Data retention v judikatuře Ústavního soudu a SDEU

08.04.2021

Autor: Mgr. Vítek Švejda, advokátní koncipient

Soudní dvůr Evropské unie se opět zabýval problematikou povinného uchovávání provozních a lokalizačních údajů o elektronické komunikaci.

Svým rozhodnutím ze dne 2. 3. 2021 ve věci C-746/18 tak přispěl dalším dílem do mozaiky aktů, které tuto problematiku řeší. Obstojí národní právní úprava, která řadu let zatím úspěšně ignoruje unijní judikaturu, i po tomto rozhodnutí?

Povinnost uchovávat metadata a jejich význam

Osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací (zejm. mobilní sítě, internet), mají v České republice již od roku 2005 v určité podobě povinnost uchovávat provozní a lokalizační údaje, tedy "údaje vedoucí k dohledání a identifikaci zdroje a adresáta komunikace a dále údaje vedoucí ke zjištění data, času, způsobu a doby trvání komunikace."

Ačkoliv je známo, že se jedná o tzv. metadata a obsah komunikace samotné této povinnosti nepodléhá, není radno zlehčovat význam metadat a informací, které se z nich dají získat. V první řadě doporučuji nahlédnout do prováděcího ustanovení k § 97 zElKom, konkrétně do § 2 vyhlášky č. 357/2012, která určuje konkrétní rozsah uchovávaných informací a nedá se říct, že by byla ve stanovení rozsahu uchovávaných dat shovívavá.

Význam metadat zdůraznil i Ústavní soud v níže zmíněném rozhodnutí Pl. ÚS 45/17, konkrétně v bodech 49 a 50: "Prostřednictvím shromažďovaných informací lze sestavit podrobný záznam pohybu jednotlivce i jeho osobní a komunikační profil (osobní vazby, prostředí, společenské postavení, politická orientace, zdravotní stav nebo sexuální orientace). Jednotlivcem je přitom každý uživatel mobilního telefonu a počítače, tedy téměř každý občan České republiky... Tzv. "metadata" o uskutečněné komunikaci (tj. vše kromě obsahu) mohou být z hlediska zásahu do soukromí jednotlivce ve skutečnosti mnohem cennější a fakticky i "nebezpečnější" než znalost samotného obsahu komunikace, neboť jsou strojově zpracovatelná a analyzovatelná; z výsledků takového zpracování pak lze usuzovat budoucí chování jednotlivce..."

Uchovaná metadata se následně mohou využít při boji s trestnou činností (§ 88a trestního řádu), pro účely pátrání a pro předcházení hrozeb v oblasti terorismu (§ 68 a § 71 zákona o Policii České republiky), pro plnění úkolů BIS, Vojenského zpravodajství nebo třeba ČNB při dohledu nad kapitálovým trhem. Právní úprava a judikatura se tak léta snaží najít rovnováhu mezi možností využívat metadata pro tyto účely, při kterých je jejich využití téměř nezbytné, a mezi zachováním práv subjektů, jejichž údaje jsou takto zpracovány a uchovány.

Vývoj právní úpravy a judikatury

Jak již bylo řečeno, v České republice byla povinnost uchovávat metadata elektronické komunikace zavedena zElKom v roce 2005, tedy proaktivně ještě před platností směrnice Evropského parlamentu a Rady 2006/24/ES o uchovávání údajů.[1]

Oba tyto předpisy by měly respektovat směrnici o soukromí a elektronických komunikacích 2002/58/ES (e‑Privacy směrnice).[2] Směrnice o uchovávání údajů to vyřešila šalamounsky a pro data dle ní uchovávaná zavedla v e-Privacy směrnici výjimku.

Tehdejší úprava neobstála v přezkumu Ústavního soudu, který povinnost uchovávat metadata zrušil nálezy sp. zn. Pl. ÚS 24/10 (§ 97 odst. 3 a 4 zElKom) a Pl. ÚS 24/11 (§§ 88 a 88a trestního řádu). Dle ÚS stanovení vágní a neurčité povinnosti bez vymezení jejího účelu a striktních požadavků na zabezpečení dat dochází k neúměrnému zásahu do práva na soukromí v podobě práva na informační sebeurčení (čl. 10 odst. 3 Listiny), které garantuje právo jednotlivce rozhodnout podle vlastního uvážení, zda a v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům.

Český zákonodárce reagoval na výtky Ústavního soudu a v roce 2012 přijal novelu zElKom a souvisejících předpisů (mj.trestního řádu), kterou opět zavedl retenční povinnost. Po novele předpisy už reflektovaly požadavky Ústavního soudu ze zmíněných nálezů, přičemž současně vycházely i ze směrnice o uchovávání údajů.

Rozhodnutí SDEU a jejich odezvy v ČR

Směrnice o uchovávání údajů ale byla Soudním dvorem zrušena rozhodnutím ve věcech C-293/12 a C‑594/12 ze dne 8. 4. 2014. Na směrnici, včetně výjimky, kterou kladla vůči e-Privacy směrnici, se tedy hledí, jako by nikdy nebyla. Důvodem pro zrušení směrnice je zejména fakt, že zásah do základních práv na respektování soukromého života a na ochranu osobních údajů, který představuje obecná povinnost uchovávání provozních a lokalizačních údajů uložená touto směrnicí, nebyl omezen na nezbytné minimum. Samotné zrušení směrnice samozřejmě neznamená, že státy musí vzít zpět provedenou transpozici, nicméně rozhodnutí obsahovalo i určitá vodítka toho, jak se bude judikatura v této oblasti dále vyvíjet, a zda jsou akty přijaté na základě zrušené směrnice slučitelné s unijním právem.

Logický vývoj těchto úvah představuje rozhodnutí SDEU ve věcech C-203/15 a C-698/15 ze dne 21. 12. 2016, dle kterého "Unijní právo brání plošnému a nerozlišujícímu uchovávání provozních a lokalizačních údajů, avšak členské státy mohou preventivně stanovit cílené uchovávání těchto údajů za výlučným účelem boje proti závažné trestné činnosti za podmínky, že takové uchovávání je omezeno na to, co je nezbytně nutné..." SDEU dále zdůraznil, že výjimky z ochrany osobních údajů (čl. 15 e-Privacy směrnice) byly činěny v mezích toho, co je naprosto nezbytné.

Česká právní úprava, pocházející z dob před zrušením směrnice o uchovávání údajů a před kritikou plošného uchovávání dat ze strany SDEU, na nové události nereagovala. I proto byla v roce 2017 napadena skupinou 58 poslanců u Ústavního soudu, kteří se domáhali jejího zrušení. Tento návrh byl zamítnut nálezem sp. zn. Pl. ÚS 45/17 ze dne 14. 5. 2019. Ústavní soud vycházel zejména z předpokladů, že elektronické komunikace mají čím dál větší vliv, že zločin se přesouvá do digitálního světa a že s ohledem na požadavky předvídatelnosti, jasnosti a přísnosti právní úpravy zasahující do práva na soukromí vlastně "Ústavní soud chrání soukromí jednotlivců více, než kdyby svým zásahem vytvořil prostor k hledání jiných, alternativních a méně transparentních cest... Výsledkem zavržení principu data retention by totiž nebyl stav, v němž by provozní a lokalizační údaje nevznikaly a nebyly uchovávány a využívány; důsledkem by byla naopak ztráta veřejnoprávních mezí a kontroly nad rozsahem uchovávání provozních a lokalizačních údajů, nad způsobem zabezpečení i jejich zpřístupňováním." Po provedeném testu proporcionality pak ÚS uzavřel, že povinnost plošného shromažďování a uchovávání provozních a lokalizačních údajů je ústavní, aniž by se blíže vyjádřil k závěrům SDEU.

Po vydání nálezu Ústavního soudu, kterým byla shledána právní úprava data retention ústavně konformní, se SDEU touto problematikou zabýval ještě několikrát. Nejvíce rezonovalo rozhodnutí ve věci C-623/17 a dalších spojených věcech ze dne 6. 10. 2020, kterým SDEU potvrdil, že unijní právo brání takové národní úpravě, která zavádí povinnost obecného a nerozlišujícího uchovávání metadat. Výjimku může představovat situace závažného ohrožení národní bezpečnosti nebo cílené ukládání metadat. V každém případě ale musí existovat jasná zákonná úprava, která zakotvuje přesná pravidla pro rozsah a aplikaci opatření, včetně ochrany před rizikem zneužití, přičemž takový zásah do soukromí musí být omezen pouze na případy, kde je tak nezbytně nutné. Například v souvislosti s bojem proti závažné trestné činnosti je dle SDEU cílený sběr metadat dostačující a povinnost plošného uchování se jím nedá odůvodnit.

V březnovém rozhodnutí ve věci C-746/18 potom SDEU opět zdůraznil, že unijní právo (primární i sekundární) brání legislativním opatřením, kterými se poskytovatelům služeb elektronických komunikací ukládá povinnost preventivního plošného a nerozlišujícího uchovávání provozních a lokalizačních údajů.

Závěr

Autor článku má za to, že současná národní úprava data retention obsažená v zElKom, trestním řádu a dalších předpisech, které počítají s využíváním provozních a lokalizačních údajů, je v rozporu s unijním právem vyloženým SDEU (zejm. s čl. 15 e-Privacy směrnice a čl. 7, 8, 11 a 52 Listiny). Česká právní úprava nerespektuje požadavek na to, aby výjimka z e-Privacy směrnice byla vykládána velmi restriktivně a opatření přijatá na základě ní mohla být použita jen v nezbytně nutných případech. Úprava v zElKom a trestním řádu sice byla poměrně nedávno posvěcena Ústavním soudem, jen těžko se ale vyrovná s pozdějšími rozhodnutími SDEU, které v podstatě zakazují stanovit povinnost obecného a nerozlišujícího uchovávání metadat tak, jak se děje v současné době.


[1] Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES.

[2] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací