W ramach postępowania karnego dotyczącego oszustwa podatkowego wszczętego przez organy bułgarskie, V.S. przedstawiono zarzut uczestnictwa w zorganizowanej grupie przestępczej, utworzonej w celu osiągnięcia korzyści majątkowych dla celów popełniania w sposób zorganizowany przestępstw na terytorium Bułgarii. W następstwie przedstawienia zarzutów policja bułgarska wezwała V.S. do umożliwienia zbierania jej danych daktyloskopijnych i fotograficznych dla celów ich rejestracji i pobrania próbek w celu ustalenia jej wzoru profilu DNA. V.S. nie wyraziła na to zgody.

Policja pyta o przymusowe pobranie 

Opierając się na ustawodawstwie krajowym przewidującym „rejestrację policyjną” osób, którym przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z urzędu, organy policji bułgarskiej zwróciły się do sądu karnego o udzielenie zezwolenia na przymusowe zebranie danych genetycznych i biometrycznych V.S. Do tego wniosku organy policji załączyły jedynie odpisy postanowienia o przedstawieniu zarzutów V.S. oraz jej oświadczenie o odmowie udzielenia zgody na zbieranie jej danych.
Sąd ten powziął wątpliwości w przedmiocie zgodności ustawodawstwa bułgarskiego mającego zastosowanie do „rejestracji policyjnej” z dyrektywą 2016/6801, rozpatrywaną w świetle Karty praw podstawowych Unii Europejskiej (zwanej dalej „kartą”) i, w konsekwencji, zwrócił się do Trybunału z odesłaniem prejudycjalnym.

Czytaj także: TSUE: Poczta ma podać, komu przekazała dane osobowe>>

Można przymusowo, ale są ograniczenia

W wydanym wyroku Trybunał uściślił przede wszystkim warunki, na jakich przetwarzanie danych biometrycznych i genetycznych przez organy policji może być uznane za dozwolone prawem krajowym w rozumieniu dyrektywy 2016/680. Orzekł następnie w przedmiocie stosowania wskazanego w tej dyrektywie wymogu dotyczącego danych kategorii osób, w odniesieniu do których istnieją poważne podstawy do stwierdzenia, że uczestniczyły one w popełnieniu przestępstwa, a także w przedmiocie poszanowania prawa do skutecznej ochrony sądowej oraz zasady domniemania niewinności w wypadku, gdy ustawodawstwo krajowe umożliwia właściwemu sądowi krajowemu udzielenie zezwolenia na przymusowe zbieranie danych uznanych za „wrażliwe” przez prawodawcę Unii.
Trybunał rozważył kwestię zgodności ustawodawstwa krajowego przewidującego systematyczne  gromadzenie tych danych z przepisami dyrektywy 2016/680 dotyczącymi ich przetwarzania, biorąc pod uwagę zasady mające zastosowanie do tego przetwarzania.

 


Można na podstawie dyrektywy, nie RODO

Przede wszystkim Trybunał stwierdził, że dyrektywę 2016/680 należy interpretować w ten sposób, że przetwarzanie danych biometrycznych i genetycznych przez organy policji dla celów prowadzenia czynności dochodzenia, walki z przestępczością i utrzymania porządku publicznego jest dozwolone prawem krajowym, gdy to prawo zawiera wystarczająco jasną i precyzyjną podstawę prawną dla zezwolenia na wspomniane przetwarzanie. Okoliczność, że krajowy akt ustawodawczy zawierający taką podstawę prawną odnosi się, poza tym, do ogólnego rozporządzenia o ochronie danych3, a nie do dyrektywy 2016/680, nie może, sama
w sobie, podważyć istnienia takiego zezwolenia, pod warunkiem że z wykładni wszystkich mających zastosowanie przepisów prawa krajowego wynika w sposób wystarczająco jasny, precyzyjny i jednoznaczny, że rozpatrywane przetwarzanie danych biometrycznych i genetycznych jest objęte zakresem stosowania tej dyrektywy, a nie RODO.

Krajowy ustawodawca musi uważać na dane wrażliwe

W tym kontekście, mając na względzie okoliczność, że ustawodawstwo krajowe zawiera odniesienie do przepisów RODO regulujących przetwarzanie danych wrażliwych, powtarzając brzmienie przepisów dyrektywy 2016/680 dotyczących przetwarzania tych danych, Trybunał wskazał, że przepisy te nie są równoważne. Podczas gdy przetwarzanie danych wrażliwych przez właściwe organy w szczególności dla celów zapobiegania czynom zabronionym objętym zakresem stosowania dyrektywy 2016/680 i ich wykrywania może być dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom i powinno być przewidziane prawem Unii lub prawem krajowym, w RODO ustanowiono zakaz co do zasady przetwarzania tych danych, w połączeniu z wykazem wyjątków. O ile prawodawca krajowy ma możliwość przewidzenia, w ramach tego samego instrumentu ustawodawczego, przetwarzania danych osobowych dla celów objętych zakresem stosowania dyrektywy 2016/680 oraz dla innych celów objętych zakresem RODO, o tyle ma on obowiązek upewnić się co do braku dwuznaczności w zakresie możności stosowania pierwszego lub drugiego z tych dwóch aktów Unii do zbierania danych wrażliwych.

W razie kolizji przepisów, sąd ma zdecydować

Co do powołanej przez sąd odsyłający ewentualnej nieprawidłowej transpozycji dyrektywy 2016/680, Trybunał podkreślił, że ta dyrektywa nie wymaga, by przepisy krajowe zezwalające na przetwarzanie danych objętych jej zakresem stosowania zawierały odniesienie do wspomnianej dyrektywy. Doprecyzował on, że gdy prawodawca krajowy przewiduje przetwarzanie danych biometrycznych i genetycznych przez właściwe organy, mogące podlegać albo zakresowi stosowania tej dyrektywy, albo zakresowi stosowania RODO, może on, dla celów jasności i precyzji, odnieść się wyraźnie, po pierwsze, do przepisów krajowych zapewniających transpozycję tej dyrektywy, i po drugie, do RODO, bez konieczności zawarcia odniesienia do wspomnianej dyrektywy. 
Niemniej, zdaniem TSUE, w wypadku oczywistej niezgodności przepisów krajowych zezwalających na przetwarzanie przedmiotowych danych z przepisami wydającymi się wykluczać to przetwarzanie, sąd krajowy ma obowiązek dokonania wykładni tych przepisów zapewniającej skuteczność dyrektywy 2016/680.

Prawo krajowe ma gwarantować skuteczną kontrolę 

Trybunał orzekł też, że dyrektywa 2016/6805 i Karta nie stoją one na przeszkodzie przepisom krajowym przewidującym, że w wypadku odmowy osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, dobrowolnej współpracy przy zbieraniu jej danych biometrycznych i genetycznych dla celów ich rejestracji, właściwy sąd karny ma obowiązek zezwolić na przymusowe zebranie danych, bez możliwości oceny, czy istnieją poważne podstawy do stwierdzenia, że osoba, której dane dotyczą, popełniła zarzucane jej przestępstwo, pod warunkiem że w prawie krajowym zagwarantowano następnie skuteczną kontrolę sądową przesłanek tego przedstawienia zarzutów, z którego wynika zezwolenie na przeprowadzenie tego zbierania danych.

W tym względzie Trybunał przypomniał, że zgodnie z dyrektywą 2016/6807 państwa członkowskie powinny zapewnić, by dokonano wyraźnego rozróżnienia danych osobowych poszczególnych kategorii osób, których dane dotyczą, tak aby nie ingerować w podstawowe prawo do ochrony ich danych osobowych w taki sam sposób, bez względu na kategorię, do której te osoby należą. Niemniej obowiązek ten nie jest bezwzględnie wiążący.
Ponadto w zakresie, w jakim ta dyrektywa odnosi się do kategorii osób, co do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony, Trybunał uściślił, że istnienie wystarczającej liczby dowodów winy danej osoby stanowi, co do zasady, poważną podstawę do przypuszczenia, że osoba ta popełniła dane przestępstwo. - A zatem dyrektywa 2016/680 nie stoi na
przeszkodzie przepisom krajowym przewidującym przymusowe zbieranie danych osób, w odniesieniu do których zgromadzono wystarczające dowody na to, że popełniły one przestępstwo umyślne ścigane z oskarżenia publicznego i są z tego względu podejrzane o jego popełnienie - stwierdził Trybunał.

 

Poszanowanie skutecznej ochrony sądowej

W odniesieniu do poszanowania prawa do skutecznej ochrony sądowej, biorąc pod uwagę, że właściwy sąd krajowy, mający udzielić zezwolenia na przymusowe zebranie danych wrażliwych osoby, której przedstawiono zarzuty, nie może przeprowadzić kontroli co do istoty istnienia przesłanek do przedstawienia tych zarzutów, Trybunał podkreślił w szczególności, iż okoliczność, że tymczasowo wyłączono z zakresu kontroli sądu ocenę dowodów, na których oparto przedstawienie zarzutów osobie, której dane dotyczą, może być uzasadniona w postępowaniu przygotowawczym. Taka kontrola w postępowaniu przygotowawczym mogłaby bowiem utrudnić przebieg dochodzenia, w którego toku dane te są zbierane, i nadmiernie ograniczyć możliwość wyjaśnienia przez osoby prowadzące to dochodzenie okoliczności związanych z innymi przestępstwami na podstawie porównania tych danych z danymi zebranymi w toku innych dochodzeń. 
- To ograniczenie skutecznej ochrony sądowej nie jest zatem nieproporcjonalne, ponieważ w prawie krajowym zagwarantowano następnie skuteczną kontrolę sądową - stwierdził TSUE.

Poszanowanie prawa do domniemania niewinności

Jeśli chodzi o poszanowanie, w orzeczeniu sądu zezwalającym na zbieranie przedmiotowych danych, prawa do domniemania niewinności, Trybunał wskazał, że w zakresie, w jakim w niniejszym wypadku zbieranie to jest ograniczone do kategorii osób, których odpowiedzialność karna nie została jeszcze ustalona, nie może być ono uznane za odzwierciedlające opinię organów, że te osoby są winne. Natomiast  okoliczność, że sąd, który ma orzec w przedmiocie winy osoby, której dane dotyczą, nie może ocenić, w tym stadium postępowania karnego, wystarczającego charakteru dowodów, na których opiera się postanowienie o przedstawieniu zarzutów tej osobie, stanowi gwarancję poszanowania prawa tej osoby do domniemania niewinności.

Wzmocniona ochrona przetwarzania danych wrażliwych

Trybunał orzekł również, że dyrektywa 2016/6808 stoi on na przeszkodzie przepisom krajowym przewidującym systematyczne zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z oskarżenia publicznego, dla celów ich rejestracji, bez przewidzenia obowiązku właściwego organu weryfikacji i wykazania, po pierwsze, czy to zbieranie
danych jest bezwzględnie niezbędne dla realizacji zamierzonych konkretnych celów, i, po drugie, czy te cele nie mogą być osiągnięte za pomocą środków stanowiących ingerencję mniejszej wagi w prawa i wolności osoby, której dane dotyczą.

W tym względzie Trybunał podkreślił, że dyrektywa 2016/680 zmierza do zapewnienia między innymi wzmocnionej ochrony w odniesieniu do przetwarzania danych wrażliwych, w tym danych biometrycznych i genetycznych, w zakresie, w jakim przetwarzanie to może skutkować powstaniem poważnego ryzyka dla wolności i praw podstawowych. Wskazany w tej dyrektywie wymóg, zgodnie z którym to przetwarzanie jest dozwolone „wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne”, powinien być interpretowany jako definiujący bardziej rygorystyczne warunki zgodności z prawem przetwarzania danych wrażliwych. Co więcej, zakres tego wymogu również powinien być określony przy uwzględnieniu zasad dotyczących przetwarzania danych, takich jak ograniczenie celów i minimalizacja danych.
W tym kontekście przepisy krajowe przewidujące systematyczne zbieranie danych biometrycznych i genetycznych każdej osoby, której przedstawiono zarzuty popełnienia umyślnego przestępstwa ściganego z urzędu, dla celów rejestracji tych danych, są co do zasady niezgodne z tym wymogiem. Takie przepisy krajowe mogą bowiem prowadzić, w sposób niezróżnicowany i ogólny, do zbierania danych większości osób, którym przedstawiono zarzuty, ponieważ pojęcie „umyślnego przestępstwa ściganego z oskarżenia publicznego” ma ogólny charakter i może mieć zastosowanie do znacznej liczby czynów zabronionych – niezależnie od ich charakteru, wagi, szczególnych okoliczności tych czynów, ich ewentualnego związku z innymi toczącymi się postępowaniami, wcześniejszych spraw sądowych danej osoby lub jej indywidualnego profilu.

Wyrok Trybunału w sprawie C-205/21