Trybunał wydał 8 kwietnia orzeczenie w sprawach połączonych C-293/12 i C-594/12. Dyrektywa, zdaniem Trybunału Sprawiedliwości UE, stanowi ingerencję w podstawowe prawa do poszanowania życia prywatnego i do ochrony danych osobowych, przy czym ingerencja ta nie ogranicza się do tego, co ściśle niezbędne.
Zasadniczym celem dyrektywy 2006/24/WE jest harmonizacja przepisów państw członkowskich w dziedzinie zatrzymywania (retencji) danych wytwarzanych lub przetwarzanych przez przedsiębiorców telekomunikacyjnych. Chodzi o to, by dane te były dostępne w celu zapobiegania, wykrywania i ścigania poważnych przestępstw, a zwłaszcza przestępczości zorganizowanej i terroryzmu. Zatem zgodnie z przepisami dyrektywy, przedsiębiorcy telekomunikacyjni powinni zatrzymywać dane o ruchu i lokalizacji oraz dane niezbędne do identyfikacji abonenta lub użytkownika. Co warte podkreślenia – dyrektywa ta nie zezwala na zatrzymywanie treści komunikatów i uzyskiwanych informacji.
Trybunał Sprawiedliwości Unii Europejskiej uznał, że nakładając obowiązek zatrzymywania danych i umożliwiając dostęp do nich właściwym organom krajowym, dyrektywa ingeruje w sposób szczególnie poważny w prawa podstawowe do poszanowania życia społecznego i do ochrony danych osobowych. To, że dane są zatrzymywane a potem wykorzystywane danych jest dokonywane bez informowania o tym abonenta i zarejestrowanego użytkownika, może wywołać u zainteresowanych poczucie, iż ich życie prywatne podlega stałemu nadzorowi.
Trybunał Sprawiedliwości UE stwierdził jednak, że przewidziane dyrektywą zatrzymywanie (retencja) danych nie narusza zasadniczej treści praw podstawowych do poszanowania życia prywatnego i do ochrony danych osobowych. Dyrektywa nie pozwala bowiem na zapoznawanie się z treścią komunikatów elektronicznych i stanowi, że dostawcy usług lub sieci powinni przestrzegać określonych zasad ochrony i bezpieczeństwa danych. Zatrzymanie danych w celu ich ewentualnego udostępnienia właściwym organom krajowym rzeczywiście odpowiada celowi w postaci interesu ogólnego, jakim jest zwalczanie poważnej przestępczości a także – ostatecznie – bezpieczeństwo publiczne.
Jednakże, zdaniem Trybunału, przyjmując dyrektywę w sprawie zatrzymywania danych, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności.
Trybunał stwierdził, że:
- dyrektywa nie przewiduje żadnego zróżnicowania w zależności od celu dotyczącego zwalczania poważnych przestępstw.
- dyrektywa nie przewiduje też żadnego kryterium gwarantującego, że właściwe organy krajowe będą miały dostęp do danych wyłącznie po to, by zapobiegać, wykrywać i ścigać przestępstwa, które mogą być uważane za wystarczająco poważne, by uzasadnić taką ingerencję w omawiane prawa podstawowe. Przeciwnie, dyrektywa ogranicza się do odesłania w sposób ogólny do pojęcia „poważnych przestępstw”, które każde państwo członkowskie definiuje w prawie krajowym. Nie przewiduje również materialnych i proceduralnych przesłanek dostępu właściwych krajowych organów do danych podlegających retencji. Dostęp do danych nie jest w szczególności podporządkowany uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
- dyrektywa przewiduje okres co najmniej 6 miesięcy na retencję danych, ale przeprowadza jakiegokolwiek rozróżnienia między kategoriami danych w zależności od zainteresowanych osób lub ewentualnej użyteczności danych w stosunku do zakładanego celu. Ponadto okres ten wynosi od co najmniej 6 miesięcy do co najwyżej 24 miesięcy, przy czym dyrektywa nie precyzuje obiektywnych kryteriów, na podstawie których należy ustalić okres retencji, by zagwarantować jej ograniczenie do tego, co ściśle niezbędne.
- dyrektywa nie przewiduje wystarczających gwarancji skutecznej ochrony danych przed niebezpieczeństwem nadużycia oraz przed jakimkolwiek dostępem do danych i ich wykorzystywaniem w sposób niedozwolony.
- Trybunał ocenił również krytycznie to, że dyrektywa nie nakłada obowiązku, by dane były zatrzymywane na obszarze Unii.
Obecnie trwa analiza wpływu orzeczenia na prawo krajowe w zakresie retencji danych i prawa właściwych organów krajowych do dostępu do takich danych.