Soudní dvůr Evropské unie (SDEU) vydal verdikt, který vládám členských států EU zakazuje ukládat operátorům všeobecné a necílené sbírání a ukládání metadat o chování uživatelů v jejich sítích a jejich předávání bezpečnostním složkám či tajným službám.
Povinnost plošné tzv. data retention podle SDEU odporuje evropským pravidlům a je tedy v EU nelegální. V Česku ji přitom loni v květnu posvětil Ústavní soud – viz Ústavní soud posvětil plošné sledování elektronické komunikace.
Podle evropského soudu nemají evropské státy právo na to, aby vydávaly zákony, které operátorům a online firmám povinnost plošně sbírat, ukládat a předávat tyto tzv. provozní a lokalizační údaje vyšetřovatelům a zpravodajským službám ukládají. Podle směrnice o soukromí a elektronických komunikacích (2002/58) totiž státy musí zajistit „důvěrný charakter sdělení přenášených pomocí veřejné komunikační sítě a veřejně dostupných služeb elektronických komunikací a s nimi souvisejících provozních údajů.“
Soud nicméně připustil, že státy mohou po operátorech plošný sběr provozních a lokalizačních údajů požadovat v případě, že je závažně ohrožena jejich národní bezpečnost. V takovém případě ale musí příkaz ke sběru těchto dat časově omezit na nezbytně nutnou dobu a tento příkaz musí být přezkoumatelný soudem nebo jinou nezávislou institucí.
Podle soudu je přípustné také cílené ukládání provozních a lokalizačních údajů, pokud je časově omezené na nezbytně nutnou dobu. Pravidla EU podle soudu nezakazují ani sledování a ukládání metadat v reálném čase, pokud se týkají osob důvodně podezřelých z podílu na teroristických aktivitách.
