Wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 8 kwietnia 2014 r., w sprawach połączonych C-293/12 i C-594/12 Digital Rights Ireland i Seitlinger i in. – dyrektywa w sprawie zatrzymywania danych jest nieważna
Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE (Dz.U. L 105, s. 54).stanowi ingerencję o znacznym zakresie i szczególnej wadze w podstawowe prawa do poszanowania życia prywatnego i do ochrony danych osobowych, przy czym ingerencja ta nie ogranicza się do tego, co ściśle niezbędne
Zasadniczym celem dyrektywy w sprawie zatrzymywania danych jest harmonizacja przepisów państw członkowskich w dziedzinie zatrzymywania danych generowanych lub przetwarzanych przez dostawców ogólnie dostępnych usług komunikacji elektronicznej lub publicznych sieci łączności. Dąży ona zatem do zapewnienia dostępności owych danych do celów zapobiegania poważnym przestępstwom, takim jak w szczególności przestępczość zorganizowana i terroryzm, oraz do celów dochodzenia, wykrywania i ścigania takich przestępstw. I tak, dyrektywa stanowi, że wspomniani dostawcy powinni zatrzymywać dane o ruchu i lokalizacji oraz powiązane dane niezbędne do identyfikacji abonenta lub użytkownika. Dyrektywa ta nie zezwala natomiast na zatrzymywanie treści komunikatów i uzyskiwanych informacji.
Zdaniem Trybunału, przyjmując dyrektywę w sprawie zatrzymywania danych, prawodawca Unii przekroczył granice, które wyznacza poszanowanie zasady proporcjonalności.
Po pierwsze, dyrektywa obejmuje bowiem w sposób uogólniony wszystkie jednostki, środki łączności elektronicznej i dane o ruchu, przy czym nie przewidziano jakiegokolwiek zróżnicowania, ograniczenia lub wyjątku w zależności od celu dotyczącego zwalczania poważnych przestępstw.
Po drugie, dyrektywa nie przewiduje żadnego obiektywnego kryterium, które pozwoliłoby zagwarantować, by właściwe organy krajowe miały dostęp do danych i mogły je wykorzystywać wyłącznie do zapobiegania przestępstwom, które mogą być uważane w świetle zakresu i wagi ingerencji w omawiane prawa podstawowe za wystarczająco poważne, by uzasadnić taką ingerencję, oraz do wykrywania i ścigania karnego takich przestępstw. Przeciwnie, dyrektywa ogranicza się do odesłania w sposób ogólny do pojęcia „poważnych przestępstw” zdefiniowanych przez każde państwo członkowskie w jego prawie krajowym. Ponadto dyrektywa nie przewiduje materialnych i proceduralnych przesłanek dotyczących sytuacji, w których właściwe organy krajowe mogą uzyskać dostęp do danych i je później wykorzystywać. Dostęp do danych nie jest w szczególności podporządkowany uprzedniej kontroli sądu lub niezależnego organu administracyjnego.
Po trzecie, w odniesieniu do okresu zatrzymania danych, dyrektywa przewiduje okres co najmniej sześciu miesięcy, przy czym nie przeprowadza jakiegokolwiek rozróżnienia pomiędzy kategoriami danych w zależności od zainteresowanych osób lub ewentualnej użyteczności danych w stosunku do zakładanego celu. Ponadto okres ten wynosi od co najmniej sześciu miesięcy do co najwyżej
dwudziestu czterech miesięcy, przy czym dyrektywa nie precyzuje obiektywnych kryteriów, na podstawie których należy ustalić okres zatrzymywania, by zagwarantować jego ograniczenie do tego, co ściśle niezbędne.
Trybunał stwierdził poza tym, że dyrektywa nie przewiduje wystarczających gwarancji umożliwiających zapewnienie skutecznej ochrony danych przed niebezpieczeństwem nadużycia oraz przed jakimkolwiek dostępem do danych i ich wykorzystywaniem w sposób niedozwolony.
Trybunał krytycznie ocenił wreszcie to, że dyrektywa nie nakłada obowiązku, by dane były zatrzymywane na obszarze Unii.