Ať už je to evropský normotvůrce nebo Soudní dvůr EU, přístup k unijnímu právu odráží modernitu dnešní doby. Nicméně na poli uchovávání osobních údajů provozovateli telekomunikačních sítí pro účely předání těchto údajů státním orgánům panovaly od dob zrušení směrnice o uchovávání údajů jisté rozpaky. Cílem příspěvku je tak nejen zhodnotit reakce Evropské unie na nové technologické výzvy s ohledem na ochranu soukromí a osobních údajů a zhodnotit jejich vhodnost či efektivitu, ale především odpovědět na otázku, zda dnes máme unijním acquis jasně stanovené mantinely pro vnitrostátní úpravu ochrany osobních údajů.
Úvod
Moderní technologie jsou výzvou pro každého normotvůrce. Sledovat jejich vývoj a dostatečně svižně na něj reagovat úpravou legislativy je v případě procesů tvorby práva jednoznačně tématem na pořadu dne. Evropská unie má snahu na výzvy moderních technologií reagovat postupy, jež v sobě zahrnují jak nové právní předpisy, tak judikaturní činnost, která v důsledku nejen napomáhá překlenout období legislativního procesu, ale má též za cíl napomoci nabídnout řešení nových výkladových výzev.
Nejinak je tomu na poli ochrany soukromí a práva na ochranu osobních údajů. Vztah těchto dvou práv k moderním technologiím byl nejednou předmětem mnohých apelů ke změně právního rámce. Prvním aspektem problému k vyčlenění postoje Evropské unie je nutné zodpovězení otázky, zda jsou práva na soukromí a ochranu osobních údajů právy základními.
Teprve poté se lze ptát a odpovědět na otázku, jaký přístup Evropská unie zvolila směrem k těmto právům, a lze do určité míry porozumět tomu, jak se, ať už legislativně, či judikaturou, Evropská unie vypořádala se střetem práva na soukromí a ochranu osobních údajů s jinými právy ve světle moderních technologií.
Právě tento unijní postup je totiž tím, co formuje rámec úpravy preventivního uchovávání provozních a lokalizačních údajů o elektronické komunikaci u poskytovatelů telekomunikačních služeb (známe pod anglickým výrazem data retention; dále v textu bude použito kratšího slovního spojení "uchovávání údajů")[1] platné na území pevninské Evropy.
Ochrana soukromí a osobních údajů středobodem zájmu
Evropská unie řadí ochranu soukromí a právo na ochranu osobních údajů mezi základní lidská práva. Nasvědčuje tomu nejen systematika předního lidskoprávního katalogu na úrovni Evropské unie, tj. Listiny základních práv Evropské unie, která řadí právo na soukromí a právo na ochranu osobních údajů již do Hlavy II, nadepsané Svobody,[2] ale též přístup institucí Evropské unie k těmto právům.
Soudní dvůr Evropské unie jednoznačně stanovil (a to ještě za hodnotového východiska s ohledem na lidská práva v podobě čl. 8 Evropské úmluvy o ochraně lidských práv),[3] že: "Právo na respektování soukromého života [...] je základním právem chráněným právním řádem Společenství."[4] Ochrana osobních údajů je pak vnímána jako právo inherentní právu na soukromí (je jeho integrální součástí) a zásah do osobních údajů je zásahem do soukromí (logicky zde ale neplatí vice versa, protože ne každý zásah do soukromí je zásahem do osobních údajů).[5]
Esencí výše uvedeného budiž čtenáři tohoto pojednání první věta prvního recitálu nařízení Evropské unie s populárním označením "GDPR", a to konkrétně: "Ochrana fyzických osob v souvislosti se zpracováním osobních údajů je základním právem."[6] Je tedy bez dalších pochyb zřejmé, že nejen právo na soukromí, ale i právo na ochranu osobních údajů je v rámci unijního acquis považováno za základní lidské právo a jako takové musí být v případě střetu s dalšími lidskými právy považováno. Přesto je třeba mít na paměti, jak už to u základních práv bývá, že právo na ochranu soukromí, ani právo na ochranu osobních údajů není právem absolutním.[7], [8]
Evropská unie si uvědomuje extrémní důležitost sofistikované a komplexní ochrany osobních údajů nejen směrem k naplnění ochrany jednoho z moderních základních lidských práv, ale též k naplnění principu, na kterém je Evropská unie vystavena - volném pohybu osobních údajů.[9] Trh s osobními údaji nabývá na čím dál větší síle a důležitosti[10] a ne nadarmo se říká, že osobní údaje jsou již více cenné než ropa.[11] Je tedy nutné k osobním údajům přistupovat s náležitou péčí a trhu s tímto artiklem stanovit jasné regule.[12] Evropská unie se na tento trend snaží reagovat a zároveň držet krok s novými výzvami, jež skýtají nové platformy přenosu a ukládání osobních údajů, i když ne vždy se jí to daří.
Prst na tepu doby
Již v roce 2000 předložila Komise návrh směrnice o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací,[13] která nabyla platnosti v roce 2002 (a dosud nepozbyla) a jejímž cílem bylo přizpůsobit ochranu osobních údajů tak, aby jim byla přiznána co největší ochrana na poli elektronických komunikací, a modernizovat tak principy a modely ochrany stanovené již směrnicí Evropského parlamentu a Rady 97/66/ES ze dne 15. prosince 1997 o zpracování osobních údajů a ochraně soukromí v odvětví telekomunikací.[14] Ostatně již v této směrnici bylo uvedeno, že: "[...] internet převrací tradiční struktury trhu tím, že poskytuje společnou, obecnou infrastrukturu pro široký okruh služeb elektronických komunikací. Veřejně dostupné služby elektronických komunikací prostřednictvím internetu otevírají uživatelům nové možnosti, ale zároveň vytvářejí i nová rizika pro jejich osobní údaje a soukromí" (sic!).[15]
Ona snaha postavit se novým výzvám, jež nové technologie bezpochyby přináší, je (alespoň) na poli ochrany osobních údajů Evropské unii imanentní. Potřebu aktualizace rámce ochrany osobních údajů pocítila Komise již v roce 2009, kdy začala s rozsáhlými debatami a se zadáváním vypracování studií relevantních k dané problematice.[16] V roce 2010 pak Komise prostřednictvím sdělení uvedla, že na základě již rok probíhajících diskusí a na základě závěrů z vypracovaných studií[17] předloží v roce 2011 legislativní návrh, jež bude mít za cíl nahradit doposud platnou směrnici o ochraně osobních údajů a postavit se tak výzvám souvisejícím s novými technologiemi.[18] Komise již v tomto sdělení vyjádřila největší obavu nad tím, že: "Způsoby shromažďování osobních údajů jsou zároveň stále propracovanější a lze je hůře odhalit. Používání sofistikovaných nástrojů umožňuje hospodářským subjektům sledovat chování jednotlivců, a tak se lépe zaměřit na potenciální zákazníky. Rostoucí využívání postupů pro automatický sběr dat (například elektronický prodej jízdenek či výběr mýtného) nebo geolokačních zařízení umožňuje snadněji zjistit polohu určité osoby jednoduše díky jejímu mobilnímu zařízení. Veřejné orgány také stále více využívají osobních údajů za různým účelem, mimo jiné k vyhledávání osob v případě propuknutí přenosné choroby, pro předcházení terorismu a trestné činnosti a k účinnějšímu boji proti nim, pro správu systémů sociálního zabezpečení nebo pro daňové účely, a to v rámci svých aplikací elektronické veřejné správy nebo jinak."[19]
Ve výše uvedené citaci lze sledovat dvojí dimenzi možných nástrah nových technologií. Zaprvé je dle Komise nutná ochrana před soukromoprávními aktéry, společnostmi, jež využívají nové technologie ke sběru osobních údajů zákazníka k co největší personalizaci reklamy. Druhou rovinou je pak sběr dat veřejnoprávními aktéry, kteří získávají přístup k lokalizačním údajům, ať už za účelem vyhledávání osob sohledem na veřejné zdraví, či jako prostředek ochrany před terorismem. Výše uvedené obavy Komise sepozději ukázaly jako oprávněné.
Tento článek byl publikován v časopisu Právník č. 12/2021. Pokračování je dostupné zde.
[1] Toliko po vzoru Ústavního soudu, který sice pro "preventivní uchovávání provozních a lokalizačních údajů o elektronické komunikaci u poskytovatele telekomunikačních služeb" používá zkrácené anglické "data retention" (nález Pl. ÚS 45/17), v překladu však a v porovnání s názvem dotčené směrnice lze užít české "uchovávání údajů" (srov. např. bod odůvodnění č. 9 in fine směrnice o uchovávání údajů v české a anglické jazykové verzi).
[2] Listina základních práv Evropské unie, konsolidované znění z roku 2012 (2012/C 326/02), Úř. věst. 326/391, 26. 10. 2012, Článek 7 "Respektování soukromého a rodinného života" a článek 8 "Ochrana osobních údajů".
[3] Evropská úmluva o ochraně lidských práv ve znění Protokolů č. 11 a 14 s Protokoly č. 1, 4, 6, 7, 12, 13 a 16.
[4] Rozhodnutí Soudního dvora Evropské unie ze dne 8. dubna 1992, C-62/90 Komise v. Německo, ECLI:EU:C:1992:169.
[5] Např. rozhodnutí Soudního dvora Evropské unie ze dne 13. května 2014, C-131/12 Google Spain SL, Google Inc. proti Agencia Espanola de Protección de Datos (AEPD), Mario Coteja Gonzáles, ECLI:EU:C:2014:317 (Google v. Spain), bod 80.
[6] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů o zrušení směrnice95/46/ES (obecné nařízení o ochraně osobních údajů), Úř. věst. I. 119/1, 4. 5. 2016, recitál č. 1. (dále jen jako "GDPR").
[7] Ibidem, recitál č. 4.
[8] V judikatuře typicky obecně k tomu, že žádná základní práva, až na právo na život a zákaz mučení a nelidských či ponižujících trestů nebo zacházení, nejsou absolutní, uvádí autor tohoto pojednání rozhodnutí Soudního dvora Evropské unie ze dne 12. června 2003, C-112/00, Eugen Schmidberger, Internationale Transporte und Planzüge proti Rakouské republice, ECLI:EU:C:2003:333, bod 80, konkrétně k neabsolutní povaze práva na soukromí a ochranu osobních údajů pak např. rozhodnutí Soudního dvora Evropské unie ze dne 9. listopadu 2010, C-92/09 a C-93/09, Volker und Markus Schecke GbR, Hartmut Eifert proti Land Hessen za přítomnosti Bundesanstalt für Landwirtschaft und Ernährung, bod 48.
[9] Sdělení Komise Evropskému parlamentu, Radě, evropskému hospodářskému a sociálnímu výboru a výboru regionů, Komplexní přístup k ochraně osobních údajů v Evropské unii, KOM(2010) 609 v konečném znění, 4. 11. 2020, s. 2.
[10] JOUROVÁ, V. EU Data Protection Reform - What benefits for businesses in Europe? Leden 2016.
[11] The world's most valuable resource is no longer oil, but data. The Economist. 2017.
[12] TRAKMAN, L. - WALTERS, R. - ZELLER, B. Trade in personal data: Extending international legal mechanisms to faciliate transnational trade in personal data? European Data Protection Law Review. 2020, roč. 6, č. 2, s. 243-258.
[13] Proprosal for a Directive of the European Parliament and of the Council concerning the processing of personal data and the protection of privacy in the electronic communications sector, COM(2000) 385 final - 2000/0189(COD), Úř. věst. C 365 E/223 ze dne 19. 12. 2000.
[14] Směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), Úř. věst. 13, sv. 29, respektive Úřední věstník evropských společenství L 201/37 ze dne 31. 7. 2002, bod odůvodnění č. 4.
[15] Ibidem, bod odůvodnění č. 6.
[16] Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů, Komplexní přístup k ochraně osobních údajů v Evropské unii, KOM(2010) 609 v konečném znění, 4. 11. 2020, s. 3.
[17] Např. Comparative study on different approaches to new privacy challenges in particular in the light of technological developments, vypracovanou na základě smlouvy č. JLS/2008/C4/011 - 30-CE-0219363/00-28, ze dne 20. ledna 2010.
[18] Sdělení Komise Evropskému parlamentu, Radě, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů, Komplexní přístup k ochraně osobních údajů v Evropské unii, KOM(2010) 609 v konečném znění, 4. 11. 2020, s. 2.
[19] Ibidem.
Diskuze k článku ()