Článek vychází ze závěrů studie Praxe poskytovatelů veřejných internetových služeb při správě osobních údajů, která byla vypracována občanským sdružením Iuridicum Remedium v rámci projektu „Reclaim Your Rights in the Digital Age“, který je realizován díky finanční podpoře nadace Trust for Civil Society in Central and Eastern Europe. Studie bude uveřejněna v dubnu 2010.
Úvod
Myšlenka data retention objevuje až v relativně nedávné době. Zavádění principů data retention do zákonodárství pak souvisí s událostmi, které následovaly po útocích 11. září 2001, obecněji s proklamovaným bojem proti terorismu. Předpokladem pro plošné monitorování digitální komunikace byla atmosféra zvýšené poptávky po řešení aktuálních bezpečnostních hrozeb a současně dokončený přechod na digitální technologie v komunikacích.
Již před prvními pokusy vtělit principy data retention do zákonů se objevily silné výhrady ze strany ochránců lidských práv[1]. Hlavní výtky se týkají nevyváženosti data retention – monitorování soukromí občanů v plošném měřítku. Dále je vytýkána zejména nedostatečná kontrola oprávněnosti požadavků, velký počet subjektů, které mají k datům přístup, a vágní právní definice důvodů, kdy je možné o data žádat.
V rámci data retention jsou archivována „metadata“ proběhlé komunikace, nikoli obsah samotné komunikace. Z preventivně nasbíraných dat pak lze poskládat, s kým a jak často sledovaná osoba komunikuje, kde se často pohybuje a podobně. To bezpochyby výrazně pomáhá ve vyšetřování trestných činů. Ale zároveň i jenom existence takové databáze nabízí snad až příliš mnoho scénářů pro případné zneužití.
V Česku je data retention součástí zákona o elektronických komunikacích (č. 127/2005 Sb.)[2], který navazuje na evropskou směrnici č. 2006/24/ES[3].
Jak se poskytovatelé digitálních komunikačních služeb vyrovnávají s povinnostmi stanovenými zákonem po pěti letech jeho existence? Jsou data uchovávána bezpečně? Jak často a jakým způsobem jsou předávána? Tyto a další otázky jsme se snažili zmapovat. Oslovili jsme dvacítku firem na českém trhu, které nabízejí různé služby elektronických komunikací, a položili jsme jim několik otázek. Výsledky studie jsou tak z velké části založeny právě na vyjádření zástupců firem.
Koho se týká data retention
Po přečtení pasáží zákona o elektronických komunikací, které se týkají data retention (zejména § 97[4]), by leckdo získal dojem, že všechny veřejné elektronické, nebo chcete-li digitální, komunikační služby jsou předmětem sledování a uchovávání. Co konkrétně je sledováno, upřesňuje vyhláška (č. 485/2005 Sb.)[5], která obsahuje podrobný výčet sledovaných údajů pro různé technologie komunikace – od telefonních služeb, přes e-mailovou komunikaci až po přístupy k jednotlivým službám na Internetu. Zajímalo nás, zda je tedy skutečně sledována veškerá elektronická komunikace.
Poskytovatelé připojení k Internetu…
Skutečnost však není tak přímočará a některé formy komunikace jsou sledovány více, jiné méně a některé vůbec. V případě telefonní komunikace, a to jak po pevných linkách (zejména Telefónica O2), tak v mobilních sítích (Telefónica O2, T-Mobile, Vodafone, U:fon), je sledování jasně nastaveno. Operátoři monitorují komunikaci ve své síti. A protože trh je v těchto odvětvích kvůli politice přidělování licencí rozdělen mezi malý počet poskytovatelů, je i pro bezpečnostní orgány státu sledování relativně snadné. V případech zmíněných firem je pravděpodobně pro data retention vyčleněno pracoviště (potvrzeno to máme od T-Mobilu), které rutinním způsobem předává data na základě vyžádání bezpečnostních složek, převážně tedy Policie. Podobně je tomu i v případě e-mailové komunikace a připojení k Internetu, pokud jsou poskytovány právě velkými telekomunikačními firmami (k výše uvedeným dále UPC, Volný, GTS).
Naopak malí poskytovatelé připojení k Internetu, kterých je na českém trhu odhadem několik stovek, nejsou tak snadno monitorovatelní, právě kvůli své roztříštěnosti. Proto z celkového počtu žádostí představují žádosti o vydání dat od malých firem jen velmi malý podíl[6].
… a poskytovatelé webových služeb
Kdo by se domníval, že čeští poskytovatelé různých aplikací pro komunikaci na internetu (používáme pojem poskytovatelé webových služeb) jsou také poskytovateli „služeb elektronické komunikace“, mýlil by se. Poskytovatelé webových služeb provozují „služby informační společnosti“, kterých se data retention údajně netýká. Například z vyjádření například zástupce firmy Seznam.cz vyplývá, že firma není poskytovatelem služeb elektronické komunikace
. Že by tedy přece jen dobrá zpráva pro ochránce soukromí?
Zákon o elektronických komunikacích mimo jiné stanoví, že poskytovatelé služeb elektronických komunikací jsou povinni se registrovat u Českého telekomunikačního úřadu (ČTÚ). Nahlédli jsme tedy do registru ČTÚ[7] a porovnali jsme záznamy se vzorkem námi dotazovaných firem. Výsledek byl jednoznačný. V registru ČTÚ jsme našli pouze poskytovatele služeb připojení k Internetu.
Proč chceme být sledováni?
Argumentace pro opatření data retention vypadají v této souvislosti poněkud zvláštně. Těžko lze mluvit o zajišťování bezpečnosti, například pro prevenci, vyšetřování, odhalování a stíhání závažné trestné činnosti jako je terorismus a organizovaný zločin
[8], když je v rámci data retention monitorována pouze část komunikačních kanálů. Proklamace se odkazují na boj se závažnými zločiny, ve skutečnosti jsou údaje z data retention používána spíše ke stíhání menších zločinů. Přesahují-li žádosti ze strany Policie ČR počet sto tisíc žádostí ročně, dá se předpokládat, že data retention se stala nástrojem pro odhalování běžné kriminality, a tedy pro monitorování nemalého počtu nevinných občanů. To je v rozporu s principem proporcionality, protože rozsah sledování je v nerovnováze se závažností přínosům na poli bezpečnosti.
Je pravděpodobné, že v budoucnu se objeví snahy rozšířit záběr data retention a podchytit i tu elektronickou komunikaci, o níž dnes nejsou záznamy k dispozici. Již dnes jsou v Evropě patrné snahy přesunout dohlížecí povinnosti na poskytovatele připojení k Internetu. Zároveň se dohlížení má týkat i obsahu komunikace. Příkladem můžeme uvést opatření proti ilegálnímu sdílení souborů (např. francouzský zákon HADOPI[9]) nebo proti porušování copyrightu (připravovaná dohoda ACTA[10]).
Budou poskytovatelé připojení k Internetu v budoucnu nuceni uchovávat i obsah uskutečněné komunikace? Až se tak začne dít, vzpomeňme si, že se opatření pravděpodobně opět nebudou tolik týkat závažných zločinů[11] jako spíše monitorování běžného občana.
S problematikou data retention je spojena i obecnější otázka sběru a bezpečného uchovávání údajů zákazníků. Poskytovatelů se na to zeptáme v další části našeho miniseriálu.
[1] K historii data retention v lidskoprávním kontextu
[2] Zákon o elektronických komunikacích
[3] Směrnice č. 2006/24/ES
[4] § 97 zákona o elektronických komunikacích
[5] Vyhláška č. 485/2005 Sb.
[6] Viz např. KUČERA, M. (2009): Velký bratr za 150 milionů korun. Týdeník EURO, č. 49/2009(18. 1. 2010)
[7] Registr ČTÚ – vyhledávání poskytovatelů služeb elektronických komunikací
[8] Viz odůvodnění: Návrh Směrnice Evropského parlamentu a Rady o uchovávání údajů zpracovávaných v souvislosti s poskytování veřejných služeb v odvětví elektronických komunikací, kterou se mění směrnice 2002/58/ES
[9] HADOPI
[10] ACTA
[11] Šifrovací nástroje jsou dnes při plánování a provádění závažných zločinů používány běžně.