Vyšlo na Lupě,
Vytištěno z adresy: http://www.earchiv.cz/b08/b0609001.php3

Stalo se: novela data retention má zelenou

Povinnost operátorů a poskytovatelů služeb uchovávat provozní a lokalizační údaje o jejich klientech (tzv. data retention) u nás existuje od roku 2005. Nyní prošla Sněmovnou i Senátem novela, aktualizující tyto povinnosti. V něčem je rozšiřuje, ale v jiných aspektech zase upřesňuje či dokonce zmírňuje. U Internetu se ale nic nemění.

Minulý týden byl po delší době jedním z těch spíše skromnějších, pokud jde o množství novinek na českém trhu elektronických komunikací. Tedy pokud nepočítáme například U:fonovo „mobilně hlasové“ oznámení z minulého pondělka, o kterém jste se mohli dočíst zde na Lupě v samostatném článku. A tak se v dnešním vydání seriálu Stalo se mohu vrátit k jedné poněkud starší záležitosti, která byla minulý týden pouze lehce „oprášena“ souhlasem Senátu.

Možná už tušíte, že jde o problematiku data retention, alias uchovávání provozovních a lokalizačních údajů, která je předmětem další novely zákona o elektronických komunikacích. Tato novela prošla Poslaneckou sněmovnou již v dubnu, a vzbudila přitom poměrně vzrušenou debatu. Minulý týden pak hladce prošla Senátem, který o ní vlastně ani podrobněji nejednal, a pouze odsouhlasil verzi Poslanecké sněmovny. Takže nyní zbývá již jen podpis prezidenta, nebo jeho odmítnutí a návrat novely do Poslanecké sněmovny.

Dosavadní stav

Soudě podle toho, co se kolem této otázky objevovalo v médiích, ještě při projednávání příslušné novely v Poslanecké sněmovně, a jak se k tomu vyjadřovali představitelé opozice, zde muselo dojít k zásadnímu obratu. Jakoby až dosud stát nijak významněji nemonitoroval elektronickou komunikaci svých občanů, ale najednou to chce dělat.

Jenže to asi není ten správný pohled. Faktem je, že uchovávání provozních a lokalizačních dat u operátorů a poskytovatelů (a jejich předávání oprávněným orgánům státu, na jejich žádost) je u nás uzákoněno již od roku 2005, skrze zákon č. 127/2005 Sb. o elektronických komunikacích. Hlavní  povinnosti definuje paragraf 97 a jeho  odstavec 3, který říká že:

(3) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací je povinna uchovávat provozní a lokalizační údaje a tyto údaje je na požádání povinna poskytnout orgánům oprávněným k jejich vyžádání podle zvláštního právního předpisu. Rozsah provozních a lokalizačních údajů, dobu jejich uchovávání, která nesmí být delší než 12 měsíců, a formu a způsob jejich předávání orgánům oprávněným k jejich využívání, stanoví prováděcí právní předpis.

Samotné „provozní údaje“ a „lokalizační údaje“ pak jsou v zákoně č. 127/2005 Sb. (paragrafy 90 a 91, odst. 1) definovány značně široce:

(1) Provozními údaji se rozumí jakékoli údaje zpracovávané pro potřeby přenosu zprávy sítí elektronických komunikací nebo pro její účtování.
(1) Lokalizačními údaji se rozumí jakékoli údaje zpracovávané v síti elektronických komunikací, které určují zeměpisnou polohu koncového zařízení uživatele veřejně dostupné služby elektronických komunikací.

Příslušným prováděcím předpisem, na který se dosavadní právní úprava odvolává, je vyhláška č. 485/2005 Sb., kterou připravilo ještě Ministerstvo informatiky ČR. Ta pak přeci jen zužuje objem uchovávaných a předávaných informací, když přesně vymezuje jejich rozsah. A to odděleně pro pevné telekomunikační sítě (s přepojováním okruhů), mobilní sítě, a sítě s přepojováním paketů (kam spadá i Internet).

Tak například pro mobilní komunikace tato vyhláška, vycházející z platného zákona, požaduje uchovávání prakticky všech dostupných informací o uskutečněných hovorech:

údaje o uskutečněné komunikaci s uvedením typu komunikace, telefonního čísla účastníka volajícího a volaného, data a času zahájení komunikace, délky komunikace, čísla IMEI, čísla  stanice StartBTS, popřípadě čísla stanice StopBTS, destinace a doplňkové informace

Takže mobilní operátor by měl uchovávat (a oprávněným orgánům státu na jejich žádost předávat) informace o tom, komu a kdy jste volali, z jakého mobilu, i odkud (v dosahu kterých BTS). Vedle toho je mobilní operátor povinen uchovávat a sdělovat i takové věci, jako jsou konkrétní vazby mezi čísly IMEI a MSISDN, polohy jednotlivých BTS, ale třeba i IP adresy terminálů, ze kterých byly odesílány SMS zprávy. A také datum a čas dobíjení kreditu u předplacených služeb, čísla dobíjecích kuponů k určitému telefonnímu číslu účastníka, či telefonní číslo účastníka k určitému dobíjecímu kuponu.

Co se zpřísňuje?

A teď k nynější novele: ta rozšíří repertoár poskytovaných informací tak, aby zahrnoval informace nikoli jen o „uskutečněné komunikaci“, ale také o “neúspěšných pokusech o volání“, definovaných takto:

neúspěšným pokusem o volání se rozumí takové volání, které bylo úspěšně spojeno, ale zůstalo bez odezvy nebo došlo k zásahu právnické nebo fyzické osoby zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací,

Ponechám raději na vašem vlastním úsudku, nakolik je to zásadní změna (a opravňuje hovořit o tom, že se zde zavádí „špiclování“, které zde dříve nebylo). Podle mého osobního názoru to až tak zásadní změna není - alespoň ve srovnání s tím, co u nás bylo zavedeno v roce 2005, a co nyní aktualizujeme tak, aby to bylo v souladu s platnou evropskou legislativou. Pokud se bavíme o špiclování a přehnané míře toho, co stát požaduje, pak by se to (stále podle mého názoru) mělo hodnotit především prismatem úprav z roku 2005.

Zajímavé přitom je, že naše právní úprava z roku 2005 poněkud předběhla dobu, neboť sami jsme tehdy iniciativně převzali do svého právního řádu více povinností, než kolik jich po nás Evropa (v uvedené době) požadovala. Mohli jsme část z nich odložit, ale neudělali jsme to (viz dále). A tak nyní „dokončujeme převzetí“ už jen relativně malého objemu povinností.

Co se dále mění?

Na nynější novele lze dokonce najít i určité „uvolňující“ prvky, oproti dosud platnému stavu v oblasti uchovávání provozních a lokalizačních údajů. Například v tom ohledu, že až dosud se měly uchovávat požadované údaje vždy, bez ohledu na to, zda vůbec vznikaly (byly vytvářeny, generovány). Pokud ne, vlastně by si je měl operátor nějak domýšlet či aproximovat. Nyní už se z požadovaných údajů uchovávají jen ty, které skutečně vznikají. Díky následujícímu dodatku:

Osoba […] je povinna uchovávat provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání jejích veřejně dostupných služeb elektronických komunikací

Stejně tak je nově ošetřeno to, co se má stát se „starými“ údaji, které již překročily dobu, po kterou mají být uchovávány. Dosavadní úprava neřešila, co s nimi má operátor dělat, a tak si je mohl uchovávat jak dlouho chtěl. Nyní je musí zničit (s výjimkou těch, které si někdo oprávněný mezitím vyžádal):

Doba uchovávání těchto provozních a lokalizačních údajů nesmí být kratší než 6 měsíců a delší než 12 měsíců. Po uplynutí této doby je osoba, která údaje podle věty první a druhé uchovává, povinna je zlikvidovat, pokud nebyly poskytnuty orgánům oprávněným k jejich vyžádání podle zvláštního předpisu nebo tento zákon nestanoví jinak (§ 90)

Ještě další novinkou, určitě dosti podstatnou, je explicitní požadavek na to, že současně s provozními a lokalizačními hovory nesmí být uchováván obsah komunikace:

Současně je tato osoba povinna zajistit, aby s údaji podle věty první a druhé nebyl uchováván obsah zpráv

Jak je to s Internetem?

Na závěr si ještě řekněme, jak je tomu s Internetem. Ten z pohledu zákona i upřesňující vyhlášky spadá pod sítě s přepojováním paketů. Právě zde jsme přitom zde jsme měli možnost odkladu. Pokud se podíváme do relevantní evropské směrnice (Směrnice Evropského parlamentu a Rady 2006/24/ES), najdeme zde větu:

Každý členský stát může odložit používání této směrnice do 15. března 2009, pokud jde o uchovávání komunikačních údajů týkajících se připojení k internetu, internetové telefonie a internetové elektronické pošty.

Česká republika o takovýto odklad skutečně požádala. Ale fakticky tohoto odkladu nevyužila, protože již ve zmiňované vyhlášce 485/2005 Sb. se požadavky na uchovávání „internetových“ provozních a lokalizačních údajů objevují, a to v plném rozsahu. Ačkoli zde Internet není explicitně zmíněn, z kontextu a výčtu služeb je jasné, že jde o internetové služby. Posuďte sami:

(4) U sítí elektronických komunikací s přepojováním paketů se uchovávají údaje o uskutečněné komunikaci
a) u služeb přístupu k síti s uvedením typu připojení, identifikátoru uživatelského účtu, identifikátoru zařízení uživatele služby, data a času zahájení připojení, data a času ukončení připojení, zájmových identifikátorů (například IP adresa, číslo portu), statusu události (například úspěch, neúspěch, řádné nebo mimořádné ukončení připojení), množství přenesených dat (v příchozím směru/v odchozím směru),
b) u služeb přístupu ke schránkám elektronické pošty s uvedením identifikátoru zájmového uživatelského zařízení, uživatelského účtu, identifikátoru zprávy na poštovním serveru, data a času zahájení komunikace, adresy elektronické pošty odesílatele, adres elektronické pošty příjemců, identifikátoru protokolu elektronické pošty, množství přenesených dat, informace o použití zabezpečené komunikace,
c) u služeb přenosu zpráv elektronické pošty s uvedením identifikátoru zájmového uživatelského zařízení, identifikátoru serveru elektronické pošty, data a času zahájení komunikace, adresy elektronické pošty odesílatele, adres elektronické pošty příjemců, identifikátoru protokolu elektronické pošty, množství přenesených dat, informace o použití zabezpečené komunikace,
d) u serverových služeb s uvedením identifikátoru zájmového uživatelského zařízení, identifikátoru uživatelského účtu, data a času požadavku na službu, veškerých identifikátorů serveru (zejména IP adresa, úplné doménové jméno FQDN), požadovaných identifikátorů URI nebo typu služby, dodatečných parametrů identifikátorů URI nebo služby, použité služby, množství přenesených dat, metody a statusu požadavku na službu,
e) u dalších služeb elektronických komunikací (zejména u služeb typu chat, usenet, instant messaging a IP telefonie) s uvedením veškerých identifikátorů komunikujících stran, transportního protokolu, data a času zahájení komunikace, data a času ukončení komunikace,  použité služby, množství přenesených dat.

Najde tedy ještě o to, že by váš provider logoval každé URL, na které vy kliknete. Váš poskytovatel připojení by měl uchovávat informaci pouze o tom, kdy a jak dlouho jste byli připojeni k Internetu a kolik dat jste přenesli (viz písmeno a). V případě stahování mailů (písmeno b), a také při jejich odesílání (písmeno c) by se měla uchovávat informace o každé přenesené zprávě (ale nikoli o jejím obsahu).  No a provozovatelé serverů (poskytujících služby, tedy zřejmě i WWW serverů, písmeno d) by zase měli uchovávat informace o každém jednotlivém požadavku na jejich službu. Obdobně u dalších internetových služeb, jako jsou chaty a instant messagingy (písmeno e).

Představa toho, jak konkrétní operátoři a poskytovatelé internetových služeb výše popsané povinnosti plní, by určitě byla velmi zajímavá. Včetně toho, jaké s tím mají problémy, jaké náklady atd. A jak jim tyto náklady kompenzuje stát, který platí za poskytnutá data až teprve tehdy, když si je skutečně vyžádá.

Když jsem se ale snažil si o tom s operátory popovídat a něco se dozvědět, narazil jsem na bariéru mlčení. Nikdo nebyl ochoten se o tom bavit.