Data retention a poslední rozhodnutí Soudního Dvora EU
Článek byl publikován v časopise DPO PRO – ochrana osobních údajů v Praxi v únoru 2021. Týká se právních aspektů uchovávání metadat o naší komunikaci, o jehož zrušení dlouhodobě usilujeme v rámci naší kampaně.
Autor: Jan Vobořil / výkonný ředitel IuRe
Povinnost poskytovatelů služeb elektronických komunikací uchovávat po dobu šesti měsíců plošně metadata o naší komunikaci zejména pro potřeby policie, je kontroverzní praxe, která je opakovaně předmětem posuzování ze strany soudů na národní i evropské úrovni. Výsledkem je velká nejednotnost v uchovávání těchto údajů. Zatímco řada států je neuchovává vůbec, často po rozhodnutích národních ústavních soudů, v jiných zemích je praxe uchovávání i využívání těchto dat nejednotná.
V českém prostředí navíc celou situaci znepřehledňuje judikatura. Zatímco Soudní dvůr Evropské unie (SDEU) opakovaně judikoval, že plošné nevýběrové sledování komunikace odporuje evropskému právu i Chartě základních práv EU, Ústavní soud ČR naopak došel k závěru, že česká právní úprava, která uchovávání dat přikazuje, je v pořádku a dokonce
nezrušil ani oprávnění policie v určitých případech data využívat i bez soudních povolení.
Právní nejistota, které jsou tak vystaveni jak povinné subjekty, tedy operátoři, tak ale i subjekty údajů, tedy uživatelé služeb, o jejichž data jde, je tak bohužel českou realitou. Vinu za tuto právní nejistotu lze přikládat jak vládě, která dlouhodobě ignoruje judikaturu SDEU v dané věci, tak Ústavnímu soudu ČR, jenž se ve svém posledním rozhodnutí s touto judikaturou dostatečně nevypořádal. Cílem tohoto článku je shrnout dosavadní judikaturu zejména s ohledem na aktuální rozhodnutí Soudního dvora EU z počátku října loňského roku a pokusit se zodpovědět otázku, jaká pravidla tedy vlastně platí.
Povinnost poskytovatelů služeb elektronických komunikací uchovávat pro potřeby oprávněných orgánů plošně provozní a lokalizační data o jednotlivých uživatelích je součástí zákona č. 127/2005 Sb., o elektronických komunikacích od jeho nabytí účinnosti 1. 5. 2005. Zákon již v předstihu implementoval tehdy jen navrhovanou směrnici, později přijatou jako
směrnice Evropského parlamentu a Rady č. 2006/24/ES (dále Směrnice o data retention). Cílem směrnice bylo sjednocení právní úpravy uchovávání dat. Od počátku nicméně celý systém data retention provázely pochybnosti o tom, nakolik je takto masivní a plošný zásah do práv všech uživatelů služeb elektronických komunikací vlastně odůvodnitelný. Postupně
došlo hned k několika případům napadení národní právní úpravy před národními ústavními soudy a nakonec i před Soudním dvorem EU.
V České republice zrušil Ústavní soud na návrh skupiny poslanců zpracovaný nevládní organizací Iuridicum Remedium českou právní úpravu data retention v § 97 odst. 3 a 4 zákona o elektronických komunikacích v roce 2011 (nález sp. zn. Pl. ÚS 24/10 ze dne 22. 3. 2011).
Na tento nález pak navazoval mladší nález Pl. ÚS 24/11 ze dne 20. 12. 2011, kterým došlo ke zrušení § 88a, jenž upravoval možnost využívat provozní a lokalizační data v rámci trestních řízení. České rozhodnutí bylo jakousi první vlaštovkou, za níž ale následovaly další ústavní soudy, například v Německu nebo Rumunsku, které rovněž národní implementace směrnice o data retention zrušily.
Řešení před Soudním dvorem EU
Zákonitě muselo dojít i k řešení otázky zásahu do práva na soukromí před SDEU. Ten celou směrnici zrušil rozhodnutím ve spojených věcech C-293/12 a C 594/12 ze dne 8. 4. 2014 (dále jen rozhodnutí Digital Rights Ireland).
Důvodem zrušení byla skutečnost, že tato směrnice byla v rozporu s Chartou základních práv EU. Konkrétně podle Soudního dvora EU unijní zákonodárce překročil přijetím Směrnice o data retention meze, jež ukládá požadavek na dodržování zásady proporcionality z hlediska čl. 7, čl. 8 a čl. 52 odst. 1 Listiny základních práv EU (bod 69). Pokud jde o uchovávání provozních a lokalizačních údajů, tak toto SDEU označil za velmi vážný zásah do práva na ochranu soukromí, přičemž toto sledování u lidí vytváří oprávněný pocit, že jsou pod konstantním dohledem (bod 37).
Z dat lze zjistit velmi podrobné informace o každodenním soukromém životě, místech pobytu či sociálních vztazích sledovaných osob (bod 27). Sledování se týká celé populace, přičemž míra využívání prostředků elektronické komunikace roste, čímž roste i dopad do základních práv lidí (bod 56). SDEU zde upozorňuje i na to, že jsou uchovávány i údaje o komunikaci osob, které mají ze zákona zachovávat profesní tajemství, jako jsou advokáti, poskytovatelé zdravotních nebo sociálních služeb apod. V bodě 59 SDEU naznačuje, že pokud by k uchovávání mělo docházet, mělo by být vázáno na určité rizikové faktory a omezeno buď časově, místně nebo co do okruhu sledovaných osob. Odmítá tedy stávající koncept plošného a nevýběrového sledování komunikace celé populace bez jakéhokoli omezení.
Členské státy od plošného sběru dat neupustily
Členské státy včetně České republiky odmítaly i po tomto rozhodnutí SDEU od plošného sběru údajů upustit a právní základ plošného sběru dat nově spatřovaly v čl. 15 odst. 1 Směrnice Evropského parlamentu a Rady 2002/58/ES, o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), který zakotvuje možnost členských států přijmout právní úpravu omezující práva vyplývající ze směrnice včetně práva na zachování důvěrnosti komunikace mimo jiné z důvodu zajištění bezpečnosti a pro prevenci či odhalování trestné činnosti. To ovšem pouze v případě, pokud je to v demokratické společnosti nezbytné, přiměřené a úměrné.
K souladu principu plošného uchovávání provozních a lokalizačních údajů se vyjádřil SDEU v dalším rozhodnutí ve spojených věcech C 203/15 a C 698/15 ze dne 21. 12. 2016 (dále jen rozhodnutí Tele2/Watson).
Zde už SDEU konstatuje, že uvedený čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích musí být vykládán tak, že brání vnitrostátní právní úpravě zavést plošné a nerozlišující uchovávání provozních a lokalizačních údajů všech účastníků. SDEU konstatoval, že uvedený článek směrnice umožňuje členským státům omezit dosah základní povinnosti, podle které musí být zajištěna důvěrnost osobních údajů a souvisejících provozních údajů. Toto omezení ale musí být vykládáno striktně a takovým
ustanovením nelze odůvodnit to, aby se výjimka stala pravidlem (bod 89). Plošné a nevýběrové shromažďování údajů představuje pravidlo, nikoli výjimku z pravidla důvěrnosti informací. Stejně jako v bodě 59 předchozího rozhodnutí SDEU považuje za problematické, že uchovávání údajů se neomezuje na případy omezené časově, zeměpisně nebo okruhem osob, které mohou být jakýmkoli způsobem zapojeny do trestné činnosti.
Taková vnitrostátní právní úprava pak překračuje meze toho, co je naprosto nezbytné, a nelze ji v demokratické společnosti považovat za odůvodněnou.(bod 107) SDEU nakonec konstatuje, že čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích ve spojení s čl. 7, 8, 11 a čl. 52 odst. 1 Listiny základních práv EU musí být vykládán v tom smyslu, že brání vnitrostátní právní úpravě, která za účelem boje proti trestné činnosti stanoví plošné a nerozlišující uchovávání veškerých provozních a lokalizačních údajů všech účastníků a registrovaných uživatelů, jež se vztahují na veškeré prostředky elektronické komunikace. (bod 112)
Pohled České republiky
Ani na tento rozsudek vláda České republiky nijak nereagovala přípravou jiné právní úpravy tak, aby respektovala výše uvedené rozhodnutí SDEU. Proto byl připraven další návrh na zrušení české právní úpravy data retention, který požadoval vedle zrušení § 97 odst. 3 a 4 i odstranění ustanovení upravujících využívání údajů v rámci trestních řízení (§ 88a trestního řádu), při pátrání po osobách (§ 68 zákona o Policii ČR) a v rámci protiteroristických aktivit policie (§ 71 zákona o Policii ČR). Rovněž bylo požadováno zrušení prováděcí vyhlášky upravující zejména okruh údajů, které mají být shromažďovány.
Návrh zpracovaný opět spolkem Iuridicum Remedium podepsalo 58 poslanců napříč politickým spektrem. Opíral se nejen o evropskou judikaturu, ale třeba i o statistiky prokazující nízkou účinnost data retention při potírání kriminality. V tomto případě nicméně soud nenavázal na předchozí rozhodnutí z roku 2011 a návrhu nálezem sp. zn. Pl. ÚS 45/17 ze dne 14. 5. 2019 nevyhověl.
Potvrdil, že plošný sběr dat je skutečně významným zásahem do práva v podstatě nás všech, nicméně dle názoru soudu jde o zásah přiměřený s ohledem na skutečnost, že se zločin stále více odehrává v digitálním prostředí. Ústavní soud se v odůvodnění nálezu nijak zvlášť podrobně nevypořádává s oběma výše zmíněnými rozhodnutími SDEU, ani se nerozhodl jako jiné soudy předložit předběžnou otázku SDEU. Jediné disentní stanovisko připojila ústavní soudkyně Kateřina Šimáčková, která například kritizovala absenci snahy Ústavního soudu skutečně minimalizovat zásah do práva na ochranu soukromí, zejména pokud jde o omezení účelem, dobou uchovávání nebo o rozsah zpracovávaných dat.
Bohužel obdobnou absenci snahy posoudit opravdu důkladně nastavení zpracovávání osobních údajů Ústavní soud prokázal třeba i v nedávném nálezu Pl. ÚS 33/16 ze dne 10. 11. 2020, kdy posuzoval ústavnost legislativní úpravy fungování tzv. Národního zdravotnického informačního systému. I zde v podstatě provedl test proporcionality velmi obecně bez toho, aby se zabýval hlouběji účelností zpracování konkrétních kategorií údajů s ohledem na stanovené účely a snažil se tak omezit dopad na soukromí, což bylo rovněž v tomto případě hlavním bodem kritiky v disentu soudců Kateřiny Šimáčkové, Vojtěcha Šimíčka a Jiřího Zemánka.
Poslední rozhodnutí Soudního dvora EU
Dne 6. října 2020 SDEU vydal dva další rozsudky rozvíjející výše uvedená starší rozhodnutí. V případě rozsudku ve věci C 623/17 (Privacy International v. Secretary of State for Foreign and Commonwealth Affairs and Others) SDEU konstatoval, že předávání osobních údajů bezpečnostním složkám ze strany provozovatelů služeb elektronických komunikací spadá pod čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích. Na další předběžnou otázku pak SDEU odpovídá, že tomuto článku odporuje obecný a nerozlišující přenos informací bezpečnostním složkám a zpravodajským službám ze strany poskytovatelů služeb elektronických komunikací.
V druhém rozsudku z téhož dne ve spojených věcech C-511/18, C-512/18 a C-520/18 (La Quadrature du Net and Others v. Premier ministre and Others) SDEU konstatuje (bod 229), že čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích výslovně zapovídá plošné a nevýběrové data retention. SDEU plošné a nevýběrové shromažďování dat připouští pouze v případech závažného ohrožení bezpečnosti, a to na základě rozhodnutí příslušného orgánu do budoucna (tedy tzv. princip data freeze) a pouze po omezenou dobu trvání hrozby.
Preventivní shromažďování a uchovávání dat je podle SDEU možné pouze cíleně, v případech konkrétních hrozeb, při omezení na konkrétní okruh osob, případně na konkrétní geograficky vymezenou polohu nebo pouze po omezený čas. Jde tedy o výjimku, která se nemůže stát pravidlem použitelným na veškerou elektronickou komunikaci. Plošný a nevýběrový sběr údajů připouští SDEU pro účely boje proti závažné trestné činnosti a prevence závažných hrozeb pro veřejnou bezpečnost pouze v případě IP adres připojení k internetu po nezbytně omezenou dobu.
Jakými pravidly se řídit?
Zásadní rozpor v judikatuře SDEU a Ústavního soudu nastoluje otázku, jakými pravidly bychom se vlastně měli řídit. Měli by operátoři dál data uchovávat, jak jim přikazuje § 97 odst. 3 a 4 zákona o elektronických komunikacích, nebo by měli spíše upřednostnit zjevně špatně implementovaný čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích? A co mohou dělat jejich zákazníci?
SDEU opakovaně konstatoval, že sběr dat principem data retention je zásahem do základních práv a jde o oblast spadající pod právo EU. V takovém případě by se na aplikaci tohoto práva měl vztahovat čl. 51 odst. 1 Charty základních práv EU, který říká, že je nutné aplikovat ustanovení Charty. Zároveň jde podle SDEU plošné a nevýběrové zpracování provozních a lokalizačních údajů nad rámec výjimek, které z obecné povinnosti chránit osobní údaje na straně poskytovatelů služeb elektronických komunikací umožnuje přijmout čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích. Česká právní úprava je tak zřejmě v rozporu s ustanovením této směrnice a znamená to, že směrnice nebyla řádně implementována do českého právního řádu.
Jak dál?
Právo EU by mělo mít přednost před českou právní úpravou. Vyplývá to jak z čl. 4 odst. 3 Smlouvy o Evropské unii, která upravuje zásadu loajální spolupráce mezi státy a Společenstvím, tak z ustálené judikatury (např. rozhodnutí sp. zn. 6/64 ze dne 15. 6. 1964 ve věci Costa v. ENEL). Další otázkou, která ovšem rovněž byla v judikatuře SDEU vyřešena, je
přímý účinek směrnic v případě, kdy nedošlo k jejich řádné implementaci.
SDEU k tomu říká, že směrnice má přímý účinek, jsou-li její ustanovení bezpodmínečná, dostatečně jasná a přesná a pokud příslušná země EU netransponovala směrnici ve stanovené lhůtě. V daném případě lze dojít k tomu, že výklad ustanovení čl. 15 odst. 1 Směrnice o soukromí a elektronických komunikacích ve světle výše zmíněných judikátů SDEU naplňuje výše uvedené podmínky přímého vertikálního účinku směrnice. V souladu s dalšími rozhodnutími SDEU (např. rozsudek ve spojených věcech C 6/90 a C 9/90 – Frankovich proti Itálii) za chybnou neimplementaci směrnice, případně za její špatnou implementaci odpovídá stát. Ten nese zodpovědnost i za případnou škodu (či jinou újmu), která v souvislosti s jeho chybným postupem vznikla.
Otevírá se tak cesta jednotlivcům, aby po státu žádali přijetí takové právní úpravy, která by chránila jejich práva v intencích této směrnice a upravovala pouze výjimky, jež jsou v jejích intencích přípustné a které definoval SDEU. Už nyní je na místě žádat náhradu škody či zadostiučinění za nemajetkovou újmu, protože stát směrnici řádně neimplementoval.
Nabízí se možnost, aby operátoři začali odmítat plnění povinností dle národní právní úpravy odporující směrnici. Otevírá se ale i cesta obhajobě v trestních řízeních, aby začala zpochybňovat legálnost důkazů využívajících data ze systému data retention.
Bez aktivních kroků se lze od vlády dočkat spíše rozšiřování sledování v dalších oblastech. Dokládá to i velmi aktuální příklad, kdy ministerstvo zdravotnictví v pátek 27. 11. 2020 poslalo do připomínkového řízení v souvislosti s úpravou zákonů upravujících činnost hygieny i novelu zákona o elektronických komunikacích, která má umožnit hygieně přistupovat k lokalizačním údajům osob, u nichž byla prokázána nákaza infekční nemocí. Bez soudního povolení, bez úpravy zabezpečení dat, bez smysluplného zhodnocení dopadu na soukromí v důvodové zprávě…
Článek vznikl v rámci projektu Digitální watchdog organizace Iuridicum Remedium. Projekt podpořila Nadace OSF v rámci programu Active Citizens Fund, jehož cílem je podpora občanské společnosti a posílení kapacit občanských organizací. Program je financován z Fondů EHP a Norska.