Věčný souboj mezi ochranou osobních údajů a zájmy státu na zajišťování národní bezpečnosti pokračuje. Jsou nové rozsudky Soudního dvora EU výhrou pro soukromí, nebo pro bezpečnostní složky? Zdá se, že tak trochu obojí.

Soudní dvůr Evropské unie („SDEU“) v říjnu 2020 rozšířil svou judikaturu určující hranici mezi ochranou osobních údajů a možnými zásahy bezpečnostních služeb o dva nové rozsudky. Velký senát rozhodoval o předběžných otázkách podaných ve věci Privacy International a ve spojených věcech La Quadrature du Net a ostatní, French Data Network a ostatní a Ordre des barreaux francophones et germanophone a ostatní. Řešil především slučitelnost národních úprav, ukládajících poskytovatelům telekomunikačních služeb povinnost plošně uchovávat a následně předávat orgánům státu provozní a lokalizační údaje, s právem EU, zejména Směrnicí o soukromí a elekronických komunikacích („Směrnice“). 

Provozní a lokalizační údaje zahrnují v podstatě jakékoliv informace o elektronické komunikaci, kromě jejího samotného obsahu. Jedná se například o telefonní čísla, datum, čas a délku hovoru či informace o geografické poloze zařízení uživatele. Ve všech případech SDEU řešil, zda předávání takových dat za účelem zajišťování národní bezpečnosti vůbec spadá do působnosti práva EU, a pokud ano, zda se na něj nevztahuje výjimka dle čl. 15 Směrnice.

Směrnice ukládá členským státům povinnost zajistit důvěrnost elektronických komunikací a souvisejících provozních údajů. Zároveň však umožňuje tuto povinnost omezit, pokud je to nezbytné pro ochranu národní bezpečnosti či pro boj s trestnou činností. 

Jaké jsou však podmínky a omezení této výjimky? V případě Privacy International SDEU v podstatě navázal na svou předchozí judikaturu vedenou případy Tele 2 a Watson a ostatní a poměrně jasně vyjádřil, že plošné a nerozlišující ukládání metadat o elektronické komunikaci bez důvodného podezření je značně za hranou. V druhém z rozsudků však Soudní dvůr podává podrobnější výklad k možným výjimkám. 

Národní bezpečnost a právo EU

V obou rozsudcích se SDEU nejprve vypořádal s otázkou, zda zkoumaná vnitrostátní opatření vůbec spadají do působnosti práva EU. Podle čl. 4 Smlouvy o EU totiž zůstává zejména národní bezpečnost výhradní odpovědností členských států. Navíc i samotná Směrnice vylučuje svou působnost v oblasti činnosti státu týkající se národní bezpečnosti a trestního práva.

Právě s ohledem na tato ustanovení připojilo několik členských států, včetně České republiky, vyjádření, že dotčená opatření nespadají pod působnost Směnice ani práva EU celkově. Soudní dvůr však vyslovil opačný názor. 

Zkoumaná vnitrostátní opatření neupravují pouze činnosti státních orgánů, ale především poskytovatelů telekomunikačních služeb. Jejich činnost přitom jednoznačně spadá do působnosti Směrnice, a tudíž do ní patří i vnitrostátní opatření, která telekomunikační služby upravují. SDEU navíc dodává, že vedle Směrnice se na tyto činnosti vztahuje i Obecné nařízení o ochraně osobních údajů (GDPR). Skutečnosti, že státy přijaly opatření za účelem ochrany národní bezpečnosti a že poskytovatelé služeb předávají data orgánům státu, na tom samy o sobě nic nemění.

Výjimka musí zůstat výjimkou

Podle zmiňované výjimky státy mohou zasahovat do důvěrnosti komunikačních dat, pokud se jedná o opatření nezbytné a přiměřené pro zajištění národní bezpečnosti. Takové omezení však musí být v souladu s principy Evropské unie a se základními právy chráněnými Listinou základních práv EU.

V sázce je zejména právo na soukromí a ochranu osobních údajů. SDEU však uvádí například i možnost zásahu do svobody projevu. Plošné uchovávání dat o elektronických komunikacích totiž v uživatelích může vyvolávat pocit neustálého dohledu, a tím mít odrazující účinek k výkonu tohoto práva. Ačkoliv tato práva nejsou absolutní, jejich omezení musí být v souladu s jasně danými zásadami, jakými jsou zákonnost, nezbytnost a proporcionalita ve vztahu ke sledovanému cíli. 

Opatření umožňující přístup státních orgánů k údajům o elektronických komunikacích tedy musí být výjimečné a omezené na to, co je „nezbytně nutné“. Plošné a nerozlišující uchovávání dat bez vazby na přímé ohrožení státu však z výjimky tvoří spíše pravidlo. SDEU ale zdůrazňuje, že výjimka musí zůstat výjimkou.

Jaké jsou tedy možnosti omezení?

Doposud byly oba rozsudky SDEU výhrou spíše pro ochranu osobních údajů. V další části, především v rozsudku ve spojených věcech La Quadrature du Net a ostatní, však SDEU přibližuje několik výjimek, kdy je možné toto právo omezit. 

SDEU se nejprve vyjádřil k nejzávažnějším situacím ohrožení státu. Právě doba, kdy je stát vystaven skutečné a trvající či přímo hrozící závažné hrozbě, je jediným případem, kdy státy mohou po poskytovatelích služeb elektronických komunikací požadovat plošné a nerozlišující zadržování dat. I v takové situaci ale opatření musí splňovat určitá omezení. Opatření musí trvat jen nezbytně nutnou dobu, musí být soudně přezkoumatelné a nakonec musí poskytovat dostatečné záruky proti zneužití.

Tato opatření by státům měla umožnit čelit především teroristickým hrozbám. Například ve francouzském případě stály za zavedením nových opatření mimo jiné útoky na redakci časopisu Charlie Hebdo či koncertní sál Bataclan. S tím pak souvisí i další oprávnění, která SDEU státům přiznal: možnost okamžitého sběru dat o osobách, u kterých je odůvodněné podezření z účasti či plánování teroristických útoků. V době přímého ohrožení navíc státům povolil i automatizované vyhodnocování těchto údajů pomocí různých počítačových programů.

V ostatních, méně závažných případech zajišťování veřejné bezpečnosti a boje se zločinem státy mohou zadržovat data pouze cíleně. Za cílené se pak nepovažuje pouze zaměřování na konkrétní osoby, ale třeba i na místa zvýšeného výskytu ohrožení (např. letiště). I zde se uplatní podmínka omezení zadržování dat pouze v nezbytně nutném rozsahu. 

SDEU se dále vyjádřil k méně citlivým osobním údajům, kterými jsou IP adresy a informace o odběratelích (např. jméno, e-mailová adresa či případný způsob a výše platby za poskytované služby). Zatímco v případě IP adres je možné plošné a nerozlišující zachytávání pouze na dobu nezbytně nutnou a pouze za účelem boje se závažnou trestnou činností, u druhého typu údajů je plošný sběr povolen i v případě méně závažné trestné činnosti a bez časového omezení. 

Nakonec se Soudní dvůr zabýval i použitelností důkazů získaných v rozporu s právem EU. K tomu uvedl, že ačkoliv je přípustnost důkazů spíše záležitostí národních úprav, z hlediska práva EU nic nebrání jejich použitelnosti, pokud řízení splňuje podmínky spravedlivého procesu.

Jde tedy o remízu?

Oba rozsudky přidávají argumenty na obě strany věčného sporu mezi ochranou soukromí a zajišťováním bezpečnosti. Ochránci lidských práv ale relativně rozsáhlé výjimky vnímají spíše jako prohru a obávají se jejich zneužívání. 

Na závěr stojí za zmínku také současná judikatura Evropského soudu pro lidská práva. Ten zaujímá mírnější postoj a plošný sběr komunikačních dat sám o sobě vnímá jako povolený, což potvrdil i ve svých nedávných rozsudcích Big Brother Watch a ostatní proti Spojenému království a Centrum för Rättvisa proti Švédsku. Oba případy teď ale čekají na přezkoumání velkým senátem. Vezme ESLP v potaz rozhodnutí Soudního dvora a zpřísní svůj přístup k možným zásahům do komunikačních dat? Na to si budeme muset ještě počkat.

Zdroje

Saifert, Juraj, Bulk data interception/retention judgments of the CJEU – A victory and a defeat for privacy [online]. European Law Blog. 26. října 2020 (https://europeanlawblog.eu/2020/10/26/bulk-data-interception-retention-judgments-of-the-cjeu-a-victory-and-a-defeat-for-privacy/).

Soudní dvůr Evropské unie. Věc C‑623/17: Privacy International, 6. října 2020 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=232083&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=13573361).

Soudní dvůr Evropské unie. Spojené věci C-511/18, C-512/18, C-520/18: La Quadrature du Net and Others v Premier ministre and Others, French Data Network and Others, Ordre des barreaux francophones et germanophone and Others, 6. října 2020 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=232084&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=14388027). 

Soudní dvůr Evropské unie. 6. října 2020. Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others [Tisková zpráva] (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-10/cp200123en.pdf).

Woods, Lorna, When is mass surveillance justified? The CJEU clarifies the law in Privacy International and other cases [online]. EU Law Analysis. 27. října 2020 (https://eulawanalysis.blogspot.com/2020/10/when-is-mass-surveillance-justified.html). 

Fotografie

[1] Nová rozhodnutí o ochraně dat elektronických komunikací, autor: Richard Cejas, 13. března 2017, zdroj: pixabay.com, CC0, editace: ořez.