[Soudní rozhledy 6/2019, s. 182]

Judikatura ÚS: Ochrana soukromí v tzv. době internetové

JUDr. Marian Kokeš, Ph.D., Brno, Olomouc^*

I. Úvod

Píše se rok 2011 a ÚS dne 22. 3. vyhlašuje nález ve věci sp. zn. Pl. ÚS 24/10¹ („Data retention nález I.“), týkající se problematiky (povinného) preventivního uchovávání provozních a lokalizačních údajů o elektronické komunikaci² jejích účastníků ze strany poskytovatelů telekomunikačních služeb³ a možnosti jejich následného poskytnutí orgánům veřejné moci,⁴ tzv. data retention. ÚS v Data retention nálezu I. dospěl ke zcela jednoznačnému závěru, že tehdejší napadená právní úprava obsažená v ElKom⁵ byla protiústavní, když konstatoval její rozpor s právem na informační sebeurčení coby jednoho z práva na soukromí, výslovně garantovaného v čl. 10 odst. 3 LPS.⁶ Je nezbytné doplnit, že předmětem přezkumu ÚS v Data retention nálezu I. nebyla přímo problematika užití tohoto nástroje v rámci trestního řízení, jak to umožňovala tehdejší úprava v § 88a TrŘ, neboť toto ustanovení nebylo součástí projednávaného návrhu, nicméně ÚS toliko jako obiter dictum vyslovil názor, že právě tato úprava postrádá ony ústavněprávní záruky (zejména v podobě souhlasu ze strany nezávislého soudu, obdobně jako v případě odposlechů dle § 88 TrŘ). Proto je třeba poukázat i na nález ÚS z 20. 12. 2011, sp. zn. Pl. ÚS 24/11,⁷ kterým ÚS (za použití obdobné argumentace) jako protiústavní zrušil i citovaný § 88a TrŘ.

Posuňme se v čase do současnosti, neboť 21. 5. 2019 ÚS vydává k této problematice další nález, a to sp. zn. Pl. ÚS 45/17 („Data retention nález II.“), který je však zamítavý. Samozřejmě (i s ohledem na zásadu ne bis in idem, výslovně zakotvenou v § 35 odst. 1 ZÚS) nelze konstatovat, že ÚS projednával totožnou věc. Totožnou je pouze řešená otázka, tedy problematika data retention a posouzení ústavnosti její právní úpravy (převážně) přijaté v době po vydání Data retention nálezu I.

A právě toto období, kdy s odstupem osmi let byly vydány dva nálezy ÚS k téže problematice, nicméně s odlišnými závěry, bude utvářet jistý kontext tohoto článku, neboť jeho obsahem nebude ani tak kritické zhodnocení Data retention nálezu II.⁸ a srovnání obou těchto nálezů ÚS, jako spíše snaha o konfrontaci nově přijatých závěrů ÚS v Data retention nálezu II. s vývojem a aktuálními trendy problematiky ochrany práva na soukromí v prostředí elektronické komunikace a informačních technologií v tzv. době internetové, a to primárně v evropském právním prostředí.

II. Ochrana soukromí v prostředí elektronické komunikace a informačních technologií

Období trvající přes osm let, které uplynulo mezi oběma posuzovanými nálezy ÚS, představuje v prostředí informačních technologií velmi dlouhou dobu, v jejímž průběhu se jejich vývoj posunul mílovými kroky kupředu, a to rychlostí nesrovnatelnou s ostatními oblastmi společenského života. Není tudíž nijak objevným tvrzení, že právo (či jiné normativní systémy) za tímto vývojem zaostávají, a proto i regulace negativních důsledků, které potenciálně i reálně s sebou přinášejí stále nové informační technologie a konkrétní nástroje je využívající (včetně data retention), dosti výrazným způsobem zaostává. Dnešní dobu je totiž možné označit za tzv. dobu internetovou, kdy se internet stal fenoménem, jenž pronikl do veškerých zákoutí lidského života a bez něhož si lze jen stěží představit fungování společnosti. Dobu internetovou lze charakterizovat⁹ jako dobu informačních technologií, dobu digitalizace, elektronizace a propojení všude a všeho, přičemž dnes není téměř ani možné přijímat televizní a rozhlasový signál a komunikovat s okolním světem bez internetu.

Ostatně samotný internet doznal za relativně krátké období výrazné změny, kdy se od původního nástroje sloužícího k získávání informací a ke komunikaci se vzdáleným okolím stal počátkem nového tisíciletí nástroj sloužící nejen k získávání informací, ale i k jejich vytváření a sdílení s ostatními․ Proto lze tuto dobu charakterizovat rovněž jako dobu sociálních sítí, díky nimž se změnila nejen forma a způsob komunikace mezi členy společnosti, ale i postavení jednotlivce ve společnosti, neboť díky sociálním sítím se jedinec identifikuje s různými komunitami a skupinami, stává se tak jejich součástí a prostřednictvím nich navazuje nové sociální vazby, aniž by musel opustit prostory svého obydlí. Dobu internetovou je taktéž možné charakterizovat jako dobu informační revoluce, neregulovaného toku dat a datových souborů v tzv. kyberprostoru, kde každým okamžikem dochází k přenosu a uchovávání tisíců, ba milionů dat a informací, v nepřeberném množství elektronických databází.

A jak již vývoj lidstva mnohokrát potvrdil, společenský a technologický rozvoj a nástup nových technologií a fenoménů bývá téměř nevyhnutelně spojen i s vývojem nových metod páchání buď přímo trestné činnosti, anebo činnosti pohybující se na samotné hraně zákona, pokud samozřejmě již je taková činnost právně regulována. Současná společnost je tak nucena čelit jednak dříve nepoznaným hrozbám pro svou bezpečnost (tzv. kyberkriminalita¹⁰), jednak starým hrozbám, nicméně za použití nových technologií (ekonomická kriminalita, mezinárodní terorismus atp.).

Je tak zjevné, že ochrana soukromí jednotlivců nutně se pohybujících v tomto prostředí, neboť v dnešní době elektronizace a „internetizace“ je pro jednotlivce téměř nemyslitelné nebýt i při běžných životních záležitostech dotčen informačními technologiemi, představuje jeden z nejzávažnějších aspektů a výzev, kterým musí současné právo čelit. V tomto prostředí totiž dochází ke stírání rozdílů a bourání hranic mezi privátním a veřejným prostorem, neboť v tzv. kyberprostoru se veřejným (ve smyslu na internetu dostupným či dohledatelným) stává téměř vše, tj. i to, co by jednotlivec o sobě sám nikdy za jiných okolností jinému nesdělil a dobrovolně nezveřejnil. Zcela samovolně tak dochází k vytvoření tzv. transparentní společnosti,¹¹ v níž privátní prostor je na úkor veřejného umenšován, a to i přesto, že daný jednotlivec zůstává takříkajíc off-line.

Je tak zcela nabouráván tradiční, byť multidimenzionální koncept soukromí (soukromého života), přičemž vyvstává potřeba jej zásadním způsobem reformulovat, případně naleznout koncepty nové, pružněji reagující na potřebu ochrany práva jednotlivců na soukromí v souvislosti s negativními důsledky, které s sebou tento vývoj ve společnosti nese. V prostředí neregulovaného toku dat a informací je pak jednou z těchto potřeb, ne-li zcela nejzásadnější, nutnost chránit soukromí jednotlivce v jeho podobě (dimenzi) práva na informační sebeurčení, jak jej formuloval ÚS v Data retention nálezu I., s inspirací v judikatuře Spolkového ústavního soudu.¹²

ÚS konkrétně vymezil, že primární funkcí práva na respekt k soukromému životu je zajistit prostor pro rozvoj a seberealizaci individuální osobnosti. Vedle tradičního vymezení soukromí v jeho prostorové dimenzi (ochrana obydlí v širším slova smyslu) a v souvislosti s autonomní existencí a veřejnou mocí nerušenou tvorbou sociálních vztahů (v manželství, v rodině, ve společnosti), právo na respekt k soukromému životu zahrnuje i garanci sebeurčení ve smyslu zásadního rozhodování jednotlivce o sobě samém. Jinými slovy, právo na soukromí garantuje rovněž právo jednotlivce rozhodnout podle vlastního uvážení, zda, popřípadě v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům. Jde o aspekt práva na soukromí v podobě práva na informační sebeurčení, výslovně garantovaný čl. 10 odst. 3 LPS. Právo na informační sebeurčení je tak nezbytnou podmínkou nejen pro svobodný rozvoj a seberealizaci jednotlivce ve společnosti, nýbrž i pro ustavení svobodného a demokratického komunikačního řádu, neboť v podmínkách vševědoucího a všudypřítomného státu a veřejné moci se svoboda projevu, právo na soukromí a právo svobodné volby chování a konání stávají prakticky neexistujícími a iluzorními.

Jinými slovy, pokud jednotlivci nebude garantována možnost hlídat a kontrolovat obsah i rozsah osobních dat a informací jím poskytnutých, jež mají být zveřejněny, uchovány či použity k jiným než původním účelům, nebude-li mít možnost rozpoznat a zhodnotit důvěryhodnost svého potenciálního komunikačního partnera, pak nutně dochází k omezení až potlačování jeho práv a svobod, a nelze tak hovořit o svobodné a demokratické společnosti. Proto právo na informační sebeurčení v sobě nutně musí zahrnovat i právo na ochranu před sledováním, hlídáním a pronásledováním ze strany veřejné moci i ve veřejném prostoru nebo na veřejně přístupných místech.

ÚS se v obou nálezech s ohledem na předmět přezkumu věnoval otázce ochrany soukromí před zásahy ze strany veřejné moci, neboť data retention (či data mining¹³) představuje jeden z nástrojů konstruovaných a sloužících především veřejné moci za účelem ochrany bezpečnosti jednotlivců i národní bezpečnosti či za účelem prevence a odhalování trestné činnosti, a to právě s využitím nových možností, jež přináší vývoj informačních technologií. Představuje tak jeden z řady případů, kdy do tzv. kyberprostoru vstupuje a aktivně v něm vystupuje i veřejná moc, a to nikoliv pouze za účelem regulace. Zatímco však v době, kdy byl vydán Data retention nález I., byla otázka ochrany soukromí jednotlivce konceptualizována, nazírána a také regulována a judikována primárně prizmatem vztahu jednotlivec – veřejná moc, kdy klíčovou se stala potřeba chránit soukromí jednotlivce před zneužitím nástrojů informačních technologií k jeho narušení ze strany veřejné moci,¹⁴ je možné konstatovat, že v současnosti (a tedy v době vydání Data retention nálezu II.) tomu tak již není, neboť pozornost právní regulace se obrací rovněž na potřebu chránit soukromí jednotlivce před „narušiteli“ z řad soukromých osob (provozovatelů sociálních sítí, webových stránek, vyhledávačů atp.).

Pokud byla výše zmíněna snaha o formulaci nového konceptu či nové dimenze práva na soukromí v tzv. kyberprostoru (například koncept on-line privacy¹⁵), pak tato proměna způsobu nazírání je toho průvodním jevem, obdobně jako tomu bylo i v případě jiných dimenzí práva na soukromí (například ochrana obydlí či osobních údajů). Problém ovšem spočívá v tom, že proměnlivé (a to velmi překotně) je nejen samotné prostředí (s ohledem na technologický vývoj komunikačních nástrojů), kde má k ochraně práva na soukromí docházet, ale i samotný předmět ochrany a také výčet dotčených subjektů, a to především na straně potenciálních narušitelů z privátního sektoru. Jinými slovy, bude velmi obtížným úkolem prostřednictvím právní regulace v rámci ochrany samo o sobě obecně stěží definovatelného konceptu (soukromí a jeho ryze subjektivní stránka) poskytovat ochranu jeho konkrétním aspektům (právo na informační sebeurčení a jeho aspekty) v překotně se měnícím prostředí informačních technologií (tzv. kyberprostor), jehož hranice nelze nadto nijak vymezit a v němž jsou shromažďována data a informace, která o soukromí, událostech a činnostech v soukromém životě jednotlivců vypovídají neporovnatelně více (dochází k obrovskému přenosu dat a informací o jejich průběhu, charakteru, místě a čase a v neposlední řadě i o subjektech je vykonávajících), než by oni sami vědomě ze svého soukromí zpřístupnili, a to i na sociálních sítích.

Z jedince jakýmkoliv způsobem využívajícího informační technologie¹⁶ se tak vlivem sbíraných dat a informací o něm i o jeho činnostech stává jedinec digitální.¹⁷ Jak zdůrazňuje D. J. Solove, na internetu je v současné době, právě díky elektronizaci a internetizaci běžných společenských procesů a činností, o každém z nás, jakožto digitálních jedinců, veden tzv. digitální spis, v němž jsou ve formě 0 a 1 uchovávána a zahrnuta veškerá námi poskytnutá data a datové soubory s informacemi o nás a našem soukromí, které jsou na internetu (s naším souhlasem a vědomím či bez nich) zpřístupněnými a které jsou pomocí internetových vyhledávačů i snadno dohledatelnými.¹⁸ Souhrny takto nasbíraných dat jsou způsobilé zmapovat „lidskoprávní genom“ jednotlivce, který zahrnuje informace nejintimnější, profesní, obchodní, účast na veřejném životě, společenské aktivity, prostě celý lidský profil.

Problematickou je pak rovněž ta skutečnost, že existuje také obrovské množství databází ve vlastnictví různých soukromých subjektů (zejména velkých obchodních společností, mobilních operátorů či bankovních ústavů), jejichž úkolem je takto nasbíraná data uchovávat, třídit, analyzovat a vytvořit o daném jedinci určitý profil, zahrnující nejen jeho osobní data (například jeho rodinný či zdravotní stav, stav jeho financí na bankovních účtech, telefonní účty a data o hovorech, informace o jeho sociální situaci aj.), ale i informace o jeho zálibách, preferencích, půjčovaných knihách či kupovaných produktech, jenž je pak užíván jako podklad k učinění konkrétních rozhodnutí či nabídek (nové účty, výhodné půjčky, nabídky dalších služeb atd.).

Zatímco však v běžném (off-line) životě uvedená data a informace plynutím času přirozeně vymizí z myslí jednotlivců, v prostředí internetu tyto údaje zůstávají uloženy v různých databázích, případně jsou volně šířeny, nadto i různě samovolně kombinovány a vkládány do různých kontextů, a to leckdy velmi nepřesným či dokonce účelově difamačním způsobem, majících potenciál závažným způsobem zasáhnout do soukromé sféry dotčeného jednotlivce. Ti však donedávna neměli efektivní nástroj, jak těmto důsledkům čelit.

III. Data retention, data protection (GDPR), právo být zapomenut…

Bylo by příliš zjednodušující tvrzení, že právo na soukromí jednotlivce v prostředí internetu a elektronické komunikace postrádalo jakékoliv nástroje ochrany v podobě veřejnoprávní regulace stanovující limity a pravidla pro činnost subjektů (včetně veřejné moci) pohybujících se v tomto prostředí. Zejména na evropské úrovni, v unijním právu,¹⁹ bylo lze naleznout řadu právních předpisů, jejichž účelem bylo regulovat příslušné otázky s cílem chránit soukromí jednotlivců v různých jeho aspektech, primárně pak skrze ochranu osobních údajů,²⁰ nicméně v kontextu výše řečeného tato právní úprava vykazovala značné nedostatky v podobě absence zakotvení efektivních nástrojů ochrany soukromí dotčených jednotlivců, na evropské „ústavní“ úrovni zaručených zejména v čl. 7²¹ a 8²² LPEU.

Nejinak tomu bylo u právní úpravy data retention, kterou na unijní úrovni představovala směrnice o data retention (tzv. Data Retention Directive) z roku 2006.²³ Již samotné přijetí této směrnice vyvolalo značnou vlnu kritiky napříč členskými státy Evropské unie,²⁴ jež byla doprovázena v celé řadě z nich (napřiklad Spolková republika Německo, Bulharsko, Rumunsko, Irsko a také ČR) podáním návrhů k zahájení řízení před ústavními soudy pro rozpor napadené úpravy s právem na informační sebeurčení a právem na soukromí.

Vzorovým příkladem pro následnou rozhodovací činnost ústavních soudů těchto států (včetně českého ÚS) pak bylo bezesporu rozhodnutí Spolkového ústavního soudu z 2. 3. 2009,²⁵ v němž za protiústavní shledal tamní úpravu data retention, jíž byla směrnice transponována do německého právního řádu,²⁶ a to pro její rozpor s čl. 10 odst. 1 Základního zákona zaručujícího nedotknutelnost listovního, poštovního a telekomunikačního tajemství.²⁷ V odůvodnění soud zdůraznil, že využívání základních práv a svobod občanů (zde tajemství zpráv podávaných elektronickými komunikačními prostředky) nesmí být ze strany státu kompletně sledováno, dokumentováno a registrováno; to patří k ústavněprávní identitě Spolkové republiky Německo, o jejíž zachování se republika musí zasazovat v evropských i mezinárodních souvislostech. Při konkrétním posouzení pak soud konstatoval, že směrnicí upravené preventivní a bezdůvodné uchovávání dat v předvídaném rozsahu není a priori zcela protiústavní, nicméně jeho úprava musí být v souladu s ústavněprávními požadavky na bezpečnost dat, jasného vymezení účelu požití údajů, transparentnost a právní ochranu (efektivní soudní ochrana), což v posuzovaném případě nebylo naplněno. V tomto kontextu také byl vydáván Data retention nález I.

Při zpětném pohledu by se dalo říci, že judikatura ústavních soudů v řadě členských států EU²⁸ (a mediální kampaň množství nevládních organizací²⁹), požadující po právní úpravě problematiky data retention zakotvení ústavněprávních limitů vztahujících se k ochraně základních práv i svobod jednotlivce a dodržování požadavku na přísné posouzení proporcionality jejich omezení ze strany veřejné moci, s důrazem na zakotvení efektivní soudní ochrany v případě zneužití či překročení uvedených mezí, byla jednou z příčin zrušení směrnice o data retention. Bezprostředním důvodem pak bylo bezesporu stanovisko ESD v rozsudku ve věci Digital Rights Ireland Ltd,³⁰ v němž prohlásil směrnici o data retention za neplatnou pro její rozpor s čl. 7 a 8 LPEU. Přezkoumávaná úprava byla podle ESD sice způsobilá dosáhnout sledovaného cíle, avšak ani boj proti závažné trestné činnosti sám o sobě nemůže odůvodnit, aby opatření týkající se všech prostředků elektronické komunikace a spočívající v uchovávání údajů téměř celé evropské populace bylo považováno za nezbytné pro účely uvedeného boje. Za nežádoucí pak ESD označil skutečnost, že úprava nevyžadovala žádnou souvislost mezi uchovávanými údaji a ohrožením veřejné bezpečnosti.³¹ Směrnice rovněž nestanovila žádné objektivní kritérium umožňující omezit počet oprávněných orgánů k přístupu a využití uchovávaných údajů a přístup ani nepodmiňovala předchozí kontrolou ze strany nezávislého orgánu.³²

Problematika data retention se tak ocitla ve zvláštním právním vakuu, neboť samotná směrnice, kterou členské státy EU transponovaly do vnitrostátní právní úpravy, byla prohlášena za neplatnou rozsudkem ESD ve věci Digital Rights Ireland Ltd. Členské státy na tuto skutečnost reagovaly různě. Pomineme-li skupinu států (včetně ČR), které ke změně (zpřísnění) právní úpravy data retention přistoupily dříve (v důsledku derogačních rozhodnutí ústavních soudů), v řadě případů bylo až přijetí názoru ESD důvodem pro zrušení příslušné vnitrostátní úpravy ze strany ústavních soudů,³³ jinde byl již samotný právní názor ESD akcelerátorem změn, aniž by bylo vedeno jakékoliv další navazující řízení (viz například Spojené království). Společným jmenovatelem však byla nutnost v právní úpravě dostát přísnějším požadavkům, než které původně stanovovala směrnice o data retention.³⁴

V tomto kontextu ovšem není nijak překvapivé, že některé členské státy (například Slovensko, Nizozemsko, Rakousko či Spojené království) dokonce přistoupily k zákazu data retention, tj. plošného preventivního uchovávání provozních a lokalizačních údajů, a přijaly právní úpravu zakotvující méně invazivní nástroje.³⁵ V jiných členských státech pak probíhá pomyslné druhé kolo souboje o data retention, kdy i přísnější právní úprava data retention čelí kritice ze strany veřejnosti (například Irsko či Polsko), leckdy ústící i do zahájení řízení před ústavním soudem (například Spolková republika Německo, Maďarsko, Spojené království a také ČR). Ve dvou posledně zmíněných státech toto druhé kolo souboje o data retention bylo i dobojováno, k jeho výsledkům se vrátíme později.

Předtím je totiž nezbytné, za účelem vytvoření ucelenějšího kontextu, v němž se toto kolo odehrávalo, ve stručnosti poukázat na další významné momenty, které měly vliv nejen na problematiku data retention, ale celkově na vnímání a prosazování ochrany soukromí jednotlivců v prostředí internetu a informačních technologií.

Za první takový moment (nikoliv z hlediska časového či významu, ale pro jeho spojitost s problematikou data retenion) lze bezesporu označit přijetí rozsudku ve věci Tele2 Sverige AB a Watson,³⁶ v nichž se ESD zabýval důsledky zrušení směrnice o data retention pro vnitrostátní právní úpravy členských států, konkrétně zda je aplikovatelný čl. 15 odst. 1 směrnice o soukromí a elektronických komunikacích, která měla výše naznačené právní vakuum data retention vyplnit. ESD uvedl, že čl. 15 odst. 1 citované směrnice umožňující členským státům výjimku z pravidla poskytování ochrany osobním údajům je třeba vykládat restriktivně, přičemž výslovně uzavřel, že čl. 15 odst. 1 citované směrnice brání takové vnitrostátní právní úpravě, která by za účelem boje proti trestné činnosti stanovila plošné a nerozlišující uchovávání všech provozních a lokalizačních údajů všech účastníků a registrovaných uživatelů v souvislosti s veškerými prostředky elektronické komunikace. V otázce přístupu k uchovávaným provozním a lokalizačním údajům pak ESD dovodil, že s čl. 15 odst. 1 citované směrnice není souladná vnitrostátní právní úprava, která v rámci boje proti trestné činnosti neomezuje přístup ke shromažďovaným údajům tak, aby byl umožněn výlučně pro účely boje proti závažné trestné činnosti, nepodmiňuje jej předchozím přezkumem ze strany nezávislého orgánu, a která nevyžaduje, aby dotčené údaje byly uchovávány na území EU.

Dále je nutné zmínit, že uvedený rozsudek ESD Tele2 Sverige AB a Watson byl vydán již v době, kdy se významně změnila koncepce ochrany osobních údajů na unijní úrovni, neboť 27. 4. 2016 vstoupilo v platnost GDPR.³⁷ Změna vedla ke zpřísnění pravidel pro nakládání s osobními údaji a zesílení ochrany dotčených jednotlivců jak v podobě získávání informací o tom, které jejich údaje jsou zpracovávány a proč, tak v podobě zakotvení nástrojů, prostřednictvím nichž se lze domáhat dodržování pravidel, včetně nápravy stavu. GDPR systematicky klade důraz na vymahatelnost práv a povinností správců osobních údajů (odpovědných za zpracování). Není cílem tohoto článku se podrobněji věnovat problematice GDPR a ochraně osobních údajů, a proto lze pouze stručně konstatovat, že ačkoliv GDPR nabylo účinnosti až dne 25. 5. 2018, a nelze tedy ještě analyzovat přínos jeho dopadů na praxi, představuje přímou reakci na zesilující požadavek na zvýšení ochrany soukromí jednotlivců v prostředí elektronických komunikací, když předchozí směrnice o ochraně osobních údajů z roku 1995 byla úpravou zastaralou a nedostatečnou. Svědčí o tom koneckonců i právní charakter (síla) tohoto právního předpisu, byť z obsahového či jazykového hlediska se blíží spíše doporučující povaze směrnice než direktivnímu nařízení.

V souvislosti s GDPR je pak třeba zmínit ještě jeden významný moment ve vývoji ochrany soukromí jednotlivců v prostředí elektronické komunikace, a tím je garance tzv. práva být zapomenut (právo na výmaz), výslovně obsažená v čl. 17 GDPR,³⁸ přičemž jejím předchůdcem byly právní závěry vyslovené v rozsudku ESD ve věci Google Spain a Google.³⁹ V něm ESD (za účinnosti předchozí směrnice o ochraně osobních údajů) mimo jiné kladně zodpověděl otázku, zda má jednotlivec právo požadovat smazání osobních údajů tak, aby nebyly dostupné při vyhledávání na internetových vyhledávačích (typicky právě Google), které rovněž považuje za zpracovatele osobních údajů. ESD nicméně zdůraznil, že se nejedná o právo absolutní, vždy bude záviset na okolnostech daného případu (vážil zejména hrozbu nepřípustného omezení svobody projevu médií), a podmínil jej tím, že se týkají osobních údajů (dat) nepřesných, nerelevantních, neadekvátních či excesivních ve vztahu k účelu sledovaného jejich zpracováním a uchováváním. ESD současně vyslovil názor, že toto právo je uplatnitelné i ve vztahu ke společnostem, které mají hlavní sídlo a servery zpracovávající data mimo EU, pokud mají pobočku nebo dceřinou společnost v členském státě.⁴⁰

V návaznosti na tento poslední závěr lze přidat ještě rozsudek ESD ve věci Schrems v. Facebook,⁴¹ v němž ESD vymezil jednak povinnost kontrolních úřadů (v ČR Úřad pro ochranu osobních údajů) zkoumat, případně zastavit přenos osobních údajů o evropských uživatelích Facebooku do USA, protože tato společnost ani její regulátor neposkytuje odpovídající úroveň ochrany osobních údajů,⁴² jednak zdůraznil potřebu zakotvit procesní nástroje jednotlivcům, sloužící k možnosti domáhat se výmazu dat, ochrany či zpřístupnění svých osobních údajů.

V neposlední řadě je pak nutné zmínit i rozsudek ve věci Big Brother Watch proti Spojenému království,⁴³ v němž ESLP dovodil mimo jiné porušení práva na respektování soukromého života, zaručeného v čl. 8 EÚLP, v souvislosti s nakládáním, poskytováním a uchováváním osobních údajů ze strany bezpečnostních služeb Spojeného království a USA.⁴⁴ ESLP dospěl k jednoznačnému závěru, že tehdy platná britská právní úprava týkající se sběru a uchovávání osobních údajů a dat⁴⁵ soukromých subjektů ze strany bezpečnostních služeb (the Regulation of Investigatory Powers Act z roku 2000) v sobě nezahrnuje dostatečné záruky a pojistky proti možnému zneužití, jak je definoval ve své judikatuře ESD. Proto ESLP zdůraznil, že byť regulace nástrojů a režimů odposlechu či sběru dat zůstává na uvážení daného státu, tato diskreční pravomoc musí být nutně užší a splňovat přísné požadavky sledující ochranu základních práv a svobod dotčených jednotlivců, včetně soukromého života dle čl. 8 EÚLP.⁴⁶

IV. Data retention nález II.

S ohledem na kontext tvořený výše rekapitulovanými judikaturními závěry a vývojem právní regulace ochrany sledující posílení ochrany soukromí jednotlivce v prostředí elektronické komunikace se nyní podívejme na závěry vyslovené ÚS v Data retention nálezu II. a pokusme se zodpovědět otázku, zda i ony sledují nastolený trend v evropském právním prostředí, anebo spíše za ním pokulhávají, ne-li jej pomíjejí.

Jistou odpověď nám může poskytnout již prosté srovnání reakce výkonné moci a zákonodárce na judikaturní závěry ESD. Zatímco v řadě členských států EU (včetně Spojeného království) byly bezprostředním důvodem k přijetí přísnější regulace data retention,⁴⁷ anebo dokonce k opuštění tohoto nástroje, v ČR vedla změna relevantní právní úpravy⁴⁸ (v reakci na závěry Data retention nálezu I.) sice ke zpřísnění některých podmínek, nicméně nelze opomenout, že dřívější právní úprava, zrušená Data retention nálezem I., sama o sobě nesplňovala ani „mírné“ požadavky stanovené v tehdy platné směrnici o data retention. Jinými slovy, z hlediska žádoucího posílení ochrany soukromí dotčených jednotlivců byla příliš benevolentní i na tehdejší dobu a právní úpravu,⁴⁹ tím spíše by neobstála v kontextu změn aktuálního vývoje.

Totéž lze ovšem říci i ve vztahu k současné právní úpravě, přezkoumávané ÚS v Data retention nálezu II., neboť i tato byla provedena v době před přijetím výše citované judikatury ESD, a logicky tak nemohla odrážet požadavky z této judikatury plynoucí. Pokud ÚS v nálezu hovoří o zpřísnění v reakci na Data retention nález I., kdy byla zkrácena doba uchovávání provozních a lokalizačních údajů na šest měsíců, byly explicitně vyjmenovány subjekty oprávněné k vyžádání uchovaných údajů a byla doplněna zákonná definice provozních a lokalizačních údajů, pak takové hodnocení platí pouze toliko pro srovnání s dřívější úpravou, nikoliv však v kontextu požadavků výše citované judikatury ESD či ESLP a aktuálního vývoje právní úpravy této problematiky jak na unijní úrovni, tak i v komparaci s řadou dalších členských států, jak ostatně upozorňuje i odlišné stanovisko k nálezu. Zjednodušeně řečeno, ÚS ve svém hodnocení vzal v úvahu kontext úrovně úpravy data retention a celkově ochrany soukromí v prostředí elektronické komunikace z doby před více než šesti lety, nikoliv kontext posledního vývoje, ačkoliv o něm měl důkladné povědomí, jak vyplývá i z obecné části odůvodnění nálezu a zde rekapitulovaného přehledu judikatury ESD či ESLP.

Lze souhlasit s ÚS v tom směru, že plošné uchovávání provozních a lokalizačních údajů představuje snahu státu „neztratit v době informační společnosti krok“ a mít v rukou efektivní nástroje k plnění svých úkolů – zde zejména v oblasti bezpečnosti státu a jeho obyvatel. Principiálně proto z pohledu ÚS nelze data retention zavrhovat, byť by (i na příkladu úpravy v jiných členských státech EU, včetně sousedního Slovenska či Rakouska) bylo lze zpochybnit jeho závěr, že z hlediska práva na soukromí není šetrnější varianta, v níž by stát využíval dostupných údajů netransparentním, „pokoutným“ způsobem. Proto také za ústavně konformní ÚS shledal úpravu obsaženou zejména v § 88a TrŘ či v § 68 odst. 2 a § 71 písm. a) PolČR, využívající data retention pro účely odhalování závažné trestné činnosti (po svolení ze strany soudu) či pátrání po osobách pohřešovaných či ztracených, s čímž lze rovněž vyslovit souhlas, neboť se jedná o natolik závažný veřejný zájem, jehož ochrana legitimizuje zásahy do práva na soukromí subjektů dotčených užitím data retention.⁵⁰

Navýsost problematickým momentem Data retention nálezu II. ovšem zůstává, že ÚS problematiku data retention a samotnou její úpravu v § 97 odst. 3 a 4 ElKom hodnotil pouze prizmatem potřeby veřejné moci, a ponechal tak zcela stranou otázkou možného zneužití tohoto nástroje pro jiné než uvedené účely veřejnoprávní regulace, a to přímo ze strany samotných soukromých subjektů, které mají povinnost tyto údaje uchovávat, tj. poskytovatelů telekomunikačních služeb. To ostatně vyplývá i ze závěru ÚS, že v podmínkách dnešní informační společnosti, v níž běžný jednotlivec využívá služeb elektronické komunikace takřka na každém kroku a dobrovolně přijímá, že se o něm ukládají kvanta dat, by bylo nemoudré tolerovat stav, v němž by poskytovatelé služeb údaji uživatelů disponovali, a státní aparát (v odůvodněných případech) nikoli.

Spornou je již samotná otázka, zda se skutečně jedná o „dobrovolnou“ akceptaci, anebo spíše faktickými okolnostmi (včetně absence právní regulace poskytující účinné nástroje včasné ochrany) vynucenou akceptaci sběru a uchovávání dat uživatelů elektronické komunikace, neboť jiná alternativa možná není. ÚS se vyhnul i důkladnějšímu zkoumání toho, zda samotná úprava poskytuje dostatečné záruky a efektivní nástroje ochrany před zneužitím, jak vyžaduje i judikatura ESD. Dále nelze než kriticky hodnotit skutečnost, že zatímco legitimita účelů sledovaných přijetím veřejnoprávní regulace (v TrŘ či PolČR) byla zkoumána ÚS (i opakovaně), účel sledovaný sběrem a uchováváním dat ze strany poskytovatelů telekomunikačních služeb spočívající v potřebě evidence poskytnutých služeb pro případy reklamace zůstal stranou pozornosti ÚS, a tedy jaksi a priori akceptován, což je zcela proti aktuálnímu trendu ochrany soukromí jednotlivců v evropském právním prostředí.

V. Závěr

S ohledem na výše uvedený kontext, do něhož byl autorem tohoto článku vědomě zasazen Data retention nález II., až vnitřně rozporně působí zamítavé stanovisko ÚS při posouzení otázky ústavnosti § 97 odst. 3 a 4 ElKom s jím prezentovanou úvahou v závěru odůvodnění nálezu, že v důsledku rozhodnutí ústavních soudů, ESLP či ESD začínají politické reprezentace chápat potřebu hledání rovnováhy, při jejímž zachování by státy byly schopny účinně a efektivně dostát pozitivním závazkům, aniž by přitom do základních práv jednotlivců, v tomto kontextu zejména práva na soukromí a informační sebeurčení podle čl. 10 odst. 2 a 3 a čl. 13 LPEU, zasahovaly více, než je v demokratické společnosti nezbytně nutné. Změnu trendu směrem k posílení ochrany osobních údajů, či spíše znovunalezení ztracené rovnováhy, demonstruje mimo jiné přijetí GDPR či příprava přijetí tzv. e-privacy nařízení, upravujícího oblast soukromí a elektronických komunikací namísto dosavadní stejnojmenné směrnice. Překotný vývoj informačních technologií nelze zastavit či zbrzdit žádnou právní úpravou; dosah internetu a dalších sítí umožňujících elektronickou komunikaci se neomezují na hranice jednotlivých států, jde o globální jev, celosvětový fenomén, který vnitrostátní zákonodárci řeší různě a obtížně. Je třeba se vypořádat se skutečností, že aktivním přičiněním jednotlivců vzniká nepřeberné množství nejrůznějších dat (metadat) a riziko jejich zneužití exponenciálně narůstá – tomu je třeba prostředky ochrany osobních údajů přizpůsobit.

Nezbývá tedy než doufat, že ÚS (pokud nebude aktivní samotný zákonodárce) bude mít další příležitost, jak se s obdobnou otázkou vypořádat a ony prostředky ochrany osobních údajů či obecně soukromí jednotlivců v prostředí elektronické komunikace „přizpůsobit“, a tedy že nebude tak benevolentní jako v nálezu Data retention nálezu II.,⁵¹ který oproti svému předchůdci v kontextu doby zaostal za aktuálními trendy v judikatuře ESD či ESLP i v unijní úpravě, sledující posílení ochrany soukromí jednotlivců v prostředí elektronické komunikace v dnešní tzv. době internetové, a to nejen proti zneužití nástrojů informačních technologií ze strany veřejné moci, ale i proti zásahům ze strany soukromých subjektů, včetně současných „gigantů“ v prostředí internetu či sociálních sítí.

Poznámky pod čarou:

Autor je odborným asistentem na katedře ústavního práva Právnické fakulty Univerzity Palackého v Olomouci a soudcem správního úseku KS v Brně.

Nález ÚS z 22. 3. 2011, sp. zn. Pl. ÚS 24/10 (52/2011 USn., 94/2011 Sb.).

Podle relevantní právní úpravy jsou to zejména telefonní čísla účastníků komunikace, datum a čas zahájení komunikace (odeslání zprávy), délka komunikace, u mobilních telefonů dále identifikátor IMSI (mezinárodní identifikátor účastníka veřejné mobilní komunikační sítě přidělený operátorem) a identifikátor mobilního přístroje účastníků komunikace. V případě internetových služeb se uchovává zejména typ připojení, označení uživatele, datum a čas připojení k internetu, označení přístupového bodu, adresa IP a u služeb elektronické komunikace rovněž údaje o připojení ke schránce elektronické pošty, odesílání i přijímání pošty včetně adres odesílatelů a příjemců. Všechny tyto údaje pak musejí být preventivně uchovávány po dobu šesti měsíců.

Mobilní operátoři a poskytovatelé služeb elektronické komunikace.

Například a) orgánům činným v trestním řízení, b) Policii ČR pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě, zjištění totožnosti osoby neznámé totožnosti nebo totožnosti nalezené mrtvoly či předcházení nebo odhalování konkrétních hrozeb v oblasti terorismu, c) Bezpečnostní informační službě, d) Vojenskému zpravodajství, e) České národní bance pro účely dohledu nad kapitálovým trhem.

Konkrétně § 97 odst. 3 a 4 ElKom a vyhláška č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání.

Za neuralgický bod posuzované právní úpravy ÚS shledal absenci dostatečných garancí a záruk ochrany soukromé sféry jednotlivce proti možnému zneužití pravomoci ze strany veřejné moci při použití tohoto robustního nástroje, jehož užití má za následek vážné omezení osobní integrity a základních práv jednotlivce, přestože se stanovená povinnost uchovávat provozní a lokalizační údaje nevztahuje na obsahy jednotlivých sdělení, jelikož z uvedených údajů o uživatelích, adresátech, přesných časech, datech, místech a formách telekomunikačních spojení, budou-li sledovány po delší časový úsek, lze v jejich kombinaci sestavit detailní informace o společenské nebo politické příslušnosti, jakož i o osobních zálibách, sklonech nebo slabostech jednotlivých osob.

Nález ÚS z 20. 12. 2011, sp. zn. Pl. ÚS 24/11 (217/2011 USn., 43/2012 Sb.).

K tomu nechť slouží i velmi povedené odlišné stanovisko k nálezu od soudkyně Kateřiny Šimáčkové.

Blíže k tomu srov. Kokeš, M. Několik poznatků k problematice konkrétních konfliktů mezi právem na informační sebeurčení a ochranou národní bezpečnosti v tzv. době internetové. In: Šimíček, V. (ed.) Právo na soukromí. Brno: Masarykova univerzita, 2011, s. 119–143.

Srov. k tomu Gřivna, T., Polčák, R. Kyberkriminalita a právo. Praha: Auditorium, 2008.

Srov. Edwards, L., Waelde, Ch. Preface to the Third Edition. In: Edwards, L.,Waelde, Ch. (eds.) Law and the Internet. 3. vydání. Oxford: Oxford University Press, 2009, s. viii.

Srov. rozhodnutí Spolkového ústavního soudu z 15. 12. 1983 (Volkszählungsurteil, BVerfGE 65, 1), v němž byla předmětem přezkumu zákonná úprava vztahující se k procesu sběru a uchovávání dat za účelem sčítání lidu (Volkszählung). V tomto rozhodnutí soud mimo jiné konstatoval, že v moderní společnosti charakterizované i obrovským nárůstem informací a dat musí být ochrana jednotlivce před neomezeným sběrem, uchováváním, užitím a zveřejňováním dat o její, resp. jeho osobě poskytována v rámci obecnějšího, ústavně garantovaného práva jednotlivce na soukromí. Právo na informační sebeurčení je tak samotné třeba považovat za základní právo, které jednotlivci garantuje možnost vlastním rozhodnutím ovlivnit odkrytí a zveřejnění svých osobních dat. Blíže srov. Hornung, G., Schnabel, Ch. Data Protection in Germany I: The Population Census Decision and the Right to Informational Self--Determination. Computer Law & Security Review, 2009, č. 25.

Srov. Solove, J. D. Data Mining and the Security-Liberty Debate. University of Chicago Law Review, 2008, č. 1, s. 343–362.

Nesporný vliv na toto nazírání měly i hojně medializované kauzy s celosvětovým dopadem jako WikiLeaks či Snowden, upozorňující na činnost tajných služeb a bezpečnostních složek jednotlivých států, v čele s americkou NSA, spočívající v celoplošném sledování a sběru dat z elektronické komunikace jednotlivců v dosud stěží představitelném množství.

Srov. Edwards, L. Privacy and Data Protection Online: The Laws Don’t Work? In: Edwards, L., Waelde, Ch. (eds.) Op. cit., s. 443.

Ač se může jednotlivec sebevíce řadit mezi zavilé odpůrce sociálních sítí či chytrých telefonů, přesto se však stěží vyhne dopadům elektronizace a přesunu administrativy celé řady důležitých životních záležitostí (komunikace s okolím, s úřady, platby za služby atp.) do prostředí internetu.

Srov. Solove, J. D. The Digital Person: Technology and Privacy in the Information Age. New York: New York University Press, 2004, s. 1, http://docs.law.gwu.edu/facweb/dsolove/Digital-Person/text.htm.

Op. cit., s. 2.

Samozřejmě nelze opominout, že se nejedná o jedinou úpravu v evropském prostředí. V této souvislosti je třeba zmínit například Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracovávání osobních údajů (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data – úmluva č. 108, kterou ČR dne 9. 7. 2001 ratifikovala a vyhlášena byla pod č. 115/2001 Sb. m. s.), která zůstává jediným právně závazným mezinárodním nástrojem v oblasti ochrany údajů, přičemž se vztahuje na veškeré zpracování údajů prováděné jak soukromým, tak veřejným sektorem a jejím cílem je chránit jednotlivce před zneužíváním, které může doprovázet shromažďování a zpracování osobních údajů, a zároveň usiluje o regulaci předávání údajů do zahraničí. Případně lze zmínit i Úmluvu o počítačové kriminalitě (Convention on Cybercrime – úmluva č. 185, kterou ČR dne 22. 8. 2013 ratifikovala a vyhlášena byla pod č. 104/2013 Sb. m. s.).

Směrnice Evropského parlamentu a Rady 2002/58/ES z 12. 7. 2002 o soukromí a elektronických komunikacích (the Directive on privacy and electronic communications) a směrnice Evropského parlamentu a Rady 95/46/ES z 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (the Data Protection Directive).

Čl. 7 LPEU: Každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace.

Čl. 8 LPEU: (1) Každý má právo na ochranu osobních údajů, které se ho týkají. (2) Tyto údaje musejí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. (3) Na dodržování těchto pravidel dohlíží nezávislý orgán.

Směrnice Evropského parlamentu a Rady 2006/24/ES z 15. 3. 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, jež byla následně transponována do jednotlivých právních řádů členských států EU. V ČR tomu bylo konkrétně v podobě úpravy v citovaném § 97 ElKom a prováděcí vyhlášce č. 485/2005 Sb.

Pro přehled srov. webové stránky nevládní organizace Statewatch Observatory, http://www.statewatch.org/eu-data-retention.htm.

Srov. rozhodnutí Spolkového ústavního soudu z 2. 3. 2010 (Vorratdatenspeicherungurteil, 1 BvR 256/08, 1 BvR 263/08 a 1 BvR 586/08). K jeho podrobné analýze srov. Möstl, M. Das Bundesverfassungsgericht und das Polizeirecht. Deutsches Verwaltungsblatt (DVBl), 2010, č. 7, s. 808 a násl., či v českém jazyce Herceg, J. Ústavněprávní limity monitoringu telekomunikačního provozu: konflikt mezi bezpečností a svobodou. Bulletin advokacie, 2010, č. 5, s. 22 a násl.

Konkrétně § 113a a 113b telekomunikačního zákona (Telekommunikationsgesetz) a § 100g trestního řádu (Strafprozessordnung). Následně přijatá právní úprava data retention v citovaných zákonech je v současnosti rovněž předmětem přezkumu ze strany Spolkového ústavního soudu.

S ohledem na obdobné případy, které Spolkový ústavní soud v minulosti řešil, se nejednalo o nijak překvapivý závěr. Srov. například rozhodnutí ze 4. 4. 2006, Rasterfahndungurteil, BVerfGE 115, 320, v němž posuzoval ústavnost plošného sledování, či rozhodnutí z 27. 2. 2008, On-line-Durchsuchungurteil, BVerfGE 120, 274, v němž posuzoval ústavnost tzv. on-line prohlídek, umožňujících vyšetřujícím orgánům sledovat vytipovanou IP adresu konkrétního uživatele internetu. Blíže k jejich obsahu srov. Möstl, M. Op. cit.

Srov. například rozhodnutí rumunského Ústavního soudu z 8. 10. 2009, sp. zn. 1258/08, polského Ústavního tribunálu z 30. 7. 2014, sp. zn. K 23/11, nález slovenského Ústavního soudu z 29. 4. 2015, sp. zn. PL. ÚS 10/2014, či rozhodnutí belgického Ústavního soudu z 11. 6. 2015, sp. zn. 84/2015.

Vedle zmíněné Statewatch Observatory lze uvést Digital Rights Ireland či rakouskou AKVorrat, které začasté iniciovaly i řadu soudních řízení ústících do vydání klíčových rozhodnutí k otázce ochrany soukromí v prostředí informačních technologií.

Rozsudek ESD z 8. 4. 2014, Digital Rights Ireland Ltd, C-293/12 a C-594/12. Předmětem přezkumu v tomto řízení, iniciovaném k žádostem o rozhodnutí o předběžné otázce na základě čl. 267 SFEU, podaných irským Nejvyšším soudem a rakouským Ústavním soudem, bylo posouzení platnosti směrnice o data retention z hlediska jejího rozporu s čl. 7, 8 a 11 LPEU.

Konkrétně, že úprava se neomezovala na uchovávání údajů vztahujících se buď k určitému časovému období, určité zeměpisné oblasti či okruhu určitých osob, jež mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k boji proti závažné trestné činnosti.

Blíže k analýze tohoto rozhodnutí srov. například Kühling, J. Der Fall der Vorratsdatenspeicherungsrichtlinie und der Aufstieg des EuGH zum Grundrechtsgericht. Neue Zeitschrift für Verwaltungsrecht, 2014, č. 8, s. 681–685, nebo Vedaschi, A., Lubello, V. Data Retention and its Implications for the Fundamental Right to Privacy: European Perspective. Tilburg Law Review, 2015, č. 1, s. 14–34.

Viz citované příklady Polska, Belgie, Slovenska, Rakouska, Irska nebo Nizozemska.

Například nástroj v podobě tzv. data freezing, jež za splnění stanovených podmínek umožňuje sledování a uchovávání potřebných a vybraných údajů pouze u konkrétního, předem určeného účastníka komunikace. Srov. k tomu úpravu na Slovensku v zákoně č. 351/2011 Z.z., o elektronických komunikáciách, ve znění pozdějších předpisů.

Dle čl. 15 odst. 1 cit. směrnice: Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v čl. 5, 6, čl. 8 odst. 1, 2, 3 a 4 a čl. 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné [vhodné a přiměřené] opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice [95/46]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musejí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 Smlouvy o Evropské unii.

Rozsudek ESD z 21. 12. 2016, Tele2 Sverige AB a Watson, C-203/15 a C-698/15, kde ESD odpovídal na předběžné otázky Spojeného království a Švédska ohledně výkladu čl. 15 odst. 1 směrnice o soukromí a elektronických komunikacích, a to právě v souvislosti se zneplatněním směrnice o data retention a z toho plynoucích důsledků pro vnitrostátní právní úpravy členských států.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Dle čl. 17 GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden ze stanovených důvodů.

Rozsudek ESD z 13. 5. 2014, Google Spain a Google, C-131/12. Blíže k tomu srov. například Tsesis, A. The Right to Erasure: Privacy, Data Brokers, and the Indefinite Retention of Data. Wake Forest Law Review, 2014, č. 4, s. 433–480, nebo Post, R. Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere. Duke Law Journal, 2018, č. 67, s. 983–1072.

Otázka územního dosahu unijních pravidel při zpracování osobních údajů je nicméně předmětem dalšího řízení před ESD ve věci C-507/17, v němž dosud nebylo rozhodnuto.

Rozsudek ESD z 6. 10. 2014, Schrems v. Facebook, C-362/14.

Tento závěr měl i významné politické dopady, neboť vyústil v konec tzv. safe harbor, dohody založené na presumpci dostatečné míry ochrany poskytované přenosu a nakládání s osobními údaji mezi EU a USA.

Rozsudek ESLP z 13. 9. 2018, č. 58170/13, 62322/14 a 24960/15, Big Brother Watch proti Spojenému království. Daný případ je zajímavý i z hlediska bezpečnostní politiky státu, neboť v jeho pozadí byla nijak neregulovaná spolupráce v podobě výměny získaných informací a údajů mezi bezpečnostními agenturami Spojeného království a USA.

Porušení bylo konkrétně spatřováno ve vyžádání údajů o telefonních číslech ze strany vyšetřujících orgánů, jehož účelem bylo odhalení informačního zdroje novináře a jež nepodléhalo předchozímu schválení soudem nebo nezávislým správním úřadem.

Prostřednictvím specializovaných programů a databází – například PRISM či UPSTREAM.

ESLP (s odkazem na závěry v rozsudku z 29. 6. 2006, č. 54934/00, Weber a Saravia proti Německu) konkrétně vymezil šest minimálních požadavků (záruk), které taková právní úprava musí splňovat: vymezit povahu trestných činů, které mohou vést k odposlechu; definovat kategorii osob, jichž se odposlech týká; omezení doby trvání odposlechu; stanovit postup, který je třeba dodržovat při zkoumání, používání a uchovávání získaných údajů; zakotvit opatření, která je třeba učinit při sdělování údajů jiným stranám; a upravit okolnosti, za kterých mohou nebo nemusejí být zachycená data vymazána nebo zničena.

Opakovaně zmiňované Spojené království je toho typickým příkladem, protože v souvislosti s rozsudky ESD ve věcech Digital Rights Ireland Ltd. a Tele2 Sverige AB a Watson a následně i s rozsudkem ESLP ve věci Big Brother Watch proti Spojenému království byla přijata nová přísnější právní úprava (the Investigatory Powers Act z roku 2016), která je nadto i nadále terčem kritiky, a proto je zvažována její další změna. Její souladnost s unijními předpisy je ostatně předmětem posouzení předběžné otázky v řízení před ESD ve věci Privacy International v. Secretary of State for Foreign and Commonwealth Affairs a další, C-623/17.

Tzn. § 97 odst. 3 a 4 ElKom, navazující prováděcí vyhláška č. 357/2012 Sb. a také § 88a TrŘ, provedená zákonem č. 273/2012 Sb. s účinností k 1. 10. 2012.

ÚS v Data retention nálezu I. musel čelit i argumentaci zpochybňující samotný potenciál data retention zasáhnout do soukromí dotčených jednotlivců, neboť se přeci nejedná o odposlech obsahu telekomunikace, nýbrž toliko o sběr dat a informací této komunikace se týkajících.

Pochybnosti již vyvolává obecný účel v podobě činnosti zpravodajských služeb (získávání, shromažďování a vyhodnocování informací důležitých pro ochranu ústavního zřízení, významných ekonomických zájmů, bezpečnosti a obrany České republiky) (viz § 2 zákona č. 153/1994 Sb., o zpravodajských službách České republiky) a dohledu nad kapitálovým trhem (viz § 8 zákona č. 15/1998 Sb., o dohledu v oblasti kapitálového trhu a o změně a doplnění dalších zákonů).

Nebo v nálezu z 12. 12. 2017, sp. zn. Pl. ÚS 26/16 (8/2018 Sb.), týkajícím se přezkumu ústavnosti úpravy elektronické evidence tržeb (EET).

Poznámky pod čarou:
*	Autor je odborným asistentem na katedře ústavního práva Právnické fakulty Univerzity Palackého v Olomouci a soudcem správního úseku KS v Brně.
1	Nález ÚS z 22. 3. 2011, sp. zn. Pl. ÚS 24/10 (52/2011 USn., 94/2011 Sb.).
2	Podle relevantní právní úpravy jsou to zejména telefonní čísla účastníků komunikace, datum a čas zahájení komunikace (odeslání zprávy), délka komunikace, u mobilních telefonů dále identifikátor IMSI (mezinárodní identifikátor účastníka veřejné mobilní komunikační sítě přidělený operátorem) a identifikátor mobilního přístroje účastníků komunikace. V případě internetových služeb se uchovává zejména typ připojení, označení uživatele, datum a čas připojení k internetu, označení přístupového bodu, adresa IP a u služeb elektronické komunikace rovněž údaje o připojení ke schránce elektronické pošty, odesílání i přijímání pošty včetně adres odesílatelů a příjemců. Všechny tyto údaje pak musejí být preventivně uchovávány po dobu šesti měsíců.
3	Mobilní operátoři a poskytovatelé služeb elektronické komunikace.
4	Například a) orgánům činným v trestním řízení, b) Policii ČR pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě, zjištění totožnosti osoby neznámé totožnosti nebo totožnosti nalezené mrtvoly či předcházení nebo odhalování konkrétních hrozeb v oblasti terorismu, c) Bezpečnostní informační službě, d) Vojenskému zpravodajství, e) České národní bance pro účely dohledu nad kapitálovým trhem.
5	Konkrétně § 97 odst. 3 a 4 ElKom a vyhláška č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání.
6	Za neuralgický bod posuzované právní úpravy ÚS shledal absenci dostatečných garancí a záruk ochrany soukromé sféry jednotlivce proti možnému zneužití pravomoci ze strany veřejné moci při použití tohoto robustního nástroje, jehož užití má za následek vážné omezení osobní integrity a základních práv jednotlivce, přestože se stanovená povinnost uchovávat provozní a lokalizační údaje nevztahuje na obsahy jednotlivých sdělení, jelikož z uvedených údajů o uživatelích, adresátech, přesných časech, datech, místech a formách telekomunikačních spojení, budou-li sledovány po delší časový úsek, lze v jejich kombinaci sestavit detailní informace o společenské nebo politické příslušnosti, jakož i o osobních zálibách, sklonech nebo slabostech jednotlivých osob.
7	Nález ÚS z 20. 12. 2011, sp. zn. Pl. ÚS 24/11 (217/2011 USn., 43/2012 Sb.).
8	K tomu nechť slouží i velmi povedené odlišné stanovisko k nálezu od soudkyně Kateřiny Šimáčkové.
9	Blíže k tomu srov. Kokeš, M. Několik poznatků k problematice konkrétních konfliktů mezi právem na informační sebeurčení a ochranou národní bezpečnosti v tzv. době internetové. In: Šimíček, V. (ed.) Právo na soukromí. Brno: Masarykova univerzita, 2011, s. 119–143.
10	Srov. k tomu Gřivna, T., Polčák, R. Kyberkriminalita a právo. Praha: Auditorium, 2008.
11	Srov. Edwards, L., Waelde, Ch. Preface to the Third Edition. In: Edwards, L.,Waelde, Ch. (eds.) Law and the Internet. 3. vydání. Oxford: Oxford University Press, 2009, s. viii.
12	Srov. rozhodnutí Spolkového ústavního soudu z 15. 12. 1983 (Volkszählungsurteil, BVerfGE 65, 1), v němž byla předmětem přezkumu zákonná úprava vztahující se k procesu sběru a uchovávání dat za účelem sčítání lidu (Volkszählung). V tomto rozhodnutí soud mimo jiné konstatoval, že v moderní společnosti charakterizované i obrovským nárůstem informací a dat musí být ochrana jednotlivce před neomezeným sběrem, uchováváním, užitím a zveřejňováním dat o její, resp. jeho osobě poskytována v rámci obecnějšího, ústavně garantovaného práva jednotlivce na soukromí. Právo na informační sebeurčení je tak samotné třeba považovat za základní právo, které jednotlivci garantuje možnost vlastním rozhodnutím ovlivnit odkrytí a zveřejnění svých osobních dat. Blíže srov. Hornung, G., Schnabel, Ch. Data Protection in Germany I: The Population Census Decision and the Right to Informational Self--Determination. Computer Law & Security Review, 2009, č. 25.
13	Srov. Solove, J. D. Data Mining and the Security-Liberty Debate. University of Chicago Law Review, 2008, č. 1, s. 343–362.
14	Nesporný vliv na toto nazírání měly i hojně medializované kauzy s celosvětovým dopadem jako WikiLeaks či Snowden, upozorňující na činnost tajných služeb a bezpečnostních složek jednotlivých států, v čele s americkou NSA, spočívající v celoplošném sledování a sběru dat z elektronické komunikace jednotlivců v dosud stěží představitelném množství.
15	Srov. Edwards, L. Privacy and Data Protection Online: The Laws Don’t Work? In: Edwards, L., Waelde, Ch. (eds.) Op. cit., s. 443.
16	Ač se může jednotlivec sebevíce řadit mezi zavilé odpůrce sociálních sítí či chytrých telefonů, přesto se však stěží vyhne dopadům elektronizace a přesunu administrativy celé řady důležitých životních záležitostí (komunikace s okolím, s úřady, platby za služby atp.) do prostředí internetu.
17	Srov. Solove, J. D. The Digital Person: Technology and Privacy in the Information Age. New York: New York University Press, 2004, s. 1, http://docs.law.gwu.edu/facweb/dsolove/Digital-Person/text.htm.
18	Op. cit., s. 2.
19	Samozřejmě nelze opominout, že se nejedná o jedinou úpravu v evropském prostředí. V této souvislosti je třeba zmínit například Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracovávání osobních údajů (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data – úmluva č. 108, kterou ČR dne 9. 7. 2001 ratifikovala a vyhlášena byla pod č. 115/2001 Sb. m. s.), která zůstává jediným právně závazným mezinárodním nástrojem v oblasti ochrany údajů, přičemž se vztahuje na veškeré zpracování údajů prováděné jak soukromým, tak veřejným sektorem a jejím cílem je chránit jednotlivce před zneužíváním, které může doprovázet shromažďování a zpracování osobních údajů, a zároveň usiluje o regulaci předávání údajů do zahraničí. Případně lze zmínit i Úmluvu o počítačové kriminalitě (Convention on Cybercrime – úmluva č. 185, kterou ČR dne 22. 8. 2013 ratifikovala a vyhlášena byla pod č. 104/2013 Sb. m. s.).
20	Směrnice Evropského parlamentu a Rady 2002/58/ES z 12. 7. 2002 o soukromí a elektronických komunikacích (the Directive on privacy and electronic communications) a směrnice Evropského parlamentu a Rady 95/46/ES z 24. 10. 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (the Data Protection Directive).
21	Čl. 7 LPEU: Každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace.
22	Čl. 8 LPEU: (1) Každý má právo na ochranu osobních údajů, které se ho týkají. (2) Tyto údaje musejí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. (3) Na dodržování těchto pravidel dohlíží nezávislý orgán.
23	Směrnice Evropského parlamentu a Rady 2006/24/ES z 15. 3. 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, jež byla následně transponována do jednotlivých právních řádů členských států EU. V ČR tomu bylo konkrétně v podobě úpravy v citovaném § 97 ElKom a prováděcí vyhlášce č. 485/2005 Sb.
24	Pro přehled srov. webové stránky nevládní organizace Statewatch Observatory, http://www.statewatch.org/eu-data-retention.htm.
25	Srov. rozhodnutí Spolkového ústavního soudu z 2. 3. 2010 (Vorratdatenspeicherungurteil, 1 BvR 256/08, 1 BvR 263/08 a 1 BvR 586/08). K jeho podrobné analýze srov. Möstl, M. Das Bundesverfassungsgericht und das Polizeirecht. Deutsches Verwaltungsblatt (DVBl), 2010, č. 7, s. 808 a násl., či v českém jazyce Herceg, J. Ústavněprávní limity monitoringu telekomunikačního provozu: konflikt mezi bezpečností a svobodou. Bulletin advokacie, 2010, č. 5, s. 22 a násl.
26	Konkrétně § 113a a 113b telekomunikačního zákona (Telekommunikationsgesetz) a § 100g trestního řádu (Strafprozessordnung). Následně přijatá právní úprava data retention v citovaných zákonech je v současnosti rovněž předmětem přezkumu ze strany Spolkového ústavního soudu.
27	S ohledem na obdobné případy, které Spolkový ústavní soud v minulosti řešil, se nejednalo o nijak překvapivý závěr. Srov. například rozhodnutí ze 4. 4. 2006, Rasterfahndungurteil, BVerfGE 115, 320, v němž posuzoval ústavnost plošného sledování, či rozhodnutí z 27. 2. 2008, On-line-Durchsuchungurteil, BVerfGE 120, 274, v němž posuzoval ústavnost tzv. on-line prohlídek, umožňujících vyšetřujícím orgánům sledovat vytipovanou IP adresu konkrétního uživatele internetu. Blíže k jejich obsahu srov. Möstl, M. Op. cit.
28	Srov. například rozhodnutí rumunského Ústavního soudu z 8. 10. 2009, sp. zn. 1258/08, polského Ústavního tribunálu z 30. 7. 2014, sp. zn. K 23/11, nález slovenského Ústavního soudu z 29. 4. 2015, sp. zn. PL. ÚS 10/2014, či rozhodnutí belgického Ústavního soudu z 11. 6. 2015, sp. zn. 84/2015.
29	Vedle zmíněné Statewatch Observatory lze uvést Digital Rights Ireland či rakouskou AKVorrat, které začasté iniciovaly i řadu soudních řízení ústících do vydání klíčových rozhodnutí k otázce ochrany soukromí v prostředí informačních technologií.
30	Rozsudek ESD z 8. 4. 2014, Digital Rights Ireland Ltd, C-293/12 a C-594/12. Předmětem přezkumu v tomto řízení, iniciovaném k žádostem o rozhodnutí o předběžné otázce na základě čl. 267 SFEU, podaných irským Nejvyšším soudem a rakouským Ústavním soudem, bylo posouzení platnosti směrnice o data retention z hlediska jejího rozporu s čl. 7, 8 a 11 LPEU.
31	Konkrétně, že úprava se neomezovala na uchovávání údajů vztahujících se buď k určitému časovému období, určité zeměpisné oblasti či okruhu určitých osob, jež mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k boji proti závažné trestné činnosti.
32	Blíže k analýze tohoto rozhodnutí srov. například Kühling, J. Der Fall der Vorratsdatenspeicherungsrichtlinie und der Aufstieg des EuGH zum Grundrechtsgericht. Neue Zeitschrift für Verwaltungsrecht, 2014, č. 8, s. 681–685, nebo Vedaschi, A., Lubello, V. Data Retention and its Implications for the Fundamental Right to Privacy: European Perspective. Tilburg Law Review, 2015, č. 1, s. 14–34.
33	Viz citované příklady Polska, Belgie, Slovenska, Rakouska, Irska nebo Nizozemska.
34	Například nástroj v podobě tzv. data freezing, jež za splnění stanovených podmínek umožňuje sledování a uchovávání potřebných a vybraných údajů pouze u konkrétního, předem určeného účastníka komunikace. Srov. k tomu úpravu na Slovensku v zákoně č. 351/2011 Z.z., o elektronických komunikáciách, ve znění pozdějších předpisů.
35	Dle čl. 15 odst. 1 cit. směrnice: Členské státy mohou přijmout legislativní opatření, kterými omezí rozsah práv a povinností uvedených v čl. 5, 6, čl. 8 odst. 1, 2, 3 a 4 a čl. 9 této směrnice, pokud toto omezení představuje v demokratické společnosti nezbytné, přiměřené a úměrné [vhodné a přiměřené] opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo neoprávněného použití elektronického komunikačního systému, jak je uvedeno v čl. 13 odst. 1 směrnice [95/46]. Za tímto účelem mohou členské státy mimo jiné přijmout legislativní opatření umožňující uchovávání údajů po omezenou dobu na základě důvodů uvedených v tomto odstavci. Veškerá opatření uvedená v tomto odstavci musejí být v souladu s obecnými zásadami práva Společenství, včetně zásad uvedených v čl. 6 odst. 1 a 2 Smlouvy o Evropské unii.
36	Rozsudek ESD z 21. 12. 2016, Tele2 Sverige AB a Watson, C-203/15 a C-698/15, kde ESD odpovídal na předběžné otázky Spojeného království a Švédska ohledně výkladu čl. 15 odst. 1 směrnice o soukromí a elektronických komunikacích, a to právě v souvislosti se zneplatněním směrnice o data retention a z toho plynoucích důsledků pro vnitrostátní právní úpravy členských států.
37	Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
38	Dle čl. 17 GDPR má subjekt údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden ze stanovených důvodů.
39	Rozsudek ESD z 13. 5. 2014, Google Spain a Google, C-131/12. Blíže k tomu srov. například Tsesis, A. The Right to Erasure: Privacy, Data Brokers, and the Indefinite Retention of Data. Wake Forest Law Review, 2014, č. 4, s. 433–480, nebo Post, R. Data Privacy and Dignitary Privacy: Google Spain, the Right to Be Forgotten, and the Construction of the Public Sphere. Duke Law Journal, 2018, č. 67, s. 983–1072.
40	Otázka územního dosahu unijních pravidel při zpracování osobních údajů je nicméně předmětem dalšího řízení před ESD ve věci C-507/17, v němž dosud nebylo rozhodnuto.
41	Rozsudek ESD z 6. 10. 2014, Schrems v. Facebook, C-362/14.
42	Tento závěr měl i významné politické dopady, neboť vyústil v konec tzv. safe harbor, dohody založené na presumpci dostatečné míry ochrany poskytované přenosu a nakládání s osobními údaji mezi EU a USA.
43	Rozsudek ESLP z 13. 9. 2018, č. 58170/13, 62322/14 a 24960/15, Big Brother Watch proti Spojenému království. Daný případ je zajímavý i z hlediska bezpečnostní politiky státu, neboť v jeho pozadí byla nijak neregulovaná spolupráce v podobě výměny získaných informací a údajů mezi bezpečnostními agenturami Spojeného království a USA.
44	Porušení bylo konkrétně spatřováno ve vyžádání údajů o telefonních číslech ze strany vyšetřujících orgánů, jehož účelem bylo odhalení informačního zdroje novináře a jež nepodléhalo předchozímu schválení soudem nebo nezávislým správním úřadem.
45	Prostřednictvím specializovaných programů a databází – například PRISM či UPSTREAM.
46	ESLP (s odkazem na závěry v rozsudku z 29. 6. 2006, č. 54934/00, Weber a Saravia proti Německu) konkrétně vymezil šest minimálních požadavků (záruk), které taková právní úprava musí splňovat: vymezit povahu trestných činů, které mohou vést k odposlechu; definovat kategorii osob, jichž se odposlech týká; omezení doby trvání odposlechu; stanovit postup, který je třeba dodržovat při zkoumání, používání a uchovávání získaných údajů; zakotvit opatření, která je třeba učinit při sdělování údajů jiným stranám; a upravit okolnosti, za kterých mohou nebo nemusejí být zachycená data vymazána nebo zničena.
47	Opakovaně zmiňované Spojené království je toho typickým příkladem, protože v souvislosti s rozsudky ESD ve věcech Digital Rights Ireland Ltd. a Tele2 Sverige AB a Watson a následně i s rozsudkem ESLP ve věci Big Brother Watch proti Spojenému království byla přijata nová přísnější právní úprava (the Investigatory Powers Act z roku 2016), která je nadto i nadále terčem kritiky, a proto je zvažována její další změna. Její souladnost s unijními předpisy je ostatně předmětem posouzení předběžné otázky v řízení před ESD ve věci Privacy International v. Secretary of State for Foreign and Commonwealth Affairs a další, C-623/17.
48	Tzn. § 97 odst. 3 a 4 ElKom, navazující prováděcí vyhláška č. 357/2012 Sb. a také § 88a TrŘ, provedená zákonem č. 273/2012 Sb. s účinností k 1. 10. 2012.
49	ÚS v Data retention nálezu I. musel čelit i argumentaci zpochybňující samotný potenciál data retention zasáhnout do soukromí dotčených jednotlivců, neboť se přeci nejedná o odposlech obsahu telekomunikace, nýbrž toliko o sběr dat a informací této komunikace se týkajících.
50	Pochybnosti již vyvolává obecný účel v podobě činnosti zpravodajských služeb (získávání, shromažďování a vyhodnocování informací důležitých pro ochranu ústavního zřízení, významných ekonomických zájmů, bezpečnosti a obrany České republiky) (viz § 2 zákona č. 153/1994 Sb., o zpravodajských službách České republiky) a dohledu nad kapitálovým trhem (viz § 8 zákona č. 15/1998 Sb., o dohledu v oblasti kapitálového trhu a o změně a doplnění dalších zákonů).
51	Nebo v nálezu z 12. 12. 2017, sp. zn. Pl. ÚS 26/16 (8/2018 Sb.), týkajícím se přezkumu ústavnosti úpravy elektronické evidence tržeb (EET).

I. Úvod

II. Ochrana soukromí v prostředí elektronické komunikace a informačních technologií

III. Data retention, data protection (GDPR), právo být zapomenut…

IV. Data retention nález II.

V. Závěr

Souvislosti k SR 6/2019 s. 182

Související předpisy (4)

Cituje judikaturu (8)

Dokumenty EU (1)

Poslat odkaz