W dniu 11 marca 2015 roku, sąd w Hadze uchylił holenderską ustawę o retencji danych. Orzeczenie to ustanawia natychmiastowe wygaśnięcie zobowiązania dostawców internetu i usług telekomunikacyjnych do przetrzymywania danych o ruchu i lokalizacji klientów przez odpowiednio 12 i 6 miesięcy dla celów związanych z postępowaniem karnym. Ustawa narusza prawo do poszanowania życia prywatnego i ochrony danych osobowych.
Szeroka koalicja
Skarżącymi organizacjami w tej sprawie były: Program Litygacji w Interesie Publicznym Holenderskiego Komitetu Prawników na rzecz Praw Człowieka (PILP-NJCM), The Privacy First Foundation, Holenderskie Stowarzyszenie Adwokatów (NVSA), Holenderskie Stowarzyszenie Dziennikarzy (NVJ), dostawca usług internetowych BIT oraz dostawc yusług telekomunikacyjnych VOYS i SpeakUp. Skarżący byli reprezentowani w postępowaniu przez prawników Boekx z Amsterdamu.
PILP-NJCM był jednym ze stron postępowania w sprawie przeciwko państwu holenderskiemu, jako że ustawa o retencji danych ma poważne konsekwencje dla praw człowieka każdego, kto korzysta z elektronicznych środków komunikacji, w tym obywateli, którzy w żaden sposób nie są podejrzewani o działalność przestępczą. Eksperci PILP-NJCM podniesi argumenty związane z prawami człowieka w imieniu skarżących.
Ponadto, państwo holenderskie nie zastosowało się do orzeczenia Europejskiego Trybunału Sprawiedliwości, który jednoznacznie rozprawił się z unijną dyrektywą w sprawie retencji danych, stanowiącą podstawę holenderskiej ustawy. Decyzja o utrzymaniu w mocy przepisów poważnie naruszających prawa człowieka bez żadnych gwarancji była równie nie do przyjęcia według PILP-NJCM.
Obowiązek retencji bezprawny
Ustawa o retencji danych z 2009 roku została oparta na unijnej dyrektywie w sprawie retencji danych z 2006 roku. Dyrektywa została wprowadzona w odpowiedzi na ataki terrorystyczne w Madrycie i Londynie w 2004 i 2005 roku, i miała na celu zagwarantowanie dostępu do pewnych danych w zwalczaniu poważnych przestępstw. W kwietniu 2014 roku, Trybunał Sprawiedliwości Unii Europejskiej uznał dyrektywę w całości i ze skutkiem wstecznym za bezprawną. Holandia jednakże wciąż stosowała ustawę o retencji danych.
W swoim orzeczeniu sąd w Hadze uznał, że - w swojej obecnej formie - ustawa o retencji danych stanowi naruszenie prawa do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się oraz prawo do ochrony danych osobowych (artykuły 7 i 8 Karty Praw Podstawowych Unii Europejskiej), jako że jej stosowanie nie jest ograniczone do tego, co “absolutnie niezbędne” do walki z (tylko) poważnymi przestępstwami.
By uzasadnić ingerencję w te podstawowe prawa, przepisy powinny zawierać obiektywne kryteria, które ograniczają dostęp i późniejsze wykorzystanie danych przez właściwe organy krajowe. Zdaniem sędziego, ustawa o retencji danych nie zawiera takich kryteriów. Ograniczyłoby to wykorzystanie danych do wykrycia i ścigania terroryzmu i przestępstw, za które podejrzani mogą zostać umieszczeni w areszcie tymczasowym. Ta druga kategoria jednakże także zawiera przestępstwa - takie jak kradzież roweru - które nie są wystarczająco poważne, by uzasadnić ingerencję w prawo do prywatności sprawcy.
Co więcej, ustawa nie przewiduje żadnych gwarancji, by naprawdę ograniczyć dostęp do danych osobowych, które są “absolutnie niezbędne”. Wszystko to jest tym bardziej przekonujące, zdaniem sędziego, jako że obecnie dostęp do przetrzymywanych danych nie podlega kontroli wstępnej przez sąd lub niezależny organ administracyjny. Prokuratura nie może być uznana za taki organ - podsumował sędzia.