K uchovávání provozních a lokalizačních údajů v České republice ve světle rozhodnutí Soudního dvora Evropské unie

Soudní dvůr Evropské unie před rokem rozhodl, že směrnice Evropského parlamentu a Rady č. 2006/24/ES, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí (směrnice o uchovávání údajů), je neplatná.[1] Za dobu, která uplynula od rozhodnutí Soudního dvora, bylo možné v jednotlivých členských státech EU sledovat mnoho rozličných reakcí na toto důležité rozhodnutí, které se dotýká většiny obyvatel Evropské unie, tedy obyvatele České republiky nevyjímaje.

Údaje, které měly být předmětem uchovávání podle směrnice č. 2006/24/ES, jsou tzv. provozní údaje a lokalizační údaje a související údaje nezbytné k identifikaci účastníka nebo uživatele.[2] Známé je, že tyto údaje se týkají telefonních spojení a SMS. Provozními a lokalizačními údaji jsou také například údaje o připojení k internetu, internetové telefonii a internetové elektronické poště. Součástí těchto údajů jsou e-mailové adresy odesílatele a příjemce, ale také IP adresa zdrojového a cílového zařízení.[3] Jinak řečeno, pomocí provozních údajů lze zjistit, například, obsah konkrétní internetové stránky, kterou daný uživatel navštívil, a kolik času strávil jejím prohlížením. V současné době „chytrých“ mobilních telefonů se při kombinaci lokalizace v ordinaci lékaře s následným vyhledáním informace o nemoci na internetu stávají „bezobsahové“ provozní a lokalizační údaje plně obsažnými. Bez ohledu na „chytrost“ mobilního telefonu lze díky lokalizačním údajům velmi přesně sledovat pohyb osoby, která má takový telefon při sobě. Odhadem lze tímto způsobem jen v České republice sledovat pohyb 14 milionů telefonů[4] až šest měsíců zpětně.

O neplatnosti směrnice o uchovávání údajů Soudní dvůr rozhodl ve spojeném řízení o žádostech o rozhodnutí předběžných otázek ve sporu Digital Rights Ireland Ltd proti Irsku (a dalším; č. C-293/12) a ve sporu vlády spolkové země Korutansko a 11 130 navrhovatelů před Ústavním soudem Rakouska (č. C-594/12).

Důvody, které Soudní dvůr vedly k rozhodnutí o neplatnosti směrnice o uchovávání údajů, Soudní dvůr rozvedl, když posuzoval soulad směrnice zejména s právy zaručenými v čl. 7, 8 a 11 Listiny základních práv Evropské unie, tj. právem na respektování soukromého a rodinného života, právem na ochranu osobních údajů a právem na svobodu projevu a informací.

Za prvé, Soudní dvůr nejprve posuzoval, zda jsou čl. 7, 8 a 11 Listiny relevantní ve vztahu ke směrnici. Zdůraznil, že účelem směrnice bylo podle jejího odůvodnění harmonizovat předpisy členských států týkající se povinnosti poskytovatelů služeb elektronických komunikací nebo veřejných komunikačních sítí uchovávat provozní a lokalizační údaje s cílem zajistit dostupnost těchto údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů, jak jsou vymezeny každým členským státem v jeho vnitrostátních právních předpisech (bod 21 odůvodnění směrnice).

Podle Soudního dvora lze z těchto údajů vyvodit velmi přesné závěry o soukromém životě osob, jejichž údaje byly uchovány, tedy o každodenních zvyklostech, o místech, kde trvale či přechodně pobývají, o denních či jiných přesunech, o jejich aktivitách, společenských vztazích těchto osob a o společenských kruzích, se kterými se stýkají (bod 27 rozhodnutí). Soudní dvůr dospěl k závěru (bod 28 rozhodnutí), že směrnice může mít dopad na výkon svobody projevu zaručené čl. 11 Listiny základních práv EU, protože není vyloučeno, že by uchovávání dotčených údajů mohlo mít dopad na využívání komunikačních prostředků občany, a to i přesto, že směrnice neumožňuje uchovávat obsah sdělení. Směrnice podle Soudu dopadala také na práva zaručená v čl. 7 a čl. 8 Listiny, protože se údaje dotýkají soukromého života, a protože uchovávání údajů představuje zpracování osobních údajů, a musí tedy splňovat požadavky na ochranu údajů, které z tohoto článku plynou.

Za druhé, Soudní dvůr dále posuzoval směrnici z hlediska existence zásahu do práv zakotvených v článcích 7 a 8 Listiny základních práv EU. Soudní dvůr dospěl k závěru, že k zásahu do těchto práv směrnicí skutečně dochází, neboť směrnice se odchyluje od režimu ochrany práva na respektování soukromého života, který byl zaveden směrnicemi č. 95/46 a č. 2002/58, a tyto směrnice stanovily důvěrný charakter sdělení a provozních údajů, jakož i povinnost vymazat nebo anonymizovat tyto údaje, nejsou-li již potřebné.

Povinnost poskytovatelů elektronických komunikací a provozovatelů komunikačních sítí, která spočívá v uchovávání údajů o soukromém životě osob a jejich komunikace po určitou dobu, představuje sama o sobě zásah do práv zaručených čl. 7 Listiny. Zásah do tohoto práva je však dále prohlubován i přístupem příslušných vnitrostátních orgánů k uchovávaným údajům. Směrnice upravuje také zpracovávání osobních údajů, a proto představuje také zásah do základního práva dle čl. 8 Listiny základních práv EU. Podle Soudního dvora se navíc zásah do základních práv jeví jako velmi rozsáhlý a zvlášť závažný. K uchovávání údajů a jejich následnému využití dochází bez informování účastníků, což v nich může vyvolávat dojem, že jejich soukromí je pod neustálým dohledem.

Za třetí, v návaznosti na své předchozí zjištění Soudní dvůr posuzoval, zda zásah do práv zaručených články 7 a 8 Listiny je odůvodněný. To proto, že každé omezení výkonu práv a svobod zakotvených v Listině musí být stanoveno zákonem, respektovat jejich podstatu a při dodržení zásady proporcionality mohou být omezení těchto práv a svobod zavedena pouze tehdy, jsou-li nezbytná a odpovídají-li skutečně cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého (bod 38 rozhodnutí). Hmotněprávním cílem směrnice je přispět k boji proti závažné trestné činnosti, neboť směrnice má zajistit dostupnost údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů. Obecným zájmem Unie pak je boj proti mezinárodnímu terorismu i boj proti závažné trestné činnosti s cílem zajistit veřejnou bezpečnost. Uchovávání údajů podle směrnice tomuto obecnému zájmu odpovídá.

Z tohoto důvodu bylo nezbytné, aby se Soudní dvůr zabýval také přiměřeností zásahu do práva na respektování soukromého života a ochranu osobních údajů. Podle Soudního dvora je nutné zkoumat, zda akty unijních orgánů přistupovaly k uskutečnění svých legitimních cílů pouze způsobem, který je přiměřený a nezbytný k jejich dosažení. S ohledem na závažnost, kterým směrnice zasahuje do základních práv občanů Unie, má Soudní dvůr za to, že přezkum směrnice musí být přísný. Soudní dvůr směrnici vytkl, že nestanoví jasná a přesná pravidla, aby osoby, jejichž údaje byly uchovány, byly dostatečně chráněny proti riziku zneužití a neoprávněnému přistupování k údajům a jejich protiprávnímu využívání. Podle Soudu totiž je potřeba takové ochrany o to významnější, kdy osobní údaje jsou zpracovávány automaticky a existuje značné riziko neoprávněného přistupování k těmto údajům (bod 55 rozhodnutí).

Ve vztahu k tomu, zda je zásah do práv, který představuje směrnice, omezen na nezbytné minimum, Soudní dvůr zdůraznil, že se týká všech prostředků elektronické komunikace, jejichž používání je velmi rozšířené a vztahuje se na všechny účastníky a registrované uživatele, což představuje zásah do základních práv téměř celé evropské populace. Jak již bylo řečeno, směrnice se týká globálně všech osob, a to i těch, u kterých neexistuje žádný důvod se domnívat, že by jejich chování souviselo se závažnou trestnou činností. Navíc, podle Soudního dvora (bod 58 rozhodnutí) směrnice nestanoví žádnou výjimku, takže se vztahuje i na osoby, jejichž komunikace jsou podle pravidel vnitrostátního práva předmětem profesního tajemství.

Směrnice pak nestanovila žádné objektivní kritérium umožňující vymezit přístup k údajům pouze pro dostatečně závažné účely, které by takový přístup odůvodnily. Namísto toho směrnice v obecné rovině odkazovala na závažné trestné činy vymezené členskými státy ve vnitrostátních předpisech. Soudní dvůr směrnici také vytkl, že neobsahuje hmotněprávní ani procesní podmínky pro přístup k uchovaným údajům a jejich následné využití tak, aby bylo striktně omezeno na předcházení a odhalování přesně vymezených závažných trestných činů. Podobně je to s nedostatkem vymezení kritéria umožňujícího omezit počet osob, které mají oprávnění k přístupu a využití uchovaných údajů, na nezbytné minimum. Podle Soudního dvora však směrnice přístup vnitrostátních orgánů k uchovaným údajům nepodmiňuje předchozí kontrolou ze strany soudu nebo nezávislého správního orgánu tak, aby tento přístup a využití byly omezeny pouze na nezbytně nutné účely. Nakonec Soudní dvůr směrnici vytkl i to, že stanoví dobu, po kterou mají být údaje uchovávány, v rozmezí 6 měsíců až 24 měsíců, aniž by byla upřesněna objektivní kritéria pro stanovení konkrétní doby uchovávání údajů.

Soudní dvůr tedy zkonstatoval, že směrnice nestanoví jasná a přesná pravidla pro rozsah zásahu do základních práv zakotvených v článcích 7 a 8 Listiny. Přitom směrnice představuje velmi rozsáhlý a zvlášť závažný zásah do těchto základních práv v unijním právním řádu, aniž je takový zásah přesně vymezen ustanoveními umožňujícími zaručit, že je skutečně omezen na nezbytné minimum (bod 65 rozhodnutí).

V závěru ještě Soudní dvůr směrnici vytkl, že nestanoví dostatečné záruky proti riziku zneužití, ani proti neoprávněnému přistupování k údajům, nezaručuje technická a organizační opatření k uplatnění mimořádně vysoké úrovně ochrany a bezpečnosti, a nezaručuje nevratnou likvidaci údajů po skončení doby jejich uchovávání a neukládá povinnost uchovávat dotčené údaje na území Unie.

Ze shora uvedených důvodů proto Soudní dvůr dospěl k závěru, že z důvodu překročení zásady proporcionality u čl. 7, 8 a čl. 52 odst. 1 Listiny je směrnice č. 2006/24/ES neplatná. Z tohoto důvodu již Soudní dvůr nepovažoval za potřebné zkoumat platnost směrnice z hlediska čl. 11 Listiny.

Způsob, kterým Soudní dvůr rozhodl o směrnici, znamená, že se na ni hledí, jako by nikdy nebyla. To však neplatí o vnitrostátních právních předpisech, které byly dříve přijaty na podkladě směrnice. Tyto předpisy zůstávají nadále platné, pokud nebudou změněny nebo zrušeny způsobem, který předpokládá řádný vnitrostátní (legislativní, soudní) proces. Přesto jednotlivé členské státy reagovaly na rozhodnutí Soudního dvora různě.[5] Česká republika, stejně jako více členských států EU, na rozhodnutí Soudního dvora změnou právních předpisů nezareagovala. To však neznamená, že vnitrostátní právní předpisy, které byly přijaty na základě Směrnice, jsou v souladu s názorem Soudního dvora.

Směrnice Evropské komise č. 2006/24/EC je právním základem ukládání (uchovávání) provozních a lokalizačních údajů a přístupu k nim v českém právním řádu. Proces uchovávání údajů byl implementován v zákoně č. 127/2005 Sb., o elektronických komunikacích. Zákon o elektronických komunikacích v ustanovení § 97 odst. 3 ukládá provozovatelům veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací povinnost uchovávat po dobu šesti měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování činnosti těchto provozovatelů. Současně zákon ve stejném ustanovení ukládá provozovatelům povinnost poskytnout provozní a lokalizační údaje na vyžádání pěti subjektům: orgánům činným v trestním řízení (tj. všem subjektům, které mohou být za takový orgán považovány), Policii ČR při (vyjmenovaných) činnostech podle zákona o Policii ČR, Bezpečnostní informační službě, Vojenskému zpravodajství a České národní bance. Zákon o elektronických komunikacích tedy upravuje způsob uchovávání provozních a lokalizačních údajů a vymezuje okruh subjektů, které k nim mohou mít přístup při splnění dalších podmínek. Právě tyto podmínky, za kterých uvedené subjekty mohou získat přístup k uchovaným údajům, upravují další zákony, konkrétně zákon č. 141/1963 Sb., trestní řád, zákon č. 273/2008 Sb., o Policii ČR, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, zákon č. 289/2005 Sb., o Vojenském zpravodajství, a zákon č. 15/1998 Sb., o dohledu v oblasti kapitálového trhu.

Zřejmě nejpodrobnější úpravu podmínek získání provozních a lokalizačních údajů obsahuje trestní řád, konkrétně jeho ustanovení § 88a, a to pro účely poskytnutí údajů orgánům činným v trestním řízení. Stojí za povšimnutí, že k tomu, aby mohly být údaje o telekomunikačním provozu použity jako důkaz v trestním řízení, zákon omezuje okruh trestných činů, u kterých lze údaje vyžadovat. Druhým omezujícím prvkem je, že „sledovaného účelu nelze dosáhnout jinak nebo bylo-li by jinak jeho dosažení podstatně ztížené“.

V případě, že je trestní řízení vedeno pro trestný čin vyjmenovaný v ustanovení § 88a odst. 1 trestního řádu a současně je splněna i druhá omezující podmínka, pak příslušný provozovatel telekomunikačních služeb vydá uchované údaje orgánu činnému v trestním řízení, když jejich vydání nařídí soudce (předseda senátu). Příkaz k vydání údajů musí být vydán písemně, musí být odůvodněn a mimo jiné v něm musí být uvedena totožnost konkrétního uživatele, týká-li se jej žádost a je-li jeho totožnost známa. Trestní řád pak v ustanovení § 88a odst. 2 až odst. 4 trestního řádu upravuje způsob informování uživatele o tom, že provozní a lokalizační údaje o něm byly zjišťovány orgány činnými v trestním řízení, byť z dosavadní praxe je zřejmé, že tato informační povinnost v praxi není příliš naplňována.[6]

Poněkud stručnější úpravu podmínek vedoucích k získání provozních a lokalizačních údajů obsahují zákony upravující činnost zpravodajských služeb, tj. Bezpečnostní informační služby a Vojenského zpravodajství. Získávání provozních a lokalizačních údajů lze podřadit pod tzv. zpravodajskou techniku [§ 8 odst. 1 písm. b) zákona č. 154/1994 Sb. i zákona č. 289/2005 Sb.], jejíž použití podléhá povolení předsedy senátu vrchního soudu příslušného podle sídla zpravodajské služby, tj. Vrchního soudu v Praze v případě obou těchto zpravodajských služeb. Povolení k užití zpravodajské techniky vydá soudce na základě písemné žádosti, která má, kromě jiných náležitostí, obsahovat také odůvodnění. Omezením použití zpravodajské techniky je, že by „odhalování nebo dokumentování činností, pro něž má být použita, bylo jiným způsobem neúčinné nebo podstatně ztížené nebo v daném případě nemožné“ a že „nesmí zasahovat do práv a svobod občanů nad nezbytně nutnou míru“.

Podle zákona o dohledu v oblasti kapitálového trhu [§ 8 odst. 1 písm. d)] je Česká národní banka oprávněna vyžadovat provozní a lokalizační údaje po předchozím písemném povolení předsedy senátu vrchního soudu a pouze v případě, pokud lze důvodně předpokládat, že tyto údaje mohou přispět k objasnění správního deliktu na úseku podnikání nebo obchodování na kapitálovém trhu a jeho pachatele, nelze-li tohoto účelu dosáhnout jinak nebo jen s vynaložením neúměrného úsilí.

Zřejmě nejméně striktní požadavky klade zákon na oprávnění Policie ČR vyžadovat provozní a lokalizační údaje „pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě, zjištění totožnosti osoby neznámé totožnosti nebo totožnosti nalezené mrtvoly, předcházení nebo odhalování konkrétních hrozeb v oblasti terorismu nebo prověřování chráněné osoby“. Pro tyto účely zákon o policii (§ 66 odst. 3) přiznává policii oprávnění požadovat po provozovateli veřejné komunikační sítě nebo veřejně dostupné služby elektronických komunikací dálkový a nepřetržitý přístup k provozním a lokalizační údajům. Zákon v tomto ohledu nevyžaduje jakýkoliv povolovací režim a jediným omezením pro přístup policie k údajům vyžadovaným pro shora uvedené účely je toliko povinnost uchovávat identifikační údaje o útvaru policie nebo o policistovi, který o poskytnutí údajů žádal, a o účelu, pro který tak učinil. Správce a zpracovatel takové evidence je však povinen zachovávat mlčenlivost o obsahu evidence, byť údaje v ní uvedené mají být uchovány po dobu pěti let.

Jak si tedy stojí česká právní úprava uchovávání provozních a lokalizačních údajů v porovnání s důvody, pro které Soudní dvůr prohlásil směrnici o uchovávání údajů za neplatnou?

 Platná právní úprava uchovávání provozních a lokalizačních údajů v České republice byla přijata v důsledku implementace směrnice číslo 2006/24/ES. S ohledem na tuto skutečnost nelze pochybovat o tom, že též česká právní úprava při uchovávání uvedených údajů zasahuje do práv zaručených Listinou základních práv EU v čl. 7, 8 a 11.

Posoudit však bude nutné to, zda zásah do těchto práv, který česká právní úprava umožňuje, je odůvodněný a zda je tento zásah přiměřený, tj. zda je v souladu se zásadou proporcionality.

Odůvodněnost zásahu do základních práv

Jak již bylo vysvětleno shora s odkazem na odůvodnění rozhodnutí Soudního dvora, každé omezení výkonu práv a svobod zakotvených v Listině musí být stanoveno zákonem, musí respektovat podstatu práv a při dodržení zásady proporcionality mohou být omezení práv zavedena pouze tehdy, jsou-li nezbytná a odpovídají-li skutečně cílům obecného zájmu, které uznává Unie, nebo potřebě ochrany práv a svobod druhého [čl. 52 odst. 1 Listiny základních práv EU].

Ze směrnice o uchovávání údajů vyplývá, že cílem obecného zájmu, který sleduje, je zajistit dostupnost provozních a lokalizačních údajů pro účely vyšetřování, odhalování a stíhání závažných trestných činů, jak jsou vymezeny každým členským státem ve vnitrostátních právních předpisech. Podle Soudního dvora zájem, který sleduje směrnice, odpovídá obecnému zájmu Unie. Lze tedy konstatovat, že pokud by účelem vnitrostátní právní úpravy bylo zajistit provozní a lokalizační údaje pro účely vyšetřování, odhalování a stíhání závažných trestných činů, pak by byl zásah do základních lidských práv, který z těchto vnitrostátních právních předpisů vyplývá, odůvodněný.

A. Soudní dvůr vytkl evropským zákonodárcům, že přímo do směrnice nezapracovali definici toho, pro jakou závažnou trestnou činnost mohou být příslušné údaje uchovávány, a že tuto definici ponechali na úvaze vnitrostátních předpisů.

Uchovávání provozních a lokalizačních údajů, ve své aktuální podobě, český zákonodárce přijal v podobě zákona č. 273/2012 Sb. a v reakci na plenární nálezy sp. zn. Pl. ÚS 24/10 a sp. zn. Pl. ÚS 42/11, kterými Ústavní soud ČR zrušil ustanovení § 97 odst. 3 a odst. 4 zákona o elektronických komunikacích a ustanovení § 88a trestního řádu. Svoji představu o „závažné trestné činnosti“, která opravňuje orgány činné v trestním řízení k přístupu k uchovaným provozním a lokalizačním údajům, zákonodárce definoval tak, že se má jednat o úmyslný trestný čin, na který zákon stanoví trest odnětí svobody s horní hranicí trestní sazby nejméně tři roky. Oprávnění přístupu k uchovaným údajům rozšířil také o úmyslné trestné činy, k jejichž stíhání zavazuje vyhlášená mezinárodní smlouva, kterou je Česká republika vázána, a následující trestné činy:

Definici „závažné trestné činnosti“ zákonodárce (podle důvodové zprávy) opřel o trestní sazbu u nedbalostních trestných činů, pro které lze vzít obviněného do vazby. Zda takto stanovený okruh trestných činů, k jejichž vyšetřování může být využito provozních a lokalizačních údajů, skutečně dosahuje dostatečné závažnosti, je zřejmě otázkou detailnější diskuse. V českém právním řádu není výslovně obsažena definice závažné trestné činnosti, nicméně s ohledem na pojmy používané trestním zákoníkem lze dovodit, jaké trestné činy mohou být považovány za dostatečně závažné, aby splňovaly definici užitou ve směrnici o uchovávání údajů.

Trestní zákoník rozděluje trestné činy do tří základních kategorií z pohledu jejich závažnosti, a to na přečiny, zločiny a zvlášť závažné zločiny. Jak již sám název napovídá, zvlášť závažné zločiny nepochybně budou spadat do kategorie závažné trestné činnosti, kterou měla na mysli předmětná směrnice. Lze se domnívat, že do této kategorie by mohly spadat i zločiny, ale již nikoliv přečiny jako trestné činy nejméně závažné. Možných přístupů k této definici je však více a je zřejmé, že zákonodárce v tomto ohledu zvolil definici spíše extenzivní.

V ustanovení § 88a trestního zákoníku zákonodárce vyjmenovává další trestné činy, pro které je orgánům činným v trestním řízení umožněno získat provozní a lokalizační údaje. Pomiňme trestné činy, k jejichž stíhání zavazuje mezinárodní smlouva. Zařazení těchto ostatních trestných činů, za jejichž spáchání lze uložit zcela minimální trest odnětí svobody, zákonodárce odůvodňuje potřebou ulehčit jejich vyšetřování. To, zcela zjevně, není důvod, který Soudní dvůr měl na mysli, když akceptoval vyšetřování závažných trestných činů jako dostatečný důvod k zásahu do práva dle čl. 7 a 8 Listiny základních práv EU a zásah do ústavně zaručených práv lze takto odůvodnit jen stěží.

B. Podle ustanovení § 97 odst. 3 zákona o elektronických komunikacích jsou provozní a lokalizační údaje dostupné vedle orgánů činných v trestním řízení také Bezpečnostní informační službě, Vojenskému zpravodajství, ČNB a Policii ČR.

Účely, pro které jsou tyto orgány oprávněny k přístupu k údajům, jsou v případě Policie ČR vymezeny přímo v ustanovení § 97 odst. 3 zákona o elektronických komunikacích, jak bylo zmíněno shora, přístup k údajům ze strany ČNB je vymezen účelem odhalování správního deliktu na úseku podnikání nebo obchodování na kapitálovém trhu a jeho pachatele a přístup k údajům ze strany zpravodajských služeb je zřejmě vymezen toliko jejich obecnou kompetencí, neboť zákony, kterými se uvedené dvě zpravodajské služby řídí, konkrétní účel, pro který mohou získat přístup k provozním a lokalizačním údajům, nevymezují nijak detailněji než pro „odhalování nebo dokumentování činností, pro něž má být použita“.

Autor tohoto příspěvku se neodvažuje hodnotit, zda účely, pro které zpravodajské služby a Česká národní banka mohou získat provozní a lokalizační údaje, jsou odůvodnitelné k zásahu do práv, která jsou tímto porušena. Například boj s terorismem může zcela nepochybně být takovým legitimním důvodem. V nedávné době na půdě Evropského parlamentu zazněla diskuse k tomu, zda jsou v souvislosti s odposlechy a záznamy telekomunikačního provozu kvůli otázkám národní bezpečnosti jednotlivé členské státy vázány právem EU či nikoliv. Jakkoliv je nutné se nad touto argumentací zamyslet, nelze odhlédnout od toho, že jednotlivé členské státy nejsou vázány pouze právem EU, ale také například Evropskou úmluvou o ochraně lidských práv a základních svobod (a samozřejmě také svými vnitrostátními ústavními normami), a princip odůvodněnosti zásahu do těchto práv platí obecně.

Nakonec je zde účel, pro který může provozní a lokalizační údaje získat také Policie ČR, nicméně tyto účely jsou zcela odlišné od účelů, ke kterým se vyjadřoval Soudní dvůr a které vyplývají ze směrnice. Nelze odhlédnout od toho, že je právem členských států postupovat suverénně při přijímání svých vnitrostátních právních předpisů, pokud tak nečiní v rozporu s unijním (či mezinárodním) právem a samozřejmě při respektu k základním právům a svobodám. Posouzení toho, zda účel, pro který zbylé čtyři subjekty mohou získat přístup k provozním a lokalizačním údajům, je odůvodněným zásahem například do práva na soukromí, jde nad rámec tohoto příspěvku, neboť se k nim Soudní dvůr nevyjadřoval.

Soulad s principem proporcionality 

Při posuzování toho, zda směrnice o uchovávání údajů dovoluje zásah do práva dle čl. 7 a 8 Listiny základních práv EU v souladu se zásadou proporcionality, dospěl Soudní dvůr k výtkám, které lze v mnoha případech vztáhnout též na českou právní úpravu.

Soudní dvůr má za to, že zásah do základních práv, který představovala směrnice, není přiměřený, protože se dotýká veškerých osob bez ohledu na to, zda se vůbec mohou, byť nepřímo, nacházet v situaci, která může vést k trestnímu stíhání, respektive k účelu, pro který jsou provozní a lokalizační data uchovávána. Tato výtka, včetně té, že uchovávání dat není omezeno ani ve vztahu ke konkrétnímu časovému období nebo zeměpisné oblasti, je platná i pro uchovávání údajů podle právních předpisů platných v ČR. Ty alespoň umožňují uchovávat provozní a lokalizační údaje nejdéle po dobu šesti měsíců, tedy po nejkratší lhůtu, kterou upravovala směrnice.

Soudní dvůr konstatoval, že je potřeba, aby byla stanovena jasná a přesná pravidla, aby osoby, jejichž údaje byly uchovány, měly dostatečné záruky umožňující účinně chránit jejich osobní údaje proti riziku zneužití a proti veškerému neoprávněnému přistupování k údajům a jejich protiprávnímu využívání. Zákon o elektronických komunikacích v ustanovení § 88 a § 88a stanoví provozovatelům povinnost (mimo jiné) technicko-organizačními prostředky zamezit neoprávněnému přístupu k uchovaným údajům a v ustanovení § 97 odst. 3 posl. věta povinnost uchované údaje zlikvidovat po uplynutí šestiměsíční lhůty. Dozor nad plněním těchto povinností vykonává Úřad pro ochranu osobních údajů.

Soudní dvůr také vytkl směrnici to, že sama neomezovala přístup vnitrostátních orgánů k údajům a k jejich využití pouze na odůvodněné případy, které by odpovídaly ve směrnici (vágně) definovanému účelu, a že nezavedla procesní kontrolu přístupu k údajům pouze na důvodné případy. Je zřejmé, že shora uvedené české zpravodajské služby mohou přistupovat k uchovaným provozním a lokalizačním údajům pouze s předchozím souhlasem soudu, a v tomto ohledu tedy přístup těchto orgánů je předmětem předchozí kontroly nezávislým orgánem. Hmotněprávní podmínka přístupu umožňuje, aby tato zpravodajská technika byla použita pouze v případech, kdy by odhalování a dokumentování činnosti bylo jiným způsobem neúčinné nebo podstatně ztížené nebo případně nemožné, a současně toto použití nesmí zasahovat do práv a svobod občanů nad nezbytně nutnou míru.

Podobně i Česká národní banka může získat přístup k uchovaným provozním a lokalizačním údajům pouze se svolením soudu, lze-li důvodně předpokládat, že přístup k údajům může přispět k objasnění skutečností důležitých pro odhalení příslušného správního deliktu a jeho pachatele a nelze-li sledovaného účelu dosáhnout jinak nebo jen s vynaložením neúměrného úsilí. Nakonec, též orgány činné v trestním řízení jsou oprávněny získat provozní a lokalizační údaje pouze s předchozím souhlasem soudu (je-li to potřeba pro vyšetřování vyjmenovaných trestných činů), nelze-li sledovaného účelu dosáhnout jinak nebo bylo-li by jinak jeho dosažení podstatně ztížené.

Byť oprávnění Policie ČR k přístupu k uchovaným údajům upravuje český právní řád pro jiné účely, než na které pamatovala směrnice a ke kterým se vyjadřoval Soudní dvůr, je zřejmé, že přístup policie k uchovaným provozním a lokalizačním údajům je (pro daný účel) zcela neomezený a není předmětem posouzení ze strany soudu ani jiného nezávislého orgánu. Přístup Policie ČR k údajům je zcela automatický a bez jakékoliv předchozí kontroly důvodnosti.

Některé důvody, pro které Soudní dvůr dospěl k závěru o neplatnosti směrnice o uchovávání údajů, lze tedy nepochybně aplikovat i na českou právní úpravu. V České republice jsou provozní a lokalizační údaje uchovávány paušálně, tj. všechny bez ohledu na okruh osob, kterých se týkají, a v souhrnu bez ohledu na jejich možné využití. Otázkou samozřejmě je, jaké jiné pravidlo lze vytvořit než takto obecné.

Označení úmyslných trestných činů s horní hranicí sazby trestu odnětí svobody ve výši tří let jako „závažných trestných činů“ vyvolává pochybnosti, zda přístup orgánů činných v trestním řízení k provozním a lokalizačním údajům dostatečně odůvodňuje zásah do práva na soukromí a případně dalších ústavně zaručených práv. U těch z trestných činů, které byly do ustanovení § 88a zařazeny pro ulehčení vyšetřování, je taková pochybnost na místě zcela důvodně.

Přístup Policie ČR k provozním a lokalizačním údajům bez jakékoliv předchozí kontroly důvodnosti přístupu v konkrétní věci je v rozporu se závěry Soudního dvora ve zde aplikovaném rozhodnutí. Otázkou dalšího posouzení je však také to, zda účel, pro který je Policie ČR oprávněna údaje získat, lze považovat za dostatečně závažný k zásahu do ústavně zaručených práv dotčených osob. Podobné kritice je nutno podrobit také vymezení účelů, které opravňují Českou národní banku a zpravodajské služby k přístupu k uchovaným údajům.

Soulad právní úpravy uchovávání provozních a lokalizačních údajů s ústavně zaručenými právy již dříve posuzoval také Ústavní soud ČR, zejména ve svých dvou plenárních nálezech k dřívějším zněním ustanovení § 97 odst. 3 a odst. 4 zákona o elektronických komunikacích[7] a ustanovení § 88a trestního řádu.[8] Na zrušení těchto ustanovení již český zákonodárce reagoval přijetím nové právní úpravy popsané shora, která, jak je zřejmé, v leckterých ohledech nesplňuje požadavky Soudního dvora. Ústavně-právního přezkumu, alespoň jak je z veřejně dostupných zdrojů známo, však doposud nebyla podrobena oprávnění Bezpečnostní informační služby, Vojenského zpravodajství, České národní banky a Policie ČR k přístupu k provozním a lokalizačním údajům.

V době sepisu tohoto textu ze strany představitelů EU zaznívá, že se neočekává vydání nové evropské úpravy uchovávání provozních a lokalizačních údajů. Nadále však lze spoléhat na právní názor Soudního dvora EU. Na jeho názor by měla reagovat i Česká republika. Nelze totiž opomenout, že národní soudy členských států EU jsou vázány názorem Soudního dvora EU,[9]^{, [10]} a lze tak očekávat, že jej budou respektovat. Názor Soudního dvora v této věci by měl být použit, kdykoliv to dovolí podobnost věci posuzované vnitrostátním soudem. Jinak řečeno, české soudy by měly při posuzování souladu uchovávání provozních a lokalizačních údajů a přístupu k nim s ústavním pořádkem respektovat názor Soudního dvora EU projevený v rozsudku ze dne 8. 4. 2014 ve spojených věcech C-293/12 a C-594/12.

Autor článku je advokátem a společníkem advokátní kanceláře působící v Praze a Přerově. Je členem sekce ČAK pro právo EU, mezinárodní právo a mezinárodní vztahy a zastupuje Českou advokátní komoru v komisi CCBE pro IT právo.