Czeski Trybunał Konstytucyjny uchylił przepisy dot. retencji danych

Trybunał Konstytucyjny Czeskiej Republiki (Ústavní soud) doszedł dziś do wniosku, że zaskarżone przez grupę 51 deputowanych przepisy czeskiej ustawy o komunikacji elektronicznej oraz przepisy wykonawcze do tej ustawy, są niezgodne z tamtejszą konstytucją. Zakwestionowane przepisy regulowały przekazywanie przez przedsiębiorstwa telekomunikacyjne oraz przez świadczących usługi drogą elektroniczną informacji służbom takim jak policja czy wywiad (por. retencja danych). Przepisy te utraciły moc obowiązywania w momencie opublikowania wyroku, co oznacza, że służby nie mogą tam teraz pytać o gromadzone informacje o użytkownikach systemów i sieci. To już kolejny trybunał konstytucyjny, który w państwach Unii Europejskiej kwestionuje implementacje europejskiej dyrektywy retencyjnej 2006/24/WE.

Wcześniej takie wyroki wydano w Bułgarii (chodzi o wyrok tamtejszego Naczelnego Sądu Administracyjnego, o którym pisałem w tekście Teraz Niemiecki Federalny Trybunał Konstytucyjny przyjrzy się retencji danych, ale w tym kontekście porównaj również ETPCz o inwigilacji obywateli, prawach człowieka i bułgarskiej ustawie) i Rumunii (por. Rumuński Trybunał Konstytucyjny uznał, że tamtejsza ustawa o retencji danych jest niezgodna z konstytucją) oraz w Niemczech (por. Niemieckie przepisy o retencji danych niezgodne z tamtejszą konstytucją). W Polsce Rzecznik Praw Obywatelskich rozważa podjęcie interwencji w sprawie przepisów retencyjnych (por. Rzecznik Praw Obywatelskich o retencji danych w Polsce), zaś grupa posłów już wniosła do TK o uznanie niekonstytucyjności przepisów ustawy o Policji, ustawy o Straży Granicznej, ustawy o kontroli skarbowej, ustawy o Żandarmerii Wojskowej, ustawy o ABW oraz AW, ustawy o CBA, ustawy o SWW oraz SKW z Konstytucją RP oraz art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności oraz o stwierdzenie niezgodności przepisów ustawy Prawo telekomunikacyjne w zw. z przepisami ustawy o Policji, ustawy o Straży Granicznej, ustawy o kontroli skarbowej, ustawy o Żandarmerii Wojskowej, ustawy o ABW oraz AW, ustawy o CBA, ustawy o SKW oraz SWW z Konstytucją Rzeczypospolitej Polskiej

Wyrok Trybunału Konstytucyjnego Republiki Czeskiej z dnia 31 marca 2011 r., sygn. akt TZ 22/11 opublikowano (wraz z uzasadnieniem) na stronach Trybunału. Informacje na temat wyroku przekazała już PAP: Czechy.Trybunał Konstytucyjny za prywatnością użytkowników telefonów. Sięgnijmy jednak do źródła.

Zgodnie z opublikowanymi materiałami Trybunału uznał, że kwestionowane przepisy (§ 97 ust 3 i 4 ustawy o komunikacji elektronicznej) wykraczają poza konstytucyjne ramy, w ten sposób, że pozostają w sprzeczności z konstytucyjnymi wymogami dotyczącymi ograniczenia prawa do prywatności, naruszają prawo do autonomii informacyjnej w rozumieniu artykułu 10 ustęp 3 i artykułu 13 Karty w związku z naruszeniem zasady proporcjonalności.

Gdyby ktoś poszukiwał Konstytucji Republiki Czeskiej, to opublikowana jest na stronach tamtejszego Parlamentu, ale równie ważna jest czeska LISTINA ZÁKLADNÍCH PRÁV A SVOBOD, czyli Karta Praw i Wolności, która przywoływana jest w art 3 Konstytucji.

Przywołane wyżej art. 10 i art. 13 Karty brzmią:

(...)
Článek 10
(1) Každý má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno.
(2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.
(3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.
(...)
Článek 13
Nikdo nesmí porušit listovní tajemství ani tajemství jiných písemností a záznamů, ať již uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, s výjimkou případů a způsobem, které stanoví zákon. Stejně se zaručuje tajemství zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením.
(...)

Interesujące nas przepisy można by zatem przetłumaczyć tak, że "każdy ma prawo do ochrony przed nieuprawnionym gromadzeniem, publikowaniem lub innym nadużyciem danych dotyczących jego osoby" oraz - w pewnym uproszczeniu - "nikt nie może naruszać tajemnicy korespondencji i innych tajemnic prawnie chronionych z wyjątkiem przypadków i sposobów przewidzianych przez prawo" (tu Karta wymienia dokumenty, zapisy, przechowywane prywatnie, przesyłane pocztą lub w inny sposób, wspomina o zapewnieniu poufności wiadomości przesyłanych telefonicznie, za pomocą telegrafu i w sposób podobny).

Oceniana ustawa to zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích).

Zakwestionowane przepisy § 97 ust 3 i 4 ustawy o komunikacji elektronicznej brzmią:

(...)
(3) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací. Provozní a lokalizační údaje týkající se neúspěšných pokusů o volání je právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací povinna uchovávat pouze tehdy, jsou-li tyto údaje vytvářeny nebo zpracovávány a zároveň uchovávány nebo zaznamenávány. Právnická nebo fyzická osoba, která provozní a lokalizační údaje podle věty první a druhé uchovává, je na požádání povinna je bezodkladně poskytnout orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu. Současně je tato osoba povinna zajistit, aby s údaji podle věty první a druhé nebyl uchováván obsah zpráv. Doba uchovávání těchto provozních a lokalizačních údajů nesmí být kratší než 6 měsíců a delší než 12 měsíců. Po uplynutí této doby je osoba, která údaje podle věty první a druhé uchovává, povinna je zlikvidovat, pokud nebyly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního předpisu nebo tento zákon nestanoví jinak (§ 90).

(4) Rozsah provozních a lokalizačních údajů uchovávaných podle odstavce 3, dobu jejich uchovávání podle odstavce 3 a formu a způsob jejich předávání orgánům oprávněným k jejich využívání a dobu uchovávání a způsob likvidace údajů, které byly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu, stanoví prováděcí právní předpis.
(...)

Czyli chodzi o to, że czeski ustawodawca zdecydował, że każda osoba prawna lub fizyczna, która udostępnia publiczne sieci łączności lub świadczy publicznie dostępne usługi łączności elektronicznej jest zobowiązana do "zachowania ruchu i lokalizacji" (to jest właśnie retencja) generowanych lub przetwarzanych danych w ramach udostępniania publicznych sieci łączności i publicznie dostępnych usług łączności elektronicznej. Dane o ruchu i lokalizacji, dane odnoszące się do nieudanych prób połączenia, powinny być gromadzone przez te osoby jeśli dane te były generowane lub przetwarzane, przechowywane lub nagrywane "jednocześnie". Dostawcy usług powinni przekazywać gromadzone dane "w trybie natychmiastowym", na wniosek organów uprawnionych na podstawie odrębnych przepisów (służby). Poza przekazaniem danych dostawcy usług powinni również zachować "treści wiadomości". Czeski ustawodawca zdecydował, że okres przechowywania danych o ruchu i lokalizacji nie może być krótszy od 6 miesięcy i dłuższy niż 12 miesięcy. Po tym czasie dane powinny być zanonimizowane (o ile nie zostały przekazane służbom). W ustępie czwartym ww. przepisu przewidziano, że zakres danych o ruchu i lokalizacji, a także sposoby postępowania z nimi (m.in. przez służby) określają przepisy wykonawcze.

Przepisy wykonawcze to rozporządzenie č. 485/2005 Sb. o zakresie pracy, czasie i miejscu przechowywania danych, formie i sposobie ich przekazywania organom upoważnionym (o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání).

Trybunał orzekł, że w związku z niekonstytucyjnością tych przepisów wygasają one z dniem opublikowania wyroku Trybunału.

Bezpośredniej argumentacji o niezgodności z konstytucyjnym porządkiem Republiki Czeskiej zaskarżonych przepisów można poszukiwać w paragrafie 46 i kolejnych uzasadnienia (str. 19 udostępnionego dokumentu). Wśród nich znajduje się m.in. teza, że przyjęte w Czechach przepisy nie spełnia wymogów jasności i pewności prawnej, a ponieważ możliwość gromadzenia danych i "pytania" o nie przez służby nie jest (nie musi być, zdaniem ustawodawcy) związany z istnieniem uzasadnionego podejrzenia popełnienia poważnych przestępstw, to nie spełnia wymagań wynikających z drugiego etapu badania proporcjonalności, tj. wyboru środków do realizacji określonego celu, który ingeruje w prawa i wolności obywateli. Trybunał zauważył również, że przepisy nie ograniczają służb w wyborze częstotliwości pytania o dane oraz w celu, w jakim oczekują one informacji. W efekcie przepisy te są "nieprzewidywalne" (dane mają służyć do "wyjaśnienia faktów istotnych dla postępowania karnego"), nawet, jeśli wykorzystanie przechowywanych danych podlega kontroli sądowej. Trybunał również uznał, że służby nadużywają kwestionowanych przepisów do pozyskiwania danych w celu wykrywania "mniej poważnych przestępstw", chociaż ten specjalny środek, z racji tak istotnej ingerencji w sferę praw i wolności może być wykorzystywany jedynie w szczególnych przypadkach. Trybunał oceniał też przepisy dotyczące bezpieczeństwa przechowywanych danych, w szczególności procedury mające na celu zapobieganie dostępowi do tych danych osób nieuprawnionych, procedury zmierzające do ochrony integralności i poufności danych i procedury ich niszczenia. Trybunał uznał, że przepisy ustanawiające minimalne warunki takich działań są niejasne i niewłaściwe.

W swoich rozważaniach Trybunał Konstytucyjny Republiki Czeskiej odwołał się do wcześniejszych wyroków w Niemczech (wyrok z dnia 2 marca 2010 r., sygn. 1 BvR
256/08, 263/08 BvR 1, 1 BvR 586/08 - por. link na początku niniejszej notatki) w Rumuni, a także w Bułgarii.

W efekcie swoich rozważań Trybunał uznał (paragraf 53 linkowanego uzasadnienia), że zaskarżone przepisy § 97 3 i 4 ustawy nr 127/2005 Sb (č. 127/2005 Sb) o łączności elektronicznej oraz o zmianie niektórych innych ustaw, z późniejszymi zmianami, i zaskarżonego rozporządzenia nr 485/2005 Sb (č. 485/2005 Sb) nie mogą być uznane za konstytucyjne, a jak wskazano w uzasadnieniu - są wyraźnym pogwałceniem ograniczeń konstytucyjnych, ponieważ nie spełniają wymogów prawa i pozostają w sprzeczności z wymogami ograniczenia podstawowych praw do prywatności w postaci autonomii informacyjnej (cz. "práva na informační sebeurčení") w rozumieniu artykułu 10 ustęp 3 i artykułu 13 Karty, który wywodzi się z zasady proporcjonalności.