Wystąpienie do minister cyfryzacji w sprawie przepisów ustawy Prawo telekomunikacyjne w związku z wyrokiem Trybunału Sprawiedliwości Unii Europejskiej dotyczącym retencji danych
W wystąpieniu Rzecznik zwrócił uwagę na wyrok Trybunału Sprawiedliwości Unii Europejskiej (TSUE) z dnia 21 grudnia 2016 r. w tzw. sprawie Tele2, w którym TSUE rozwinął tezy poczynione wcześniej w sprawie Digital Rights Ireland (DRI). Tamtym wyrokiem TSUE stwierdził nieważność tzw. dyrektywy retencyjnej, co wywołało dyskusję m.in. co do jego skutków dla przepisów prawa krajowego, w których implementowano unieważnioną dyrektywę. Dotyczy to także przepisów polskich, w szczególności niektórych przepisów ustawy Prawo telekomunikacyjne i aktów wykonawczych wydanych na jej podstawie, które przyjmowane były w celu implementacji dyrektywy retencyjnej.
W wyroku w sprawie Tele 2 TSUE wyjaśnił, że wyjątki, przewidziane w art. 15 ust. 1 tzw. dyrektywy o e-prywatności (dyrektywy 2002/58/WE) są dopuszczalne, jednak muszą być interpretowane wąsko, by nie uchylić reguły podstawowej. Przepisy krajowe, które takie wyjątki wprowadzają, muszą zaś być zgodne z art. 7 i 8, ale także z art. 11 Karty Praw Podstawowych, a wszelkie ograniczenia muszą spełniać wymóg niezbędności i proporcjonalności, co potwierdza także punkt 11 preambuły do dyrektywy o e-prywatności.
TSUE przypomniał też swoje wcześniejsze orzecznictwo, zgodnie z którym odstępstwa od prawa do prywatności muszą pozostawać w granicach tego, co jest „absolutnie konieczne”. Co do samego procesu retencji danych w kontekście prawa do prywatności TSUE wskazał wyraźnie, że zatrzymywane dane umożliwiają wyciągnięcie wielu szczegółów dotyczących życia prywatnego osób, których dane zostały zatrzymane. Jedynym uzasadnieniem dla tego rodzaju ingerencji w życie prywatne może być walka z poważną przestępczością. Jednak nawet konieczność walki z terroryzmem, zdaniem TSUE, nie uzasadnia sama w sobie, by uznać, że ustawodawstwo krajowe przewidujące uogólnione zatrzymywanie danych jest niezbędne. Tym samym, zatrzymywanie danych nie może wykraczać poza to, co jest absolutnie konieczne jeśli chodzi o zakres danych, stosowane środki łączności, podmioty zaangażowane w tej proces, jak i przyjęty okres przechowywania tych danych. Przepisy regulujące cały proces muszą zaś być jednoznaczne i szczegółowe oraz muszą przewidywać gwarancje wystarczające do tego, by chronić przed ryzykiem nadużycia.
Ponadto TSUE potwierdził, że przepisy krajowe muszą ustanawiać materialne i proceduralne warunki regulujące dostęp odpowiednich organów krajowych do przechowywanych danych. Wreszcie TSUE uznał, że dostęp do przechowywanych danych musi podlegać uprzedniej kontroli, sprawowanej przez sąd lub inny niezależny organ, a jedynym dopuszczalnym wyjątkiem od konieczności wyrażenia uprzedniej zgody są sytuacje pilne. Właściwe organy muszą również poinformować o dostępie do danych zainteresowane osoby w momencie, gdy nie ma już zagrożenia dla prowadzonego postępowania.
Rzecznik zwrócił się do Minister z prośbą o poinformowanie o planowanych działaniach, a przede wszystkim o zajęcie stanowiska w sprawie zgodności przepisów ustawy Prawo telekomunikacyjne oraz aktów wykonawczych przyjętych w celu implementacji dyrektywy retencyjnej, z przepisami KPP UE po wyroku TSUE w sprawie Tele2.