VIII. A) Tzv. data retention
41. Jak již Ústavní soud výše zmínil, napadená ustanovení § 97 odst. 3 a 4 se stala součástí zákona č. 127/2005 Sb. na základě zákona č. 247/2008 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů. Dle důvodové zprávy přijetí této novely sloužilo k implementaci "některých článků" Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. 3. 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, "které doposud nejsou do našeho právního řádu implementovány, či jsou implementovány jen částečně, (neboť) Směrnice o data retention je v České republice již transponována (...). Platná právní úprava je v některých ohledech širší než úprava obsažená ve Směrnici o data retention.". Problematika uchovávání provozních a lokalizačních údajů je totiž v českém právním řádu v pozměněné podobě upravena již od přijetí samotného zákona o elektronických komunikacích č. 127/2005 Sb. s účinností od 1. 5. 2005 a od přijetí napadené vyhlášky Ministerstva informatiky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání, s účinností od 15. 12. 2005. V dané době v EU pouze připravovaná Směrnice o data retention tak skutečně byla v České republice fakticky implementována s předstihem a samotné znění napadených ustanovení již dle požadavků Směrnice o data retention pouze představuje upřesnění povinnosti uchovávat provozní a lokalizační údaje a tyto údaje bezodkladně poskytovat orgánům oprávněným k jejich vyžádání. Napadená vyhláška Ministerstva informatiky navzdory této skutečnosti již ovšem změněna nebyla, což má za následek tu skutečnost, že se napadenou právní úpravou regulovaný rozsah uchovávaných údajů i nadále zcela zřetelně pohybuje nad rámcem rozsahu předvídaného předmětnou Směrnicí o data retention.
42. Podle napadeného ustanovení § 97 odst. 3 věty prvé a druhé zákona o elektronických komunikacích právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací, a to včetně údajů o neúspěšných pokusech o volání, jsou-li i tyto údaje vytvářeny nebo zpracovávány a zároveň uchovávány nebo zaznamenávány. Podle § 90 zákona o elektronických komunikacích se provozními údaji rozumí "jakékoli údaje zpracovávané pro potřeby přenosu zprávy sítí elektronických komunikací nebo pro její účtování.". Podle § 91 téhož zákona se za lokalizační údaje považují "jakékoli údaje zpracovávané v síti elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací.". Konkretizaci a samotný rozsah provozních a lokalizačních údajů, dobu jejich uchovávání a formu a způsob jejich předávání orgánům oprávněným k jejich využívání pak podle napadeného ustanovení § 97 odst. 4 má vymezovat prováděcí právní předpis, kterým je napadená vyhláška č. 485/2005 Sb.
43. Konkrétně u služeb pevných telefonních linek a mobilní komunikace jsou provozovatelé povinni shromažďovat prakticky všechny dostupné údaje o uskutečněných hovorech i (pokud jsou zaznamenávány) o jejich neúspěšných pokusech (typicky "prozvánění"). Jedná se zejména o údaje o typu uskutečněné komunikace, o telefonních číslech volajícího a volaného, o datu a času zahájení a ukončení komunikace, označení základové stanice, která zajišťovala hovor v okamžiku spojení, identifikaci předplacené telefonní karty, veřejného telefonního automatu, u mobilní komunikace navíc data o jednoznačném kódu používaného k identifikaci každého mobilního telefonu, který je používán v rámci GSM sítě (IMEI), o jeho poloze a pohybu, a to i pokud komunikace neprobíhá (stačí zapnutý mobilní telefon), čísla dobíjecích kuponů a jejich přiřazení k dobíjenému číslu, vazbu mezi mobilním přístrojem a všemi vloženými SIM kartami aj. Ještě větší objem a rozsah dat a údajů, které dle napadené právní úpravy musí být uchovávány, se vztahují k tzv. veřejným sítím fungujícím na principu přepojování paketů a jejich služeb, nejtypičtěji internetu. V případě jeho použití je napadenou právní úpravou vyžadováno uchovávání údajů zejména o přístupu k síti (např. čas, místo a délka připojení, údaje o uživatelích a jejich uživatelských účtech, identifikátor počítače i serveru, k němuž bylo přistupováno, IP adresa, úplné doménové jméno, objem přenesených dat aj.), dále údaje vztahující se k přístupu ke schránkám elektronické pošty a přenosu zpráv elektronické pošty (v tomto případě jsou uchovávány prakticky veškeré údaje kromě obsahu samotných zpráv, tj. včetně identifikace adres, objemu přenesených dat aj.), a v neposlední řadě i údaje o serverových a ostatních službách [např. zadané URL adresy, druh požadavku, údaje o použití chatu, usenetu, instant messagingu (např. ICQ) a IP telefonie, a to včetně identifikace komunikujících stran, doby a použité služby (např. přenos souborů či transakce)]. Nad rámec předmětné Směrnice o data retention se u internetového připojení a služeb a e-mailové komunikace sleduje a uchovává množství přenesených dat, informace o použití šifrování, metoda a status požadavků na službu a její realizace a rovněž i informace o posílání SMS z internetových bran a další "zájmové identifikátory". U telefonie nad rámec Směrnice o data retention napadená právní úprava vyžaduje uchovávat údaje o identifikaci předplacené telefonní karty, veřejného telefonního automatu, číslech dobíjecích kuponů a jejich přiřazení k dobíjenému číslu, vazbách mezi mobilním přístrojem a vloženými SIM kartami.
44. Ačkoliv se stanovená povinnost uchovávat provozní a lokalizační údaje nevztahuje na obsahy jednotlivých sdělení (viz čl. 1 odst. 2 Směrnice o data retention a napadené ustanovení § 97 odst. 3 věty čtvrté), z uvedených údajů o uživatelích, adresátech, přesných časech, datech, místech a formách telekomunikačních spojení, budou-li sledovány po delší časový úsek, lze v jejich kombinaci sestavit detailní informace o společenské nebo politické příslušnosti, jakož i o osobních zálibách, sklonech nebo slabostech jednotlivých osob. Ve výše rekapitulovaném vyjádření Senátu předestřený názor předkladatele návrhu zákona, že se "v žádném případě nejedná o něco, co by se dalo přirovnat k odposlechům, už jen proto, že se neuchovávají obsahy jednotlivých telefonátů nebo mailových zpráv", je zcela mylný, neboť i pouze na jejich základě lze učinit dostatečné obsahové závěry spadající do soukromé (osobnostní) sféry daného jednotlivce. Z uvedených údajů lze až s 90 % jistotou např. dovodit, s kým, jak často a dokonce v jakých hodinách se daný jednotlivec stýká, kdo jsou jeho nejbližší známí, kamarádi či kolegové z práce, anebo jaké aktivity a v jakých hodinách provozuje [srov. studii Massachusetts Institute of Technology (MIT), Relationship Inference, dostupnou na http://reality.media.mit.edu/dyads.php]. Sběr a uchovávání lokalizačních a provozních údajů tak rovněž představuje významný zásah do práva na soukromí, a z toho důvodu je nezbytné pod rozsah ochrany základního práva na respekt k soukromému životu v podobě práva na informační sebeurčení (ve smyslu čl. 10 odst. 3 a čl. 13 Listiny) zahrnout nejen ochranu vlastního obsahu zpráv podávaných prostřednictvím telefonní komunikace či komunikace prostřednictvím tzv. veřejných sítí, ale i provozní a lokalizační údaje o nich.