Současná právní úprava data retention je dle Ústavního soudu ústavně konformní a tedy přípustná
Data retention je termín, kterým se označuje proces uchovávání provozních a lokalizačních údajů pro účely trestního řízení. Právě zákonná povinnost provádět data retention je uložena podnikatelům, zajišťujícím provozování veřejné komunikační sítě (dále jen jako „Operátor“) ve smyslu ustanovení § 97 odst. 3 a 4 zákona o elektronických komunikacích[1] (dále jen jako „ZEK“). Dle citovaného ustanovení je operátor povinen po dobu 6 měsíců uchovávat provozní a lokalizační údaje o každém uživateli. Opakovaně a dle našeho názoru také legitimně je však nastolována otázka, zda je takový zásah do soukromí přípustný a souladný s Ústavou a Listinou základních práv a svobod.
Jakých údajů se tedy povinnost data retention týká?
Jedná se o provozní a lokalizační údaje, přičemž jejich rozsah, jejich uchovávání a způsob jejich předávání a likvidaci v současné době upravuje vyhláška č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů, ve znění pozdějších předpisů.
Provozní údaje definuje ZEK jako jakékoliv údaje, zpracovávané pro potřeby přenosu zprávy sítí elektronických komunikací, nebo pro její vyúčtování. Jedná se o takové údaje, vedoucí k dohledání a identifikaci zdroje a adresáta komunikace a dále údaje, vedoucí ke zjištění data, času a způsobu trvání komunikace. Lokalizačními údaji jsou pak jakékoliv údaje, určující geografickou polohu zařízení uživatele. Jedná se zejména o následující údaje: informace o tom, komu bylo voláno, s kým bylo voláno či jak dlouho hovor trval, obdobné informace u SMS a MMS služeb. Dále informace o typu internetového připojení, identifikátor uživatelského účtu, IP adresa, datum a čas připojení do sítě Internet atd.
Samotný obsah zprávy, hovoru či informace se však za tento údaj nepovažuje a uchovávání obsahu je zákonem výslovně zakázáno.
Kdy je operátor povinen data retention poskytnout?
Tyto údaje je Operátor dle ustanovení § 88a zákona č. 141/1961, trestní řád, ve znění pozdějších předpisů (dále jen jako „TŘ“) povinen za níže uvedených podmínek poskytnout orgánům činným v trestním řízení (dále jen jako OČTŘ). Využití institutu vydání dat je možné se souhlasem nebo bez souhlasu sledované osoby.
Pokud souhlas nebyl udělen, nebo je tato osoba neznámá a primárním cílem využití institutu je její ztotožnění, musí být kumulativně splněny následující podmínky:
1) řízení je vedeno pro:
úmyslný TČ s horní hranicí sazby odnětí svobody nejméně 3 roky, nebo
pro některý z TČ dle § 182, § 209, § 230, § 231, § 353, § 354, § 357, §365 TZ[2], nebo
pro úmyslný TČ, kdy k vydání pachatele zavazuje vyhlášená mezinárodní smlouva,
a současně
2) sledovaného účelu nelze dosáhnout jiným způsobem, nebo by jiný postup dosažení účelu ztěžoval,
a současně
3) vydání údajů musí nařídit předseda senátu nebo samosoudce.
Daný institut je využíván při objasňování kybernetické kriminality, kdy OČTŘ nejprve zajistí dle ustanovení § 8 TŘ[3] digitální stopy (tedy například IP adresu, z jaké docházelo k neoprávněnému přístupu k e-mailu či na webové stránky) a následně dle § 88a TŘ zkoumá a komparuje u Operátorů, komu[4] byla daná IP adresa v daný okamžik přidělena.
Rozhodování Ústavního soudu
Ústavní soud se problematikou data retention zabýval již dvakrát.
Právní úprava data retention prošla zásadní proměnou. Nejprve došlo ke zrušení směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 (upravující data retention), následně došlo nálezem ÚS sp. zn. Pl. ÚS 24/11 ke zrušení předchozí národní úpravy, ukládající povinnost shromažďovat a poskytovat provozní a lokalizační údaje.[5]
Připomeňme, že důvodem zrušení předchozí právní úpravy data retention Ústavním soudem byl dle nálezu Pl. ÚS 24/10 (který zrušil tehdejší znění § 88 TŘ a „souvisejícím“ Pl. ÚS 24/11, který zrušil tehdejší znění § 88a TŘ) především nedostatek kritéria nezbytnosti, kdy tehdejší znění zákona požadovalo pouze nejasný účel „objasnění trestné činnosti“. Takové vymezení podmínky umožňovalo vyžádání a použití údajů téměř v libovolném trestním řízení. Především z těchto důvodů shledal ÚS plošný sběr data retention apriori nepřiměřený.
Evropská unie po zrušení směrnice 2006/24/ES na celounijní unifikaci této právní úpravy rezignovala, a ponechala ji na jednotlivých národních státech. Tuzemský zákonodárce reagoval výše popsanou právní úpravou promítnutou zejména do ust. § 88a TŘ a § 97 ZEK.
Nejnověji posuzoval Ústavní soud danou právní úpravu na základě podnětu ke zrušení výše uvedených ustanovení (§ 88a TŘ[6] a § 97 ZEK jakož i dalších) iniciovaného skupinou 58 poslanců. Navrhovatelé argumentovali neproporcionálním řešením ve vztahu k ústavně zaručenému právu na soukromí. Nejpodstatnějším z argumentů pro zrušení, které zazněly, byl argument, že se jedná o plošné a nevýběrové shromažďování údajů, které jsou potencionálně automatizovaně zpracovatelné.
Ústavní soud dne 14. 5. 2019 v plénu pod sp. zn. Pl. ÚS 45/17 dospěl k závěru, že právní úprava data retention je souladná s Ústavou.
Ústavní soud podrobil nové znění obvyklým testem proporcionality ve kterém zkoumal (1) vhodnost, (2) potřebnost, (3) přiměřenost dané legislativy.
O (1) vhodnosti (způsobilosti daného prostředku k dosažení cíle – v tomto případě objasnění trestné činnosti za využití data retention) neměl v řízení ÚS pochyby.
Potřebnost (2) zákonné úpravy shledal ÚS především z důvodu, že dle jeho názoru (například k objasnění kybernetické kriminality) neexistuje jiný ekvivalentní prostředek, než hromadné uchovávání formou data retention.
Současnou právní úpravu shledal ÚS (3) přiměřenou především z důvodu potřeby rychlého a efektivního odhalování kybernetické kriminality. Dle jeho vysloveného názoru (bod 104. nálezu) sice plošné shromažďování data retention představuje zásah do soukromí osob, zůstává však otázkou, zda by při absenci principu data retention nedocházelo k využití jiných, invazivnějších metod k získání informací.
Současné znění tedy bylo shledáno jako ústavně konformní. ÚS však zároveň nad plošným, neadresným a preventivním shromažďováním údajů pomyslně zdvihl prst s výstrahou, že pohled na konformitu data retention může být vzhledem k rychlému technologickému pokroku brzy změněn.
Je s podivem, že ÚS ve výše uvedeném nálezu nezohlednil existenci nového institutu „data freeze“[7], kterým český zákonodárce splnil povinnost plynoucí z Úmluvy o počítačové kriminalitě. Tato metoda nově umožňuje OČTŘ operativní a rychlé znepřístupnění a uchování digitálních dat pro účely trestního řízení, jako je například závadný digitální obsah či elektronické stopy.
Závěr
Dle našeho názoru se jedná o ekvivalentní prostředek, kterým lze dosáhnout stejného účelu, jako plošným shromažďováním data retention. Nemůžeme se tak ztotožnit se způsobem aplikace testu proporcionality tak, jak jej provedl ÚS. Využívání metody data freeze[8], tedy příkazu k zakonzervování digitálních stop k vyšetřování kybernetické kriminality, kdy vyšetřující orgány nemají možnost ověřovat data retention z minulosti, ale pouze v reálné době, využívá například Slovenská republika. V kombinaci s podstatně zkrácenou dobou, po jakou jsou uchovávána data retention, využívá institut data freeze[9] k vyšetřování kybernetické kriminality Spolková republika Německo.
Domníváme se, že jakýkoliv zásah do soukromí osob přímo vyžadovaný zákonem musí být za všech okolností podrobován nejpřísnějším hlediskům a jeho přípustnost volena zásadně prostředky co možná nejméně invazivními. Aktuální rozhodnutí Ústavního soudu zůstalo základnímu lidskému právu, kterým právo na ochranu soukromí nepochybně je, mnohé dlužen.
JUDr. Lenka Příkazská,
advokátka
Mgr. Michal Mohelský,
advokátní koncipient
[1] Zákonem o elektronických komunikacích je zákon č. 127/2005 Sb., o elektronických komunikací, ve znění pozdějších předpisů
[3] Krom institutu dožádání se nově jedná i o možnost využít institut data freeze dle § 7b TŘ, viz níže v textu.
[4] OČVTŘ zkoumají primárně přístupový bod do sítě Internet (např. modem či WiFi router), neboť IP adresa často nevypovídá o koncovém zařízení – jako je např. přenosný počítač)
[5] Ke zrušení směrnice došlo rozhodnutím Soudního dvora Evropské unie ve věci Digital Rights Ireland Ltd ze dne 8. 4. 2019, kdy bylo dovozeno, že je směrnice v rozporu s čl. 7 a 8 Listiny základních práv EU.
[7] Jedná se o institut § 7b TŘ, kterého lze využít je-li zapotřebí zabránit ztrátě, zničení nebo pozměnění dat důležitých pro trestní řízení. Tento příkaz je možné udělit osobě, která má data v držení (typicky subjekt, poskytující webhosting, či e-mailový účet). Institut se stal součástí TŘ od 1.2.2019.
[8] Data freeze zde použit ve smyslu i obdobného institutu dle § 7b TŘ, nikoliv identického institutu dle českého zákona.
[9] Taktéž viz poznámka 8
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
