Jaké budou dopady zrušení směrnice o data retention?
Plošné a nevýběrové shromažďování údajů o elektronické komunikaci je podle Soudního dvora Evropské unie v rozporu s Chartou základních práv EU. Co to bude znamenat pro naši legislativu a právní praxi?
 |
SDEU byl v projednávaných věcech požádán ze strany ústavních soudů Irska (Highcourt) a Rakouska (Verfassungsgerichtshof) o rozhodnutí o dvou sadách předběžných otázek týkajících se posouzení platnosti směrnice 2006/24/ES. Řízení u obou soudů byla iniciována ze strany občanské společnosti. V Irsku se jednalo o nevládní organizaci Digital Rights Ireland a v Rakousku potom o více než 11 tisíc individuálních stěžovatelů.
Shromažďování a využívání provozních a lokalizačních údajů bylo kontroverzní již před téměř deseti lety, kdy byla směrnice schvalována. Proti národním úpravám, které směrnici transponovaly bylo iniciováno několik návrhů na zrušení příslušných předpisů u ústavních soudů. Z těch nejvýznamnějších je třeba zmínit rozhodnutí ústavních soudů Rumunska (2009), Německa (2010) a České republiky (2011). Zatímco v České republice byla po rozhodnutí Ústavního soudu přijata nová právní úprava, tak v Německu k tomuto nikdy nedošlo. Proti šesti evropským státům (Rakousku, Nizozemí, Švédsku, Řecku, Irsku a Německu) byly pro otálení s transpozicí směrnice ze strany Evropské komise iniciována řízení pro porušení povinnosti transpozice směrnice (tzv. infringement proceedings). Důvody pro odklad přijetí národní úpravy byly často právě nejasnosti o ústavnosti zásahu do práva na ochran soukromí a na ochranu osobních údajů.
Vedle dílčích výhrad, které se týkaly pravidel využívání shromažďovaných údajů, doby či rozsahu jejich uchovávání nebo otázky náhrady nákladů operátorům, kteří tuto povinnost měly uloženu, byl v minulosti kritizován i samotný princip, kdy jsou uchovávány údaje o každé realizované elektronické komunikaci uchovávány po dobu měsíců až let, přičemž v budoucnu mohou být oprávněnými orgány, nejčastěji policií nebo zpravodajskými službami, vyžádány a použity při jejich práci. Shromažďovány jsou tedy údaje o každém bez jakékoli výjimky a jakéhokoli podezření. Jedná se přitom o údaje velmi citlivé, které jsou v řadě případů srovnatelné se samotným obsahem komunikace, který uchováván není. Na rozdíl od obsahu komunikace lze tyto údaje navíc mnohem jednodušeji počítačově zpracovávat. Výsledkem pak mohou být například informace o sociálních sítích zájmových osob, o jejich pohybu nebo o identitě osob shromažďujících se na určitém místě.
Důležité pro pochopení důvodů rozhodnutí SDEU je uvědomit si kontext v jakém rozhodoval. Předně zde již existuje celá řada dřívějších rozhodnutí národních ústavních soudů, které princip data retention z různých pozic kritizovaly, je zde trvalý tlak občanské společnosti proti směrnici, ale i nepřesvědčivé výsledky evaluace přínosů směrnice, která proběhla v roce 2011 a nepřinesla žádná přesvědčivá data o nezbytnosti data retention.[2] V neposlední řadě SDEU rozhodoval i ve světle afér spojených s uchováváním obrovského objemu informací o elektronických komunikací zejména ze strany amerických a britských zpravodajských služeb, které vynesl na světlo v polovině minulého roku Edward Snowden.
SDEU Evropské unie se v rozhodnutí zabývá jak otázkami uchovávání údajů, tak jejich vyžadování a následnému využívání oprávněnými orgány. Směrnice byla posuzována zejména ve vztahu k čl. 7 a čl. 8 Charty základních práv EU, které upravují právo na soukromý život a právo na ochranu osobních údajů. Pokud jde o uchovávání provozních a lokalizačních údajů, tak toto SDEU označil za velmi vážný zásah do práva na ochranu soukromí, přičemž toto sledování u lidí vytváří oprávněný pocit, že jsou pod konstantním dohledem (bod 37). Z dat lze zjistit velmi podrobné informace o každodenním soukromém životě, místech pobytu, či sociálních vztazích sledovaných osob (bod 27). Sledování se týká celé evropské populace, přičemž míra využívání prostředků elektronické komunikace roste, čímž roste i dopad do základních práv lidí (bod 56). Uchovávání údajů požadované směrnicí na druhou stranu podle Soudního dvora není takové povahy, aby nepříznivě ovlivnilo samu podstatu základních práv na respektování soukromého života a právo na ochranu osobních údajů (bod 39). SDEU přiznává, že uchovávání dat sleduje účel veřejného zájmu, kterým je stíhání závažných zločinů a boj proti terorismu (bod 44).
V bodu 49 se SDEU zabývá otázkou jestli je uchovávání údajů způsobilým nástrojem k dosažení cílů směrnice, kterými je, jak už bylo řečeno stíhání závažné kriminality. Dochází k závěru, že uchovávání údajů je způsobilým nástrojem vzhledem k rostoucímu významu nástrojů elektronické komunikace, jakožto další nástroj při vyšetřování závažné kriminality.
Z výše uvedeného by se mohlo zdát, že SDEU akceptuje uchovávání údajů ve stávající podobě, nicméně jedná se pouze o první krok v testu proporcionality, kterému soud směrnici podrobil, a totiž o test vhodnosti. SDEU v zásadě neříká nic jiného, než že uchovávání údajů je možno považovat za způsobilý nástroj k potírání závažné kriminality, ostatně podobně jako je tomu například u odposlechů. Tento závěr ale neříká nic o přiměřenosti zvoleného způsobu a rozsahu uchovávání. Ten se stává naopak předmětem kritiky soudního dvora a právě zde spatřuji klíčovou pasáž celého rozhodnutí.
SDEU konstatuje, že zásah do práva na ochranu soukromí a ochranu osobních údajů musí být v souladu s konstantní judikaturou omezen na nezbytné minimum (bod 52). Dále dovozuje, že v daném případě tomu tak není a směrnice tyto limity neobsahuje.
SDEU uvádí v bodě 58, že napadená směrnice se „týká globálně všech osob, které využívají služeb elektronických komunikací, aniž se však osoby, jejichž údaje jsou uchovávány, nachází byť nepřímo v situaci, která může vést k trestnímu stíhání. Vztahuje se tedy i na osoby, v jejichž případě neexistuje žádný důvod se domnívat, že by jejich chování mohlo byť nepřímo nebo vzdáleně souviset se závažnou trestnou činností.“ SDEU zde upozorňuje i na to, že jsou uchovávány i údaje o komunikaci osob, které mají ze zákona zachovávat profesní tajemství, jako jsou advokáti, poskytovatelé zdravotních nebo sociálních služeb apod. V bodě 59 pak na toto soud navazuje: „Uvedená směrnice, jejímž cílem je přispět k boji proti závažné trestné činnosti, dále nevyžaduje žádnou souvislost mezi údaji, jejichž uchovávání je stanoveno, a ohrožením veřejné bezpečnosti a zejména se neomezuje na uchovávání údajů vztahujících se buď k určitému časovému období či určité zeměpisné oblasti či okruhu určitých osob, které mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k předcházení, odhalování nebo stíhání závažných trestných činů.“
SDEU v této formulované první výtce proti směrnici tedy říká, že plošné a nevýběrové uchovávání údajů je nepřijatelné, protože neminimalizuje zásah do základních práv. Plošnost tohoto zásahu nezohledňuje žádné souvislosti mezi uchovávanými údaji a účelem směrnice, tedy bojem proti závažné kriminalitě. SDEU v bodě 59 naznačuje, že pokud by k uchovávání mělo docházet, mělo by být vázáno na určité rizikové faktory a omezeno buď časově, místně nebo co do okruhu sledovaných osob. SDEU tak odmítá stávající koncept plošného a nevýběrového sledování komunikace celé populace bez jakéhokoli časového nebo místního omezení.
Další výtky soudu směřují proti dílčím nedostatkům směrnice. SDEU v bodě 60 konstatuje, že směrnice neobsahuje záruky, které by zajistily, že k údaje budou využívány opravdu pouze v rámci boje proti závažné kriminalitě, definici toho, co lze považovat za závažný trestný čin ponechává na národních transpozicích. směrnice rovněž neobsahuje hmotněprávní a procesní podmínky pro přístup oprávněných orgánů k údajům a neomezuje okruh osob, které mají k údajům přístup (bod 61 a 62). Chybí rovněž úprava předchozí kontroly ze strany soudních nebo správních orgánů a směrnice ani neobsahuje povinnost členských států tuto kontrolu zavést (bod 62).
Třetí skupina výtek směřuje proti době uchovávání, která je stanovena v rozmezí 6 měsíců až 2 let, přičemž není nijak rozlišováno mezi jednotlivými kategoriemi údajů. Směrnice nestanoví, že délka uchovávání údajů by měla vycházet z objektivních kritérií, která zajistí minimalizaci zásahu do práv občanů (body 63-65). Směrnice podle soudu dále nestanoví dostatečné pravidla ochrany a záruky proti zneužití údajů. Neupravuje přitom ani povinnost členských států tato pravidla zavést (bod 67). Směrnice rovněž podle soudu nezaručuje, že údaje budou uchovávány na území EU. Tím může být znemožněn dohled nezávislého orgánu nad zpracováním osobních údajů, který je vyžadován čl. 8 odst. 3 Charty základních práv EU (bod 68).
Z výše uvedených důvodů v závěru SDEU konstatuje, že při schválení napadené směrnice došlo k porušení ustanovení čl. 7, čl 8 a čl 52 odst. 1 Charty základních práv EU a proto je směrnice neplatná.
Data retention v České republice
Právní úprava data retention v České republice prošla důležitými změnami v roce 2012 v reakci na dvě rozhodnutí Ústavního soudu z předešlého roku. V rozhodnutí sp. zn. Pl ÚS 24/10 ze dne 22. 3. 2011 Ústavní soud reagoval na návrh na zrušení § 97 odst. 3 a 4 zákona o elektronických komunikacích, které upravovaly povinnost uchovávat provozní a lokalizační údaje, a dále prováděcí vyhlášky ministerstva průmyslu a obchodu č. 485/2005 Sb. , která upravovala zejména okruh provozních a lokalizačních údajů, které měly být uchovávány. Návrh připravilo občanské sdružení Iuridicum Remedium a získalo pro jeho podporu 51 poslanců.
Soud ve svém rozhodnutí návrhu vyhověl, napadená ustanovení zrušil a stanovil rovněž určité limity pro uchovávání a využívání provozních a lokalizačních údajů. Podobně jako SDEU, nicméně pouze v obiter dictum, ústavní soud zpochybnil přiměřenost plošného preventivního uchovávání údajů.
V rozhodnutí Pl. ÚS 24/11 ze dne 20.12.2011 ústavní soud reagoval na návrh Obvodního soudu pro Prahu 6, kterým bylo v reakci na březnový nález a směřoval ke zrušení § 88a trestního řádu, který upravuje využívání provozních a lokalizačních údajů v rámci probíhajících trestních řízení.
V reakci na obě rozhodnutí byla připravena novela hned několika zákonů přijatá jako zákon č. 273/2012 Sb. , která znovu zaváděla do zákona o elektronických komunikacích povinnost operátorů data uchovávat, ale zároveň reagovala i na výtky Ústavního soudu z obou nálezů. V zákoně o elektronických komunikacích tak přibylo vymezení orgánů, které jsou oprávněny o údaje žádat, byla pevně stanovena doba uchovávání údajů na 6 měsíců, v trestním řádu došlo k omezení okruhu trestných činů, u nichž lze o údaje žádat, byla zdůrazněna subsidiarita vyžadování těchto údajů nebo byla zavedena povinnost až na výjimky informovat subjekt údajů po ukončení vyšetřování o tom, že jeho údaje byly vyžádány. Prověřovaný rovněž získal podobně jako osoba odposlouchávaná možnost obrátit se se stížností na Nejvyšší soud. Došlo rovněž k jasné formulaci oprávnění data využívat pro zpravodajské služby a k zavedení soudní kontroly při vyžadování dat Českou národní bankou v rámci dohledu nad kapitálovým trhem. Prováděcí vyhláška č. 357/2012 Sb. pak upravila okruh údajů, které se mají uchovávat, jakož i pravidla pro jejich předávání.
To, že stávající právní úprava již prošla před půldruhým rokem "očistnou" kůrou ústavněprávní revize způsobilo, že řada výhrad, které v rozhodnutí Soudního dvora směřují proti samotné směrnici byla v české legislativní úpravě vyřešena. Přesto v české právní úpravě zůstávají zcela nedořešené další problémy, na něž rozhodnutí Soudního dvora upozornilo. Nová právní úprava se například vůbec nedotkla oprávnění Policie ČR využívat údaje v rámci pátrání po hledaných a pohřešovaných osobách podle § 68 odst. 2 zákona o policii. Podle tohoto ustanovení může policista údaje vyžadovat "v souvislosti s pátráním po konkrétní hledané a pohřešované osobě" bez jakéhokoli soudního povolení. Podobně je tomu i s oprávněním protiteroristického útvaru Policie ČR, který v rámci předcházení či odhalování teroristických hrozeb mohou o údaje rovněž žádat bez soudní kontroly. Chybějící kontrola vyplývající ze směrnice je přitom jednou z připomínek Soudního dvora.
V České republice jsou také údaje využívány i k jiným účelům, než jsou účely stanovené ve směrnici. V Evropě ojedinělým je například oprávnění České národní banky využívat údaje v rámci dohledu nad kapitálovým trhem. Nad rámec účelů stanovených směrnicí, tedy vyšetřování odhalování a stíhání závažných trestných činů, jde i výše zmíněné oprávnění Policie ČR. To, že směrnice nezajistila, aby se využívání uchovávaných údajů dělo pouze v případech, které odpovídají stanovenému účelu, byla rovněž jedna z výtek Soudního dvora.
Jsou zde ovšem i další problémy, které se v rozhodnutí Soudního dvora neobjevují. Jedním z nich je například vymezení okruhu uchovávaných údajů nikoli v zákoně, ale v prováděcí vyhlášce. Přitom právě to, co bude uchováváno, je zcela klíčové pro posouzení dopadu uchovávání těchto údajů do soukromí občanů. Takto důležitá regulace by měla být obsažena v zákoně a nikoli v prováděcím předpise, který může být měněn bez ingerence parlamentu. Diskutabilní je okruh trestných činů, u nichž mohou být údaje využívány. Za závažný trestný čin se považuje trestný čin s horní hranicí trestní sazby 3 roky a dále vymezený okruh dalších trestných činů, u nichž může být klíčové využití digitálních stop. Zřejmě přiléhavější by bylo definovat hranici mezi trestným činem a závažným trestným činem jako hranici mezi přečinem a zločinem.
Z výše uvedeného je zřejmé, že česká právní úprava obsahuje řadu problematických míst, která vykazují nedostatky kritizované Soudním dvorem na zrušené směrnici, jakož i dalších problémů, kterými se SDEU nezabýval.
Co rozhodnutí Soudního dvora bude znamenat pro vnitrostátní úpravu a bude mít vůbec nějaký praktický dopad na českou legislativu transponující zrušenou směrnici?
Rozhodnutím Soudního dvora došlo ke zrušení směrnice 2006/24/ES. Česká právní úprava data retention tak ztratila svůj původní unijní základ. Na první pohled by se mohlo zdát, že toto znamená automaticky i zrušení právních úprav, které směrnici implementovaly. Toto ovšem není tak úplně pravda.
V daném případě však nelze pominout existenci tzv. e-privacy směrnice 2002/58/ES. Tato směrnice upravuje zpracování osobních údajů a jejich ochranu v sektoru elektronických komunikací. Směrnice upravuje povinnosti států zajistit vnitrostátními předpisy důvěrnost elektronické komunikace, stanovit pravidla pro uchovávání provozních a lokalizačních údajů nebo zavést pravidla pro identifikaci volajícího. V čl. 15 odst. 1 této směrnice je pak zakotvena výjimka na základě níž se státy mohou odchýlit od omezení zakotvených v e-privacy směrnici v případech, kdy je to nutné k zajištění prevence, vyšetřování nebo odhalování trestné činnosti. Podle tohoto článku platí že "členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v článku 5, článku 6, čl. 8 odst. 1, 2, 3 a 4 a článku 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice 95/64/ES. Členské státy mohou mimo jiné přijmout právní opatření umožňující zadržení údajů na omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 Smlouvy o založení Evropské unie." Právě tato výjimka byla před nabytím účinnosti zrušené směrnice 2006/24/ES právním základem pro národní úpravy data retention. Zrušená směrnice pak byla úpravou speciální k této výjimce, když namísto oprávnění států přijmout výjimky z obecných pravidel platících pro elektronické komunikace, kdy následné uchovávání údajů o komunikaci bylo v zásadě možné kromě této výjimky uvedené v čl. 15 odst. 1 pouze za účelem vyúčtování služeb a marketingu (čl. 6 odst. 2 a 3 směrnice). Ve všech ostatních případech by mělo dojít po uskutečnění přenosu služby k likvidaci údajů v souladu s čl. 6 odst. 1 směrnice.
Vzhledem k tomu, že byla zrušena směrnice, která přikazovala státům údaje uchovávat, nedochází tedy k návratu pravomocí národním státům, ale národní právní úpravy se "přesouvají" pod režim směrnice 2002/58/ES. SDEU ve svém rozhodnutí tedy nejen zrušil jednu směrnici, ale zároveň stanovil, jaká omezení musí státy respektovat při transpozici e-privacy směrnice. Není tak na libovůli států, jakým způsobem data retention upraví, a musí se stát tak, aby úprava respektovala omezení, která pro národní úpravy výjimka zakotvená v čl. 15 odst. 1 této směrnice stanoví. Přičemž rozhodnutí Soudního dvora je pro výklad toho, co lze považovat za "nezbytné, přiměřené a úměrné opatření" ve smyslu § 15 odst. 1 e-privacy směrnice klíčové. Pokud tato omezení stávající úprava nerespektuje jedná se fakticky o nesprávnou implementaci této směrnice a zároveň o právní úpravu, která je v rozporu s Listinou základních práv EU. Představa, že Komise zahájí řízení podle čl. 258 Smlouvy o fungování Evropské unie proti jednotlivým státům proto, že implementovaly zrušenou data retention směrnici a v současné době tak fakticky jejich právní úpravy porušují e-privacy směrnici, působí poněkud zvláštně ve chvíli, kdy ta stejná Komise ještě před několika týdny vedla řízení proti jiným státům, které tuto směrnici odmítaly implementovat. Byl by to nicméně v tuto chvíli zřejmě správný postup. Nelze ale předpokládat, že by se do něj Komise nějak zvlášť hrnula.
V každém případě při aplikaci uchovávání provozních a lokalizačních údajů podle české legislativy dochází k aplikaci unijního práva. SDEU konstatoval, že jde o zásah do lidských práv, který není slučitelný s Chartou základních práv EU. V takovém případě by se na aplikaci tohoto práva měl vztahovat čl. 51 odst. 1 Charty základních práv EU, který říká, že je nutné aplikovat ustanovení Charty. To, že by toto mělo být respektováno ze strany národních států vyplývá mimo jiné z čl. 4 odst. 3 Smlouvy o Evropské unii, která upravuje zásadu loajální spolupráce mezi státy a Společenstvím při naplňování primárního práva včetně ustanovení Charty základních práv EU.
Iniciativy by se tak měla chopit česká vláda, zejména pak ministerstvo průmyslu a obchodu, které má nad zákonem o elektronických komunikacích, který upravuje povinnost operátorů údaje uchovávat gesci. MPO nicméně jak se v tuto chvíli zdá žádnou vlastní iniciativu, jak zákon změnit, nechystá. Otevírá se tak prostor pro další návrhy na zrušení národní úpravy k Ústavnímu soudu, ale i prostor pro obhajobu s odkazem na neústavní uchovávání údajů využívaným v trestním řízení. Pro operátory se otevírá možnost odmítnout povinnost data uchovávat a pro nás všechny pak možnost požadovat likvidaci uchovávaných údajů ze strany operátorů.
Jak by mohla vypadat úprava uchovávání a využívání provozních a lokalizačních údajů v budoucnu?
V této kapitole poněkud předbíhám událostem, ale pokusím se zamyslet, jak by mohla vypadat budoucí právní úprava data retention, která by respektovala výtky SDEU. Předně by byla velmi odlišná od té stávající. Základem by bylo, že k uchovávání musí být konkrétní důvod založený na konkrétních rizicích nebo podezřeních. V zásadě je asi představitelné, že by k takovému uchováváním údajů docházelo preventivně pouze v určitých rizikových místech, či při rizikových akcích na základě určitého časového a místního klíče. Druhou variantou by mohlo být nasazení jakési lehčí varianty odposlechu, kdy by se už na základě určitého podezření začaly shromažďovat údaje o konkrétních osobách nebo telefonních číslech, které by následně byly využívány. Nevýhodou této varianty samozřejmě může být, že by policie neměla k dispozici údaje předtím, než padlo podezření na konkrétní osobu nebo telefonní číslo.
Další variantou by mohl být tzv. „quick freeze“ tedy jakési operativní rychlé zmražení určitých dat, kterými operátoři disponují buď pro účely vyúčtování, pro marketingové účely, přípravě z důvodů technického přenosu zpráv. Zmrazení údajů by znamenalo pouze to, že budou uchovávány po určitou stanovenou dobu, která bude postačovat k tomu, aby si oprávněné orgány údaje vyžádaly standardní cestou s povolením soudu. Tato varianta by mohla být oboustranně přijatelným kompromisem mezi ochranou soukromí a potřebami vyšetřování. Hrozí zde ovšem riziko, že operátoři začnou údaje uchovávat nikoli jen pro účely plnění povinností poskytnout a vyúčtovat službu, ale skrytě i pro potřeby policie a jejího vyšetřování – třeba s odvoláním na různé technické důvody, které laik může obtížně rozporovat, čímž se oklikou dostaneme zpět ke zrušené úpravě a plošnosti sledování. Toto může hrozit zejména pokud budou operátorům propláceny náklady na uchovávání a poskytování údajů tak štědře jako dosud.
Mgr. Jan Vobořil,
výkonný ředitel
Pplk. Sochora 40
170 00 Praha 7
Tel.: +420 776 703 170
e-mail: iure@iure.org
--------------------------------------------------------------------------------
[1] Rozsudek je dostupný na www, k dispozici >>> zde.
[2] Evaluační zpráva je dostupná na www, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
