C-470/21
Podsumowanie
Trybunał Sprawiedliwości UE orzekł, że dostęp organu publicznego do danych identyfikacyjnych użytkowników Internetu w celu zwalczania naruszeń praw autorskich jest dopuszczalny, pod warunkiem spełnienia rygorystycznych wymogów dotyczących przechowywania danych, ograniczonego dostępu i nadzoru sądowego w określonych sytuacjach.
Sprawa dotyczyła zgodności francuskich przepisów umożliwiających organowi Hadopi dostęp do danych identyfikacyjnych użytkowników Internetu (w tym adresów IP) w celu zwalczania naruszeń praw autorskich z prawem UE, w szczególności dyrektywą o prywatności i łączności elektronicznej oraz Kartą praw podstawowych. Trybunał orzekł, że taki dostęp jest dopuszczalny, pod warunkiem ścisłego przestrzegania zasad dotyczących przechowywania danych, zapewniających ich odseparowanie i uniemożliwiających wyciąganie wniosków na temat życia prywatnego użytkowników. Ponadto, dostęp ten musi być ograniczony do identyfikacji sprawcy i wymagać nadzoru sądowego lub niezależnego organu administracyjnego w przypadku powtarzających się naruszeń lub gdy istnieje ryzyko ujawnienia wrażliwych danych.
Wniosek o wydanie orzeczenia w trybie prejudycjalnym dotyczył wykładni dyrektywy 2002/58/WE (o prywatności i łączności elektronicznej) w świetle Karty praw podstawowych UE. Sprawa wywodziła się ze skargi na francuski dekret umożliwiający organowi Hadopi (obecnie ARCOM) dostęp do danych identyfikacyjnych użytkowników Internetu (w tym adresów IP) w celu zwalczania naruszeń praw autorskich. Skarżący argumentowali, że takie przepisy naruszają prawo do prywatności i ochrony danych osobowych. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) rozpatrzył trzy pytania prejudycjalne dotyczące wymogów związanych z przechowywaniem danych, dostępem do nich oraz kontrolą sądową. W odniesieniu do przechowywania danych, TSUE stwierdził, że obowiązek uogólnionego i niezróżnicowanego przechowywania adresów IP może być uzasadniony celem zwalczania ogółu czynów zabronionych, pod warunkiem wprowadzenia rygorystycznych zasad technicznych zapewniających ścisłe odseparowanie różnych kategorii danych (tożsamość cywilna, adresy IP, dane o ruchu, dane lokalizacyjne) i uniemożliwiających powiązanie ich w sposób pozwalający na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego użytkowników. Okres przechowywania musi być ściśle niezbędny, a system przetwarzania danych podlegać regularnej kontroli niezależnego organu. Co do dostępu do danych, TSUE uznał, że dostęp organu publicznego do danych identyfikacyjnych odpowiadających adresom IP jest dopuszczalny, jeśli służy wyłącznie identyfikacji osoby podejrzanej o popełnienie czynu zabronionego i towarzyszą mu gwarancje wykluczające możliwość wyciągnięcia precyzyjnych wniosków na temat życia prywatnego. Wymaga to m.in. zakazu ujawniania treści przeglądanych plików i śledzenia historii aktywności. W kwestii kontroli sądowej, TSUE orzekł, że wymóg uprzedniej kontroli przez sąd lub niezależny organ administracyjny jest konieczny, gdy dostęp do danych wiąże się z ryzykiem poważnej ingerencji w życie prywatne, np. gdy istnieje możliwość ustalenia szczegółowego profilu użytkownika. W przypadku francuskiej procedury stopniowej odpowiedzi, taka kontrola jest wymagana na etapie, gdy dochodzi do powiązania danych identyfikacyjnych z informacjami o utworach, a zwłaszcza przed wysłaniem pisma informującego o możliwości popełnienia rażącego niedbalstwa lub przed zawiadomieniem prokuratury. Kontrola ta nie może być w pełni zautomatyzowana i musi uwzględniać wagę celu interesu ogólnego w stosunku do ingerencji w prawa podstawowe. TSUE podkreślił, że francuski system musi spełniać wymogi dyrektywy 2016/680 dotyczącej ochrony danych w kontekście działań organów ścigania, a nie RODO, które wyłącza takie przetwarzanie. Ostatecznie, TSUE stwierdził, że francuskie przepisy nie stoją na przeszkodzie dostępowi do danych, pod warunkiem spełnienia wszystkich wskazanych wymogów.
Asystent AI do analizy prawnej
Przeanalizuj tę sprawę w kontekście orzecznictwa, przepisów i doktryny. Uzyskaj pogłębioną analizę, projekt pisma lub odpowiedź na pytanie prawne.
Zagadnienia prawne (4)
Odpowiedź sądu
Tak, dane te mogą być traktowane jako dane o ruchu, a dostęp do nich powinien co do zasady podlegać uprzedniej kontroli sądowej lub niezależnego organu administracyjnego, chyba że ingerencja nie jest poważna.
Uzasadnienie
Trybunał uznał, że adresy IP mogą być uznane za dane o ruchu. Dostęp do nich, jeśli prowadzi do poważnej ingerencji w życie prywatne, wymaga uprzedniej kontroli sądowej. Jednakże, jeśli dostęp służy wyłącznie identyfikacji użytkownika i nie pozwala na wyciągnięcie precyzyjnych wniosków na temat jego życia prywatnego, a dane są odpowiednio odseparowane, wymóg ten może nie mieć zastosowania lub być złagodzony.
Rozstrzygnięcie
Decyzja
odpowiedz_na_pytanie
Strona wygrywająca
organ publiczny (Hadopi) / państwa członkowskie (pod pewnymi warunkami)
Strony
| Nazwa | Typ | Rola |
|---|---|---|
| La Quadrature du Net | inne | skarżący |
| Fédération des fournisseurs d’accès à Internet associatifs | inne | skarżący |
| Franciliens.net | inne | skarżący |
| French Data Network | inne | skarżący |
| Premier ministre | organ_krajowy | pozwany |
| Ministre de la Culture | organ_krajowy | pozwany |
| Rząd francuski | panstwo_czlonkowskie | interwenient |
| Rząd duński | panstwo_czlonkowskie | interwenient |
| Rząd estoński | panstwo_czlonkowskie | interwenient |
| Rząd fiński | panstwo_czlonkowskie | interwenient |
| Rząd szwedzki | panstwo_czlonkowskie | interwenient |
| Rząd norweski | inne | interwenient |
| Komisja Europejska | instytucja_ue | interwenient |
| Rząd czeski | panstwo_czlonkowskie | interwenient |
| Irlandia | panstwo_czlonkowskie | interwenient |
| Rząd hiszpański | panstwo_czlonkowskie | interwenient |
| Rząd cypryjski | panstwo_czlonkowskie | interwenient |
| Rząd łotewski | panstwo_czlonkowskie | interwenient |
| Rząd niderlandzki | panstwo_czlonkowskie | interwenient |
| Europejski Inspektor Ochrony Danych | instytucja_ue | interwenient |
| Agencja Unii Europejskiej ds. Cyberbezpieczeństwa | instytucja_ue | interwenient |
Przepisy (43)
Główne
Dyrektywa 2002/58/WE art. 5 § 1, 3
Dyrektywa 2002/58/WE art. 6 § 1, 2, 3, 5
Dyrektywa 2002/58/WE art. 15 § 1
Karta praw podstawowych Unii Europejskiej art. 7
Karta praw podstawowych Unii Europejskiej art. 8
Karta praw podstawowych Unii Europejskiej art. 11
Karta praw podstawowych Unii Europejskiej art. 52 § 1
Traktat o funkcjonowaniu Unii Europejskiej (TFUE) art. 267
Pomocnicze
Dyrektywa 95/46/WE art. 7
Dyrektywa 95/46/WE art. 13
Rozporządzenie (UE) 2016/679 (RODO) art. 2 § 1, 2(d)
Rozporządzenie (UE) 2016/679 (RODO) art. 4 § 1, 2
Rozporządzenie (UE) 2016/679 (RODO) art. 6 § 1(f)
Rozporządzenie (UE) 2016/679 (RODO) art. 9 § 2(e), (f)
Rozporządzenie (UE) 2016/679 (RODO) art. 23 § 1(i), (j)
Dyrektywa 2002/58/WE art. Motywy 2, 6, 7, 11, 26, 30
Dyrektywa 2002/58/WE art. 2
Dyrektywa 2002/58/WE art. 3
Dyrektywa (UE) 2016/680 art. 1 § 1
Dyrektywa (UE) 2016/680 art. 3 § 7
Dyrektywa 2004/48/WE art. 8 § 1, 2, 3
Kodeks własności intelektualnej (Francja) art. L. 331-12
Kodeks własności intelektualnej (Francja) art. L. 331-13
Kodeks własności intelektualnej (Francja) art. L. 331-15
Kodeks własności intelektualnej (Francja) art. L. 331-17
Kodeks własności intelektualnej (Francja) art. L. 331-21
Kodeks własności intelektualnej (Francja) art. L. 331-24
Kodeks własności intelektualnej (Francja) art. L. 331-25
Kodeks własności intelektualnej (Francja) art. L. 331-29
Kodeks własności intelektualnej (Francja) art. L. 335-2
Kodeks własności intelektualnej (Francja) art. L. 335-4
Kodeks własności intelektualnej (Francja) art. L. 335-7
Kodeks własności intelektualnej (Francja) art. L. 335-7-1
Kodeks własności intelektualnej (Francja) art. L. 336-3
Kodeks własności intelektualnej (Francja) art. R. 331-37
Kodeks własności intelektualnej (Francja) art. R. 331-40
Kodeks własności intelektualnej (Francja) art. R. 335-5
Ustawa nr 2021-1382 z dnia 25 października 2021 r.
Dekret nr 2010-236 art. 1
Dekret nr 2010-236 art. 4
Dekret nr 2010-236
Kodeks poczty i łączności elektronicznej (Francja) art. L. 34-1 § II bis
Traktat o Unii Europejskiej (TUE) art. 2
Argumenty
Skuteczne argumenty
Dostęp organu publicznego do danych identyfikacyjnych użytkowników Internetu w celu zwalczania naruszeń praw autorskich jest dopuszczalny, pod warunkiem spełnienia rygorystycznych wymogów dotyczących przechowywania danych, ograniczonego dostępu i nadzoru sądowego w określonych sytuacjach. Adresy IP mogą być traktowane jako dane o ruchu, a ich przechowywanie i dostęp do nich są niezbędne do skutecznego zwalczania przestępstw internetowych, w tym naruszeń praw autorskich. Ograniczenia praw podstawowych (prywatność, ochrona danych) są dopuszczalne, jeśli są proporcjonalne, niezbędne i służą uzasadnionemu celowi interesu ogólnego, jakim jest ochrona praw własności intelektualnej.
Odrzucone argumenty
Francuskie przepisy zezwalające na dostęp do danych IP bez uprzedniej kontroli sądowej naruszają prawo do prywatności i ochrony danych osobowych. Gromadzenie i dostęp do danych IP stanowią poważną ingerencję w prawa podstawowe, która nie może być uzasadniona celem zwalczania ogółu czynów zabronionych. Kontrola dostępu do danych powinna być zawsze przeprowadzana przez sąd lub niezależny organ administracyjny, a nie w pełni zautomatyzowana.
Godne uwagi sformułowania
„nie stoi on na przeszkodzie uregulowaniu krajowemu (...) pod warunkiem że (...)” „rzeczywiście szczelne odseparowanie tych poszczególnych kategorii danych, które uniemożliwia na etapie przechowywania wszelkie powiązanie tych poszczególnych kategorii danych” „dostęp (...) służy wyłącznie zidentyfikowaniu osoby podejrzewanej o dopuszczenie się czynu zabronionego i towarzyszą mu gwarancje niezbędne do wykluczenia, by (...) dostęp ten mógł pozwalać na wyciągnięcie precyzyjnych wniosków na temat życia prywatnego” „możliwość powiązania (...) jest uzależniona (...) od dokonania przez sąd lub niezależny organ administracyjny kontroli, która nie może być w pełni zautomatyzowana” „system przetwarzania danych (...) podlega w regularnych odstępach czasu kontroli niezależnego organu”
Skład orzekający
K. Lenaerts
prezes
L. Bay Larsen
wiceprezes
A. Arabadjiev
sędzia
A. Prechal
sprawozdawca
K. Jürimäe
sędzia
C. Lycourgos
sędzia
E. Regan
sędzia
T. von Danwitz
sędzia
F. Biltgen
sędzia
N. Piçarra
sędzia
Z. Csehi
sędzia
M. Ilešič
sędzia
J.-C. Bonichot
sędzia
S. Rodin
sędzia
P.G. Xuereb
sędzia
L.S. Rossi
sędzia
I. Jarukaitis
sędzia
A. Kumin
sędzia
N. Jääskinen
sędzia
N. Wahl
sędzia
I. Ziemele
sędzia
J. Passer
sędzia
D. Gratsias
sędzia
M.L. Arastey Sahún
sędzia
M. Gavalec
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Uzasadnienie dostępu do danych identyfikacyjnych użytkowników Internetu w celu zwalczania naruszeń praw autorskich, wymogi dotyczące przechowywania danych, kontroli sądowej i proporcjonalności w kontekście ochrony prywatności i danych osobowych."
Ograniczenia: Orzeczenie dotyczy specyficznego kontekstu francuskiego prawa dotyczącego zwalczania naruszeń praw autorskich i wymaga spełnienia wielu warunków, aby dostęp do danych był zgodny z prawem UE. Nie stanowi ono ogólnego przyzwolenia na masowy dostęp do danych.
Wartość merytoryczna
Ocena: 8/10
Sprawa dotyczy fundamentalnych praw w erze cyfrowej – prywatności, ochrony danych i praw autorskich w kontekście zwalczania piractwa internetowego. Wyrok TSUE stanowi ważny precedens dla regulacji dostępu do danych użytkowników.
“TSUE: Dostęp do danych IP w walce z piractwem jest możliwy, ale pod ścisłym nadzorem i z gwarancjami dla użytkowników.”
Twój asystent do analizy prawnej
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka ponad 1,4 mln orzeczeń i aktualne akty prawne.
Powiązane tematy
Potrzebujesz pomocy prawnej?
Asystent AI przeanalizuje Twoje pytanie w oparciu o orzecznictwo, przepisy i doktrynę — jak rozmowa z ekspertem.
Zadaj pytanie Asystentowi AI