Už od roku 2005 je v České republice preventivně „pro všechny případy“ po dobu šesti měsíců uchováván záznam o každém e-mailu, přístupu na web, telefonním hovoru i SMS. Do databází má přístup policie, zpravodajské služby a další. Slídění zavedl zavedena zákonem o elektronických komunikacích z roku 2005, který předjímal evropskou směrnici o tzv. data retention (skladování dat)¹.

Pojem data retention ani jeho český, nepříliš povedený, ekvivalent „uchovávání dat“ nepožívají v Česku v pozornosti, jakou si bezesporu zaslouží. Před pár lety nepředstavitelné a nepřijatelné preventivní skladování podrobných dat o telefonní, faxové, mobilní a internetové komunikaci každého z nás (lépě řečeno každého, kdo komunikuje prostřednictvím evropských teleoperátorů a providerů nejrůznějších internetových služeb) je dnes bohužel realitou právní úpravy komunitární i tuzemské. Skok směrem ke společnosti Velkého bratra je mílový, systém základních práv zásadně prolamující a překvapivě rychlý tak, že si to ani právní či aktivistická veřejnost zaměstnaná jinými průlomy do základních práv ve jménu boje s terorismem či organizovaným zločinem nestihla dostatečně reflektovat. Účelem tohoto článku je stručně seznámit nejen odbornou veřejnost s historií přijetí právní úpravy, místy, kde tato úprava koliduje se základními právy a možnostmi, jak lze právními prostředky zásahy do základních práv napadnout.

V Bruselu rekordně rychle
Přijetím směrnice č. 2006/24/ES o uchovávání údajů o elektronické komunikaci1 Evropský parlament dovršil legislativní proces², který rozhodně nebyl standardní a přijal v mnoha ohledech problematickou směrnici, dnes již napadenou několika právními cestami.
Proti návrhu a později přijetí „orwellovské“ směrnice předložené Komisí v červnu 2005 se zvedl odpor nebývalých rozměrů – negativní stanovisko vydali mimo jiné Pracovní skupina expertů zřízená podle článku 29 směrnice č. 95/46/ES o ochraně osobních údajů (dále jen „Working Party 29)³, Evropský komisař na ochranu osobních údajů Petr Hustinx⁴, Evropské policejní konfederace EuroCOP⁵, Rovněž stanoviska průmyslu (Mezinárodní obchodní komory, německého průmyslového svazu BITKOM ad.) k návrhu byla velmi vlažná a ke zdrženlivosti nabádající. Jednoznačně negativní stanovisko a aktivní kampaň proti přijetí vedly dvě nejvýznaměnší evropské organizace na ochranu soukromí European Digital Rights (EDRi) a Privacy International⁶, stejně jako evropské spotřebitelské organizace sdružené v BEUC⁷. Petici adresovanou Evropskému parlamentu proti přijetí směrnice podepsalo přes 50 000 Evropanů, mj. i z České republiky.
Britské předsednictví v době přijetí směrnice znamenalo ohromný tlak na přijetí směrnice, který se projevil kuloárními dohodami v Evropském parlamentu, naprostým ignorováním pozměňovacích návrhů parlamentního Výboru pro justici a občanské svobody (LIBE) a bezprecedentní nejkratší doby projednávání v celé historii EU. Od návrhu Komise do přijetí Evropským parlamentem uběhly pouhé (a necelé) tři měsíce, přičemž normálně trvá legislativní proces roky. Nutno předeslat, že návrh na plošné uchovávání záznamů o veškeré komunikaci není novinkou; byl již neúspěšně navržen v podobě rámcového rozhodnutí za belgického předsednictví v roce 2002⁸.

Data retention směrnice – seznamte se
Nikoli nadarmo je směrnice označována za historickou změnu. Poměrně krátký text o osmnácti stručných článcích tak nařizuje členským státům, aby uzákonily pro všechny poskytovatele služeb elektronických komunikací přísnou povinnost skladovat celou řadu údajů o telefonní komunikaci, komunikaci přes internet a lokalizačních údajů o mobilních telefonech a to na dobu nejméně půl roku až dva roky (čl. 6 směrnice). Směrnice nevylučuje ani delší dobu uchovávání těchto údajů, takže připouští například 15leté uchovávání dat o komunikaci, jak zamýšlelo v době přijetí směrnice Polsko. Podrobné vymezení v článku 5 směrnice pak čítá více než dvacet různých informací o komunikaci a to i komunikaci neúspěné (tzv. neúspěšná volání). Implementační lhůta pro členské státy uplynula 15. září 2007, údaje o internetové komunikaci směrnice umožňuje členským státům uchovávat až od 15. března 2009, čehož naprostá většina členských států využila.
Směrnice rovněž ponechala zcela otevřenou otázku, odvislou plně od národní úpravy jednotlivých států, zda budou hradit teleoperátorům a internetovým providerům hrazeny nemalé náklady na uchovávání těchto údajů. Není tak ani zřejmé, jaký typ nákladů by měl být hrazen: zda pouze nezbytné investice do technického zařízení nebo i provozní náklady a co vše se do nich počítá. Praxe členských států je velmi různá a zvolený režim významně ovlivňuje ochotu operátorů data uchovávat (tam, kde náklady propláceny nejsou je pravidlem rezervovaný přístup, naopak v případě štědrého proplácení nákladů je zájem telekomunikačního průmyslu na straně prodlužování doby uchovávání a rozšiřování okruhu dat⁹).

Směrnice svou existenci zdůvodňuje účely vyšetřování, odhalování a stíhání závažných trestných činů (čl. 1), nezakazujevšak výslovně nashromážděná data využívat i pro řadu dalších případů (což se děje; projevuje se tak železný zákon jednou vzniklých databází osobních údajů – jejich původní úzce vymezený účel s postupem času vždy rozšiřuje). Stejně tak směrnice nedává jakákoli pravidla pro okruh státních orgánů, které mohou údaje dostat ani nestanoví podmínky soudního povolení pro přístup k údajům. Čl. 4 směrnice stanoví „pravidlo“, že shromážděné údaje mohou být poskytovány pouze „příslušným vnitrostátním orgánům v konkrétních případech a v souladu s vnitrostátními právními předpisy“.

Směrnice přebírá ze směrnice o ochraně osobních údajů v telekomunikacích (č. 2002/58/ES) povinnost, aby data byla zabezpečená proti zničení, poškození, zneužití či neoprávněnému přístupu a potvrzuje kompetenci nezávislých orgánů (ekvivalentů Úřadu na ochranu osobních údajů ) dozírat na plnění těchto podmínek (čl. 7 a 9 směrnice).
Směrnice postrádá jakékoli nezávislé hodnocení dopadů svého působení. Nabízelo by se svěřit tento v případě tak závažného prolomení soukromí nezbytný mechanismus, svěřený například Working Party 29 působící na základě směrnice o ochraně osobních údajů¹⁰. Předpis však s hodnocením dopadů směrnice do práva na ochranu soukromí počítá pouze formou „přezkumu“ Komise samotné a to k připomínkám členských států nebo Working Party 29. Více pozornosti směrnice věnuje dopadům směrnice na ekonomickou stránku věci, tj. na spotřebitele a na hospodářské subjekty, které by mělo být zhodnoceno Komisí do 15. září 2010 a předloženo Radě a Parlamentu (čl. 14 směrnice).
Zmínka o Evropské úmluvě o ochraně lidských práv a svobod základních svobod v textu směrnice se týká odkazů na její použití při využívání nashromážděných údajů, které je ovšem mezinárodním závazkem všech členských států.

Nezapomnělo se, že je tu Úmluva?
Na rozdíl od jiných směrnic týkajících se elektronických komunikací není data retention směrnice a její implementace příliš diskutována v odborných článcích ani ve veřejné diskusi¹¹. Její dopad na základní práva na ochranu soukromého života se pokusme optikou Evropského soudu pro lidská práva (dále jen „Soud“) nastínit zde (stranou ponecháváme dopad na fungování jednotného trhu telekomunikací či na klíčový princip proporcionality, základní požadavek na unijní legislativu).
Předesílám názor, že uchovávání údajů o soukromé komunikaci lidí, které je aplikováno plošně, bez rozlišování osob a případů jednoznačně v rozporu s právem na ochranu soukromí podle čl. 8 Evropské úmluvy¹² a vycházím z níže uvedeného výkladu Soudu. Podle prvního odstavce tohoto článku má každý právo na „respektování soukromého a rodinného života“, přičemž „státní orgán do výkonu tohoto práva zasahovat“ nesmí (čl. 8 odst. 2). Výjimky se připouští a to pouze pro zásahy „ v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných“ (též odst. 2).
Štrasburská judikatura k čl. 8 Úmluvy se vyvinula též na případech velmi podobných praxi zavedené data retention legislativou. Nejrůznější případy, kdy se lidé mezi sebou na dálku vstupují do vztahů pomocí technických zařízení s sebou automaticky přináší pokusy státu obsah vztahu a komunikace mezi nimi seznat; díky technickému prvku je pak tato ingerence technicky poměrně snadná a obvykle obtížně odhalitelná. Povaha takovýchto vztahů resp. komunikace jednoznačně spadá do sféry soukromého života, dokonce i v případě obchodních aktivit osoby (Niemietz proti Německu¹³). Před Evropským soudem pro lidská práva se tak ocitly případy kdy stát kontroloval obsah pošty, telefonních hovorů (obé Klass proti Německu¹⁴), zjišťoval jen telefonní čísla komunikace osob (P.G. a J.H. proti Velké Británii¹⁵), evidoval, že osoba telefonovala s určitou osobou (Amann proti Švýcarsku¹⁶) anebo jen vedl (aniž využíval) záznamy bývalé státní bezpečnosti o minulých aktivitách osoby (Rotaru proti Rumunsku¹⁷). Ve všech těchto případech štrasburský soud hledal toho jednání zásahem do soukromého života a dále ve svém třístupňovém testu zkoumal, zda jsou splněny podmínky pro výjimky z ochrany, tedy zda je o zásah na základě zákona a zda je nezbytný v demokratické společnosti.

Je zřejmé, že uchovávání podrobných dat o veškeré komunikaci, lokalizaci komunikujícího, internetových službách a stránkách bude Soudem posouzeno jako zásah do soukromého života pomocí úvahy a minore ad maius. Je třeba připomenout, že díky povaze údajů o využívání některých služeb internetu, se data retention legislativa týká též obsahu (např. informace o shlédnutých webových stránkách), i když se směrnice výslovně uchování obsahu komunikace distancuje (čl. 5 odst. 2).
Jedním ze základních požadavků Soudu vyvinutých výkladem podmínky zákonného podkladu státních zásahů do soukromého života je předvídatelnost a dostupnost tohoto zákonného podkladu. Důvodem je legitimní a logický požadavek, aby lidé znalí předem okolností, kdy stát může výjimečně do jejich soukromého života nahlédnout, mohli přizpůsobit své jednání tak, aby se tomuto vyhnuli¹⁸ (např. se nepouštěli do bližších kontaktů s pracovníky ambasády nepřátelského státu). Plošný charakter data retention legislativy však možnost reálné volby osob naprosto vylučuje (s výjimkou iluzorní volby vzdání se veškerého používání elektronických komunikací).

Kritérium nezbytnosti zásahu v demokratické společnosti bylo Soudem rozpracováno na požadavek legitimního cíle, spočívajícího v urgentní potřebě společnosti (např. boj s organizovaným zločinem) a požadavek proporcionality zvoleného opatření vůči tomuto cíli. Lze si jen těžko představit typičtější případ „kanónu na vrabce“ než provoz obří databáze s podrobnými záznamy o komunikace každé osoby s cílem boje proti vážným, avšak řídkým případům nejzávažnější trestné činnosti páchané řádově statisícinásobně menším počtem osob než je sledovaná množina. Proporcionalitu a od ní odvislý požadavek zvýšené ochrany některých typů komunikace (např. medicínské, duchovní, advokátní služby)¹⁹ na první pohled univerzální archivace komunikace nenaplňuje.
Povídáme-li se na směrnici ve světle štrasburské judikatury, není příliš radikální její hodnocení jako předpisu naprosto v protikladu s požadavky uměřenosti a přísné minimalizace zásahů států do soukromí osob. Směrnice nastavila režim vlastní totalitním a nedemokratickým režimům – podezřívání a sledování každého jednotlivce a vytváření záznamů o podstatném výseku jeho života „do budoucna“ (byť v rozporu s účelem boje s vážnou trestnou činností, která je doménou zlomku sledovaných osob).

Přehorlivá česká implementace
Český zákon o elektronických komunikacích, přijatý pod č. 127/2005 Sb., již v předstihu „implementoval“ tehdy jen navrhovanou směrnici do ustanovení § 97 odst. 3 zákona a jeho prováděcí vyhlášky. Podle těchto ustanovení mají provozovatelé služeb elektronických komunikací bezvýhradnou povinnost uchovávat podrobné provozní a lokalizační údaje o každém typu komunikace. Jejích výčet tvoří desítky položek (§ 2 prováděcí vyhlášky č. 485/2005 Sb.) a podobně jako v jiných členských státech, byla směrnice zneužita k uzákonění sledování údajů daleko nad rámec toho, co přikazuje směrnice.
Podle požadavků směrnice pak čeští operátoři a provideři zadržují u pevných linek údaje o telefonních číslech volajícího a volaného, typu komunikace a identifikace předplacené karty použité v telefonních automatech. Účastníci mobilní komunikace mohou počítat s uchováním dat o svých telefonních číslech, o jednoznačném kódu svého mobilního telefonu (IMEI), o své poloze a pohybu a to i pokud komunikace neprobíhá (stačí zapnutý mobilní telefon). U používání internetu jiných sítí jsou na rok uchovány uživatelské účty, identifikátor počítače i serveru, k němuž bylo přistupováno (zejména IP adresa, úplné doménové jméno FQDN), zadané URL adresy, typ služby „včetně dodatečných parametrů“, použité služby, metody a status požadavků na službu, řádné nebo mimořádné ukončení připojení. Zaznamenávajíse i údaje o použití chatu, usenetu, instant messagingu (např. ICQ) a IP telefonie a to veškerá identifikace komunikujících stran, transportní protokol a použité služby (např. přenos souborů). Užívání elektronické pošty se zaznamenává v podobě údajů o e-mailové adrese stran komunikace, protokolu elektronické pošty a o identifikaci poštovních serverů a identifikaci počítače komunikujících. U každého typu komunikace se eviduje její datum, čas a doba trvání.

Přiřadit k telefonním číslům konkrétní osoby ze seznamu provozovatele pak může policie na základě oprávnění daného § 97 odst. 4, která opravňuje policii žádat všechny informace, které o klientech provozovatel vede. V zákoně (§ 97 odst. 6) je též zakotvena úhrada účelně vynaložených nákladů operátorů a providerů státem.
Podle české úpravy se nad rámec směrnice sleduje u internetového připojení a služeb a e-mailové komunikace množství přenesených dat, informace o použití šifrování, metoda a status požadavků na službu a její realizace. Uchovávají se i informace o posílání SMS z internetových bran a další „zájmové identifikátory“. U telefonie nad rámec směrnice stát žádá identifikaci předplacené telefonní karty, veřejného telefonního automatu, čísla dobíjecích kupónů a jejich přiražení k dobíjenému číslu, vazbu mezi mobilním přístrojem a všemi vloženými SIM kartami.

Novelou č. 247/2008 Sb. byla transpozice směrnice do zákona o elektronických komunikacích dovršena. Obsahem novely bylo doplnění definičních ustanovení zákona a některých povinností: uchovávat neúspěšná volání, likvidovat údaje po uplynutí lhůty, posílat Komisi statistiky z aplikace směrnice a požadavek stejného zabezpečení uchovávaných údajů jako mají údaje při poskytování služby. S touto novelou se také přijaly některé změny související se službami roamingu²⁰, ale především došlo k nenápadnému (bez přímé novelizace) otevření prostoru pro využívání nashromážděných údajů i jinými, blíže nespecifikovanými, subjekty odlišnými od policie. Je zřejmé, že jde především o zpravodajské služby, což avizoval a poté (nepravdivě) veřejně popřel ministr dopravy.
Pozměňovací návrh směřující k zamezení rozlévání databáze i do sfér nekontrolovaných a pod směrnici nespadajících tajných služeb přijat nebyl (navzdory jeho osvojení Výborem pro bezpečnost), Stejně tak díky tlaku ministra průmyslu a obchodu nebyly přijaty ani návrhy Výboru a jednotlivých poslanců snižující intenzitu dopadů data retentionna úroveň minimálních požadavků směrnice:snížení doby uchovávání na půl roku, odstranění proplácení nákladů operátorům, snížení spektra uchovávaných údajů pouze na rozsah požadovaný směrnicí a vtělený do zákona, záruky použití údajů pouze pro postupy podle trestního řádu.

Symptomatické je, že lež v legislativním procesu se při projednávání této novely stala běžnou pomůckou jejích zastánců. Ten v prvním čtení návrhu coby zástupce předkladatele uvedl, že dle zákona nemají být a nejsou uchovávány údaje o poloze mobilního telefonu který aktuálně netelefonuje či neposílá SMS²¹. Tyto údaje jsou přitom uchovávány podle shora uvedené vyhlášky²² a rutinně využívány v trestním řízení a to i ve věcech méně závažných trestných činů. Ve třetím čtení zpravodaj tisku k pozměňovacímu návrhu snižujícím uchovávání na minimálních 6 měsíců před hlasováním uvedl, že je v rozporu se směrnicí 2006/24/ES, ačkoliv tomu tak evidentně není²³. Nepravdivá odůvodnění a neschopnost pléna to odhalit jsou tak příznakem postoje nejvyšších orgánů státu k legislativě, která udělala k orwellovskému státu krok jako žádná jiná.
Není třeba dále zdůrazňovat, jak závažný skok ke společnosti, kde jsou vysledovatelné aktivity každého člověka, představuje data retention legislativa. Možnosti, jak využít právní cestu k odstranění či zmírnění této právní úpravy a kroky, které již byly v jednotlivých státech podniknuty anebo se připravují, budou předmětem II. dílu tohoto článku, který tak bude v o něco optimističtějším tónu.

1 Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES.

2 Zahájený návrhem Komise č. 2005/0182(COD).
3 Stanovisko č. WP 119 (654/06/EN), online: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp119_en.pdf.
4 Stanovisko č. 2006/ C 47/12), ze dne 19.12. 2005; 25. 3. 2006; online: http://eur-lex.europa.eu/LexUriServ/site/en/oj/2006/c_047/c_04720060225e...
5 Stanovisko předsedy celoevropské odborové konfederace EuroCOP, 2.7.2005, online: http://www.eurocop-police.org/pressreleases/2005/05-06-02%20PRESS%20JHA%....

6 Jejich stanoviska, stejně jako všechny, zásadní materiály jejich kampaně naleznete na http://wiki.dataretentionisnosolution.com/index.php/Main_Page.

7 Stanoviska lze nalézt na webu BEUC ohledně digitálních práv spotřebitelů http://www.consumersdigitalrights.org.

8 dlouho utajovaný návrh byl za řeckého předsednictví EU odložen.

9 Např. Velká Británie

10 č 95/46/ES

11 Výjimku tvoří fundovaný článek Jaromíra Hořáka Právo na soukromí versus bezpečnost ve sjednocené Evropě: zamyšlení nad problematikou „data retention“, Acta Universitatis Carolinae. Iuridica. č.1/2006, s. 81-98

12 Úmluva o ochraně lidských práv a základních svobod vyhlášení sdělením FMV č. 209/1992 Sb.

13 Rozsudek ze dne 16. 12.1992, A-251-3.

14 Rozsudek ze dne 6.9.1978, A28.

15 Rozsudek ze dne 25.9.2001, Reports of Judgments and Decisions 2001-IX.

16 Rozsudek ze dne 16.2.2000, Reports of Judgments and Decisions 2000-II

17 Rozsudek ze dne 4.5.2000, Reports of Judgments and Decisions 2000-V.

18 Kruslin proti Francii

19 V případě advokátního tajemství dovodil soud ve věci Kopp proti Švýcarsku…

20 Na základě Nařízení Evropského parlamentu a Rady č. 717/2007 o roamingu.

21 Stenozáznam vystoupení Římana, dne 30.1.2008, online: http://www.psp.cz/eknih/2006ps/stenprot/027schuz/s027046.htm.

22 § 2 odst. 3 písm. c) shora uvedené vyhlášky.

23 Stenozáznam vystoupení M. Šimonovského dne 23.4.2008, , zpravodaje online: http://www.psp.cz/eknih/2006ps/stenprot/030schuz/s030033.htm#r6.