Hlavní navigace

Ústavní soud posvětil plošné sledování elektronické komunikace

23. 5. 2019
Doba čtení: 9 minut

Sdílet

 Autor: belchonock / Depositphotos
Soukromí své elektronické komunikace si každý musí chránit především sám. Ústavní soud nás – alespoň pokud jde o plošné data retention – neochrání.

Ústavní soud ve středu zamítl návrh skupiny 58 poslanců na zrušení české právní úpravy data retention, tedy plošného uchovávání metadat o elektronické komunikaci (tzv. „data retention“). Jedná se o provozní a lokalizační údaje, které nám řeknou, třeba kdo s kým a jak dlouho telefonoval, kde se v tu chvíli pohyboval, jaký měl telefon a s kým zrovna byl, jakož i řadu dalších více či méně citlivých informací nejen o telefonování, ale i přístupech k internetu či e-mailové schránce.

Nápad podat návrh na zrušení české právní úpravy vzešel z nevládní organizace Iuridicum Remedium (autor je jejím výkonným ředitelem – pozn. redakce) poté, co česká vláda několik let v podstatě ignorovala rozhodnutí Soudního dvora Evropské unie (C-293/12 a C-594/12), který označil opakovaně samotný základní princip data retention (tedy plošné preventivní a nevýběrové shromažďování a uchovávání údajů) za nepřijatelný. Ve spolupráci s poslanci z České pirátské strany se podařilo získat na konci roku 2017 podporu poslanců napříč politickým spektrem (z celkem šesti poslaneckých klubů).

IuRe se věnuje problematice ochrany dat už od počátku data retention v ČR v roce 2005. V roce 2010 jsme připravili tehdy úspěšný návrh k Ústavnímu soudu na zrušení data retention dle předchozí právní úpravy a já jsem zároveň autorem a právním zástupcem navrhovatelů u tohoto tentokrát bohužel zamítnutého návrhu. Tento „střet zájmů“ je asi nezbytné zmínit předtím, než se dostanu k samotnému rozhodnutí Ústavního soudu. 

Data retention jako ochrana soukromí?

Na všem špatném je třeba najít něco dobrého a tím ideálně začít. Ústavní soud ve svém nálezu (PDF) přiznává, že uchovávaná data jsou velmi citlivá, že jejich citlivost v některých případech dokonce může být větší, než je uchovávání obsahu komunikace, jako se tomu děje u odposlechů. Uchovávání těchto údajů tak představuje významný zásah do soukromí jednotlivce.

Dále už nález příliš pozitivních zpráv nepřináší. Hlavním důvodem podání návrhu bylo zpochybnění samotného principu data retention, tedy plošného a nevýběrového shromažďování a ukládání obrovského množství dat o každém z nás bez jakékoli vazby na nějaké další skutečnosti (individuální podezření, mimořádnou situaci, problematickou oblast apod.). Tento princip označil za nepřípustný i Soudní dvůr Evropské unie ve dvou rozhodnutích ve věci Digital Rights Ireland Ltd ze dne 8. 4. 2014 a Tele2 Sverige AB ze dne 21. 12. 2016. Ačkoli Ústavní soud oba rozsudky několikrát uvádí, dále se s jejich závěry – zejména pokud jde o závěr o nepřípustnosti principu data retention jako takového – nijak nevypořádává. Spokojí se s konstatováním, že přístupy evropských států v reakci na uvedená rozhodnutí jsou různé.

Hlavním argumentem pro obecnou přijatelnost plošného sledování je podle Ústavního soudu to, že komunikace se stále více odehrává v digitálním světě. A přesouvá se sem i zločin. To je nepochybně pravda. Je ale škoda, že Ústavní soud tuto úvahu nerozvinul i dál, jako to činí ve velmi pěkném disentním stanovisku k návrhu (PDF) soudkyně Kateřina Šimáčková. Vedle zločinu se do digitálního světa přesouvají stále více i naše životy a také naše soukromí. Jak v bodu 12 svého stanoviska píše Šimáčková, tak „… právě tento druhý výklad spíše odpovídá tomu, jak by měl k ochraně lidských práv přistupovat Ústavní soud jako strážce ústavnosti a základních práv a svobod jednotlivce a touto optikou pak provádět vyvažování mezi ochranou práva jednotlivce a veřejným zájmem“.

Soud dále argumentuje, že údaje i bez data retention jsou uchovávány k jiným účelům, jako je vyúčtování služeb, reklamace, marketingové souhlasy uživatelů apod. Podle Ústavního soudu přitom nelze vyloučit, že by v případě neexistence úpravy data retention nedocházelo k vyžadování jiných údajů, což by mohl být nakonec mnohem větší zásah do soukromí. Ústavní soud bohužel už nerozvádí, že objem, doba uchovávání i citlivost osobních údajů uchovávaných operátory k jiným účelům je dost odlišná od povinně uchovávaných dat v rámci data retention. Například lokalizační údaje jsou uchovávány po velmi krátkou dobu. Navíc to, že operátoři nějaká data uchovávají i bez data retention, je naopak argumentem proti data retention a proti tvrzení, že bez povinnosti data uchovávat by byla policie zcela bez informací.

Ústavní soud dále uvádí, že tím, že podpoří princip data retention, vlastně chrání soukromí uživatelů nastavením jasných pravidel využívání údajů (bod 79 nálezu). Jako by zde neexistovala regulace ochrany osobních údajů založená v obecném nařízení o ochraně osobních údajů (GDPR), ale i v samotném zákoně o elektronických komunikacích. V čem je zvýšena úroveň ochrany dat tím, že se zavedla povinnost jejich plošného uchovávání?  Zaniklo tím snad jediné oprávnění operátorů uchovávat data pro jiné účely? Nemluví soud spíše o pravidlech pro vyžadování údajů, u nichž návrh volá po zpřísnění, nikoli odstranění?

A co vyšetřování zločinů?

Jako červená nit se nálezem táhne tvrzení o nezbytnosti plošného sběru dat pro vyšetřování kriminality. Zní to logicky, k odhalování zločinů, k nimž dochází v kyberprostoru, je třeba disponovat plošnou povinností uchovávat stopy o tom, kdo co v tomto kyberprostoru dělá. Faktem nicméně je, že jak sám Ústavní soud uvádí, tak absence povinnosti plošně uchovávat data neznamená, že žádná data, která si může policie vyžádat, neexistují. Operátoři i tak uchovávají celou řadu údajů k jiným účelům.

Ze statistických údajů o kriminalitě z let 2010–2014 vyplývá, že poté, co v minulosti Ústavní soud zrušil povinnost data uchovávat, nedošlo k žádnému nárůstu kriminality, ale ani k poklesu její objasněnosti. Z policejních statistik, které byly Ústavnímu soudu předloženy, to je zřejmé nejen pokud jde o kriminalitu obecně, ale i pokud jde o vyšetřování závažných trestných činů (např. vražd), kdy jsou údaje využívány často. Dokonce to ale platí i u trestných činů, které jsou obhájci data retention označovány jako prakticky neobjasnitelné bez data retention (např. narušování tajemství dopravovaných zpráv, stalking, internetové podvody apod.). Zároveň ani po znovuzavedení data retention nedošlo k žádným změnám.

Ústavní soud uvádí, že ze statistik není možné dovodit, zda se vyšetřovací orgány bez data retention dokáží obejít, nebo nikoli (bod 102). Pokud ale plošně uchovávané údaje nejsou k dispozici, jako v roce 2011 a 2012, a žádný dopad na kriminalitu to nemělo, pak je přeci zřejmé, že to dokázaly. Pokud má být smyslem data retention boj proti kriminalitě a statistická data ukazují, že nezáleží na tom, zda je zde povinnost data plošně uchovávat, nebo ne, je pak logický jiný závěr, než že plošné uchovávání dat v této podobě potřeba není?

Zástupci policie či ministerstva vnitra opakovaně uváděli příklady jednotlivých vyšetřovaných případů, kdy uchovávané údaje při pátrání pomohly, nebo naopak chyběly. S nějakým jiným vysvětlením svých vlastních statistik ale nepřišli. Ústavnímu soudu to ovšem nijak nebránilo v tom, aby vzal jejich (troufám si říci, že statistikami vyvrácená) tvrzení o nezbytnosti data retention jako fakt.

Půl roku a dost

Vedle obecného principu návrh kritizoval i konkrétní nastavení pravidel pro uchovávání údajů. Soud se tak zabýval třeba dobou uchovávání dat, která je u nás nastavena na půl roku. V nálezu jsou uvedeny příklady států, kde je problematika řešena méně invazivním způsobem, než je tomu u nás. Ať už jde o Německo, kde platí podstatně kratší, a navíc odstupňované lhůty pro uchovávání například u lokalizačních údajů, nebo Slovensko, kde Ústavní soud zrušil původní úpravu a dnes zde nedochází k preventivnímu uchovávání dat vůbec. Platí zde systém jejich operativního „zmrazení“ a uchovávání do budoucna (tzv. data freeze).

Ačkoli tedy Ústavní soud sám připomíná méně invazivní systémy ze zahraničí a přiznává, že využitelnost údajů s časem výrazně klesá, rezignuje vzápětí na posouzení přiměřenosti šestiměsíční lhůty s tím, že je věcí zákonodárce, aby nějakou dobu nastavil. Přitom sám uvádí, že důvodem šestiměsíční lhůty je to, že šlo o minimální délku dle zrušené směrnice. Je tedy zjevné, že pokud se snažil zákonodárce směrnici implementovat, tak mu velký manévrovací prostor nezbýval. Ústavní soud ale nepřichází ani s apelem na zákonodárce, aby se délkou doby uchovávání dat zabýval.

Podobně se nezabývá ani možným odstupňováním doby, kdy lze data vyžadovat podle závažnosti trestné činnosti, která je vyšetřována, ani rozlišováním různých skupin údajů. Absence snahy po minimalizaci zásahu do soukromí v testu proporcionality je kritizována v disentním stanovisku soudkyní Šimáčkovou, která v bodu 11 píše: „Shora uvedené minimalizační principy (omezení účelem, minimalizace rozsahu zpracovávaných údajů, omezení doby uložení apod.) jsou ostatně základními zásadami při jakémkoliv zpracování osobních údajů a musí se vztahovat také na „data retention“. Osobní údaje musí být zpracovávány na základě principu nezbytnosti pro dosažení cíle (need to know) nikoliv proto, že by mohly příslušnému orgánu potenciálně přijít vhod a ulehčit práci (nice to have).

Bez povolení soudu

V neposlední řadě si zaslouží zmínku i posouzení ústavní konformity ustanovení zákona o policii, která upravují možnost policie vyžadovat údaje o hledaných a pohřešovaných osobách, a dále oprávnění zvláštního útvaru policie žádat o údaje v případě odhalování konkrétních teroristických hrozeb. Policie si zde data může vyžadovat bez povolení soudu nebo nějakého jiného nezávislého orgánu.

Lze částečně přisvědčit Ústavnímu soudu, že soudní povolení může zdržet v akutních případech pátrání po pohřešovaných osobách, i když zde bude spíše potřeba jejich aktuální lokalizace než využívání historických údajů. Otázkou nicméně je, proč by měl soudní dohled absentovat u hledaných osob, tedy těch, které z různých důvodů policie potřebuje omezit na svobodě – může jít o osoby, které nenastoupily do výkonu trestu, ale třeba i o ty, kterým se pouze nedaří doručovat.

Dle Ústavního soudu je dostatečným důvodem pro absenci soudního dohledu to, že jde zpravidla o osoby, které se vyhýbají svým povinnostem stanovených zákonem či soudním rozhodnutím. Informování těchto osob o tom, že byly vyžádány jejich údaje, pak prý rovněž není třeba, protože se to dozví tím, že jsou nalezeny. To, že neexistuje žádná povinnost sdělovat hledanému, jak ho policie nalezla a jaká všechna oprávnění při jeho hledání využila, soud nijak nerozvádí (bod 113).

V neposlední řadě si zaslouží zmínku i soudem posvěcená absence soudního přezkumu u činnosti protiteroristické jednotky policie. Její oprávnění je formulováno velmi vágně, neobsahuje žádné kritérium naléhavosti vyžadování údajů. Soud připodobňuje činnost této jednotky zpravodajským službám. Proč ale zpravodajské služby, jejichž činnost je rovněž utajovaná, mají pro vyžadování údajů povinnost zajistit si povolení vrchního soudu a policie žádnou takovou povinnost nemá, bohužel soud nevysvětluje.

Ochrana před sledováním

Ačkoli lze s řadou věcí v nálezu nesouhlasit, tak je samozřejmě potřeba rozhodnutí Ústavního soudu respektovat. To, že Ústavní soud došel k závěru o ústavní konformitě stávající úpravy data retention, ovšem neznamená, že jde o úpravu, která by byla správná. Podpora návrhu od poslanců napříč politickým spektrem dává naději, že minimálně dílčí části stávající úpravy – jako je doba uchovávání údajů či okruh trestných činů, u nichž lze data vyžadovat – by šlo změnit novelizací právních předpisů parlamentní cestou.

Otevřena je rovněž možnost přenesení problému na evropskou úroveň, protože plošné sledování zakotvené v naší legislativě ve světle judikatury Soudního dvora EU, který odmítá princip data retention jako takový, odporuje stále platné e-privacy směrnici.    

BRAND24

Po posvěcení plošného sledování Ústavním soudem nelze než přisvědčit ústavnímu soudci a zpravodaji návrhu Jaromíru Jirsovi, který se pro ČTK po vyhlášení nálezu vyjádřil: „Bavíme-li se o nějaké ochraně a trendu bezpečnosti, tak především musí každý začít sám u sebe, to za něj nikdo nevyřeší.

Je tedy na každém z nás, aby si chránil v míře, kterou považuje za vhodnou, elektronickou komunikaci před sledováním, ať už ze strany soukromých společností, nebo státu. Dostupnost nástrojů pro šifrování či anonymizaci komunikace je stále lepší a je třeba chtít a naučit se je využívat. Ústavní soud nás – alespoň pokud jde o plošné data retention – neochrání.

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).