Soudní dvůr EU: K právu na respektování soukromého života a právu na ochranu osobních údajů
publikováno: 01.04.2015
Digital Rights Ireland Ltd (C 293/12) a Kärntner Landesregierung (C 594/12)
ROZSUDEK SOUDNÍHO DVORA (velkého senátu)
8. duben 2014
Předmětem rozsudku je platnost směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, a o změně směrnice 2002/58/ES (Úř. věst. L 105, s. 54), a články 7, 8 a 11 Listiny základních práv Evropské unie.
Hlavním účelem směrnice 2006/24/ES je harmonizovat právní úpravu zadržování určitých údajů, které jsou generovány nebo zpracovávány poskytovateli veřejně dostupných elektronických komunikačních služeb nebo veřejných komunikačních sítí v členských státech. Cílem směrnice je dostupnost údajů pro účely prevence, odhalování, vyšetřování a stíhání závažných trestných činů, jakými jsou např. organizovaný zločin a terorismus. Podle této směrnice poskytovatelé mají povinnost zadržovat údaje nezbytné pro identifikaci předplatitelů nebo uživatelů jejich služeb. Směrnice naopak nedovoluje zadržovat obsah komunikace nebo konzultované informace.
Na základě žádosti o rozhodnutí o předběžné otázce podle článku 267 SFEU Soudní dvůr prohlásil směrnici 2006/24/ES za neplatnou vzhledem k tomu, že závažně a široce zasahuje do základního práva na respektování soukromého života a základního práva na ochranu osobních údajů.
V daném případě irský Nejvyšší soud a rakouský Ústavní soud požádaly Soudní dvůr, aby přezkoumal platnost směrnice, a to zejména ve světle dvou základních práv chráněných Listinou základních práv EU - práva na respektování soukromého života a práva na ochranu osobních údajů. Irský soud předložil žádost v rámci probíhajícího řízení o sporu mezi irskou společností Digital Rights Ireland a irskými orgány ohledně zákonnosti vnitrostátní právní úpravy o zadržování údajů z elektronické komunikace. Žádost rakouského soudu vyplynula z několika řízení o ústavních stížnostech podaných vládou spolkové země Korutany a několika tisíc dalších stěžovatelů, kteří sledovali zrušení vnitrostátních právních předpisů transponujících směrnici do rakouského právního řádu.
V tomto rozsudku, ve kterém prohlašuje směrnici neplatnou, Soudní dvůr především konstatuje, že zadržované údaje umožňují zejména: 1) odhalit identitu osoby, se kterou předplatitel nebo registrovaný uživatel komunikoval a jakými prostředky, 2) identifikovat čas komunikace a místo, ze kterého byla tato komunikace provedena, 3) zjistit četnost komunikací předplatitele nebo registrovaného uživatele s určitými osobami během určitého období. Tyto údaje jako celek mohou poskytnout velmi přesnou informaci o soukromých životech osob, jejichž údaje jsou zadržovány, jako např. každodenní zvyky, stálá nebo přechodná místa bydliště, denní pohyb, vykonávané aktivity, sociální vazby a navštěvovaná sociální prostředí. Soudní dvůr se domnívá, že směrnice zasahuje zvláště závažným způsobem do základních práv na respektování soukromého života a na ochranu osobních údajů tím, že ukládá povinnost zadržovat tyto údaje, a dále tím, že umožňuje příslušným národním orgánům, aby měly k těmto údajům přístup. Soudní dvůr podotýká, že skutečnost, že údaje jsou zadržovány a následně používány aniž by předplatitel nebo registrovaný uživatel byl o tom informován, může v těchto osobách vyvolávat pocit, že jejich soukromý život je neustále sledován.
Soudní dvůr v rámci přezkumu zda je takový zásah do základních práv oprávněný konstatuje, že zadržování údajů na základě dotčené směrnice není negativním zásahem do podstaty základních práv na respektování soukromého života a na ochranu osobních údajů, jelikož směrnice nedovoluje získávat informace o obsahu elektronických komunikací a ukládá, aby poskytovatelé služeb respektovali určité zásady ochrany a bezpečnosti údajů. Navíc zadržování údajů pro účely jejich případného postoupení kompetentním národním orgánům splňuje požadavek veřejného zájmu, kterým je zejména boj proti závažné trestné činnosti a v konečné fázi veřejná bezpečnost. Soudní dvůr je však toho názoru, že přijetím dotčené směrnice unijní zákonodárce překročil hranici slučitelnosti se zásadou proporcionality, jejíž dodržování ukládají články 7 a 8 a čl. 52 odst. 1 Listiny. Soudní dvůr míní, že ačkoliv zadržování údajů vyžadovaných směrnicí lze považovat za vhodné pro naplnění cíle sledovaného směrnicí, rozsáhlé a závažné zasahování do uvedených základních práv není dostatečně omezeno na striktně nezbytné.
Zaprvé, směrnice se vztahuje na všechny jednotlivce, na všechny prostředky elektronické komunikace a na všechny převáděné údaje bez rozlišení, omezení nebo výjimky s ohledem k účelu, kterým je boj proti závažné kriminalitě. Pokud jde o právo na respektování soukromého života, podle ustálené judikatury Soudního dvora ochrana tohoto základního práva v každém případě vyžaduje, aby výjimky z ochrany osobních údajů a její omezení byly činěny v mezích toho, co je naprosto nezbytné.
Zadruhé, směrnice nestanoví žádné objektivní kritérium pro přístup kompetentních národních orgánů k údajům a pro použití údajů pouze za účelem prevence a odhalování trestné činnosti nebo trestního stíhání těch trestných činů, které lze považovat za natolik závažné, aby odůvodnily takový zásah. Naopak směrnice obecně odkazuje ohledně definice pojmu „závažná kriminalita“ na vnitrostátní právní řády členských států a nestanoví hmotněprávní ani procesní podmínky pro přístup příslušných národních orgánů k údajům a jejich použití. Především přístup k údajům není vázán na přezkum soudního nebo nezávislého správního orgánu.
Za třetí, co se týče doby zadržování údajů, směrnice ukládá lhůtu alespoň šesti měsíců bez ohledu na kategorie údajů podle dotčených osob nebo na případný užitek údajů s ohledem ke sledovanému cíli. Tato lhůta je navíc ohraničena minimálně šesti a maximálně 24 měsíci s tím, že směrnice neuvádí objektivní kritéria pro stanovení lhůty tak, aby mohla být vymezena na období nezbytně nutné. Směrnice tak nestanoví jasná a přesná pravidla pro rozsah zásahu do základních práv upravených v článcích 7 a 8 Listiny. Tato směrnice tudíž představuje velmi rozsáhlý a zvlášť závažný zásah do těchto základních práv v unijním právním řádu, aniž je takový zásah přesně vymezen ustanoveními umožňujícími zaručit, že je skutečně omezen na nezbytné minimum.
Soudní dvůr rovněž shledává, že směrnice neupravuje dostatečné záruky pro zajištění účinné ochrany údajů proti zneužití a nezákonnému přístupu a použití údajů. Zároveň podotýká, že směrnice umožňuje poskytovatelům služeb, aby zohlednili ekonomické ukazatele při rozhodování o stupni zabezpečení, zejména náklady na implementaci bezpečnostních opatření, a že nezaručuje, že údaje budou nevratně zničeny po uplynutí lhůty pro jejich zadržování. Soudní dvůr závěrem konstatuje, že směrnice neukládá, aby údaje byly zadržovány v rámci EU, čímž není dostatečně zajištěna kontrola nad dodržováním požadavků na ochranu a bezpečnost nezávislým orgánem tak jak výslovně ukládá Listina základních práv EU. Taková kontrola prováděná na základě práva EU je nezbytnou součástí ochrany jednotlivců při zpracovávání osobních údajů.
Soudní dvůr (velký senát) rozhodl následovně: Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, je neplatná.