Европейският съд забранява безграничното съхраняване на лични данни

Ведомството все пак установява, че по своето естество наложеното от директивата запазване на данните не може да засегне същественото съдържание на основните права на зачитане на личния живот и на защита на личните данни. Действително директивата не позволява да се разкрива самото съдържание на електронните съобщения и предвижда, че доставчиците на услуги или на обществени мрежи трябва да спазват определени принципи за защита и за сигурност на данните. Нещо повече, запазването на данните с цел евентуалното им предаване на компетентните национални органи отговаря действително на цел от общ интерес, а именно противодействието на тежката престъпност, както и в крайна сметка на обществената сигурност. 

Съдът обаче преценява, че с приемането на директивата за запазване на данните законодателят на ЕС е превишил рамките, които налага принципът на пропорционалност. В това отношение Съдът отбелязва, че като се има предвид, от една страна, важната роля на защитата на личните данни от гледна точка на основното право на защита на личния живот, и от друга страна, обхватът и тежестта на съдържащата се в директивата намеса в това право, правото на преценка на законодателя на ЕС се оказва ограничено, така че следва да се упражни стриктен контрол.

Според съдиите в обхвата на директивата попадат най-общо всички лица, средства за електронни съобщения и данни, свързани с трафика, без да се прави каквото и да било разграничение, ограничение или изключение в зависимост от целта за предотвратяване на тежките престъпления. Освен това директивата не предвижда никакъв обективен критерий, който би позволил да се гарантира, че компетентните национални органи няма да имат достъп до данните и че ще могат да ги използват единствено за предотвратяването, разкриването или наказателното преследване на престъпленията, които с оглед на мащабите и на тежестта на намесата в съответните основни права могат да бъдат считани за достатъчно тежки, за да оправдаят такава намеса. Напротив, директивата се ограничава с едно общо препращане към „тежките престъпления“, които се определят от всяка държава членка в нейното вътрешно право.

Нещо повече, директивата не предвижда материалните условия и условията на процедурата, при които компетентните национални органи могат да имат достъп до данните и впоследствие да ги използват. Достъпът до данните не подлежи на предварителен контрол от съдебен или от независим административен орган. 

Що се отнася до продължителността на запазването на данните, директивата  налага продължителност най-малко шест месеца, без да прави каквато и да било разлика между видовете данни според засегнатите лица или според евентуалната полезност на данните от гледна точка на преследваната цел. Освен това тази продължителност е най-малко шест и най-много двадесет и четири месеца, без в директивата да се уточняват обективните критерии, въз основа на които трябва да се определя продължителността на запазването, за да се гарантира, че то ще се ограничи до строго необходимото.

С оглед на това съдът установява, че директивата не предвижда достатъчни гаранции, които да позволят да се осигури ефикасна защита на данните срещу рисковете от злоупотреба, както и срещу всеки неправомерен достъп и неправомерно използване на данните. Съдът посочва, между другото, че директивата разрешава на доставчиците на услуги да изхождат от икономически съображения при определянето на прилаганата от тях степен на сигурност (по-конкретно що се отнася до разходите за прилагане на мерките за сигурност) и че тя не гарантира безвъзвратното унищожаване на данните след изтичането на срока на тяхното запазване. 

И не на последно място съдът отправя критика, че директивата не налага съхраняването на данните да се извършва на територията на ЕС. По този начин директивата не гарантира пълноценно контрола върху спазването на изискванията за защита и за сигурност от независим орган, както това изрично се изисква от Хартата. Един такъв контрол обаче, извършван въз основа на правото на ЕС, е съществен елемент от спазването на защитата на лицата по отношение на обработката на лични данни. 

Преюдициалното запитване позволява на юрисдикциите на държавите членки, в рамките на спор, с който са сезирани, да се обърнат към Съда с въпрос относно тълкуването на правото на ЕС или валидността на акт на ЕС, поясняват експерти. Съдът не решава националния спор, а националната юрисдикция трябва да се произнесе по делото в съответствие с решението на съда. Това решение обвързва по същия начин останалите национални юрисдикции, когато са сезирани с подобен въпрос.