Trybunał (piąta izba) orzeka, co następuje:
1)
Artykuły 8 i 10 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającej decyzję ramową Rady 2008/977/WSiSW
należy interpretować w ten sposób, że:
w odniesieniu do zbierania, przechowywania oraz usuwania danych biometrycznych i genetycznych pojęcie „prawa państwa członkowskiego” w rozumieniu tych artykułów należy rozumieć jako dotyczące przepisu o charakterze generalnym ustanawiającego minimalne warunki zbierania, przechowywania i usuwania takich danych, takiego jak przepis interpretowany w orzecznictwie sądów krajowych, pod warunkiem że orzecznictwo to jest dostępne i wystarczająco przewidywalne.
2)
Artykuł 6 i art. 4 ust. 1 lit. c) dyrektywy 2016/680 w związku z art. 10 tej dyrektywy
należy interpretować w ten sposób, że:
nie stoją one na przeszkodzie uregulowaniom krajowym, które zezwalają – bez rozróżnienia – na zbieranie danych biometrycznych i genetycznych każdej osoby oskarżonej o popełnienie umyślnego czynu zabronionego lub podejrzanej o popełnienie takiego czynu zabronionego, o ile, po pierwsze, cele tego zbierania nie wiążą się z wymogiem wprowadzenia rozróżnienia między tymi dwiema kategoriami osób, a po drugie, administratorzy są zobowiązani, zgodnie z prawem krajowym, w tym orzecznictwem sądów krajowych, do przestrzegania wszystkich zasad i szczególnych wymogów ustanowionych w art. 4 i 10 wspomnianej dyrektywy.
3)
Artykuł 4 ust. 1 lit. e) dyrektywy 2016/680
należy interpretować w ten sposób, że:
nie stoi on na przeszkodzie uregulowaniom krajowym, na mocy których konieczność dalszego przechowywania danych biometrycznych i genetycznych jest oceniana przez organy policji na podstawie przepisów wewnętrznych, mimo że uregulowania te nie przewidują maksymalnego okresu przechowywania, pod warunkiem że wspomniane uregulowania określają odpowiednie terminy okresowego przeglądu konieczności przechowywania tych danych oraz że w ramach tego przeglądu zostanie oceniona bezwzględna niezbędność przedłużenia ich przechowywania.
Podpisy
(
*1
) Język postępowania: czeski.
© Unia Europejska, źródło: EUR-Lex (eur-lex.europa.eu), pozyskano 13.07.2026. Autentyczne są wyłącznie wersje opublikowane w Dz. Urz. UE. · Źródło