Vyšlo na Lupě, 28.4.2014
Vytištěno z adresy: http://www.earchiv.cz/b14/b0428001.php3

Uchovávat provozní a lokalizační údaje nám už EU nenařizuje. My to v tom ale pokračujeme.

Soudní dvůr EU nedávno zneplatnil směrnici, ukládající členským státům zavést uchovávání provozních a lokalizačních údajů. Paradoxně to ale neznamená, že když už je uchováváme, musíme s tím přestat.

Soudní dvůr Evropské unie v nedávných dnech docela zamíchal kartami světa Internetu a telekomunikací. To když ve dvou samostatných kauzách vynesl dva významné výroky: první z nich se týká uchovávání provozních a lokalizačních údajů, alias data retention, a spočívá ve zneplatnění příslušné evropské směrnice z roku 2006, která tuto kontroverzní povinnost zavedla. Druhý výrok se týká problematiky tzv. náhradních odměn (známějších jako autorské poplatky) a pořizování kopií pro vlastní potřebu (například formou stahování z Internetu). Konkrétně v něm jde o to, zda při pořizování takovýchto kopií pro vlastní potřebu je či není nutné rozlišovat zdroj, ze kterého byla kopie pořízena.

Na obou těchto výrocích pak lze dokumentovat jeden zajímavý paradox vztahu unijního práva a národních práv členských zemí: zatímco v prvním případě zrušení unijní směrnice nemá bezprostřední dopad do národní legislativy a neznamená automatický konec národních úprav data retention, které z ní vychází, ve druhém případě je to obráceně: zde se verdiktem soudu (a jím nařízenou interpretací) budeme muset řídit právě na národních úrovních.

V tomto článku se podrobněji zastavíme u prvního výroku. Druhý si necháme na samostatný článek.

Data retention a asymetrie práva

Čtenářům Lupy snad netřeba podrobněji vysvětlovat, co je podstatnou data retention, alias „uchovávání provozních a lokalizačních údajů“. Když se ale nyní bavíme o zneplatnění příslušné evropské směrnice z roku 2006, která tuto povinnost zavedla, je vhodné si připomenout, že v ČR jsme si povinnost data retention zavedli iniciativně sami, a to ještě dříve, než zmíněná evropská směrnice nabyla účinnosti.

Stalo se tak skrze §97/3 zákona č. 127/2005 Sb. (o elektronických komunikacích), s účinností od 1.5.2005, který připravilo tehdejší Ministerstvo informatiky. Naproti tomu evropská směrnice o data retention (2006/24/ES) je datována k 15. březnu 2006, a požaduje svou transpozici (zapracování do národních legislativ) do 15. září 2007. Navíc s tím, že jednotlivé členské země mohou ještě odložit část svých povinností až do 15.3.2009.

Česká republika tohoto práva využila také, a odložila povinnost data retention o 36 měsíců, pokud jde o připojení k Internetu, internetovou telefonii a elektronickou poštu. Což je docela zajímavé i proto, že naše právní úprava data retention z roku 2005 byla (alespoň podle mého názoru) dokonce ještě přísnější než unijní směrnice a pamatovala i na uchovávání provozních údajů o připojování k Internetu, o volání po Internetu i o odesílání jednotlivých zpráv atd. (podrobněji viz tento můj dobový článek, nebo přímo vyhláška 485/2005 Sb.,  která rozsah údajů specifikovala). Ale možná zde byly nějaké „právní“ rozdíly, kvůli kterým jsme také požádali o odklad.

Zpět ale k dnešku, resp. k začátku dubna, kdy Soudní dvůr EU po předchozím stanovisku svého generálního advokáta Pedra Cruze Villalóna vynesl 8.4.2014 svůj verdikt v jedné konkrétní kauze – a v rámci tohoto verdiktu zneplatnil příslušnou směrnici o data retention (2006/24/ES):

Dnešním rozsudkem prohlašuje Soudní dvůr směrnici za neplatnou

S dovětkem, že „Vzhledem k tomu, že Soudní dvůr neomezil časové účinky rozsudku, je prohlášení neplatnosti účinné ode dne, kdy směrnice vstoupila v platnost“.

Teď ale: co takovéto zneplatnění (navíc: od samého počátku, resp. platnosti) v praxi znamená?

Znamená to, že se automaticky stávají neplatnými všechny transpozice této směrnice? Tedy všechny národní právní úpravy, které z této směrnice vychází? Nebo to není zcela automatické, a jednotlivé národní právní úpravy musí zrušit k tomu kompetentní národní orgány, s tím že mají povinnost tak učinit? Nebo je to ponecháno na jejich dobrovolnosti, s tím, že se pouze očekává, že tak učiní? Nebo je to ještě jinak, a i samotné rozhodnutí zda zrušit, či ponechat v platnosti) je na příslušných národních orgánech s tím, že jim nikdo neříká ani nedoporučuje, jak se mají zachovat?

Přeskočme nyní právní rozbor celé záležitosti (který by patřil na jiný server, a také jinému autorovi), a pojďme rovnou k výsledku: většina názorů (za všechny alespoň jeden jejich přehled) inklinuje k poslední možnosti. Tedy k tomu, že rozhodnutí „ponechat či zrušit“ je plně na příslušných národních orgánech,  a samotná Unie jim nehodlá ani doporučovat či dávat nějaké vodítko ohledně toho, jak se mají zachovat.

Argumentem je přitom to, že směrnice sice zavádí určité povinnosti, ale jejich naplnění (včetně volby způsobu, jak toho dosáhnout) je již na jednotlivých členských zemích, a tedy nezávislé na původní směrnici. S jejich zneplatněním tudíž „nepadají pod stůl“.

Jinými slovy došlo k tomu, že zneplatněním směrnice zanikla povinnost členských států zavést data retention (navíc v podobě, slučitelné se směrnicí). Nevznikla ale povinnost takovouto právní úpravu zrušit, pokud již existuje.

Takže pokud by mezi členskými státy byl některý, který povinnost data retention ještě neimplementoval, nyní tak již nemusí činit. Ale ty členské země, které tak již učinily a svou právní úpravu data retention již přijaly, ji rušit nemusí, protože rozhodnutí soudního dvora nepřináší zákaz národních právních úprav.

Nás, zde v ČR, se týká právě tento poslední případ: svou právní úpravu data retention jsme si již zavedli, a to dokonce ještě dříve, než nám to jako povinnost uložila (dnes již neplatná) směrnice.

Zdůrazněme si také, že podstatným momentem je zde forma směrnice (direktivy), která není přímo účinným právním předpisem, ale musí se nejprve transponovat („promítnout“) do národní legislativy. Pokud by celá problematika byla řešena přímo účinným právním předpisem, tedy formou nařízení či rozhodnutí, pak by situace vypadala úplně jinak: takovéto přímo účinné předpisy platí ve všech členských zemích „přímo“ i v tom smyslu, že se netransponují do národních legislativ. Proto jejich případné zrušení (zneplatnění) by se projevilo ve všech členských zemích, a to automaticky, ihned a také stejně.

Ale zde se bavíme o povinnosti data retention, zavedené formou směrnice, a nikoli formou přímo účinného právního předpisu.

Kdo to u nás zvedne?

Na druhou stranu je vhodné si uvědomit, že Soudní dvůr EU neprohlásil směrnici 2006/24/ES za neplatnou „jen tak, pro nic za nic“, ale měl zcela konkrétní výhrady k tomu, jak konkrétně je celá problematika v příslušné směrnici „zakotvena“. V kostce by se to dalo shrnout tak, že autoři směrnice nedosáhli potřebné „přiměřenosti“:

Soudní dvůr má ovšem za to, že unijní zákonodárce překročil přijetím směrnice o uchovávání údajů hranice vymezené požadavkem na dodržování zásady proporcionality.

Jde hlavně o vyvážení přínosů a negativních dopadů: soudnímu dvoru se nelíbila zejména plošnost (šíře) narušování soukromí, nedostatečná vazba jen na nejzávažnější kauzy (trestné činy), příliš benevolentní požadavky na nakládání s uchovávanými údaji, i jejich získávání. Včetně toho, že získávání uchovávaných údajů „nepodléhá předchozí kontrole ze strany soudu nebo nezávislého správního orgánu“.

Pokud tedy přijmeme předpoklad, že „vše je na národních orgánech“, je asi na místě doufat, že se příslušné národní orgány nad vším alespoň „zamyslí“. Tedy že se podívají na argumenty Soudního dvora a zváží, zda jsou aktuální i v jejich zemi a vůči jejich národní právní úpravě data retention.

U nás je kompetentním orgánem Ministerstvo průmyslu a obchodu, které má v gesci problematiku elektronických komunikací, a tudíž i zákon č. 127/2005 Sb. (o elektronických komunikacích), v rámci kterého je naše právní úprava data retention obsažena (viz již zmiňovaný §97/3). Dalším „zainteresovaným“ resortem je určitě vnitro, protože zejména policejní složky jsou asi nejčastějším „odběratelem“ provozních a lokalizačních informací.

Problematika data retention se ovšem týká i Českého telekomunikačního úřadu, který bdí nad telekomunikačním trhem jako takovým, a tudíž i nad tím, jak operátoři a provideři naplňují povinnosti v oblasti data retention, zakotvené v zákoně o elektronických komunikacích.

Podle neoficiálních informací již proběhla společná schůzka těchto tří subjektů, kde se řešily dopady popisovaného verdiktu Soudního dvora EU. Výsledkem mělo být konstatování, že na tuzemské právní úpravě data retention není nutné nic měnit. Ani ji rušit.

Dosáhne změny občanský sektor?

Cesta ke změně naší národní úpravy data retention naštěstí nemusí jít pouze přes příslušná resortní ministerstva. Ostatně, ukázalo se to i v minulosti, kdy k určité změně skutečně došlo: na základě podnětu, který iniciovalo sdružení Iuridicum Remedium, a který podala skupina 51 poslanců, zrušil Ústavní soud v roce 2011 příslušné pasáže zákona č. 127/2005 Sb., o elektronických komunikacích, a také prováděcí vyhlášku č. 485/2005 Sb (podrobněji). Nelíbila se mu především absence jakékoli vazby jen na závažnou trestnou činnost, usnadňující zneužití provozních a lokalizačních údajů (díky možnosti vyžádat si je kvůli kdejaké „prkotině“). Stejně jako nedostatečné požadavky na zabezpečení těchto dat při jejich uchovávání a nakládání s nimi.

Následně, v roce 2012, se povinnost data retention do naší právní úpravy zase vrátila. Ovšem již v pozměněné podobě, respektující předchozí verdikt Ústavního soudu (podrobněji). Byť s některými „novými mouchami“ (podrobněji).

V zásadě by se ale dalo říci, že naše právní úprava data retention prošla určitou „očistnou kúrou“, a zbavila se tak některých prvků, které kritizuje i nynější verdikt Soudního dvora EU. Jenže nejde o všechny prvky, které Soudní dvůr shledal nepřípustnými. Jde zejména o samotnou „plošnost“ sběru provozních a lokalizačních údajů, ale třeba i o takové věci, jako „předchozí kontrola ze strany soudu nebo nezávislého správního orgánu“. Tím nadále trpí i naše stávající právní úprava data retention.

Jak jsme si již naznačili výše, orgány státu zřejmě nevidí potřebu naši stávající právní úpravu jakkoli měnit. To ale neznamená, že by se o totéž nemohl pokusit někdo další, a zopakovat situaci z roku 2011. I když k samotné změně je oprávněn pouze Parlament nebo Ústavní soud, podnět a prvotní iniciativa může přijít odkudkoli. Třeba od samotných operátorů a providerů. Nebo z občanského sektoru. Nezopakuje svůj předchozí úspěch třeba právě sdružení Iuridicum Remedium (IURE)?

Podle odpovědi, kterou jsem dostal na svůj dotaz, se o to sdružení IURE skutečně chce pokusit:

Z rozhodnutí SDEU vyplývá, že samotný princip data retention, jakožto plošného nevýběrového sběru dat je nepřijatelný. Přestože se tedy řada dalších výtek soudu na českou právní úpravu nevztahuje, protože tyto problémy jsou v ní řešeny, tak tento zásadní problém vyřešen není. Jedinou cestou je pak zrušení povinnosti operátorů data uchovávat. V současné době analyzujeme možnosti, jak co nejrychleji změny dosáhnout.

Odpověď naznačuje i možné cesty, jak změny dosáhnout:

 Vedle legislativního zásahu, který by mělo iniciovat ministerstvo průmyslu a obchodu či ministerstvo vnitra přichází v úvahu i poslanecká iniciativa. Další možností může být podání návrhu na zrušení příslušných částí zákona o elektronických komunikacích k ústavnímu soudu, což je cesta, kterou jsme úspěšně využili u starší implementace směrnice o data retention před třemi lety.
Vzhledem k tomu, že stávající česká právní úprava fakticky v tuto chvíli nesprávně transponuje tzv. e-privacy směrnici, konkrétně její čl. 15, který stanoví limity pro uchovávání dat na něž je nutné rozhodnutí SDEU rovněž vztáhnout, přichází v úvahu i iniciace řízení pro špatnou implementaci směrnice u evropské komise. V nejbližší době se ukáže, jaká z těchto cest by mohla být nejefektivnější. V každém případě změna stávajícího stavu, který je v rozporu s ústavními pravidly pro ochranu soukromí a ochranu osobních údajů považujeme za zcela nezbytnou.

Mimochodem, právě od sdružení Iuridicum Remedium a jeho studie pochází jedno velmi významné zjištění: že objasněnost trestných činů na dostupnosti provozních a lokalizačních údajů až tolik nezávisí. Zejména policejní složky ale rády a často argumentují tím, že je to naopak: že tyto údaje jsou pro ně klíčové, a při jejich nedostupnosti významně poklesne jejich schopnost objasňovat trestnou činnost.

To by ale nutně znamenalo, že třeba v roce 2011, kdy kvůli popisovanému verdiktu Ústavního soudu přestaly být provozní a lokalizační údaje pro policejní složky dostupné, by procento objasněnosti mělo významně klesnout. Leč to se nestalo:

Z údajů poskytnutých Policií vyplývá, že ačkoli došlo v reakci na nález Ústavního soudu od poloviny dubna 2011 k rapidnímu poklesu počtu žádostí o provozní a lokalizační údaje, tak toto se nijak neodrazilo na míře kriminality nebo na úrovni její objasněnosti v roce 2011.

Obdobné závěry potvrzují i další studie za zahraničí, jako například tato kriminologická studie z Německa.

Situace na Slovensku

Na závěr si ještě řekněme, k jakému zajímavému vývoji došlo na Slovensku: tamní Ústavní soud minulý týden (konkrétně 23. dubna 2014) pozastavil účinnost slovenské právní úpravy data retention (konkrétně § 58 ods. 5 až ods. 7 a § 63 ods. 6 zákona č. 351/2011 Z.z. o elektronických komunikáciách).  

Formálně ale nejde o reakci na výše popisovaný verdikt Soudního dvora Evropské unie, nýbrž o krok v rámci projednávání návrhu, který již v říjnu loňského roku podalo 30 poslanců Národní rady SR: slovenský Ústavní soud nyní rozhodl pouze o tom, že se tímto podáním bude dále zabývat. V tiskové zprávě, kterou k tomu slovenský Ústavní soud vydal, také není rozhodnutí Soudního dvora EU ani zmíněno.

Bude zajímavé sledovat, jak se v budoucím verdiktu slovenského Ústavního soudu odrazí názor Soudního dvora EU a jeho již vyneseného verdiktu o zneplatnění unijní směrnice. Lze asi předpokládat, že slovenský soud vezme dění na úrovni Unie v úvahu. Již jen proto, že i samotné podání po něm požaduje, aby se obrátil na Soudní dvůr EU s otázkou, zda je samotná unijní směrnice (2006/24/ES) a v ní zakotvený princip data retention v souladu s Chartou základních práv EU.

Za zdůraznění ovšem stojí i samotná skutečnost, že slovenský Ústavní soud již rovnou pozastavil účinnost napadených paragrafů. Vlastně jde o předběžné opatření, přijaté v době, kdy Ústavní soud ještě vůbec nerozhodl ve věci samotné. A pokud správně čtu samotné podání a jeho petit, takovéto předběžné opatření ani nebylo požadováno.

Má někdo ze čtenářů povědomí o tom, zda je přijetí takovéhoto předběžného opatření (formou pozastavení účinnosti konkrétních ustanovení) u slovenského Ústavního soudu spíše obvyklé, neb spíše neobvyklé?