Ochraně soukromí v současném „digitálním světě“, zejména v elektronických komunikacích, se intenzivně věnuji již řadu let. V legislativě a v soudní judikatuře České republiky i zbytku Evropské unie se toho v této oblasti stále děje dost.
Co se v ní odehrávalo loni a co lze očekávat letos? Posílila se v roce 2015 ochrana našeho soukromí, nebo naopak přibyly nástroje, které postupně, plíživě, ukusují z toho, čemu jsme dříve říkali „soukromí“?
Stejně jako dříve
Téměř před dvěma lety, v dubnu 2014, prohlásil Soudní dvůr EU za neplatnou takzvanou Data Retention směrnici, podle které členské státy EU ukládaly telekomunikačním operátorům povinnost uchovávat minimálně šest měsíců veškeré údaje o všech účastnících. Soud své rozhodnutí odůvodnil rozporem směrnice s Listinou základních práv EU.
Operátoři v řadě členských zemí EU celý loňský rok stejně jako dříve nadále uchovávali veškeré provozní a lokalizační údaje účastníků |
Ti, kdo očekávali, že Evropská komise (EK) místo zrušené směrnice co nejdříve navrhne novou právní úpravu, která bude reagovat na obavy a výtky nejvyššího soudního orgánu EU, se mýlili. Ani v roce 2014, ani v průběhu loňského roku se to nestalo a podle vlastního vyjádření se k tomu EK nechystá.
Navíc operátoři v řadě členských zemí EU celý loňský rok stejně jako dříve nadále uchovávali veškeré provozní a lokalizační údaje účastníků – jejich povinnost se řídila národními právními úpravami, které zůstaly nezměněny. Bude tomu tak i letos, nebo lze očekávat změny?
Slovenské odlišnosti
Možná právě proto, že celoevropská právní úprava je v nedohlednu, pokračoval v některých členských zemích EU i loni právní boj o národní Data Retention legislativu, respektive boj proti ní – záleží na úhlu pohledu. Zemí nám nejbližší, jazykově i kulturně, je bezesporu Slovensko.
Slovenská úprava se od aktuální české liší například dobou uchovávání či rozsahem a vymezením oprávněných orgánů |
Jeho Ústavní soud na návrh skupiny 31 poslanců Národní rady již dva týdny po verdiktu Soudního dvora EU pozastavil účinnost právní úpravy, podle které byli slovenští telekomunikační operátoři povinni údaje o svých zákaznících uchovávat. Loni 29. dubna pak ve věci finálně rozhodl – příslušná ustanovení slovenských zákonů zrušil.
Je však třeba podotknout, že slovenští poslanci podali návrh k Ústavnímu soudu již 10. října 2012 a rozhodnutí Soudního dvora EU proto pouze urychlilo odstartovaný proces. Nabízí se otázka, natolik zásadně se liší zrušená slovenská úprava od aktuální české – do značné míry, například dobou uchovávání, která byla na Slovensku u mnoha údajů dokonce dvanáct měsíců, či rozsahem a vymezením oprávněných orgánů.
Přiměřenější prostředky
Navzdory tomu však mnohé důvody pro zrušení uváděné slovenským Ústavním soudem platí i pro českou úpravu. Ta totiž také ukládá uchovávat údaje všech účastníků, ačkoli se většina z nich ani nepřímo není v situaci, která by mohla vést k trestnímu stíhání, a ani není důvod se domnívat, že by jejich chování mohlo mít alespoň nepřímou nebo vzdálenou souvislost se závažnými trestnými činy.
Pro českou úpravu platí, že sledovaného cíle – boje proti závažné trestné činnosti – je možno dosáhnout i jinými, přiměřenějšími prostředky, například uchováváním údajů do budoucna u konkrétních účastníků |
Také pro českou úpravu platí, že sledovaného cíle – boje proti závažné trestné činnosti – je možno dosáhnout i jinými, přiměřenějšími prostředky, například „data freezing“, tedy uchováváním údajů do budoucna u konkrétních účastníků. Ústavní soud ČR se však touto právní úpravou zabýval naposledy ve svých dvou nálezech z roku 2011, kdy příslušná ustanovení zákona o elektronických komunikacích zrušil (posléze byla v upravené podobě znovu přijata).
Není mi známo, že by se po zneplatnění směrnice v roce 2014 v této věci poslanci českého parlamentu či kdokoli jiný znovu na Ústavní soud ČR obrátil. Ústavní soud Slovenské republiky ostatně nebyl první, který po Soudním dvoru EU obdobně posoudil národní právní úpravu a zrušil ji.
Rakousko, Slovinsko, Švédsko
Již v roce 2014 obdobně rozhodly soudy například v Rakousku či Slovinsku. Nejsilnější právní boj v oblasti Data Retention aktuálně zažívá Švédsko, kde se střetávají místní operátoři a telekomunikační regulátor. Švédští operátoři se již několik hodin po vydání rozsudku Soudního dvora EU rozhodli neuchovávat provozní a lokalizační údaje svých zákazníků.
Nejsilnější právní boj v oblasti Data Retention aktuálně zažívá Švédsko, kde se střetávají místní operátoři a telekomunikační regulátor |
Švédský telekomunikační regulátor jim uložil, aby uchovávání obnovili, což operátoři napadli soudně a v rámci tohoto řízení se švédskému Tele2 podařilo přesvědčit odvolací správní soud ve Stockholmu, aby se v této věci obrátil na Soudní dvůr EU s žádostí o odpověď na předběžnou otázku.
Rozhodnutí zatím nepadlo a lze jen spekulovat, zda ve švédském odhodlání hraje roli skutečnost, že to bylo právě Švédsko, které v roce 2013 muselo EK na základě soudního rozhodnutí zaplatit tři miliony eur, protože do svého právního řádu nezahrnulo povinnosti dle Data Retention směrnice – rozhořčení je v podstatě spravedlivé a pochopitelné, jste-li pokutován za neprovedení směrnice, navíc jako jediný, a celá tato směrnice je následně prohlášena za neplatnou kvůli rozporu s úpravou základních práv.
Německo
Obdobnou pokutou hrozila EK i Německu. A nejen hrozila, podala na ně žalobu u Soudního dvora EU také pro porušení povinnosti provést do německého právního řádu Data Retention směrnici – domáhala se na něm 315,036 tisíce eur za každý den, což při celkovém několikaletém porušování povinnosti není zanedbatelná částka.
Německo se loni rozhodlo přijmout novou národní úpravu Data Retention, byť s krátkou dobou uchovávání údajů – maximálně deset týdnů |
Na rozdíl od Švédska zde však Soudní dvůr EU nestačil rozhodnout a po zneplatnění směrnice už bylo pozdě, EK tedy svou žalobu proti Německu vzala zpět. To se však loni paradoxně rozhodlo přijmout novou národní úpravu Data Retention, byť s krátkou dobou uchovávání údajů – maximálně deset týdnů.
Neodvažuji se předpovědět, jak se bude vyvíjet legislativa dalších členských států EU. Obávám se však, že navzdory rozhodnutím ústavních soudů po nedávných teroristických útocích bude trend povinnosti uchovávat údaje spíše posilovat než oslabovat. Jak se situace v této oblasti vyvíjela loni v ČR?
Návrh ministerstva průmyslu a obchodu
Přehled o počtech provozních a lokalizačních údajů, který každoročně zveřejňuje Český telekomunikační úřad (ČTÚ), zatím za rok 2015 zveřejněn nebyl, nicméně ze zpráv v médiích vyplývá, že i loni pokračoval trend zřejmý z předchozích každoročních přehledů ČTÚ – celkový počet provozních a lokalizačních údajů předaných oprávněným orgánům se rok od roku jednoznačně zvyšuje.
Ministerstvo průmyslu a obchodu loni navrhlo novelu vyhlášky, která by rozšířila uchovávané provozní a lokalizační údaje o cílovou IP adresu, jež dosud uchovávána není |
Ministerstvo průmyslu a obchodu navíc loni navrhlo novelu vyhlášky, která by rozšířila uchovávané provozní a lokalizační údaje o cílovou IP adresu, jež dosud uchovávána není, což by podle telekomunikačních operátorů v praxi znamenalo rapidní nárůst celkového objemu uchovávaných údajů.
Úřad pro ochranu osobních údajů tomuto návrhu vytkl chybějící vyhodnocení dopadů takového rozšíření na soukromí občanů. Navíc se podivil, že s ním návrh nebyl konzultován, byť je v odůvodnění uveden opak. O novele vyhlášky se nadále jedná, uvidíme, zda a v jaké podobě bude nakonec přijata. V porovnání s tím je další loni schválená změna, novela zákona o zpravodajských službách, která je nově opravňuje žádat od telekomunikačních operátorů údaje z databáze jejich účastníků, maličkostí.
Problematická skutečnost
Problémy, které vytýkal zrušené směrnici Soudní dvůr EU, obsahují tu ve větší, tu v menší míře národní úpravy většiny členských států EU – s výjimkou těch, kde byly zrušeny národním ústavním soudem. Pokud ne v jiných, pak minimálně v bodě, v němž Soudní dvůr EU označil za problematickou skutečnost, že údaje uchovávají soukromoprávní subjekty – telekomunikační operátoři –, přičemž ani nemají povinnost uchovávat údaje na území EU.
Soudní dvůr EU označil za problematickou skutečnost, že údaje uchovávají soukromoprávní subjekty – telekomunikační operátoři –, přičemž ani nemají povinnost uchovávat údaje na území EU |
Navzdory tomu, že formálně právně zůstávají národní zákony rozhodnutím Soudního dvora EU nedotčeny, bylo by žádoucí, aby jejich případný rozpor s úpravou základních práv občanů posoudily ústavní soudy. V této situaci mě překvapuje již téměř dvouleté mlčení prakticky všech relevantních orgánů, zejména na evropské úrovni.
Toto mlčení vyniká v porovnání s reakcí stejných orgánů na loňský rozsudek Soudního dvora EU ve věci týkající se údajů spravovaných sítí Facebook – kauza rakouského občana Maxmilliana Schremse proti irskému úřadu na ochranu osobních údajů. V ní šlo o zásadní rozhodnutí, které se však na rozdíl od zrušení Data Retention směrnice netýkalo EU, nýbrž USA, konkrétně předávání osobních údajů na jejich území.
Nadměrná oprávnění úřadů
Vždy se snáze kritizuje něco, co se týká jiných, možná i proto například jindy zdrženlivá Pracovní skupina pro ochranu osobních údajů zřízená podle článku 29, složená ze zástupců národních úřadů pro ochranu osobních údajů členských států EU a EK, ve svém stanovisku z 16. října 2015v souvislosti s USA uvedla, že státy, v nichž oprávnění úřadů přistupovat k informacím přesahují to, co je nezbytné v demokratické společnosti, nebudou považované za bezpečné pro předávání osobních údajů.
Státy, v nichž oprávnění úřadů přistupovat k informacím přesahují to, co je nezbytné v demokratické společnosti, by neměly být považované za bezpečné pro předávání osobních údajů |
Paradoxní je, že v řadě členských států EU je situace velmi podobná – Data Retention směrnice byla prohlášena za neplatnou z důvodu jejího rozporu s úpravou základních práv, národní zákony přijaté na jejím základě a k jejímu provedení však nadále existují a jsou v praxi používané.
Nelze tedy říct, že v řadě členských států EU „mají úřady oprávnění přístupu k informacím, které přesahují to, co je nezbytné v demokratické společnosti“? Doufám, že se EK, potažmo české eurokomisařce Věře Jourové, nakonec podaří dohodnout s USA oboustranně vyhovující řešení – zdá se, že rámcové dohody před několika dny dosáhly.
Kacířská otázka
V této souvislosti se však nemohu ubránit jedné kacířské otázce. Vede mě k ní jistá pokora, kterou člověk po letech právní praxe získá – neodsuzovat šmahem jako a priori špatné vše, co se liší od toho našeho, evropského. Otázka zní: Pokud mají v USA státech natolik špatnou úroveň ochrany osobních údajů, jak je možné, že stále fungují relativně bez problémů?
Není čas se zamyslet, zda se v Evropě míra regulací, včetně ochrany osobních údajů, neodtrhla od reality? |
Vysvětlením může být, že USA jsou – v porovnání s Evropou – nedemokratickou zemí. Někteří je však naopak považují v mnohém za svobodnější, než je naše stará dobrá Evropa, a to i v otázce odideologizovaného právního státu. Pokud by měly pravdu tyto hlasy, není čas se zamyslet, zda se v Evropě celková míra různých regulací, včetně ochrany osobních údajů, neodtrhla od reality?