Asi naprostá většina lidí tuší, že poskytovatelé telekomunikačních služeb – především tedy operátoři a internetoví provideři – uchovávají celou řadu dat o uskutečněné komunikaci, a to na dobu 6 měsíců. Už méně rozšířené je ale povědomí o tom, jaká konkrétní data, za jakých podmínek poskytovatelé shromažďují, a komu je smí poskytnout.
V tomto článku se pokusíme shrnout základní informace o tzv. data retention, jak se sběr telekomunikačních dat také někdy označuje. Zaměříme se i na to, jak se tato oblast vyvíjí a co lze na tomto poli očekávat v budoucnu.
Začátky data retention v Česku
V České republice od devadesátých let začaly vznikat GSM sítě, které z principu svého fungování mají přehled o tom, které telefony jsou připojeny ke kterým základnovým stanicím, tedy v podstatě o jejich poloze. V roce 2002 pak byla plně dokončena digitalizace pevné sítě tehdejšího Českého telekomu, což přineslo technickou možnost snadno získávat informace o konkrétní komunikaci mezi klientskými zařízeními.
Postupně se začalo také rozšiřovat připojení pomocí ADSL. Ve výsledku se tak u poskytovatelů telekomunikačních služeb začalo hromadit velké množství dat využívaných pro interní účely, o které pochopitelně začaly mít zájem i státní orgány.
Kontroverzní legislativa
Povinnost poskytovatelů telekomunikačních služeb ukládat data o elektronické komunikaci stanoví v České republice zákon 127/2005 Sb. (Zákon o elektronických komunikacích). Zákon byl od svého přijetí v roce 2005 mnohokrát novelizován.
V roce 2006 pak EU vydala směrnici 2006/24/EC, která stanovila pravidla pro data retention „plošně“ pro všechny členské státy. Směrnice byla přijata mimo jiné ve světle tehdy nedávných teroristických útoků v Londýně, nicméně od začátku byla nanejvýš kontroverzní. Stanovený plošný sběr dat totiž na první pohled poněkud kolidoval s ochranou soukromí a osobních dat.
Zákony transponující směrnici do vnitrostátního práva tak musely v některých členských státech čelit návrhům na zrušení u ústavních soudů. To byl případ i České republiky, kde dvojice verdiktů Ústavního soudu vedla ke zrušení sporných ustanovení. Jako reakce byl přijat zákon 273/2012 Sb., který problematické zákony novelizoval a zohlednil v nich výtky Ústavního soudu.
Došlo především k jasnému vymezení pravidel, za nichž mohou orgány o data žádat, stejně tak jako k vymezení konkrétních orgánů. Přibyla také možnost prověřované osoby obrátit se podobně jako u odposlouchávání na Nejvyšší soud.
Směrnice neobstála
Ne všechny státy však reagovaly takto pružně. V některých zemích po zrušení jejich národní úpravy nebyla přijata žádná nová, jiné státy se rovnou zdráhaly směrnici vůbec nějakým způsobem transponovat. Z tohoto důvodu také Evropská komise vedla proti Rakousku, Nizozemsku, Švédsku, Řecku, Německu a Irsku řízení pro porušení povinnosti směrnici transponovat.
Zásadní zlom pak přišel v roce 2014, když Soudní dvůr Evropské unie (SDEU) na návrh občanských iniciativ z Irska a Rakouska celou směrnici zrušil. Důvodem pro její zrušení byl zjištěný nesoulad s Listinou základních práv EU, konkrétně porušení čl. 7, čl. 8 a čl. 52 odst. 1.
Co na to Česká republika? Nic
SDEU zrušení odůvodnil množstvím argumentů, které asi v tomto článku nemá cenu podrobně rozebírat. Pro naše účely je podstatné, že Česká republika na zrušení nereagovala v podstatě nijak, ačkoliv současná legislativa ze zrušené směrnice víceméně vychází.
Důvod je ten, že předchozí zrušení národní úpravy Ústavním soudem a následná novelizace odstranila nejproblematičtější části ještě před tím, než je stihl zkritizovat SDEU. Ovšem vyřešeno nebylo zdaleka vše.
Policie ČR tak například může při pátrání po osobách nebo při protiteroristických operacích žádat o data i bez souhlasu soudu. Absence této formy kontroly v původní směrnici přitom byla kritizována SDEU. Velmi diskutabilní je pak evropský unikát české legislativy, která umožňuje telekomunikační data poskytovat i České národní bance pro dohled nad kapitálovým trhem. Zde v podstatě zcela chybí původní záměr data uchovávat z bezpečnostních důvodů a jde taktéž o ignoraci jedné z výtek SDEU.
Česká legislativa navíc obsahuje i další problematické částí, které nevychází z původní směrnice a nebyly tak ani předmětem výtek SDEU. Velmi závažným nedostatkem je to, že konkrétní uchovávaná data nestanoví zákon, ale prováděcí vyhláška. Konkrétně jde o vyhlášku 357/2012 Sb. vydanou Ministerstvem průmyslu a obchodu. Ve vyhlášce je přesně stanoven typ a rozsah uchovávaných dat, je tedy zcela klíčová pro určení množství shromažďovaných údajů. Přesto však nejde o zákon, jehož změnu by musel schválit parlament, ale vyhlášku, kterou si může v podstatě libovolně měnit ministerstvo.
Ústavní soud problém nevidí
Současná právní úprava tak pořád budí vášně. Asi nejčerstvějším pokusem o zásadnější změnu byl návrh skupiny 58 poslanců na zrušení části ustanovení příslušných zákonů s poukazem na to, že plošné a nevýběrové shromažďování dat je zásahem do ústavních práv. Ústavní soud nicméně v květnu tohoto roku stížnost zamítl.
Poukázal přitom právě na svá předchozí rozhodnutí, na jejichž základě byla současná legislativa upravena. Ačkoliv Ústavní soud konstatuje, že plošný a preventivní sběr dat je intenzivní zásah do práva na soukromí, tak je podle něj aktuální zákonná úprava v pořádku, neboť umožňuje výklad v souladu s Listinou základních práv a svobod.
Podle Ústavního soudu je plošný sběr a uchovávání dat „snahou státu neztratit se v době informační společnosti a mít v rukou efektivní nástroje k plnění svých úkolů“. Šestiměsíční lhůta pro uchovávání dat je prý přiměřená. Ústavní soud nicméně jedním dechem dodává, že „shromažďování a zadržování provozních a lokalizačních údajů znamená zvlášť závažný zásah do soukromí prakticky všech obyvatel České republiky.“
Bude stát sledovat i Skype a Messenger?
Na závěr nálezu Ústavní soud připojil jakési nezávazné doporučení politikům. V něm upozorňuje, že od přijetí současné legislativy již uběhlo pár let a zákony nereflektují „aktuální technologický vývoj a společenský trend“.
Konkrétně pak soud jmenuje například aplikace Facebook, WhatsApp a Skype, na něž se povinnost uchovávat data nevztahuje. Přitom podle Ústavního soudu již tyto platformy klasický telekomunikační provoz začínají nahrazovat.
Postoj Ústavního soudu je tak v tomto ohledu trochu protichůdný. Na jednu stranu opakovaně konstatuje, že plošný sběr dat je výrazným zásahem do soukromí obyvatel, ale na druhou stranu současnou poměrně kontroverzní úpravu považuje za přijatelnou, a ještě naznačuje jakousi potřebu rozšíření sledovaných oblastí.
A co o nás tedy stát ví?
V současné době každopádně platí úprava, jejíž konkrétní parametry si teď shrneme.
Kdo si může data vyžádat?
Data povinně ukládaná poskytovateli si v České republice může vyžádat vcelku široké spektrum institucí.
Se souhlasem soudu data získají orgány činné v trestním řízení, Policie ČR, Bezpečnostní informační služba, Vojenské zpravodajství a poněkud kuriózně i již zmiňovaná Česká národní banka.
Jak již bylo řečeno výše, bez souhlasu soudů si pak Policie ČR může vyžádat údaje „pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě“ a taktéž při předcházení či odhalování teroristických hrozeb. Je asi zbytečné dodávat, že pod tato ustanovení lze v praxi skrýt ledacos.
Jaká data se uchovávají?
Konkrétní uchovávaná data u jednotlivých typů komunikace jsou stanovena ve výše zmiňované vyhlášce 357/2012 Sb.
Pevné telefonní sítě:
- Telefonní číslo volaného i volajícího, případně telefonní čísla účastnící se konferenčního hovoru, nebo identifikátor telefonní karty z telefonní budky
- Datum, čas a délka komunikace, případně čas odeslání SMS
- Typ využité telefonní služby
- Stav komunikace
Mobilní sítě:
- Stejné údaje jako u pevné telefonní sítě
- Identifikátor SIM karty (IMSI) volajícího i volaného
- Identifikátor mobilního přístroje volajícího i volaného
- Datum a čas odeslání MMS
- Označení vstupní a koncové základnové stanice
Pevný internet:
- Typ připojení
- Telefonní číslo nebo označení uživatele, identifikátor účtu
- MAC adresa uživatele
- Datum a čas zahájení a ukončení připojení k internetu
- U bezdrátového připojení označení přístupového bodu
- Veřejná i privátní IP adresa, přidělený rozsah portů
Mobilní internet:
- Typ připojení
- Telefonní číslo a identifikátor mobilního zařízení
- Datum a čas zahájení a ukončení připojení k internetu
- Označení vstupní a koncové základnové stanice
- Veřejná i privátní IP adresa, přidělený rozsah portů
Elektronická pošta:
- IP adresa a port zdroje i cíle komunikace, identifikátor uživatelského účtu, identifikátor protokolu
- Datum a čas zahájení a ukončení připojení k emailové schránce
- Datum a čas odeslání zprávy
- Stav přenosu
- Adresa elektronické pošty odesílatele i příjemců
Poskytovatelé dále musí uchovávat jméno, příjmení a adresu uživatele ze smluv o poskytování služeb. Uchovávány jsou také údaje o poloze všech základnových stanic, včetně slovního popisu jejich umístění. Operátoři musí poskytnout i údaje o vzájemných vazbách mezi telefonními čísly a identifikátory IMSI, stejně tak musí sdělit u předplacených služeb čas a místo aktivace.
Uchováván naopak není žádný obsah komunikace. Ten mohou orgány získat leda v rámci soudem nařízených odposlechů a vždy jde už o konkrétní případy, nikoliv plošné a preventivní sledování.
Veškerá získaná data nevyžádaná oprávněnými orgány mají poskytovatelé povinnost po uplynutí půl roku nenávratně zničit.
Statisíce žádostí ročně
A kolik takto uložených dat ve výsledku státní orgány získají? Krátce řečeno – hodně. Český telekomunikační úřad vydává každoročně statistiku počtu předání dat oprávněných úřadů. Jednotlivé roky se poměrně liší, nicméně žádostí jsou nižší statisíce. Za rok 2018 bylo předáno 332 tisíc balíčků údajů, za rok 2017 to pak bylo asi čtvrt milionu. Případy žádostí orgánů, kterým nebylo z nějakého důvodu ze strany poskytovatelů vyhověno, se pak počítají na jednotky procent.
Tato čísla ovšem nejsou úplně vypovídající, neboť když například policie v rámci jednoho případu požádá o poskytnutí dat všechny telefonní operátory, každá žádost se počítá samostatně. Stejně tak je z technických důvodů možné poskytnout v rámci jedné žádosti maximálně tříhodinový výpis provozu základnové stanice. Pokud je potřeba více, opět se žádosti sčítají. Reálný počet opravdu samostatných žádostí tak v podstatě zjistit nelze.
Tomáš Krompolc
Další dnešní články
