161/2019 Sb. Nález Ústavního soudu sp. zn. Pl. ÚS 45/17 ve věci návrhu na zrušení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, § 88a zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, § 68 odst. 2 a § 71 písm. a) zákona č. 273/2008 Sb., o Policii České republiky, a vyhlášky č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů - Zabezpečení uchovávaných provozních a lokalizačních údajů

Zabezpečení uchovávaných provozních a lokalizačních údajů

93. Na právní úpravu šetřící právo na soukromí v maximální míře je dále třeba klást požadavek stanovení jasných a detailních pravidel při zabezpečení uchovávání údajů a záruk proti jejich zneužití (neoprávněný či svévolný přístup k nim). Zejména v případě data retention jsou kvanta údajů o všech uživatelích elektronické komunikace soustřeďována u soukromých subjektů, a proto musí být zákonodárce přísný dvojnásob. Je třeba jasně stanovit, že provozní a lokalizační údaje musí být uchovávány bezpečně a nesmí bez výslovného souhlasu klientů ve smyslu platné úpravy ochrany osobních údajů sloužit marketingovým účelům povinných subjektů. Dynamický vývoj oblasti informačních technologií však zároveň způsobuje, že zákonodárce bude vždy o několik kroků pozadu; proto může být dokonce ku prospěchu věci, je-li zabezpečení údajů na zákonné úrovni formulováno obecněji a jsou-li technické detaily ponechány prováděcímu předpisu, který na změny praxe může reagovat pružněji a operativněji.

94. Zabezpečení uchovávaných údajů obsahují § 87 a násl. ZEK (jež představují implementaci e-privacy směrnice) spolu s obecnými předpisy ochrany osobních údajů - GDPR (s výhradou čl. 95 vymezujícího vztah nařízení a e-privacy směrnice) a transpozičním zákonem č. 110/2019 Sb., o zpracování osobních údajů. Přestože uvedená pasáž zákona o elektronických komunikacích upravující zabezpečení údajů nebyla napadena, Ústavní soud nemůže na hodnocení tohoto aspektu rezignovat, neboť způsob zabezpečení uchovaných (poskytnutých) provozních a lokalizačních údajů s přezkumem přiměřenosti principu data retention, a tedy i ústavností napadených ustanovení § 97 odst. 3 a 4 ZEK úzce souvisí.

95. V obecné rovině lze konstatovat, že úroveň zabezpečení provozních a lokalizačních údajů není nižší než úroveň zabezpečení jiných údajů, jež jsou v režimu zákona o elektronických komunikacích zpracovávány - viz § 88a ZEK (doplněný stejně jako napadená ustanovení zákonem č. 273/2012 Sb. v reakci na nález sp. zn. Pl. ÚS 24/10), v jehož důsledku jsou provozní a lokalizační údaje z bezpečnostního hlediska explicitně řazeny na úroveň osobních údajů. Zákon ukládá operátorům povinnost zabezpečení uchovávaných provozních a lokalizačních údajů a upravuje i mechanismus přezkumu a kontroly dodržování stanovených povinností ze strany nezávislých institucí. Konkrétně je operátor jako zpracovatel údajů povinen: zajistit technicky a organizačně bezpečnost poskytované služby a zpracovat pro zajištění ochrany údajů a důvěrnosti komunikací (včetně důvěrnosti s komunikací spojených provozních a lokalizačních údajů) vnitřní technicko-organizační předpis [§ 88 odst. 1 písm. b) ve spojení s § 89 ZEK]; informovat účastníky komunikace o riziku porušení bezpečnosti služeb, ochrany osobních údajů a důvěrnosti komunikací [§ 88 odst. 1 písm. c) ZEK]; vytvořit vnitřní postupy pro vyřizování žádostí uživatelů o přístup k jejich osobním údajům [§ 88 odst. 1 písm. d) ZEK]; informovat Úřad pro ochranu osobních údajů o případech porušení ochrany osobních údajů včetně způsobu řešení a vést evidenci takových případů (§ 88 odst. 4 až 7 ZEK); nezpracovávat provozní a lokalizační údaje pro marketingové účely bez souhlasu dotčené osoby (§ 90 odst. 6 ZEK); omezit na nezbytné minimum jak rozsah uchovávaných údajů, tak i okruh osob (pověřených zaměstnanců) oprávněných k přístupu k uchovávaným údajům a jejich dalšímu zpracování (§ 90 odst. 9 a § 91 odst. 4 ZEK); zachovávat mlčenlivost o vyžádání a poskytnutí údajů podle § 97 odst. 3 ZEK (§ 97 odst. 8 ZEK); vést evidenci případů zpřístupnění provozních a lokalizačních údajů a pravidelně ji "reportovat" Českému telekomunikačnímu úřadu (§ 97 odst. 10 a 11 ZEK).

96. Porušení kterékoli z výše uvedených povinností ze strany operátora je přestupkem [viz zejména § 118 odst. 12 písm. a), d) a odst. 14 písm. b) až h), k), z), aa), ae) a odst. 15 ZEK], za jehož spáchání hrozí v některých případech pokuta až 50 000 000 Kč nebo do výše 10 % z čistého obratu [§ 118 odst. 23 písm. c) ZEK], což je nejpřísnější kategorie sankcí v režimu přestupků podle zákona o elektronických komunikacích. K projednávání přestupků podle tohoto zákona je příslušný Český telekomunikační úřad, který má ve vztahu k operátorům i řadu dalších dozorových oprávnění. Dodržování obecných předpisů ochrany osobních údajů při jejich zpracování ze strany operátorů pak i v oblasti data retention podléhá zároveň dohledu Úřadu pro ochranu osobních údajů (§ 87 odst. 3, § 88 odst. 4 až 7 ZEK).

97. Jak je zřejmé z uvedeného výčtu, v právním řádu se podle Ústavního soudu nachází řada záruk proti zneužití uchovaných údajů, úroveň zabezpečení shromažďovaných údajů je dostačující; uvedený aspekt zkoumané problematiky tak neústavní nepřiměřenost napadené právní úpravy data retention (zejména § 97 odst. 3 a 4 ZEK a vyhlášky) nezakládá. Bez významu v tomto ohledu nezůstávají ani podmínky přístupu oprávněných orgánů k vyžádaným údajům (viz dále) a skutečnost, že oprávněné orgány nedisponují žádnou databází údajů, v níž by mohly libovolně vyhledávat.