Wyrok TSUE w sprawie Digital Rights - co dalej z retencją?
Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyrokiem z 8 kwietnia 2014 r. w połączonych sprawach C-293/12 Digital Rights Ireland Ltd. oraz C-594/12 Kärntner Landesregierung i inni („Digital Rights”) orzekł, że dyrektywa 2006/24/WE o retencji danych telekomunikacyjnych jest nieważna. Zdaniem Trybunału dyrektywa – ze względu na zbyt szeroki zakres i brak odpowiednich gwarancji chroniących przed nadużyciami – w sposób nieproporcjonalny ingerowała w gwarantowane w Karcie Praw Podstawowych UE prawo do prywatności i ochrony danych osobowych.
Rozstrzygnięcie Trybunału w sprawie Digital Rights nie jest zaskoczeniem. Dyrektywa retencyjna od samego początku wzbudzała duże kontrowersje. Przed 2006 rokiem tylko niektóre państwa wprowadziły retencję danych telekomunikacyjnych dla celów walki z przestępczością i terroryzmem. Inne nie widziały takiej potrzeby, a wręcz dostrzegały w tym rozwiązaniu problemy natury konstytucyjnej. Zmiana klimatu politycznego nastąpiła po zamachach terrorystycznych w Europie. Okazało się, że celem terrorystów może być nie tylko Nowy Jork, lecz także Madryt czy Londyn. Na fali tych emocji dyrektywa retencyjna została przyjęta w ekspresowym tempie. Nie bez znaczenia przy tym było przyjęcie dyrektywy jako instrumentu znoszącego bariery na rynku wewnętrznym. Pozwoliło to przeprowadzić proces legislacyjny w ramach ówczesnego pierwszego filaru, co w praktyce oznaczało, że do jej przyjęcia nie była potrzebna jednomyślność państw członkowskich.
Dyrektywa wprowadzała wymóg retencji danych telekomunikacyjnych o ruchu w sieci, czyli zapisywania i przechowywania przez okres od 6 miesięcy do 2 lat danych przede wszystkim o tym, kto jest abonentem danego numeru telefonu, z jakimi numerami wykonywał połączenia, przez jak długo i kiedy, a także gdzie się wtedy znajdował. Dane te miały być wykorzystywane do walki z poważnymi przestępstwami i terroryzmem. Dyrektywa nie obejmowała jednak kwestii zasad udostępniania danych, pozostawiając tę kwestię do uregulowania państwom członkowskim.
Zanim zapadł wyrok Digital Rights, dyrektywa była już kilkakrotnie poddana kontroli Trybunału Sprawiedliwości. Kontrole te nie dotyczyły jednak jej zgodności z prawami podstawowymi. Najtrudniejszym testem stanowiła kontrola prawidłowości jej podstawy prawnej (wyrok TSUE z 10 lutego 2009 r. w sprawie C-301/06 Irlandia przeciwko Parlamentowi i Radzie). Wówczas, wbrew oczekiwaniom wielu prawników uzasadnionym wcześniejszymi orzeczeniami Trybunału m.in. w sprawie wymiany danych pasażerów linii lotniczych ze Stanami Zjednoczonymi (wyrok TSUE z 30 maja 2006 r. w sprawie C-317/04 i C-318/04 Parlament przeciwko Radzie), Trybunał uznał, że dyrektywa jest ważna. Zastrzegł jednak, że kwestia jej zgodności z prawami podstawowymi leżała poza zakresem jego kontroli i pozostaje otwarta.
Powyższe orzeczenie nie kończyło zatem kontrowersji wokół retencji danych billingowych. Trauma po zamachach opadała, a równolegle narastał sprzeciw społeczeństwa obywatelskiego przeciw „totalnej inwigilacji”. Niektóre z państw członkowskich odmawiały implementacji dyrektywy. W innych krajowe przepisy implementujące dyrektywy poddane zostały kontrolom konstytucyjnym. W ich wyniku w Niemczech, Czechach, Rumunii, Bułgarii i na Cyprze krajowe przepisy o retencji danych telekomunikacyjnych okazywały się niekonstytucyjne. Stawało się jednak coraz bardziej oczywiste, że niekonstytucyjność krajowych przepisów regulujących retencję nie wynikała z nieprawidłowej implementacji dyrektywy do porządków krajowych, lecz tkwiła w samym modelu zaproponowanym państwom członkowskim w dyrektywie. Zresztą potrzebę modyfikacji dyrektywy dostrzegła sama Komisja Europejska w związku z przeprowadzonym w 2011 r. audytem stosowania dyrektywy.
Żaden z sądów krajowych orzekających o niekonstytucyjności przepisów krajowych nie zdecydował się jednak zasygnalizować w zdecydowany sposób, że problem może dotyczyć dyrektywy. Żaden z tych sądów nie zdecydował się także zwrócić z takim pytaniem do Trybunału Sprawiedliwości.
Dopiero irlandzki High Court i austriacki Verfassungsgericht rozpoznające skargi na zgodność krajowych przepisów z prawami podstawowymi zdecydowały się w końcu zadać takie pytanie Trybunałowi Sprawiedliwości, czego wynikiem jest komentowany wyrok Digital Rights.
Rozpatrując sprawę, Trybunał skupił się na ocenie zgodności dyrektywy retencyjnej z prawem do prywatności (art. 7 Karty Praw Podstawowych) oraz ochrony danych osobowych (art. 8 Karty Praw Podstawowych).
Trybunał uznał, że dyrektywa retencyjna ingeruje w prawo do prywatności i ochrony danych osobowych. Zdaniem Trybunału, choć ingerencja ta jest uzasadniona słusznym interesem publicznym (zwalczania zorganizowanej przestępczości oraz terroryzmu), to jednak nie jest ona proporcjonalna, jako że przekracza to, co jest ściśle konieczne.
Trybunał za niedopuszczalne uznał objęcie zasięgiem oddziaływania obowiązku retencji danych wszystkich użytkowników, nawet takich, co do których nie ma żadnego dowodu, aby mieli choć odległy związek z czynem przestępczym. Ponadto inwigilacji podlegają również osoby, które w świetle prawa krajowego objęte są obowiązkiem tajemnicy zawodowej. Innymi słowy w dyrektywie brak jest zróżnicowanych kryteriów i ograniczeń uzasadniających różne traktowanie poszczególnych przypadków. To zaś powoduje, że ramy oddziaływania dyrektywy należy uznać za zbyt szerokie i zbyt ogólnie sprecyzowane, przez co dyrektywa dotyka osób niestanowiących żadnego zagrożenia dla bezpieczeństwa publicznego.
Co więcej brak jasno określonych przesłanek proceduralnych i materialnych sprawia, że dyrektywa nie gwarantuje wystarczająco, iż zgromadzone dane będą wykorzystywane przez władze krajowe wyłącznie do zapobiegania „poważnym przestępstwom” ani że dane te będą wykorzystywane wyłącznie przez uprawione do tego osoby. Za istotny Trybunał uznał także brak w dyrektywie jasnych wymogów co do standardów technicznych i organizacyjnych przechowywania danych. W efekcie może to powodować obniżenie poziomu zabezpieczenia przechowywanych danych, zwłaszcza że operatorzy przy ustanawianiu zabezpieczeń mogą kierować się kryterium ekonomicznym.
Wśród innych powodów decyzji Trybunału można wskazać brak rozróżnienia w dyrektywie długości okresu przechowywania danych w stosunku do ich poszczególnych kategorii oraz brak obowiązku przechowywania zgromadzonych informacji na obszarze Unii Europejskiej, co nie gwarantuje poszanowania wymogów kontroli przewidzianych przez prawo unijne.
Wyrok Trybunału jest istotny z punktu widzenia praworządności oraz ochrony praw człowieka. Chociaż Trybunał nie zdezawuował mechanizmu retencji danych telekomunikacyjnych jako takiego – uznając, że jest to narzędzie niezbędne do zwalczania zorganizowanej przestępczości i terroryzmu – wskazał jednak, że tak intensywna ingerencja w prawa podstawowe musi spełniać „szczególny wymóg proporcjonalności”. Oznacza to, że dyrektywa musi mieć wbudowane mechanizmy przeciwdziałające jej nadużywaniu, a zakres jej zastosowania musi być ograniczony wyłącznie do szczególnie ciężkich przestępstw.
Zaskoczeniem jest jednak decyzja Trybunału o skutkach czasowych wyroku. Wbrew sugestiom rzecznika generalnego Trybunał nie zdecydował się odroczyć skutków swojego wyroku w czasie, tak by dać Unii i państwom odpowiedni czas na przemodelowanie dyrektywy. Z dniem publikacji wyroku dyrektywa stała się de facto nieważna i to ze skutkiem od jej wydania.
Rodzi to szereg praktycznych wątpliwości dotyczących tego, czy przepisy krajowe implementujące dyrektywę powinny być dalej stosowane: czy operatorzy telekomunikacyjni mają w dalszym ciągu dokonywać retencji danych i udostępniać je na żądanie sądów i innych organów, czy obywatele mają prawo żądać zaprzestania retencji ich danych telekomunikacyjnych i skasowania danych dotąd zebranych i czy sądy mogą dalej wykorzystywać dane billingowe na potrzeby postępowań karnych.
Czy wyrok przesądza, że dyrektywa jest nieważna?
Technicznie wyrok Digital Rights ma skutek wiążący tylko względem sądów pytających, tj. irlandzkiego High Court i austriackiego Verfassugsgerichthof. Oznacza to, że formalnie dyrektywa cały czas funkcjonuje w obrocie, a na instytucjach unijnych spoczywa obowiązek niezwłocznego podjęcia działań w celu usunięcia stwierdzonej przez Trybunał nieważności. W orzecznictwie przyjmuje się jednak, że stwierdzenie nieważności aktu prawa unijnego przez TSUE w procedurze prejudycjalnej „jest wystarczającym powodem dla każdego innego sądu krajowego, aby uznać taki akt za nieważny na potrzeby orzeczenia, które ma wydać” (wyrok TSUE z 13 maja 1981 r. w sprawie C-66/80 International Chemical Corporation). W praktyce przesądza to więc, że dyrektywę retencyjną należy uważać za nieważną (zob. M. Taborowski, Opinia dla HFPC nt. Skutki wyroku Trybunału Sprawiedliwości Unii Europejskiej stwierdzającego nieważność dyrektywy retencyjnej).
Jakie znaczenie dla przepisów krajowych implementujących dyrektywę ma wyrok Digital Rights?
Traktaty ani orzecznictwo Trybunału nie regulują tej kwestii wprost. Nie można jednak mówić o żadnym automatyzmie. Dopóki przepisy krajowe nie zostaną uchylone przez Trybunał Konstytucyjny albo ustawodawcę, dopóty formalnie nadal będą obowiązywać.
Inną kwestią jest jednak ich dalsza legitymizacja. Choć wyrok nie ma bezpośredniego przełożenia na ważność przepisów krajowych, to jednak przeprowadzona w nim analiza proporcjonalności z gwarancjami prawa do prywatności pozwala pod podobnym kątem ocenić przepisy krajowe, zwłaszcza zwracając uwagę, czy nie są obarczone mankamentami dyrektywy, które zakwestionował Trybunał.
To, czy zgodność polskich przepisów może być oceniana z Kartą Praw Podstawowych UE, skoro dyrektywa, którą te przepisy implementowały, została unieważniona, nie ma większego praktycznego znaczenia. Praktycznie identyczny poziom ochrony prawa do prywatności gwarantuje Konstytucja i Europejska Konwencja Praw Człowieka. Warto dodać, że choć Trybunał w Strasburgu nie miał jeszcze okazji wypowiadać się konkretnie w sprawie retencji, z jego wypowiedzi przy okazji innych spraw można zrekonstruować pewien standard, jakim regulacja retencji powinna odpowiadać. Zdaniem ETPCz już samo gromadzenie danych takich jak DNA i odciski palców stanowi ingerencję w prywatność obywateli niezależnie od tego, czy te dane są później wykorzystywane (S i Marper przeciwko Wielkiej Brytanii). Ingerencja w prywatność w celu przeciwdziałania przestępczości i terroryzmowi, zwłaszcza gdy ma charakter stosowania tajnych podsłuchów, jest dopuszczalna wyłącznie w szczególnie uzasadnionych przypadkach (Klass przeciwko Niemcom). Regulacja musi być napisana w sposób precyzyjny (Rotaru przeciwko Rumunii) i musi zawierać gwarancje przed nadużyciami poprzez zapewnienie kontroli sądowej. Należy spodziewać się, że Trybunał wypowie się wkrótce w kwestii blankietowej retencji danych. Będzie miał m.in. ku temu okazję w zawisłej przed nim sprawie ze skargi Big Brother Watch (Big Brother Watch i inni przeciwko Wielkiej Brytanii, skarga nr 58170/13).
Zastosowanie powyższych kryteriów do oceny polskich przepisów o retencji danych telekomunikacyjnych (które implementowały dyrektywę w jeden z najbardziej rygorystycznych sposobów) prowadzi do konkluzji, że przepisy te nie spełniają testu proporcjonalności.
Można w tej sytuacji mówić zatem o dużym prawdopodobieństwie niekonstytucyjności krajowych przepisów. Potwierdza to zresztą raport Najwyższej Izby Kontroli z 2013 r. dotyczący wykorzystywania i przetwarzania danych retencyjnych. W ocenie NIK przepisy nie chronią w stopniu wystarczającym praw i wolności obywatelskich przed nadmierną ingerencją ze strony państwa. Chociaż więc dyrektywa retencyjna została unieważniona, zagadnienie proporcjonalności i konstytucyjności przepisów krajowych pozostaje nadal aktualne, mimo że przepisy te ciągle obowiązują.
Czy oznacza to, że operatorzy telekomunikacyjni mogą zaprzestać retencji, a dane dotychczas zgromadzone skasować?
Na to pytanie trudno jednoznacznie odpowiedzieć. Z jednej strony słyszy się stanowiska, że wyrok Trybunału nie ma żadnego znaczenia dla konieczności przestrzegania przepisów krajowych. Z drugiej jednak strony pojawiają się informacje, że szwedzcy operatorzy telekomunikacyjni już zaprzestali retencji, a dotąd zgromadzone dane skasowali.
Niewątpliwie operatorzy znaleźli się w trudnej sytuacji. Dalsze stosowanie się do ustawy w zasadzie eliminuje ryzyko kary ze strony regulatora rynku za niewywiązywanie się z ustawowych obowiązków. Takie podejście stawia jednak operatorów w niezręcznej sytuacji w stosunku do klientów, którzy mogą mieć uzasadnione oczekiwanie, że operatorzy zaprzestaną technicznie nieuzasadnionego gromadzenia danych o ich ruchu sieciowym i udostępniania ich służbom. Jest to nie tylko kwestia reputacji i lojalności wobec klientów, lecz także wywiązywania się przez korporację ze swoich zobowiązań do ochrony praw człowieka, o których mowa w dokumencie ONZ „Guiding Principles on Business and Human Rights”. Myślenie o korporacjach jako podmiotach odpowiedzialnych za przestrzeganie i ochronę praw człowieka nie jest ograniczone tylko do korporacji działających w krajach z dużymi deficytami w ochronie praw obywatelskich, lecz dotyczy także w pewnym sensie działalności tych firm w państwach rozwiniętych.
Z prawnego punktu widzenia najbezpieczniejszym rozwiązaniem dla operatorów telekomunikacyjnych jest jednak dalsze stosowanie się do ustawy i oczekiwanie na wyjaśnienie sprawy ze strony państwa. Urząd Komunikacji Elektronicznej, który jest odpowiedzialny za kontrolę przestrzegania wykonywania obowiązku retencji danych, mógłby zająć stanowisko w tej kwestii, co pozwoliłoby przedsiębiorstwom telekomunikacyjnym rozwiązać wątpliwości. Tą drogą poszedł szwedzki regulator rynku PTS (Post- och telestyrelsen), który oświadczył, że w związku z wyrokiem Digital Rights nie wymaga od operatorów dalszego retencjonowania danych. W tej sytuacji można mówić – co jest dość rzadką w prawie sytuacją – o „wymarciu” przepisu wskutek jego powszechnego nierespektowania (desuetudo).
Niezależnie jednak od działań UKE pożądana byłaby szybka interwencja ze strony prawodawcy. To na nim ciąży bowiem obowiązek dbania o konstytucyjność stosowanych przepisów.
Ze względu na zbliżające się wybory do Parlamentu Europejskiego nie wydaje się, aby w najbliższym czasie mogła powstać nowa dyrektywa retencyjna. Jej powstanie niewątpliwie byłoby impulsem do szybkiej zmiany przepisów krajowych.
Ustawodawca krajowy, chociażby na okres przejściowy, powinien albo wycofać się z retencji danych całkowicie, albo też uregulować retencję w sposób uwzględniający wytyczne płynące z wyroku Digital Rights. Obowiązek taki wypływa także z unijnej zasady lojalności. Wymaga ona, aby w sytuacji stwierdzenia poważnych uchybień w ochronie praw człowieka na poziomie aktów Unii podobne uchybienia usunąć także z prawa krajowego (por. M. Klamert, The Principle of Loyalty in EU Law, Oxford University Press 2014).
W tym kontekście pozytywnie ocenić należy prace senackiej Komisji Praw Człowieka, Praworządności i Petycji. Komisja ta zaczęła przyglądać się regulacjom retencji danych już po publikacji wspomnianego raportu NIK. Owocem dotychczasowych prac jest projekt nowelizacji przepisów regulujących dostęp przez policję i służby do danych telekomunikacyjnych. Komisja senacka zareagowała również na wyrok Digital Rights. 13 maja 2014 r. odbyło się specjalne posiedzenie współorganizowane z Generalnym Inspektorem Ochrony Danych Osobowych, na którym analizowano skutki wyroku dla przepisów krajowych.
Dodatkowo można również zastanawiać się, czy na ustawodawcy krajowym nie ciąży prawny obowiązek uchylenia niezgodności przepisów krajowych z przepisami Karty Praw Podstawowych przez wzgląd na zasadę lojalności. Przyszłoroczne wybory parlamentarne oddalają jednak perspektywy szybkiej nowelizacji przepisów.
W tych okolicznościach najszybciej spodziewać należy się wyroku Trybunału Konstytucyjnego. Przed TK zakwestionowane zostały krajowe przepisy o udostępnianiu danych retencyjnych (K 23/11 i dalsze dołączone sprawy). Sędziowie Trybunału mają już za sobą trzydniową rozprawę, a zatem wyrok może zapaść w każdym momencie. Być może wyrok TSUE w jakieś mierze przyspieszy deliberację nad wyrokiem. Niezależnie jednak od tego, czy TK zdecyduje się uchylić przepisy w całości, czy tylko w pewnym ich zakresie, raczej pewne wydaje się odroczenie skutków wyroku w czasie. Z pewnością zmobilizuje to ustawodawcę, lecz ze względu na materię, w której ściera się szereg sprzecznych interesów, pożądane byłoby, aby prace nad ustawą toczyły się w sposób wyjątkowo przemyślany i przy udziale wszystkich zainteresowanych.
Trzeba jednak zwrócić uwagę, że postępowanie przed TK nie dotyczy stricte przepisów prawa telekomunikacyjnego implementujących dyrektywę. Ma to ten skutek, że nawet wyrok uznający przepisy o udostępnianiu danych za niekonstytucyjne nie będzie uchylał obowiązku samego przechowywania danych. Tymczasem sama retencja, niezależnie od tego, czy dane te są udostępniane, stanowi już daleką ingerencję w prywatność. W takiej sytuacji TK mógłby rozważyć wydanie postanowienia sygnalizacyjnego w zakresie przepisów nieobjętych postępowaniem przed TK. Pod koniec kwietnia o wydanie takiego postanowienia wniosła już Helsińska Fundacja Praw Człowieka.
Co zatem powinni zrobić operatorzy telekomunikacyjni?
Ponieważ nieprzestrzeganie formalnie obowiązujących przepisów o retencji może spotkać się z sankcjami (w tym karami finansowymi) ze strony regulatora rynku Urzędu Komunikacji Elektronicznej, na ten moment najmniejsze ryzyko prawne dla operatorów stwarza stosowanie się do tych przepisów.
Nie czekając na zmiany legislacyjne, dostawcy usług telekomunikacyjnych już teraz mogą rozważyć dostosowanie się do wymogów retencji, o których wspomniał Trybunał Sprawiedliwości, a które nie podlegają regulacji ustawowej. Mianowicie chodzi o lokalizację serwerów, na których przechowywane są dane abonentów. Trybunał wyraźnie wskazał, że dane retencyjne gromadzone w Europie muszą być przechowywane w Europie. Ta decyzja sędziów wydaje się efektem informacji uzyskanych od Edwarda Snowdena o działalności amerykańskiej agencji NSA i programu PRISM. W ocenie Trybunału gromadzenie danych w „europejskiej chmurze” („Schengen cloud”) daje wyższe gwarancje ich bezpieczeństwa.
W związku z powyższym operatorzy telekomunikacyjni, którzy przechowują dane retencyjne poza Europą, powinni rozważyć jak najszybszą zmianę tej praktyki, szczególnie że niekiedy proces „przeniesienia” może wymagać odpowiedniego czasu ze względów logistyczno-prawnych.
Wyrok Digital Rights, a w perspektywie wyrok TK, mogą otwierać drogę operatorom telekomunikacyjnym do poszukiwania zrekompensowania kosztów stosowanej dotąd retencji (koszty wdrożenia systemu i koszty operacyjne). Proces o odszkodowanie nie będzie łatwy. Trudności sprawiać będzie chociażby obliczenie wysokości szkody. Dlatego tym bardziej warto już teraz zacząć przyglądać się wysokości realnie ponoszonych wydatków na retencję. Jak wskazują dostępne źródła, te koszty nie są małe. Szacuje się, że w 2003 roku operatorzy w Wielkiej Brytanii wydali na to ponad 150 milionów euro (zob. Directorate General for Internal Policies, Note on Estimated Costs of EU Counterterrorism Measures, 2011, s. 95).
Czy należy liczyć się z działaniami abonentów, którzy domagać się będą usunięcia ich danych telekomunikacyjnych?
Nie można wykluczyć, że abonenci wywierać będą na operatorach nie tylko presję, lecz również podejmą kroki prawne zmierzające do usunięcia ich danych telekomunikacyjnych.
Naszym zdaniem możliwe jest wytoczenie powództwa o naruszenie dóbr osobistych z żądaniem usunięcia skutków naruszenia i zaprzestania dalszych naruszeń w ten sposób, że operator przestanie dalej retencjonować dane i skasuje dane już zgromadzone. Decydująca będzie ocena kwestii bezprawności. Prawidłowa – prokonstytucyjna i proeuropejska wykładnia przepisów powinna jednak prowadzić do konkluzji, że gromadzenie danych jest niekonstytucyjne i niekonwencyjne, a przez to bezprawne. Takie rozstrzygnięcie jest szczególnie prawdopodobne w przypadku wszystkich osób wykonujących zawody wiążące się z zachowaniem tajemnicy zawodowej (adwokaci, radcowie prawni, lekarze, dziennikarze).
Możliwość zakazania dalszej retencji i nakazania wykasowania danych wydaje się prawdopodobne w świetle wyroku Sądu Apelacyjnego w Warszawie (Bogdan Wróblewski przeciwko CBA – wyrok Sądu Apelacyjnego z 26 kwietnia 2013 r.). Również w razie takich procesów operatorzy telekomunikacyjni powinni rozważyć odzyskanie kosztów prowadzonych spraw od Skarbu Państwa.
Czy będzie można wznawiać postępowania, w których dowodami były dane telekomunikacyjne i czy w ogóle te dane mogą stanowić dowód w sądzie?
Możliwość wznawiania postępowań, w których sądy uwzględniały dowód z danych billingowych, jest bardzo mało prawdopodobna, aczkolwiek nie niemożliwa. Przede wszystkim zależeć to będzie w dużej mierze od wyroku Trybunału Konstytucyjnego i tego, czy TK zdecyduje się uznać niekonstytucyjność polskich przepisów o retencji ze skutkiem wstecznym (ex tunc). Gdyby TK się na to zdecydował, potencjalnie otworzyłaby się możliwość wznowienia zakończonych procesów. Nie jest jednak przesądzone, w jaki sposób należałoby traktować dowód z danych billingowych w takiej sytuacji. W Polsce nie funkcjonuje zasadniczo doktryna „owoców zatrutego drzewa”. W postępowaniu pełni ona funkcję instrumentalną, zabezpieczając obywateli przed pozyskiwaniem przeciw nim dowodów niezgodnie z prawem. Wcale nie jest jednak tak, że mieć ona będzie zastosowanie do dowodu pozyskanego w sposób zgodny z prawem, a następczo uznany za niekonstytucyjny. Wydaje się, że takie postawienie sprawy nie dałoby się jednak pogodzić z zasadą prawdy materialnej w procesie karnym.
Wyrok Digital Rights może mieć natomiast nieco większy wpływ na możliwość korzystania z danych billingowych w toczących się procesach. Wyrok z dużym prawdopodobieństwem pozwala przyjąć, że polskie regulacje są niekonstytucyjne. De facto możemy mówić o utracie domniemania konstytucyjności polskich przepisów. Możliwe jest zatem argumentowanie, że korzystanie z danych telekomunikacyjnych nie powinno mieć miejsca, jako że dowód taki został pozyskany niezgodnie z Konstytucją i Europejską Konwencją Praw Człowieka. Pogląd taki byłby tym bardziej słuszny, gdyby wykorzystywanie retencji dla celów walki z przestępczością zostało podważone jako takie. Tymczasem kwestionowany jest jedynie zbyt szeroki zakres zastosowania retencji i brak wbudowania gwarancji przed nadużyciami. Wobec tego skuteczność argumentacji o konieczności zdyskwalifikowania dowodu z danych billingowych jako pozyskanych niezgodnie z prawem (zgodnie z ustawą, lecz niezgodnie z aktami wyższego rzędu) ograniczona będzie wyłącznie do tych przypadków, w których zakres retencji przekraczał to, co niezbędne. Może chodzić tutaj np. o sprawy w bardzo drobnych przestępstwach lub sprawy z udziałem osób objętych tajemnicą zawodową.
Czy będzie nowa dyrektywa retencyjna?
Obecnie niewiele osób potrafi wyobrazić sobie walkę z przestępczością i terroryzmem bez retencji danych telekomunikacyjnych (zob. Paul Bernal, Internet Privacy Rights, Rights to Protect Autonomy, Cambridge University Press 2014, s. 103). Dlatego też najbardziej prawdopodobnym scenariuszem jest przyjęcie nowej dyrektywy retencyjnej lub rozporządzenia na poziomie unijnym.
Ponieważ swoboda unijnego ustawodawcy ograniczona jest obecnie wskazówkami TSUE, już teraz można przewidywać, że zakres dyrektywy ulegnie znaczącemu ograniczeniu. Dyrektywa też w dużo bardziej kompleksowy sposób będzie regulowała kwestię retencji, zostawiając niewielki margines swobody regulacji państwom członkowskim.
Jednocześnie trzeba jednak zaznaczyć, że wpływ retencji na zmniejszenie przestępczości i terroryzmu jest kontestowany. Wątpliwości co do skuteczności tego instrumentu miał czeski trybunał konstytucyjny. Również raport instytutu Maxa Plancka z 2012 r. (German Max Planck Institute for Foreign and International Criminal Law) wskazuje, że z przeprowadzonych badań w Austrii, Niemczech i Szwajcarii nie wynika, by retencja wpływała na zmniejszenie przestępczości w tych krajach.
Należy też mieć na uwadze, że społeczeństwo europejskie przejawia coraz większe oburzenie skalą kontroli stosowanej wobec obywateli. Uświadamiają nam to informacje przekazane przez Edwarda Snowdena o działaniach amerykańskiej agencji NSA i programie PRISM.
Pytanie o zakres prywatności w sieci należy więc do jednych z najistotniejszych w kontekście relacji między ochroną praw człowieka a bezpieczeństwem wewnętrznym. Nieprzypadkowo prezes Federalnego Trybunału Konstytucyjnego RFN Hans-Jürgen Papier uznał, że wyrok niemieckiego trybunału w sprawie retencji należał do jednych z najważniejszych w jego karierze (Süddeutsche Zeitung z 6 marca 2010 r., Gegen die Totalkontrol).
Wbrew powszechnemu przekonaniu blankietowa retencja danych ma swoje alternatywy. Takim rozwiązaniem mógłby być proponowany w Konwencji o Cyberprzestępczości mechanizm „quick freeze”. Polega on na retencjonowaniu danych wyłącznie tych osób, w stosunku do których istnieje podejrzenie popełnienia przestępstwa w oparciu o decyzję niezależnej instytucji.
Czy jeżeli Komisja Europejska nie zdecyduje się wprowadzić nowej dyrektywy, państwa mogą uregulować tę kwestię we własnym zakresie?
Jeżeli ustawodawca unijny zrezygnuje z kwestii uregulowania retencji danych, prawdopodobnie zrobi to ustawodawca krajowy. I raczej nie ma większych wątpliwości, że będzie do tego uprawniony.
Kwestie podziału kompetencji między Unią a państwami członkowskimi regulują traktaty. Stanowią one, że w zakresie inicjatyw legislacyjnych podejmowanych przez Unię państwa członkowskie tracą kompetencje do regulowania tej samej materii na poziomie krajowym. Jednakże w sytuacji, gdy Unia rezygnuje z regulowania danej dziedziny, kompetencja niejako „powraca” do państwa.
Unieważnienie dyrektywy powoduje, że Unia de facto rezygnuje z wykonywania swojej kompetencji w obszarze regulacji retencji danych telekomunikacyjnych, jednakże należy spodziewać się, że w niedalekiej przyszłości kompetencję tę na nowo przejmie. Do tego czasu państwa odzyskały uprawnienie do autonomicznego regulowania retencji. Trudno powiedzieć, jak długi będzie to czas, wobec zbliżających się wyborów europejskich. Państwa mogłyby jednak, chociażby tymczasowo, dostosować swoje przepisy krajowe do wymogów wyroku Digital Rights. Przykładem może być słowacki trybunał konstytucyjny, który wprowadził moratorium na stosowanie przepisów o retencji.
Niezależnie jednak od tego, czy kwestia ta regulowana będzie na poziomie unijnym czy krajowym, wskazówki z wyroku Digital Rights powinny zostać uwzględnione. Chodzi o wprowadzenie rozróżnienia danych telekomunikacyjnych na co najmniej trzy kategorie – dane o abonencie, o wykonywanych połączeniach i o lokalizacji. Każda z kategorii powinna zostać poddana odmiennemu reżimowi prawnemu i zróżnicowanemu okresowi przechowania. Konieczne jest wprowadzenie katalogu „poważnych przestępstw”. Dane billingowe nie powinny być wykorzystywane w sprawach o drobne przestępstwa. Wprowadzony powinien zostać obowiązkowy nadzór sądowy (prewencyjny lub – w niektórych sytuacjach – ex post) nad pozyskiwaniem tych danych przez policję i służby. Należy oczekiwać także rozwiązań wyłączających spod retencji osoby objęte tajemnicami zawodowymi. Tutaj potrzebne jest partnerstwo operatorów, aby porozmawiać o możliwościach technicznych na poziomie samego retencjonowania albo udostępniania danych. Na pewno także spodziewać się należy obowiązku zapewnienia wyższego poziomu bezpieczeństwa danych, włączając w to konieczność przechowywania danych na serwerach zlokalizowanych w UE. Chociaż wyrok Digital Rights nie odnosi się do zasad ponoszenia kosztów retencji, kwestia ta powinna zostać uregulowana. Stosowane obecnie w Polsce rozwiązanie przerzucające ten koszt w całości na operatorów nie wydaje się zgodne ze standardami konstytucyjnymi.
Magdalena Gutowska, Tomasz Krzywański i Łukasz Lasek, praktyka postępowań sądowych i arbitrażowych kancelarii Wardyński i Wspólnicy