Retencja danych – wyrok Trybunału Konstytucyjnego z 30 lipca 2014 r., sygn. K 23/11

Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyrokiem z 8 kwietnia 2014r. w połączonych sprawach C-293/12 Digital Rights Ireland Ltd. oraz C-594/12 Kärntner Landesregierung i inni („Digital Rights”) orzekł, że Dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych (tzw. „dyrektywa retencyjna”) jest nieważna. Trybunał uznał, że przepisy dyrektywy zostały przyjęte z przekroczeniem zasady proporcjonalności na gruncie art. art. 7, 8 i 52 ust. 1 Karty Praw Podstawowych Unii Europejskiej (Dz. U. UE serii C z 2010 r. Nr 83, s.389) („Karta Praw Podstawowych UE”). Trybunał uznał, iż przepisy dyrektywy retencyjnej naruszają prawo do prywatności oraz prawo do ochrony danych osobowych wyrażonych w art. 7 i 8 Karty Praw Podstawowych UE. Trybunał wskazał, iż ustanowiony w Dyrektywie 2006/24 obowiązek zatrzymywania danych w celu ich ewentualnego udostępniania właściwym organom krajowym, w istocie realizuje cel interesu ogólnego. Jednakże, Trybunał odpowiadając na pytanie czy obowiązek zatrzymywania danych, który został ustanowiony w dyrektywie retencyjnej, jest konieczny, zaznaczył, że walka z poważną przestępczością, a zwłaszcza z przestępczością zorganizowaną i terroryzmem, ma cyt. „pierwszorzędne znaczenie dla zagwarantowania bezpieczeństwa publicznego, zaś jej skuteczność może w znacznym stopniu zależeć od wykorzystania nowoczesnych technik dochodzeniowo-śledczych. Jednakże tego rodzaju cel interesu ogólnego, mimo że ma on fundamentalne znaczenie, sam w sobie nie uzasadnia stwierdzenia, że system zatrzymywania danych taki jak ten ustanowiony przez dyrektywę 2006/24/WE, jest konieczny do celów tej walki”.

Zdaniem Trybunału dyrektywa retencyjna stanowi szczególnie daleko posuniętą ingerencję w prawa podstawowe ustanowione w art. 7 i 8 Karty Praw Podstawowych UE. Okoliczność, że zatrzymywanie i późniejsze wykorzystywanie danych jest dokonywane bez poinformowania o tym abonenta lub zarejestrowanego użytkownika, może wywołać u osób, których dane są zatrzymywane czy też wykorzystywane, poczucie, iż ich życie prywatne podlega stałemu nadzorowi. Trybunał zauważył, że obowiązek przechowywania danych przez podmioty do tego zobowiązane dotyczy wszystkich danych o ruchu w sieciach stacjonarnych, mobilnych, a także związanych z dostępem do internetu, pocztą elektroniczną oraz telefonią internetową. Dyrektywa retencyjna obejmuje swym zakresem stosowania wszystkich abonentów i zarejestrowanych użytkowników, ingeruje zatem w prawa podstawowe prawie wszystkich mieszkańców Unii Europejskiej. Wskazać należy, że zgodnie z art. 1 Dyrektywy 2006/24/WE, celem tej Dyrektywy jest zapewnienie dostępności danych dla dochodzenia, wykrywania i ścigania poważnych przestępstw, określonych w ustawodawstwie każdego państwa członkowskiego. Z omawianego wyroku TSUE można wywnioskować, iż Trybunał uznał, że środki przyjęte w dyrektywie retencyjnej, są nieproporcjonalne i nie są konieczne do realizacji celu, określonego w art. 1 tej dyrektywy.

Wyrok w sprawie Digital Rights zapadł w trybie prejudycjalnym, określonym w art. 267 TFUE, co oznacza, że jest wiążący dla sądu krajowego, który zwrócił się do TSUE z pytaniem prejudycjalnym. Tym niemniej, wyrok taki dla każdego innego sądu krajowego daje wystarczającą podstawę do tego by uznać ten akt za nieważny w odniesieniu do rozstrzygnięcia, które ma podjąć (por. wyrok TSUE z 13 maja 1981 r. w sprawie C-66/80 International Chemical Corporation).

W przypadku orzeczenia o nieważności aktu przyjętego przez instytucję, organ lub jednostkę organizacyjną działającą w ramach Unii Europejskiej, jest ona zobowiązana do podjęcia środków, które zapewnią wykonanie wyroku Trybunału Sprawiedliwości Unii Europejskiej (art. 266 TFUE). Przyjąć zatem należy, iż orzeczenie TSUE o nieważności aktu unijnego w trybie art. 267 jest skuteczne erga omnes. Ponadto, w związku z faktem, iż Trybunał nie ograniczył w czasie skutków wyroku stwierdzającego nieważność, orzeczenie w sprawie Digital Rights odnosi skutek ex tunc (wiąże z mocą wsteczną od chwili wejścia w życie aktu prawego zakwestionowanego przez TSUE) (por. wyrok w sprawie C-228/92 Roquette Frères, pkt 17).

Jeśli chodzi skutki wyroku w sprawie Digital Rights w sferze prawa polskiego, przepisy implementujące Dyrektywę 2006/24/WE pozostają w mocy do chwili ich uchylenia przez ustawodawcę bądź stwierdzenia niezgodności z Konstytucją RP przez Trybunał Konstytucyjny.

Przepisy dyrektywy retencyjnej od chwili ich wejścia w życie budziły wątpliwości pod względem tego czy są zgodne z podstawowymi prawami człowieka takimi jak prawo do prywatności, wolności komunikowania się, czy prawo jednostki do ochrony jej danych osobowych. Nie wszystkie państwa członkowskie zdecydowały się na implementację dyrektywy bądź implementowały ją częściowo. Dyrektywa retencyjna była już poddana kontroli Trybunału Sprawiedliwości Unii Europejskiej. Trybunał nie badał jednak zgodności tej dyrektywy z prawami podstawowymi. W sprawie C-301/06 Irlandia przeciwko Parlamentowi i Radzie (wyrok TSUE z 10 lutego 2009 r.) Trybunał badał prawidłowość podstawy prawnej Dyrektywy 2006/24/WE uznając jednak, że dyrektywa jest ważna. Jednocześnie sądy konstytucyjne w Rumunii, Niemczech i Czechach orzekły o niezgodności przepisów dyrektywy retencyjnej z ustawami konstytucyjnymi tych państw (zob. Evaluation report on the Data Retention Directive (Directive 2006/24/EC), Bruksela 18 kwietnia 2011 r., COM(2011) 225 final, s. 20 i n.).

Na tym tle zapadł wyrok Trybunału Konstytucyjnego z 30 lipca 2014 r., sygn. K 23/11, który badał konstytucyjność przepisów uprawniających służby państwowe do stosowania podsłuchów oraz umożliwiających dostęp do danych objętych tajemnicą telekomunikacyjną (np. do billingów). TK orzekł, iż przepisy uprawniające policję, Straż Graniczną, organy kontroli skarbowej, Żandarmerię Wojskową, ABW, AW, Służby Kontrwywiadu Wojskowego oraz CBA do uzyskiwania dostępu do danych objętych tajemnicą telekomunikacyjną przez to, że nie przewidują niezależnej kontroli udostępniania danych telekomunikacyjnych, o których mowa w art. 180c i art. 180d ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2014 r. poz. 243), są niezgodne z art. 47 i art. 49 w związku z art. 31 ust. 3 Konstytucji.

Ponadto, art. 28 ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, art. 32 ustawy o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego oraz art. 18 ustawy o Centralnym Biurze Antykorupcyjnym, w zakresie, w jakim nie przewidują zniszczenia danych niemających znaczenia dla prowadzonego postępowania, są niezgodne z art. 51 ust. 2 w związku z art. 31 ust. 3 Konstytucji.

Przepisy te, w zakresach w nich wskazanych, tracą moc obowiązującą z upływem 18 (osiemnastu) miesięcy od dnia ogłoszenia wyroku w Dzienniku Ustaw Rzeczypospolitej Polskiej.

W ustnych motywach wyroku, sędzia sprawozdawca podkreślił, że „każdy człowiek ma prawo do ochrony przed zewnętrznym monitorowaniem jego aktywności osobistej, w każdym wymiarze – zarówno w świecie realnym, jak i w wirtualnym”. Sędzia sprawozdawca dodał ponadto, iż przepisy muszą zakładać istnienie jednostki w sposób anonimowy, co szczególnie ważne w dobie rozwoju nowych technologii. Sędzia sprawozdawca wskazał na konieczność zapewnienia gwarancji dla wolności i anonimowości jednostek, zarówno gdy chodzi o informacje uzyskiwane drogą zwykłą, jak i dzięki internetowi.

Obecnie nie jest jeszcze dostępne uzasadnienie wyroku, które być może wskaże na granice inwigilacji obywateli oraz uzyskiwania danych objętych tajemnicą telekomunikacyjną, których państwo nie może przekroczyć.