ÚOOÚ - Lhůty pro uchovávání dat by se měly pro různé subjekty stanovovat individuálně

Úřad pro ochranu osobních údajů zveřejnil vyjádření k posledním rozsudkům Soudního dvora Evropské Unie ve věci uchovávání provozních a lokalizačních údajů. 

Soudní dvůr Evropské unie vydal 6. října 2020 dva důležité rozsudky týkající se uchovávání a dalšího poskytování provozních a lokalizačních údajů o elektronické komunikaci. Konkrétně se jedná o rozsudek Privacy International v. UK (C-623/17) a spojený rozsudek La Quadrature du Net a další v. Francie a Belgie (C-511/18, C-512/18 a C-520/18). 

Oba rozsudky navazují a utvrzují dřívější judikaturu v předmětné záležitosti. Jedná se konkrétně o rozsudek ve věci Digital Rights Ireland Ltd (C-293/12) z 8. dubna 2014, rozsudek ve věci Tele2 Sverige AB (C-203/15) z 21. prosince 2016 a rozsudek ve věci Ministerio Fiscal (C-207/16) z 2. října 2018. Kromě toho rozšiřují působnost unijního práva na zadržení údajů zpravodajskými službami.

Úřad považuje za nezbytné především upozornit na výroky 1 a 2 rozsudku La Quadrature du Net a další v. Francie a Belgie a výrok 2 rozsudku Privacy International v. UK. Jimi se obecně zakazují národní legislativní opatření založená ustanovením čl. 15 směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací, pokud preventivně ukládají plošné a nerozlišující uchovávání provozních a lokalizačních údajů. Nicméně se zároveň za blíže určených podmínek povoluje nařídit:

  • plošné a nerozlišující uchovávání provozních a lokalizačních údajů v případě reálné a vážné hrozby národní bezpečnosti;
  • za účelem zajištění národní bezpečnosti, boje proti závažné trestné činnosti a předcházení závažnému ohrožení veřejné bezpečnosti jednak, a to na základě objektivních a nediskriminačních faktorů cílené uchovávání provozních a lokalizačních údajů buď určitých kategorií osob anebo vymezených podle geografických kritérií, obecné a plošné zadržení IP adresy přidělené zdroji připojení a také uchovávání údajů o totožnosti uživatelů elektronických komunikačních systémů;
  • provedení urychleného uchovávaní provozních a lokalizačních údajů za účelem zajištění národní bezpečnosti a boje proti závažné trestné činnosti.

Čl. 15 směrnice 2002/58/ES také nebrání národní legislativě, která ukládá poskytovatelům služeb elektronických komunikací automatizovaně analyzovat a shromažďovat zejména provozní a lokalizační údaje v reálném čase. Stejný případ platí i pro národní legislativu, která ukládá zajistit v reálném čase shromažďování technických údajů o umístění používaných koncových zařízení, ovšem pouze pokud je nutno čelit závažné hrozbě pro národní bezpečnost a jsou splněny další stanovené podmínky.   

Úřad tudíž považuje za primárně nezbytné vyřešit otázku, nakolik může ve světle těchto rozhodnutí obstát stávající pojetí představované především ustanovením § 97 zákona č. 127/2005 Sb., o elektronických komunikacích a souvisejícími předpisy založené na preventivním šestiměsíčním zadržování provozních a lokalizačních údajů. Zároveň si však je plně vědom nálezu Ústavního soudu č. 161/2019 Sb., kde se v bodech 71 až 82 uvádí, že k zadržování takových dat musí objektivně docházet (především pro samotné zajištění služeb a jejich následné vyúčtování) a absence právního zakotvení této povinnosti by vedla k větším škodám v podobě ztráty veřejnoprávních mezí a kontroly. 

Bude proto nutno zvážit, jak naplnit požadavky výslovně uváděné v předmětných rozsudcích Soudního dvora Evropské unie. Úřad by pak považoval za přiměřené individuální stanovení lhůt pro uchovávání dat. Ty by měly být určeny zvláště pro různé účely (cíle) a s největší pravděpodobností rovněž i pro různé komunikační kanály a též individuálně odůvodněny, tak, aby bylo budoucí vytěžování zadržených údajů pro dotčené subjekty předvídatelné a mohlo obstát. 

Předmětem dalších úvah pak musí být i otázka, do jaké míry k překlenutí nastíněných problémů postačí pouze určitý eurokonformní výklad, či zda je nutná změna zákona, což by měl vyřešit především gestor.

Téma: Zákony a GDPR, Zdroj: Úřad pro ochranu osobních údajů
Štítky: Dozorový úřad, Omezení uložení, Oprávněný zájem
19.01.2021 (autor Redakce)





Související

EDPB přijal pokyny ke kodexům chování jakožto nástroje k předávání osobních údajů

EDPB schválil konečné znění pokynů k virtuálním hlasovým asistentům. Tento dokument má poskytnout doporučení...

 vydáno 11.10.2021 
Téma: GDPR a procesy

ÚOOÚ - K vládnímu návrhu zákona o covid pasech

Úřad pro ochranu osobních údajů zaslal Poslanecké sněmovně Parlamentu své vyjádření k návrhu zákona, kterým...

 vydáno 09.06.2021 
Téma: Zákony a GDPR

Prohlášení Global Privacy Assembly (GPA) k použití zdravotních údajů pro cestování

Global Privacy Assembly (Světové shromáždění pro ochranu soukromí) zveřejnilo souhrn principů pro správné...

 vydáno 09.06.2021 
Téma: Evidence zpracování



Související dotazy
Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, můžete, je to Váš oprávněný zájem - v rámci vyřízení reklamace se bez nich neobejdete a reklamaci vyřídit nemůžete. "Nezbytně dlouhá...

Odpovídá Ing. Vladimír Paclík
Dobrý den, ano, chápete to správně. Jednak není třeba souhlas - existuje zákonný rámec - Zákoník práce, pak také smluvní rámec (samozřejmě ten by...

Odpovídá Ing. Vladimír Paclík
Dobrý den, podle článku 5 odstavec 1 Obecného nařízení platí zásada, podle které mohou být osobní údaje shromažďovány pro "určité, výslovně...


www.helpgdpr.cz
© Copyright 2000 - 2021, všechna práva vyhrazena - European Business Enterprise, a.s., Masarykovo nám. 14, Říčany
Firma je zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8892, IČ 25130382, DIČ CZ25130382
E-mail: info@ebe.cz