BENEDIK v. SLOVENIA

Comunicat la 8 aprilie 2015 CIFTH SECȚIUNE Cerere nr. 62357/14 Igor BENEdik împotriva Sloveniei depusă la 10 septembrie 2014 DECLARAREA FACTELOR Reclamantul, dl Igor Benedik, este un național sloven, născut în 1977 și trăiește în Kranj. El este reprezentat în fața Curții de către dl Jelenič Novak, un avocat care practică în Ljubljana. În 2006, autoritățile elvețiane de aplicare a legii din Cantonul Valais au efectuat o revizuire sistematică a utilizatorilor rețelei „Razorback”. Poliția elvețiană a stabilit că unii dintre utilizatori deținuți și schimbați pornografie pentru copii sub formă de imagini sau videoclipuri. Fișierele care conțin conținut ilegal au fost schimbate prin așa-numitul „p2p” (peer-to-peer) rețeaua de schimb de fișiere în care fiecare computer conectat a acționat atât ca client și server. Prin urmare, fiecare dintre utilizatori ar putea accesa toate fișierele puse la dispoziție pentru a împărtăși de către alți utilizatori ai rețelei și le descărca pentru utilizarea ei. Printre adresele IP înregistrate de poliția elvețiană a fost, de asemenea, o anumită adresă IP dinamică. Pe baza datelor obținute de poliție elvețiană, la 7 august 2006, poliția slovenă a solicitat societății S., un furnizor de servicii de internet slovene, pentru a divulga datele referitoare la utilizatorul căruia a fost atribuită adresa IP de mai sus la 20 februarie 2006 la 13.28. Poliția și-a bazat cererea pe art. 149b alineatul (3) din Legea de procedură penală (denumită în continuare „CPA”) care impune operatorilor rețelelor de comunicații electronice să divulgă poliției informațiile privind proprietarii sau utilizatorii unei anumite mijloace de comunicare electronică ale căror detalii nu sunt disponibile în directorul relevant. În răspuns, la 10 august 2006, furnizorul de servicii internet S. a dat poliției numele, numele și adresa utilizatorului în cauză, numărul de telefon și ora comunicării. Adresa IP înregistrată de poliția elvețiană a fost atribuită tatălui reclamantului, care a fost abonatul lui S... La 12 decembrie 2006, poliția a propus Procurorului de Stat al districtului Kranj să solicite judecătorului de investigare al Curții de District Kranj să elibereze un ordin care solicită furnizorului de servicii de internet S. să divulge atât datele personale, cât și date privind traficul cu privire la adresa IP în cauză. La 14 decembrie 2006, un astfel de ordin a fost obținut pe baza secțiunii 149b (1) din CPA și furnizorul de servicii de internet au dat poliției datele necesare. La 21 ianuarie 2007, poliția și judecătorul de investigare al Curții de District Kranj au efectuat o căutare în casă a casei familiei reclamantului în care au confiscat patru computere și au făcut copii ale discurilor lor hard. Revizuirea discurilor hard, poliția a constatat că unul dintre ei conținea dosare cu materiale pornografice care implică minori. Poliția a stabilit că reclamantul a instalat eMule, un program de schimb de fișiere, pe unul dintre computerele prin care a fost capabil de a descărca fișiere diferite de la alți utilizatori ai programului și, de asemenea, a oferit și distribuit propriile fișiere pentru ei. Printre dosarele descărcate de solicitant, a existat un mic procent care conține pornografie pentru copii. Reclamantul a susținut că faptul că fiecare calculator din rețea a acționat ca client și server a fost, de asemenea, principalul dezavantaj al rețelei, deoarece există riscul de transfer de fișiere nedorite datorită lipsei de control eficace asupra conținutului fișierelor disponibile pentru transfer. În plus, în timp ce un anumit fișier a fost în curs de transfer într-un calculator individual, acesta ar putea fi deja distribuit simultan la alți utilizatori; acest lucru a însemnat că utilizatorul care descărca un fișier specific nu a putut revizui conținutul fișierului înainte de a fi disponibil, prin intermediul computerului său, la ceilalți utilizatori. Acest lucru a fost deosebit de valabil în cazul reclamantului; deoarece el s-a străduit să atingă viteza maximă de descărcare în procesul transferării fișierelor către propriul computer, el a fost obligat să pună la dispoziție cât mai mare cantitate de date posibil pentru alți utilizatori din rețea. În suma, reclamantul a susținut că nu a fost conștient de aceste dosare care au fost transferate pe calculatorul său sau, într-adevăr, transmise la alte computere. La 5 martie 2008, judecătorul de investigare al Curții de District Kranj, neconvins de argumentul reclamantului că nu cunoștea conținutul ilegal pe care îl descărcase și punea la dispoziție pentru transferul către alți utilizatori ai rețelei p2p, a deschis o anchetă judiciară împotriva reclamantului pe baza unei suspiciuni rezonabile de a comis infracțiunea penală de a fi afișat, fabricat, de a deține și distribuit materiale pornografice în conformitate cu art. 187 alin. (3) din Codul penal. Ulterior, la 29 mai 2008, Procurorul de Stat din districtul Kranj a depus o acuzație împotriva reclamantului pentru infracțiunile menționate mai sus. La 5 decembrie 2008, Tribunalul de district Kranj a declarat reclamantul vinovat de infracțiunile de care a fost acuzat. Pe baza avizului unui expert în informatică, instanța de district a susținut că reclamantul trebuie să fi fost conștient de 630 de imagini pornografice și de 199 de videoclipuri care implică minorii pe care le-a descărcat prin rețelele p2p și a pus la dispoziție pentru a împărtăși cu alți utilizatori. De exemplu, el a mutat unele dintre aceste conținuturi la alte dosare pe calculatorul său pe care le-a împărtășit apoi cu ceilalți utilizatori ai rețelelor. Expertul a considerat că cantitatea destul de mare de materiale ilegale presupune că reclamantul a trebuit să știe ce a descărcat, mai ales din moment ce a organizat materialele descărcate în dosare. Reclamantul a fost condamnat la o perioadă de închisoare suspendată de opt luni cu o perioadă de probă de doi ani. Atât reclamantul, cât și procurorul de stat de district au apelat împotriva hotărârii de primă instanță. Reclamantul, care a contestat faptele stabilite de instanța de district, a subliniat că expertul în știință informatică a confirmat că reclamantul nu a deschis nici măcar niciun dosar care conține pornografie infantilă, nici nu a creat un dosar cu un astfel de conținut specific. În plus, expertul nu poate confirma cu certitudine că reclamantul este conștient de materialele pornologice ilegale. În acest sens, s-a constatat, de asemenea, că, în perioada 1984, dosarele descărcate de solicitant prin eMule, doar câteva duzini conțin pornografie infantilă, în timp ce alte fișiere care conțin conținut sexual au implicat adulți și au fost astfel legale. În total, discurile reclamantului conținea 170.000 fișiere. În plus, reclamantul a susținut că datele privind utilizatorul adresei IP înregistrate de poliția elvețiană, care au fost achiziționate de poliția slovenă fără o decizie judiciară, ar fi trebuit să fie excluse ca probă, deoarece au fost obținute în mod necorespunzător. La 4 noiembrie 2009, Curtea Superioră a Ljubljana a acordat în parte recursul procurorului de stat din district, transformand condamnarea reclamantului într-un termen de șase luni de închisoare. Procesul reclamantului a fost respins ca nefondat. Curtea superioră a confirmat că instanța de primă instanță a stabilit corect faptele cazului; de asemenea, a susținut că datele privind adresa IP a tatălui reclamantului se referă numai la numele unui proprietar sau al utilizatorului de comunicații electronice, astfel încât datele care ar putea fi obținute fără o ordonanță judiciară. Reclamantul a depus un recurs la punctele de drept în fața Curții Supreme, reprezentând că adresa IP dinamică nu a putut fi comparată cu un număr de telefon care nu a fost introdus într-un dosar telefonic, deoarece o nouă adresă IP a fost atribuită unui calculator de fiecare dată când utilizatorul s-a înregistrat. În consecință, aceste date ar trebui considerate date privind traficul care constituie circumstanțe și fapte legate de comunicarea electronică și care atrag protecția vieții private a comunicării. Reclamantul a susținut că poliția elvețiană nu ar fi trebuit să obțină adresa IP dinamică a tatălui său fără un ordin judiciar și nici poliția slovenă nu ar fi putut obține datele privind identitatea tatălui său căruia adresa IP a fost atribuită fără o astfel de ordonanță. În al treilea rând, reclamantul a susținut că poliția slovenă nu ar fi trebuit să revizuiască fișierele de pe calculatorul său fără o ordonanță judiciară specifică care să le permită să cerceteze conținutul calculatorului. La 20 ianuarie 2011, Curtea Supremă a respins apelul reclamantului asupra punctelor de drept, raționând că, având în vedere accesibilitatea generală a site-urilor web și faptul că poliția elvețiană ar putea verifica schimburile din rețeaua p2p pur și simplu prin monitorizarea unui anumit conținut al utilizatorilor, care nu este nici o intervenție specială în traficul internet, astfel de comunicații nu ar putea fi considerate private și astfel protejate de art. 37 din Constituție. În plus, în opinia Curții Supreme, poliția slovenă nu a achiziționat date privind traficul cu privire la comunicarea electronică a reclamantului, ci numai date privind utilizatorul unui anumit computer prin care internetul a fost accesat. În sfârșit, Curtea Supremă a susținut că, având în vedere că cererea domiciliară a reclamantului a fost ordonată în mod precis în scopul de a-și confisca computerul și conținutul său, nu a fost necesară o procedură suplimentară pentru revizuirea dosarelor sale informatice. Reclamantul a depus o plângere constituțională în fața Curții Constituționale, reprezentând plângerile formulate în fața instanțelor inferioare. La 13 februarie 2014, Curtea Constituțională a respins plângerea reclamantului, susținând că drepturile sale constituționale nu au fost încălcate. În primul rând, Curtea Constituțională a solicitat Comisarului Informației să își exprime poziția în legătură cu problema furnizării datelor privind abonații de comunicare electronică poliției la cererea lor. Comisarul informației a fost de părere că motivul pentru obținerea identității unui utilizator individual al comunicării electronice a fost exact faptul că a comunicat prin intermediul unor site-uri web mai mult sau mai puțin accesibile public. Astfel, a fost imposibil să se separe datele de trafic de datele abonaților, deoarece datele de trafic nu au niciun sens dacă nu se așteaptă cine este persoana din spatele acestor date, care a fost un element extrem de important al confidențialității comunicațiilor. Comisarul a subliniat, de asemenea, faptul că dispozițiile Legii privind comunicațiile electronice în vigoare la momentul material necesită o ordonanță judiciară cu privire la toate datele legate de comunicații electronice, indiferent dacă acestea au legătură cu datele privind traficul sau identificarea (de exemplu, care utilizează o anumită adresă IP sau numărul de telefon). În opinia comisarului, secțiunea 3 din CPA, care necesită doar o cerere scrisă a poliției de a obține date despre cine comunică, a fost problematică în mod constituțional. Curtea Constituțională a subliniat, la început, că, în plus față de conținutul comunicațiilor, art. 37 din Constituție a protejat, de asemenea, datele privind traficul, adică orice date prelucrate pentru transmiterea comunicațiilor într-o rețea de comunicații electronice sau pentru facturarea acestora, care includea adresa IP. Cu toate acestea, reclamantul nu a ascuns în nici un fel adresa IP prin care a accesat internetul, și nici nu a fost accesul la rețeaua p2p utilizată de el în nici un fel restricționat. Astfel, în opinia instanței, reclamantul nu a exprimat în mod clar intenția de a menține în privat comunicațiile și identitatea sa. Dimpotrivă, el a stabilit o linie deschisă de comunicare cu un cerc nedeterminat de străini folosind internetul din întreaga lume care au arătat interesul de a împărtăși anumite fișiere. Prin urmare, așteptarea reclamantului de confidențialitate nu este legitimă. În consecință, faptul că poliția elvețiană și-a obținut adresa IP nu a interferat cu dreptul său la confidențialitate de comunicare, astfel încât o ordonanță judiciară nu a fost necesară pentru a-l accesa. În plus, deoarece reclamantul a dezvăluit public atât adresa IP, cât și conținutul comunicațiilor sale, el însuși a renunțat la protecția intimității sale. Prin urmare, datele referitoare la identitatea IP având în vedere acest lucru, Curtea Constituțională a susținut că poliția nu a solicitat un ordin judiciar pentru obținerea datelor privind numele și adresa utilizatorului adresei IP în cauză. În cele din urmă, în ceea ce privește cerința presupusă de a autoriza inspecția dosarelor informatice ale reclamantului printr-o ordonanță judiciară separată, Curtea Constituțională a remarcat că judecătorul investigator care a autorizat căutarea domiciliară a reclamantului a fost conștient de faptul că poliția va confisca echipamentele informatice. Ordinea de căutare în cauză a fost eliberată cu intenția de a confisca și de a revizui media electronică de stocare a datelor; astfel, Curtea Constituțională a hotărât că nu a fost necesară o decizie de judecată separată pentru această revizuire. Hotărârea Curții Constituționale a fost adoptată cu șapte voturi împotrivă cu doi, cei doi judecători disidenți care adoptă opinia contrară că chiar presupunând că o persoană nu mai putea aștepta protecția în ceea ce privește conținutul comunicării sale – deoarece era deja expusă publicului – care nu presupune că nu poate aștepta confidențialitatea cu privire la datele de trafic ale comunicării sale. Judecătorul J.S. a subliniat că reclamantul nu a apărut în public sub propriul nume, ci doar prin cifrele adresei sale dinamice de IP. Astfel, dacă poliția ar fi vrut să identifice persoana din spatele adresei de IP, ar fi trebuit să obțină o ordonanță judecătorească, după cum a urmat clar de la art. 37 alineatul (2) din Constituție. În plus, judecătorii disidenți au exprimat o îndoială dacă în momentul în care poliția a obținut datele în cauză, existase un regulament legal pe baza căruia furnizorii de servicii de internet pot stoca datele pe care le-au furnizat poliției. Articolele 37 și 38 din Constituție, care prevăd protecția vieții private a corespondenței și a altor mijloace de comunicare și, respectiv, protecția datelor cu caracter personal, prevăd următoarele: art. 37 „Se garantează confidențialitatea corespondenței și a altor mijloace de comunicare. Numai o lege poate prevedea că, pe baza unei hotărâri judiciare, protecția vieții private a corespondenței și a altor mijloace de comunicare și inviolabilitatea vieții private personale sunt suspendate pentru un timp stabilit în cazul în care acestea sunt necesare pentru instituția sau cursul procedurilor penale sau pentru motive de securitate națională.” art. 38 „Se garantează protecția datelor cu caracter personal. Utilizarea datelor cu caracter personal contrar scopului pentru care a fost colectată este interzisă. Colectarea, prelucrarea, utilizarea desemnată, supravegherea și protecția confidențialității datelor cu caracter personal este furnizată de lege. Fiecare are dreptul de a avea acces la datele cu caracter personal colectate care se referă la el și dreptul la protecție judiciară în caz de abuz de astfel de date.” Actul de procedură penală, după caz, în timpul material, prevede, în capitolul 149b inclus în capitolul care reglementează măsurile luate de poliție în cadrul procedurii anterioare, după cum urmează: „(1) În cazul în care există motive pentru a suspecta că o infracțiune pentru care un autor este urmărit ex officio a fost comis, a fost comis sau este în curs de elaborare sau de organizare, iar informațiile privind comunicațiile care utilizează rețelele de comunicații electronice trebuie să fie obținute pentru a descoperi această infracțiune penală sau autorul acesteia, judecătorul de investigare poate, la cererea procurorului public care adaugă motive rezonabile, să ordone operatorului rețelei de comunicații electronice să-l furnizeze informații cu privire la participanții și circumstanțele și faptele comunicărilor electronice, cum ar fi: numărul sau altă formă de identificare a utilizatorilor serviciilor de comunicații electronice; tipul, data, durata și durata apelului sau alte forme de serviciu de comunicații electronice; cantitatea de date transmise; și locul în care a fost efectuat serviciul de comunicații electronice. (2) Cererea și ordinul trebuie să fie în formă scrisă și trebuie să conțină informații care permit identificarea mijloacelor de comunicare electronică, indicarea unor motive rezonabile, termenul pentru care sunt necesare informațiile și alte circumstanțe importante care impun utilizarea măsurii. (3) Dacă există motive pentru a suspecta că o infracțiune penală pentru care un autor este urmărit ex officio a fost comis sau este în curs de elaborare și trebuie obținute informații cu privire la proprietarul sau utilizatorul unei anumite mijloace de comunicare electronică ale căror detalii nu sunt disponibile în dosarul relevant, precum și informații privind momentul în care mijloacele de comunicare au fost sau sunt utilizate, pentru a descoperi această infracțiune penală sau autorul acesteia, poliția poate solicita ca operatorul rețelei de comunicații electronice să-i furnizeze aceste informații, la cererea sa scrisă și chiar fără consimțământul persoanei la care se referă informațiile. (4) Operatorul rețelelor de comunicații electronice nu poate divulga clienților săi sau o parte terță faptul că a furnizat anumite informații unui judecător de investigare (primul paragraf al prezentului articol) sau poliției (punctul anterior) sau că intenționează să facă acest lucru.” Actul privind comunicațiile electronice aplicabil la momentul material necesită operatorilor rețelelor de comunicații electronice să ofere acces la datele de contact și de trafic ale utilizatorilor lor, precum și datele referitoare la conținutul comunicării, autorităților competente. În acest sens, secțiunea 107č prevede următoarele: (1) Operatorii sunt obligați să furnizeze date reținute imediat la primirea unei exemplare a acelei părți a ordinului autorității competente care să declare toate datele necesare cu privire la măsura accesului. (2) Copia ordinului din alineatul anterior este făcută de autoritatea care a eliberat comanda. (3) Operatorii sunt obligați să primească o ordonanță de a furniza date reținute autorității competente în măsura prevăzută în copia ordinului. (4) Operatorii împreună cu autoritățile competente care pot solicita accesul la datele reținute sunt obligați să asigure înregistrarea neevitabilă a fiecărei furnizarea de date reținute. În acest sens, acestea sunt obligate să mențină în permanență datele achiziționate și transmise și să le protejeze în conformitate cu nivelul de secret al copiei ordinului, cu un nivel minim de secret al „confidenței” în conformitate cu normele privind protecția datelor secrete. (5) Ministrul de acord cu ministrul responsabil pentru afaceri interne, ministrul responsabil pentru apărare și directorul Agenției de Securitate a Inteligenței Slovene, prescrie în detaliu metoda de furnizare a datelor reținute.” Codul penal Codul penal aplicabil în momentul materialului interzice, în secțiunea 187 a acestuia, prezentarea materialelor pornografice la minorii sub 14 ani, fabricarea și distribuirea materialelor pornografice care descriu minorii, cum urmează: „... (2) Oricine abuzează de un minor pentru fabricarea de imagini pornografice, audio-vizuale sau alte obiecte de conținut pornografic sau oricine folosește un minor pentru a acționa într-o performanță pornografică, va fi condamnat la închisoare cuprinsă între șase luni și cinci ani. (3) Oricine produce, distribuie, vinde, importă sau exportă materiale pornografice sau alte materiale sexuale reprezentând minori, furnizează-le în orice alt mod sau deține acest material cu intenția de a produce, distribui, vânzare, import, export sau de a-l oferi în orice alt mod, este supus la aceeași propoziție ca în alineatul anterior. ...” Hotărârea Curții Constituționale nr. Up-106/05 din 2 octombrie 2008 Reclamantul a fost condamnat pentru fabricarea și comerțul ilicit de narcotice, pe baza datelor (o listă de numere de telefon și mesaje de text) conținută în cardul său SIM, care a fost obținut fără ordinul judecător eliberat de un judecător de investigare. El se plângea că condamnarea sa se bazează pe dovezi obținute ilegal, deoarece poliția și-a monitorizat comunicarea telefonică mobilă fără ordinul judecătorului. Curtea Constituțională a subliniat că art. 37 din Constituție, care garantează confidențialitatea corespondenței și alte mijloace de comunicare, protejează libertatea de comunicare. Potrivit Curții Constituționale, acest drept a asigurat protecția interesului individului că nimeni nu a învățat cu privire la conținutul mesajului pe care l-a transmis asupra oricărei mijloace care permit schimbul sau transmiterea informațiilor fără consimțământul său, precum și interesul individului de a decide liber pentru cine, în ce măsură, în ce mod și în ce condiții ar transmite un anumit mesaj. Dispoziția a protejat protecția comunicării libere și nesupravegheate și, prin urmare, protecția confidențialității relațiilor în care un individ a intrat la comunicare. Curtea Constituțională a considerat că domeniul de protecție a confidențialității comunicării este extins la corespondență și la alte mijloace de comunicare (de exemplu. telefonul, faxul, computerul) și a inclus transmiterea de mesaje scrise, sonore sau imagini. Domeniul de confidențialitate a comunicării a inclus în primul rând datele care se referă la conținutul mesajului. Astfel, intercepția și înregistrarea conversațiilor telefonice a fost admisibilă numai în condițiile stabilite la art. 37 alineatul (2) din Constituție. Cu toate acestea, instanța a continuat că nu numai conținutul comunicării, circumstanțele și faptele legate de comunicare au fost protejate, ceea ce a însemnat că domeniul de aplicare al protecției vieții private a comunicării trebuie interpretat în mod mai larg, astfel încât să includă informațiile privind apelurile telefonice care erau un element integral al comunicării. În plus, datele din dosarul de memorie telefonică au trebuit să fie considerate un element integral al confidențialității comunicațiilor. Prin urmare, obținerea datelor privind ultimele apeluri fără răspuns, precum și examinarea conținutului mesajelor cu text scurt implică o examinare a conținutului și a circumstanțelor comunicării și, în consecință, o ingerință în dreptul determinat în art. 37, primul paragraf, din Constituție. În conformitate cu art. 37 alineatul (2) din Constituție, o interferență cu libertatea de comunicare a fost admisă în cazul în care s-au îndeplinit următoarele condiții: 1) interferența a fost prescrisă de o lege, 2) interferența a fost permisă pe baza unei hotărâri judiciare, 3) durata interferenței a fost precis determinată și 4) interferența a fost necesară pentru instituția sau cursul procedurilor penale sau pentru motive de securitate națională. În această privință, Curtea Constituțională a concluzionat că poliția nu a fost autorizată să obțină date care făceau parte din protecția constituțională a vieții private a comunicării fără o procedură judiciară, cu excepția condițiilor stabilite la art. 37 alineatul (2) din Constituție. În consecință, instanța a anulat hotărârile instanței inferioare contestate de reclamant și a remis cazul de reexaminare în fața instanței de primă instanță. Reclamantul se plânge în temeiul articolului 8 din Convenție că dreptul său la intimitate a fost încălcat din cauza faptului că datele referitoare la adresa sa IP și, prin urmare, la identitatea sa au fost colectate fără o decizie judecătorească, care a fost arbitrară. Potrivit reclamantului, atunci când poliția slovenă a obținut datele care își conectează adresa IP la identitatea sa, legea care reglementează accesul la astfel de date nu era clară. În plus, furnizorul de servicii de internet a păstrat datele sale cu caracter personal timp de aproape șase luni fără nicio bază juridică valabil pentru această acțiune. Astfel, colectarea și păstrarea datelor nu a fost efectuată „în conformitate cu legea”, o cerință menționată la art. 8 al doilea paragraf. Reclamantul susține că, deși a dezvăluit conținutul comunicării sale cu un public neidentificabil, el nu a renunțat la dreptul său la confidențialitate în ceea ce privește datele privind traficul (datele de mediere), astfel încât aceste date au beneficiat de protecție separată în temeiul Convenției. Presupunerea de ingerință în dreptul reclamantului la confidențialitate a comunicării electronice în conformitate cu legea aplicabilă la momentul material și necesară în temeiul articolului 8 § 2 din Convenție? În special, legislația aplicabilă pe baza căreia poliția a obținut datele care își divulgă identitatea și pe baza cărora furnizorul de servicii de internet relevant a stocat și a divulgat datele cu caracter personal și traficul abonatului său a îndeplinit cerințele de licență în sensul articolului 8 alineatul (2)? A fost suficient de previzibilă și compatibilă cu statul de drept? Legea conține garanții adecvate și eficiente împotriva abuzului?

Communicated on 8 April 2015

FIFTH SECTION

Application no. 62357/14

Igor BENEDIK

against Slovenia

lodged on 10 September 2014

STATEMENT OF FACTS

The applicant, Mr Igor Benedik, is a Slovenian national, who was born in 1977 and lives in Kranj. He is represented before the Court by Mr

M.

Jelenič Novak, a lawyer practising in Ljubljana.

A.

The circumstances of the case

The facts of the case, as submitted by the applicant, may be summarised as follows.

In 2006 the Swiss law enforcement authorities of the Canton of Valais conducted a systematic review of the users of the so-called “Razorback” network. The Swiss police established that some of the users owned and exchanged child pornography in the form of pictures or videos. The files containing illegal content were exchanged through the so-called “p2p” (peer-to-peer) file sharing network in which each of the connected computers acted both as a client and a server. Hence, each of the users could access all files made available for sharing by other users of the network and download them for his or her use. Among the IP addresses recorded by the Swiss police was also a certain dynamic IP address.

Based on the data obtained by the Swiss police, on 7 August 2006 the Slovenian police requested company S., a Slovenian internet service provider, to disclose the data regarding the user to whom the above IP

address was assigned on 20 February 2006 at 13.28. The police based its request on section 149b (3) of the Criminal Procedure Act (hereinafter “the CPA”) requiring the operators of the electronic communication networks to disclose to the police the information on the owners or users of a certain means of electronic communication whose details are not available in the relevant directory. In response, on 10 August 2006 the internet service provider S. gave the police the name, surname and address of the user in question, his telephone number and the time of the communication. The IP address recorded by the Swiss police was assigned to the applicant’s father, who was S.’s subscriber.

On 12 December 2006 the police proposed the Kranj District State Prosecutor’s Office to request the investigating judge of the Kranj District Court to issue an order requesting internet service provider S. to disclose both the personal and traffic data regarding the IP address in question. On 14 December 2006 such a court order was obtained on the basis of section

149b (1) of the CPA and the internet service provider gave the police the required data.

On 21 January 2007 the police and the investigating judge of the Kranj District Court carried out a house search of the applicant’s family home in which they seized four computers and made copies of their hard disks. Reviewing the hard disks, the police found that one of them contained files with pornographic material involving minors. The police established that the applicant had installed eMule, a file sharing programme, on one of the computers by means of which he was able to download different files from other users of the programme and also automatically offered and distributed his own files to them. Among the files downloaded by the applicant, there was a small percentage containing child pornography. The applicant argued that the fact that every computer in the network acted as a client and a server was also the main drawback of the network, since there existed the risk of transferring unwanted files due to the lack of any effective control over the content of the files available for transfer. Moreover, while a given file was in the process of being transferred to an individual computer, it could already simultaneously be distributed to other users; this meant that the user downloading a specific file could not review the content of the file before it was available, via his computer, to the other users. This was particularly true in the applicant’s case; since he had strived to attain the maximum download speed in the process of transferring files to his own computer, he had been required to make available as large a quantity of data as possible to other users in the network. In sum, the applicant alleged that he had not been aware of those files having been transferred to his computer or, indeed, passed on to other computers.

On 5 March 2008 the investigating judge of the Kranj District Court, not convinced by the applicant’s argument that he had not been aware of the illegal content he had downloaded and made available for transfer to other users of the p2p network, opened a judicial investigation against the applicant on the basis of a reasonable suspicion that he had committed the criminal offence of displaying, manufacturing, possessing and distributing of pornographic material under section 187 (3) of the Criminal Code. Subsequently, on 29 May 2008, the Kranj District State Prosecutor’s Office lodged an indictment against the applicant for the above-mentioned criminal offence.

On 5 December 2008 the Kranj District Court found the applicant guilty of the criminal offence he had been charged with. Based on the opinion of an expert in computer science, the district court held that the applicant must have been aware of 630 pornographic pictures and 199 videos involving minors he had downloaded through p2p networks and made available for sharing with other users. Namely, he had moved some of those contents to other folders on his computer which he had then shared with the other users of the networks. The expert took the view that the rather large quantity of illegal material implied that the applicant had to know what he had downloaded, especially since he had organised the downloaded materials into folders. The applicant was sentenced to a suspended prison term of eight months with a probation period of two years.

Both the applicant and the district state prosecutor appealed against the first-instance judgment. The applicant, challenging the facts as established by the district court, pointed out that the expert in computer science confirmed that the applicant had not even opened any of the files containing child pornography, nor had he created a folder with such specific content. Moreover, the expert could not confirm with certainty that the applicant was aware of the illegal pornographic materials. In this connection, it was also found that among 1984 files downloaded by the applicant through eMule, only a few dozen contained child pornography, while other files containing sexual content involved adults and were thus legal. Altogether, the applicant’s disks contained 170,000 files. Further, the applicant alleged that the data on the user of the IP address recorded by the Swiss police, which were acquired by the Slovenian police without a court order, should have been excluded as evidence, as they had been improperly obtained.

On 4 November 2009 the Ljubljana Higher Court granted the appeal of the district state prosecutor in part, converting the applicant’s suspended sentence into a prison term of six months. The applicant’s appeal was dismissed as unfounded. The higher court confirmed that the first-instance court had correctly established the facts of the case; moreover, it held that the data on the applicant’s father’s IP address concerned solely the name of an owner or user of electronic communication, thus the data that could be obtained without a court order.

The applicant lodged an appeal on points of law before the Supreme Court, reiterating that the dynamic IP address could not be compared to a telephone number which was not entered in a telephone directory, as a new IP address was assigned to a computer each time the user logged on. Accordingly, such data should be considered as traffic data constituting circumstances and facts connected to the electronic communication and attracting the protection of privacy of communication. The applicant argued that the Swiss police should not have obtained his father’s dynamic IP address without a court order and neither should the Slovenian police have obtained the data on the identity of his father to whom the IP address had been assigned without such an order. Thirdly, the applicant maintained that the Slovenian police should not have reviewed the files on his computer without a specific court order allowing them to search the contents of the computer.

On 20 January 2011 the Supreme Court dismissed the applicant’s appeal on points of law with the reasoning that, given the general accessibility of websites and the fact that the Swiss police could check the exchanges in the p2p network simply by monitoring the users sharing certain contents, that is without any particular intervention in internet traffic, such communication could not be considered private and thus protected by Article 37 of the Constitution. Moreover, in the Supreme Court’s view, the Slovenian police had not acquired traffic data about the applicant’s electronic communication, but only data regarding the user of a particular computer through which the internet had been accessed. Finally, the Supreme Court held that, given that the applicant’s house search had been ordered precisely for the purpose of seizing his computer and its contents, no additional court order was required for the review of his computer files.

The applicant lodged a constitutional complaint before the Constitutional Court, reiterating the complaints adduced before the lower courts.

On 13 February 2014 the Constitutional Court dismissed the applicant’s complaint, holding that his constitutional rights had not been violated. Firstly, the Constitutional Court had requested the Information Commissioner to express her position on the issue of providing the data on subscribers of electronic communication to the police on their request. The Information Commissioner was of the view that the reason for obtaining the identity of an individual user of electronic communication was precisely that he communicated by means of more or less publicly accessible websites. Thus, it was impossible to separate traffic data from subscriber data, as traffic data alone did not make any sense if one did not ascertain who the person behind these data was, which was an extremely important element of communication privacy. The commissioner also highlighted that the provisions of the Electronic Communications Act in force at the material time required a court order regarding all data related to electronic communications, irrespective of whether they related to traffic or identification data (e.g. who is using a certain IP address or telephone number). In the Commissioner’s view, section 149b (3) of the CPA, which required only a written request of the police to obtain data on who was communicating, was constitutionally problematic.

The Constitutional Court pointed out, at the outset, that in addition to the content of communications, Article 37 of the Constitution also protected traffic data, that is any data processed for the transmission of communications in an electronic communications network or for the billing thereof, which included the IP address. However, the applicant had not hidden in any way the IP address through which he accessed the internet, and neither was access to the p2p network used by him in any way restricted. Thus, in the court’s view the applicant had not clearly expressed his intention that he wanted to keep his communications and identity private. On the contrary, he had established an open line of communication with an undetermined circle of strangers using the internet worldwide who have shown interest in sharing certain files. Therefore, the complainant’s expectation of privacy was not legitimate. Consequently, the fact that the Swiss police had obtained his IP address did not interfere with his right to communication privacy, so a court order was not necessary to access it.

Moreover, since the applicant had publicly revealed both his IP address as well as the content of his communications, he had himself waived protection of his privacy. Hence, the data regarding the identity of the IP

address user no longer enjoyed protection of communication privacy. Having regard to this, the Constitutional Court held that the police had not required a court order for obtaining data on the name and address of the user of the IP address in question. Finally, as to the alleged requirement that the inspection of the applicant’s computer files be authorised by a separate court order, the Constitutional Court noted that the investigating judge who had authorised the applicant’s house search had been aware of the fact that the police would seize computer equipment. The search order in question had been issued with the intent to seize and review electronic data storage media; thus, the Constitutional Court decided that no separate court order had been necessary for such review.

The Constitutional Court decision was adopted by seven votes to two, the two dissenting judges adopting the contrary view that even assuming that an individual could no longer expect protection with regard to the content of his communication – because it was already exposed to the public – that did not imply that he could not expect privacy with regard to the traffic data of his communication. Judge J.S. pointed out that the applicant nonetheless had not appeared in public under his own name, but only through the digits of his dynamic IP address. Thus, if the police had wanted to identify the person behind the IP address, they should have obtained a court order, as clearly followed from Article 37 (2) of the Constitution. Moreover, the dissenting judges expressed a doubt whether at the time the police had obtained the data at issue, there had existed a statutory regulation on the basis of which internet service providers could store the data they had provided to the police.

B.

Relevant domestic law

1.

The Constitution

Articles 37 and 38 of the Constitution, which provide for the protection of privacy of correspondence and other means of communication and the protection of personal data, respectively, provide as follows:

Article 37

“The privacy of correspondence and other means of communication shall be guaranteed.

Only a law may prescribe that on the basis of a court order the protection of the privacy of correspondence and other means of communication and the inviolability of personal privacy be suspended for a set time where such is necessary for the institution or course of criminal proceedings or for reasons of national security.”

Article 38

“The protection of personal data shall be guaranteed. The use of personal data contrary to the purpose for which it was collected is prohibited.

The collection, processing, designated use, supervision, and protection of the confidentiality of personal data shall be provided by law.

Everyone has the right of access to the collected personal data that relates to him and the right to judicial protection in the event of any abuse of such data.”

2.

The Criminal Procedure Act

The Criminal Procedure Act as applicable at the material time provides, in its section 149b included in the chapter regulating the measures taken by the police in the pre-trial proceedings, as follows:

“(1) If there are grounds for suspecting that a criminal offence for which a perpetrator is prosecuted

ex officio

has been committed, is being committed or is being prepared or organised, and information on communications using electronic communications networks needs to be obtained in order to uncover this criminal offence or the perpetrator thereof, the investigating judge may, at the request of the public prosecutor adducing reasonable grounds, order the operator of the electronic communications network to furnish him with information on the participants and the circumstances and facts of electronic communications, such as: the number or other form of identification of users of electronic communications services; the type, date, time and duration of the call or other form of electronic communications service; the quantity of data transmitted; and the place where the electronic communications service was performed.

(2) The request and order must be in written form and must contain information that allows the means of electronic communication to be identified, indication of reasonable grounds, the time period for which the information is required and other important circumstances that dictate use of the measure.

(3) If there are grounds for suspecting that a criminal offence for which a perpetrator is prosecuted

ex officio

has been committed or is being prepared, and information on the owner or user of a certain means of electronic communication whose details are not available in the relevant directory, as well as information on the time that the means of communication was or is in use, needs to be obtained in order to uncover this criminal offence or the perpetrator thereof, the police may request that the operator of the electronic communications network furnish it with this information, at its written request and even without the consent of the individual to whom the information refers.

(4) The operator of electronic communications networks may not disclose to its clients or a third party the fact that it has given certain information to an investigating judge (first paragraph of this section) or the police (preceding paragraph), or that it intends to do so.”

3.

The Electronic Communications Act

The Electronic Communications Act applicable at the material time requires the operators of the electronic communications networks to provide access to the contact and traffic data of their users as well as the data regarding the content of the communication, to the competent authorities. In this regard, section 107č provides as follows:

“(1) Operators shall be obliged to supply retained data immediately on receipt of a copy of that part of the order of the competent authority stating all the necessary data on the extent of access.

(2) The copy of the order from the previous paragraph shall be made by the authority that issued the order.

(3) Operators shall be obliged on receipt of an order to supply retained data to the competent authority in the extent stipulated in the copy of the order.

(4) Operators together with the competent authorities that may request access to retained data shall be obliged to ensure the non-erasable registration of each supply of retained data. In so doing, they shall be obliged to retain the acquired and submitted data permanently, and to protect them in accordance with the level of secrecy of the copy of the order, with a minimum level of secrecy of “confidential” in accordance with the rules on the protection of secret data.

(5) The minister in agreement with the minister responsible for internal affairs, the minister responsible for defence and the director of the Slovenian Intelligence-Security Agency, shall prescribe in greater detail the method of supplying retained data.”

4.

The Criminal Code

The Criminal Code applicable at the material time prohibits, in its section 187, the presentation of pornographic materials to minors under the age of fourteen and of manufacturing and distributing of pornographic material depicting minors. The relevant provision reads as follows:

“...

(2) Whoever abuses a minor for the manufacturing of pornographic pictures, audio-visual or other objects of pornographic content, or whoever uses a minor to act in a pornographic performance, shall be given a prison sentence of between six months and five years.

(3) Whoever produces, distributes, sells, imports or exports pornographic or other sexual material depicting minors, supplies it in any other way, or possesses such material with the intent of producing, distributing, selling, importing, exporting or offering it in any other way, shall be subject to the same sentence as in the preceding paragraph.

...”

5.

The Constitutional Court decision no Up-106/05 of 2 October 2008

The complainant was convicted of illicit manufacture and trade in narcotics, based on the data (a list of telephone numbers and text messages) contained in his SIM card, which was obtained without the court order issued by an investigating judge. He complained that his conviction was based on unlawfully obtained evidence, as the police had monitored his mobile telephone communication without the court order.

The Constitutional Court pointed out that Article 37 of the Constitution, which guarantees the privacy of correspondence and other means of communication, protects the freedom of communication. According to the Constitutional Court, this right ensured the protection of the individual’s interest that no one learnt of the content of the message which he or she conveyed over any means allowing the exchange or conveying of information without his or her consent, as well as the individual’s interest to decide freely to whom, to what extent, in what manner, and under what conditions he or she would convey a certain message. The provision safeguarded the protection of free and unsupervised communication and thereby the protection of the confidentiality of the relations into which an individual entered when communicating.

The Constitutional Court took the view that the field of the protection of communication privacy was extended to correspondence and other means of communication (e.g. telephone, fax, computer) and included conveying written, sound, or image messages. The field of communication privacy first of all included data which referred to the content of the message. Thus, the interception and recording of telephone conversations, was only admissible under the conditions determined in Article 37 (2) of the Constitution. However, the court continued that not only the content of the communication but also the circumstances and facts connected to the communication were protected, which meant that the scope of the protection of communication privacy had to be interpreted more broadly, so as to include the information on telephone calls which were an integral element of the communication. Moreover, also the data in the telephone memory record had to be considered as an integral element of communication privacy. Therefore, obtaining data on the last dialled and last unanswered calls as well as the examination of the content of the short text messages entailed an examination of the content and circumstances of the communication and consequently an interference with the right determined in the first paragraph of Article 37 of the Constitution.

According to Article 37 (2) of the Constitution, an interference with the freedom of communication was admissible if the following conditions were met: 1) the interference was prescribed by a law, 2) the interference was allowed on the basis of a court order, 3) the duration of the interference was precisely determined, and 4) the interference was necessary for the institution or course of criminal proceedings or for reasons of national security.

In this light, the Constitutional Court concluded that the police was not allowed to obtain data which were part of the constitutionally protected communication privacy without a court order, except under the conditions determined in Article 37 (2) of the Constitution. Accordingly, the court annulled the judgments of the lower court challenged by the applicant and remitted the case for reconsideration before the first-instance court.

COMPLAINTS

The applicant complains under Article 8 of the Convention that his right to privacy was breached on account of the fact that the data on his IP address and consequently on his identity were gathered without a court order, which was arbitrary.

According to the applicant, at the time when the Slovenian police obtained the data connecting his IP address to his identity, the law regulating access to such data was not clear. Moreover, the internet service provider retained his personal data for almost six months without any valid legal basis for such action. Thus, the gathering and retention of the data was not carried out “in accordance with the law”, a requirement referred to in the second paragraph of Article 8. The applicant maintains that although he disclosed the contents of his communication with an unidentifiable public, he did not waive his right to privacy with regard to traffic data (metering data), as such data enjoyed separate protection under the Convention.

QUESTION TO THE PARTIES

Was the alleged interference with the applicant’s right to privacy of electronic communication in accordance with the law applicable at the material time and necessary in terms of Article 8 § 2 of the Convention? In particular, did the applicable legislation on the basis of which the police obtained the data disclosing his identity and on the basis of which the relevant internet service provider stored and disclosed the traffic and personal data of its subscriber meet the requirement of lawfulness within the meaning of Article 8 § 2? Was it sufficiently foreseeable and compatible with the rule of law? Did the law contain adequate and effective safeguards against abuse?