Data retention dostalo stopku už i v ČR
Po Německu, Rumunsku, Bulharsku a Kypru zrušil i český Ústavní soud jako protiústavní ty části zákona, které požadují plošné a dlouhodobé uchovávání provozních a lokalizačních údajů.
V oblasti data retention, alias uchovávání provozních a lokalizačních údajů, patří Česká republika jednoznačně mezi špičky v celé EU. A to jak rozsahem této úpravy, tak i její vágností, a stejně tak i mírou využívání (či možná zneužívání) tohoto mechanismu. Pochopitelně se tím nikde moc nechlubíme – a nově ani nebudeme moci chlubit. Minulý týden totiž náš Ústavní soud zrušil jako protiústavní příslušné pasáže zákona č. 127/2005 Sb., o elektronických komunikacích a prováděcí vyhlášku č. 485/2005 Sb. Podobně, jako to již udělaly ústavní soudy v Německu, Rumunsku, Bulharsku a na Kypru. Nemluvě ještě o dalších zemích (jako je třeba Rakousko či Švédsko), kde tuto právní úpravu – vycházející ze směrnice EU - vůbec nepřijali.
Kdo si to vymyslel?
Čtenářům Lupy snad netřeba podrobněji rozvádět, o co vlastně jde. Proto jen stručně: v určité historické době (nejspíše po událostech ze září 2000 v USA) si bezpečnostní složky prosadily, aby pro ně operátoři a provideři museli sbírat celou řadu údajů o všech aktivitách ve svých telekomunikačních sítích. A to zcela plošně (pro všechny účastníky) a „dopředu“ (ještě bez jakéhokoli podezření na nějaké závadné chování), a také je uchovávat po dlouhou dobu (nejméně 6 měsíců) – s tím, že ony bezpečnostní složky by si je následně, v případě svého zájmu, prostě jen vyžádaly a využily.
Bezpečnostní složky si toho „navymýšlely“ opravdu hodně. Chtěly znát nejenom „provozní“ údaje, například o tom kdo komu volal či SMSkoval (z jakého čísla na jaké, jak dlouho), či kam se nedovolal (tj. zajímají je i neuskutečněné hovory, resp. tzv. prozvánění), ale také údaje „lokalizační“ (kde se právě nacházel, když někomu volal, z jakého přístroje atd.). A jelikož dnes lidé komunikují i po Internetu, byl záběr těchto „provozních a lokalizačních údajů“ rozšířen i o ty „internetové“: odkud, kdy a na jak dlouho se kdo připojoval k Internetu, kdy se díval do své poštovní schránky či komu posílal jaký nějaký email či od koho nějaký dostal. A také jaké webové servery navštívil a co po nich chtěl, s kým si chatoval., volal v rámci IP telefonie atd.
V případě internetových služeb si bezpečnostní složky naštěstí prosadily vše v „cílové“, a nikoli „zdrojové“ podobě. Takže třeba monitorování přístupů na webové servery není (v rámci popisované úpravy) požadováno v té podobě, aby internetový provider zaznamenával, jaké požadavky generuje browser uživatele v jeho síti (například). Tedy aby monitoroval a evidoval, co a jak uživatel na Internetu dělá. Požadováno je, aby provozovatel konkrétního serveru věděl (a uchovával), co, kdo a kdy po jeho serveru chtěl (z jaké IP adresy mu přicházely požadavky a co přesně chtěly, pomocí jakého URL atd.). Což je přeci jen rozdíl.
Stejně tak „naštěstí“ se takovéto povinnosti vztahují jen na telekomunikační operátory a internetové providery, a nikoli na ostatní poskytovatele on-line služeb. Celá úprava se totiž týká jen provozovatelů sítí a služeb elektronických komunikací (kteří „spadají“ pod zákona č. 127/2005 Sb. o elektronických komunikacích), a nikoli tzv. služeb informační společnosti. Ta je v ČR ošetřena zákonem č. 480/2004 Sb. (o některých službách informační společnosti), který například řeší problematiku spammingu či odpovědnost providerů za obsah v jejich sítích.
Takže třeba monitorování veškeré emailové korespondence (přístup do schránky, příjem a odesílání zpráv) se v rámci data retention týká jen těch emailových služeb, které provozují sami operátoři a provideři. Nikoli další subjekty, pro které to není služba elektronických komunikací. Obdobně pro webové servery atd. To ale neznamená, že k jejich „provozním a lokalizačním údajům“ by se různé bezpečnostní složky nedostaly – mohou se dostat, ale v rámci „svých“ zvláštních zákonů, na jejichž základě mohou požadovat součinnost od příslušných provozovatelů.
Právě tento aspekt přitom ukazuje na jeden z hlavních problémů data retention, alias uchovávání provozních a lokalizačních údajů: pokud bezpečnostní složky postupují podle „svých“ zvláštních zákonů, které definují jejich pravomoci, musí být jejich požadavky mnohem více „adresné“ (musí již mít konkrétní podezření), a stejně tak jsou jejich požadavky dozorovány (musí je schválit soud). Takže je zde určitým způsobem pamatováno i na „přiměřenost“ a účelnost. Navíc součinnost podle těchto speciálních zákonů funguje „dopředně“ a nikoli zpětně: ten, kdo je povinen součinnost poskytovat, tak činí až od okamžiku kdy je k tomu vyzván – a nemusí podnikat konkrétní aktivity „dopředu“, ještě než je k součinnosti vyzván.
Naproti tomu u data retention na „přiměřenost“ a „adresnost“ pamatováno není. Zde se provozní a lokalizační údaje shromažďují plošně, jakoby „pro strýčka Příhodu“, bez jakéhokoli podezření, v nebývale širokém rozsahu, a hlavně „zpětně“ (nejméně 6 měsíců do historie). A jejich poskytnutí „oprávněným orgánům“ není dozorováno, protože nevyžaduje souhlas soudu, resp. soudních orgánů.
K tomu je také vhodné dodat, že existuje i „opačný“ rozdíl: pokud bezpečnostní složky postupují „jinak“ (na základě svých speciálních zákonů, či paragrafu 97/1 zákona č. 127/2005, který definuje odposlechy), mají možnost dostat se i k obsahu komunikace. To u data retention nikoli, protože zde se obsah samotné komunikace neuchovává. Jak ale nyní seznal Ústavní soud, ono to nehraje až tak velkou roli – protože z obrovského množství informací, které jsou v rámci data retention sbírány a uchovávány, lze to podstatné tak jako tak odvodit.
A ještě jeden podstatný postřeh: pokud je data retention chápáno jako opatření proti lidem lidi s nekalými úmysly, pak toto opatření lze triviálně obejít, Stačí používat předplacené SIM karty, které jsou stále anonymní. I o nich se sice všechny provozní a lokalizační údaje uchovávají – ale pokud si „(zne)uživatel“ dá aspoň trochu pozor, nedá se poznat, ke komu se vztahují.
ČR papežštější než papež
Právní úprava data retention v ČR vychází z unijní direktivy (konkrétně Směrnice Evropského parlamentu a Rady 2006/24/ES), proti které se zvedla opozice snad v celé EU. Někde se ji dlouho zdráhali transponovat (jako třeba Irsku či Nizozemí), a někde tak neučinili dosud (viz již zmiňované Rakousko a Švédsko).
U nás jsme právní úpravu data retention transponovali naopak dokonce ještě dříve, než jsme museli. Stalo se tak skrze zákon č. 127/2005 Sb., o elektronických komunikacích, který už podle svého označení nabyl účinnosti v roce 2005. Stejně tak jeho „prováděcí“ vyhláška č. 485/2005 Sb.
Pokud jste si ale dobře všimli, příslušná evropské směrnice (2006/24/ES) byla vydána až o rok později, v roce 2006! Tehdejší Ministerstvo informatiky ČR tedy pracovalo poněkud „horlivěji a proaktivněji“, než muselo. Bohužel i v některých dalších aspektech.
Příslušná evropská směrnice totiž umožnila rozložit povinnost implementace data retention do více etap: členské státy mohly požádat o odklad pro implementaci některých konkrétních požadavků. Obvykle toho využily pro uchovávání „internetových“ provozních a lokalizačních údajů, které co možná nejvíce odložily. Výjimku v tomto smyslu si vyžádala i ČR – ale místo toho, aby ji využila, tak si uchovávání „internetových“ provozních a lokalizačních údajů (ve výše popisovaném „cílovém“ smyslu) sama nařídila nikoli s odkladem, ale naopak s předstihem (již od roku 2005). A dokonce si ještě přisadila, když nad rámec požadavků unijní direktivy požadovala ještě takové věci, jako uchovávání údajů o objemu přenesených dat (v rámci připojení k Internetu), či o tom, zda přenos byl či nebyl šifrovaný. A v rámci telefonních služeb jsme nad rámec požadavků směrnice požadovali ještě uchovávání údaje o předplacené telefonní kartě, použitém veřejném telefonním automatu, číslech použitých dobíjecích kupónů či vazbě mezi mobilem a vloženou SIM kartou atd.
A tak v době, kdy naše výjimka končila, došlo ke skutečně paradoxní situaci: poslanci schvalovali novelu (zákona č. 127/2005 Sb., o elektronických komunikacích), která měla rozsah uchovávaných údajů spíše zmírnit, nikoli rozšířit. Ubyly hlavně přílišné „internetové“ požadavky, například na objem přenesených dat. U telefonních služeb však byl přeci jen přidán požadavek na uchovávání údajů o neuskutečněných hovorech (tzv. prozvánění).
Jenže, a to je další paradox, který nynější nález Ústavního soudu podrobněji nerozebírá: ačkoli příslušnou novelou z roku 2008 skutečně došlo k redukci rozsahu uchovávaných provozních a lokalizačních údajů, příslušná prováděcí vyhláška (485/2005 Sb.) již změněna nebyla. Novela sice její změnu předpokládala a navrhovala (podrobněji viz můj tehdejší článek zde na Lupě) – ale nakonec se tak nestalo. A tak stále platí původní vyhláška č. 485/2005 Sb., s požadavky na data retention jdoucími dosti vysoko nad rámec toho, co požaduje unijní směrnice, a dokonce i nad rámec toho, co požaduje náš vlastní (již novelizovaný) zákon.
Jak rozhodl Ústavní soud?
Stávající právní úprava uchovávání provozních a lokalizačních údajů (data retention) se za dobu své existence stala terčem řady kritik. Za rozhodnutím Ústavního sudu z minulého týdne ale stojí jedna konkrétní stížnost, kterou vypracovalo sdružení Iuridicum Remedium a kterou podpořila skupina 51 poslanců (hlavně z ODS), zastupovaná poslancem Markem Bendou. Tato stížnost byla podána k Ústavnímu soudu v březnu 2010 – a nyní, přesně po roce, dospěl Ústavní soudu k verdiktu. V něm vyhověl návrhu na úplné zrušení příslušných pasáží zákona č. 127/2005 Sb., o elektronických komunikacích (konkrétně paragrafu 97 odst. 3 a 4), a prováděcí vyhlášky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů:
Ústavní soud seznal, že napadená právní úprava porušuje ústavněprávní limity, neboť nesplňuje požadavky plynoucí z principu právního státu a je v kolizi s požadavky na omezení základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny, které plynou z principu proporcionality.
Nález Ústavního soudu nabude účinnosti dnem jeho vyhlášení ve Sbírce zákonů, což lze očekávat nejdéle do 14 dnů.
Tento nález ale neřeší, co a jak se má stát s daty, která operátoři a provideři již v rámci data retention nashromáždili. Nenařizuje jim tato data okamžitě smazat – pouze ruší dosavadní povinnost je uchovávat. Nemění nic ani na tom, že operátoři a provideři mohou pracovat s takovými daty, jaké potřebují pro svou činnost (například pro billing, či pro řešení případných sporů kolem billingu atd.), a se kterými musí nakládat podle pravidel zákona o ochraně osobních údajů.
Stejně tak nynější nález neznamená, že by s problematikou data retention byl jednou provždy konec. Jelikož příslušná evropská směrnice (Směrnice Evropského parlamentu a Rady 2006/24/ES) nadále platí (nebyla dosud zrušena ani změněna), musí ji ČR jako členská země transponovat do své legislativy. Nynějšímu nálezu Ústavního soudu pak lze rozumět ve smyslu „takto ne“.
A co vlastně vadilo Ústavnímu soudu na stávající právní úpravě? Proč dal za pravdu předkladatelům stížnosti, což byla skupina 51 poslanců převážně z ODS? Tedy stejné strany, která při poslední novelizaci v roce 2008 patřila do koalice, která nynější podobu sama zavedla? Proč ji tehdy schválila a nikoli zrušila – a teď se domáhá revize svých vlastních kroků skrze Ústavní soud? Tomu to mimochodem vadilo, takže si ve zdůvodnění svého nálezu neodpustil poznámku tímto směrem.
Ústavnímu soudu se na stávající úpravě data retention nelíbila řada věcí. Kromě zde již zmiňovaných aspektů (jako bezbřehost či neadresnost, absence podezření atd.) si všiml například toho, že z naší právní úpravy se zcela vytratil aspekt, který na úrovni evropské směrnice naopak je přítomný: omezení jen na závažnou trestnou činnost. U nás ale uchovávání, a hlavně poskytování provozních a lokalizačních údajů není nijak vázáno na to, k čemu je kdo potřebuje, natož pak omezeno jen na potřeby vyšetřování závažné trestné činnosti. Takže může jít i o nějaké bagatelní záležitosti – ale naopak za cenu významných zásahů do soukromí a práv občanů. A to Ústavní soud zhodnotil jako zásadní disproporci, resp. porušení zásady proporcionality.
V protikladu s tím konstatoval, že zavedení data retention nemělo téměř žádný vliv na snížení počtu spáchaných závažných trestných činů ani na míru jejich objasňování. Nás Ústavní soud se v tomto ohledu nejprve odkázal na obdobné zjištění v Německu, a pak konstatoval že:
Obdobné závěry lze přitom učinit i při zběžném pohledu na statistické přehledy kriminality na území České republiky zveřejňované Policií České republiky, např. srovnání statistických údajů za období let 2008 až 2010 (dostupné zde).
Stejně tak se Ústavnímu soudu nelíbilo, že nejsou podrobněji specifikovány požadavky na to, jak má být s uchovávanými provozními a lokalizačními údaji nakládáno. Třeba jak mají být zajištěna proto zneužití. V neposlední řadě si všiml i toho, že vlastně není vůbec jasné, komu mohou být tyto provozní a lokalizační údaje podle dosavadní právní úpravy poskytovány.
Tuto nejasnost pak Ústavní soud i názorně demonstroval. Ve zdůvodnění svého nálezu (čl. 46) totiž uvedl vlastní výčet oprávněných subjektů, který opřel o § 97 odst. 1 zákona o elektronických komunikacích – a díky tomu mu vyšlo, že mezi ně patří i Bezpečnostní informační služba (BIS). Jenže sama BIS, ve snaze tyto údaje získávat, zřejmě dospěla k opačnému zjištění, a tak nedávno iniciovala krátkou novelu zákona, která by jí tuto možnost poskytla.
Jaká je síla data retention?
Pro lepší představu o tom, co všechno lze „vydolovat“ z uchovávaných provozních a lokalizačních údajů, si zde dovolím připomenout zajímavý zdroj, který byl zmíněn již v této zprávičce zde na Lupě: jeden německý politik si od svého operátora vyžádal údaje o něm samotném a poskytl je novinářům. Ti je propojili s mapami a dalšími geografickými daty a vytvořili prezentaci, ukazující velmi podrobně co a jak tento politik v kterou dobu dělal – kde se pohyboval, kolik měl hovorů a SMS zpráv, a jak dlouho byl připojen k Internetu. Třeba kde byl na Štědrý den večer, viz následující obrázek.
A teď si uvědomte, že stejné informaci o vás (skrze váš mobil, pokud jej používáte a nosíte při sobě) má potenciálně k dispozici jak ten, kdo příslušná data sbírá, tak i ten, kdo je od něj může získat.
A kdo že to vlastně je? I na to panují různé názory, viz odlišnost praxe a názoru Ústavního soudu.