Masowe zatrzymywanie danych niezgodne z prawem UE

Dodano: 27 grudnia 2016
Masowe zatrzymywanie danych niezgodne z prawem UE

Trybunał Sprawiedliwości Unii Europejskiej uznał, że państwa członkowskie nie mogą nakładać na operatorów telekomunikacyjnych ogólnego obowiązku zatrzymywania danych.

Zdaniem Trybunału Sprawiedliwości UE prawo Unii Europejskiej nie zezwala na masowe zatrzymywanie przez operatorów telekomunikacyjnych wszystkich danych dotyczących ruchu w sieci i lokalizacji. Taki wyrok zapadł 21 grudnia 2016 r. w połączonych sprawach Tele2 Sverige AB/ Post-ochtelestyrelsen (C-203/15) i Secretary of State for the Home Department/Tom Watson i in. (C-698/15.

Sprawy te wpłynęły do Trybunału po wyroku w sprawie Digital Rights Ireland z 2014 r., w którym uznano, że dyrektywa 2006/24/WE w sprawie zatrzymywania generowanych lub przetworzonych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniającej dyrektywę 2002/58/WE, tzw. dyrektywa retencyjna, jest nieważna.

Retencja danych tylko do walki z poważną przestępczością

Trybunał przyznał, że państwa członkowskie mogą wprowadzić przepisy zezwalające na retencję danych w celu zwalczania poważnej przestępczości. Jednak muszą one ograniczać się do tego, co jest bezwzględnie konieczne, zarówno jeśli chodzi o zakres danych, środki komunikacji, osoby, których dane dotyczą oraz czas ich przechowywania. Trybunał podkreślił, że prawo krajowe musi określać warunki dostępu organów krajowych do zatrzymanych danych, w tym uprzednią kontrolę dostępu przez niezależny organ oraz obowiązek przechowywania danych na terytorium UE.

Trybunał Sprawiedliwości UE orzekł więc, że przepisy prawne państw członkowskich, które przewidują masowe zatrzymywanie wszystkich danych o ruchu i lokalizacji, są niezgodne z prawem Unii Europejskiej. Jednocześnie TSUE wskazał, że wszystkie przyjęte środki krajowe dotyczące zatrzymywania danych i dostępu do nich dla organów ścigania, wchodzą w zakres dyrektywy 2002/58/WE, która dotyczy przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej tzw. dyrektywa o prywatności. Przewiduje ona możliwość wprowadzenia pewnych ograniczeń poufności komunikacji, jednak wyjątki te nie mogą być regułą i nie mogą dotyczyć wszystkich danych.

Państwa członkowskie muszą ustanowić swoje przepisy, ale...

Trybunał uznał, że ingerencja, która jest wynikiem stosowania przepisów krajowych przewidujących zatrzymywanie danych o ruchu i o lokalizacji, może być uzasadniona ze względu na konieczność zwalczania poważnej przestępczości. Jednak przepisy krajowe mogą ustanawiać obowiązek indywidualnego zatrzymywania danych w celu zwalczania poważnej przestępczości, pod warunkiem, że takie zatrzymywanie w zakresie dotyczącym danych podlegających zatrzymywaniu, stosowanych środków łączności, kręgu zaangażowanych osób oraz przyjętego okresu przechowywania danych − nie będzie wykraczać poza to, co jest absolutnie konieczne.

Zdaniem Trybunału wszystkie przyjęte w tym względzie przepisy muszą być jednoznaczne i szczegółowe oraz przewidywać gwarancje wystarczające do tego, aby chronić te dane przed ryzykiem ich nadużycia. W szczególności takie przepisy powinny opierać się na obiektywnych elementach umożliwiających namierzenie osób, których dane mogą mieć związek z poważną przestępczością.

W zakresie dotyczącym dostępu odpowiednich organów krajowych do przechowywanych danych TSUE stwierdził, że przepisy krajowe nie mogą ograniczać się do ustanowienia jedynie wymogu, by dostęp ten uwzględniał jeden z realizowanych przez dyrektywę celów, polegający na prowadzeniu walki z poważną przestępczością. Muszą one też ustanawiać materialne i proceduralne warunki takiego dostępu. Przepisy te powinny opierać się na obiektywnych kryteriach umożliwiających określenie okoliczności i warunków przyznania dostępu do tych danych właściwym organom krajowym.

Uwzględniając cel polegający na zwalczaniu poważnej przestępczości, dostęp ten może, co do zasady, zostać przyznany jedynie odnośnie do danych dotyczących osób podejrzewanych o planowanie, popełnianie czy też dopuszczenie się już poważnego przestępstwa bądź też zaangażowanych w taki czy inny sposób w takie przestępstwo. Trybunał uznał, że istotne jest, aby dostęp do przechowywanych danych podlegał, za wyjątkiem pilnych przypadków, uprzedniej kontroli sprawowanej przez sąd lub inny niezależny organ.

Uwzględniając ilość tych danych, ich znaczenie oraz niebezpieczeństwo związane z uzyskaniem bezprawnego do nich dostępu, przepisy krajowe powinny ustanawiać obowiązek ich przechowywania na obszarze Unii, a także – obowiązek ich nieodwracalnego niszczenia po upływie okresu ich przechowywania – stwierdził Trybunał.

Źródło: www.giodo.gov.pl

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel