Shrnutí stanoviska evropského inspektora ochrany údajů k návrhům týkajícím se evropských předávacích a uchovávacích příkazů pro elektronické důkazy v trestních věcech

/Úplné znění tohoto stanoviska je k dispozici v angličtině, francouzštině a němčině na internetových stránkách evropského inspektora ochrany údajů na adrese www.edps.europa.eu)

(2020/C 32/04)

V dubnu 2018 předložila Komise dva návrhy – jednoho nařízení a jedné směrnice – s cílem vytvořit právní rámec, který by v přeshraničních případech policii a justičním orgánům usnadnil a rychleji zajistil přístup k elektronickým důkazům. Od té doby Rada přijala obecné přístupy k návrhům a Evropský parlament vydal několik pracovních dokumentů. Evropský sbor pro ochranu osobních údajů vydal své stanovisko. Související vývoj probíhal na mezinárodní úrovni, zejména se zahájením jednání o mezinárodní dohodě se Spojenými státy o přeshraničním přístupu k elektronickým důkazům, jakož i s prací na druhém dodatkovém protokolu k Úmluvě o kyberkriminalitě. V tomto stanovisku by chtěl evropský inspektor ochrany údajů poskytnout zákonodárci EU nové podklady pro nadcházející práci na návrzích, a to s ohledem na výše uvedený vývoj.

V dnešním světě měnícím se díky novým technologiím je pro to, aby orgány mohly získat údaje, které jsou nezbytné pro plnění jejich poslání, často zásadní čas. Současně i při vyšetřování vnitrostátních případů se donucovací orgány stále častěji ocitají v „přeshraničních situacích“ jen proto, že bylo využito služeb zahraničního poskytovatele služeb a informace jsou uloženy v elektronické podobě v jiném členském státě. Evropský inspektor ochrany údajů podporuje cíl zajistit, aby byly donucovacím orgánům k dispozici účinné nástroje k vyšetřování a stíhání trestných činů, a zejména vítá cíl návrhů urychlit a usnadnit přístup k údajům v přeshraničních případech zefektivněním postupů v rámci EU.

Evropský inspektor ochrany údajů by zároveň chtěl zdůraznit, že jakákoli iniciativa v této oblasti musí plně respektovat Listinu základních práv EU a rámec EU pro ochranu osobních údajů a že je zásadní zajistit existenci veškerých nezbytných záruk. Zejména účinná ochrana základních práv v procesu shromažďování elektronických důkazů přes hranice vyžaduje větší zapojení justičních orgánů ve vykonávajícím členském státě. Do tohoto procesu by měly být systematicky zapojovány co nejdříve, měly by mít možnost přezkoumávat soulad příkazů s Listinou a měly by mít povinnost na tomto základě přednést důvody pro odmítnutí.

Dále je třeba vyjasnit definice kategorií údajů v navrhovaném nařízení a zajistit jejich soulad s jinými definicemi kategorií údajů v právu EU. Rovněž doporučuje přehodnotit rovnováhu mezi druhy trestných činů, pro něž by mohly být evropské předávací příkazy vydávány, a kategoriemi dotčených údajů s ohledem na příslušnou judikaturu Soudního dvora EU.

Evropský inspektor ochrany údajů dále vydává konkrétní doporučení týkající se několika aspektů návrhů o elektronických důkazech, které je nutné vylepšit: pravost a důvěrnost předávaných příkazů a údajů, omezené uchovávání podle evropských uchovávacích příkazů, použitelný rámec pro ochranu osobních údajů, práva subjektů údajů, subjekty údajů, na něž se vztahují imunity a výsady, zákonní zástupci, lhůty pro dodržování evropských předávacích příkazů a možnosti poskytovatelů služeb vznášet námitky proti příkazům.

V neposlední řadě požaduje evropský inspektor ochrany údajů větší vyjasnění interakce navrhovaného nařízení s budoucími mezinárodními dohodami. Navrhované nařízení by mělo zachovat vysokou úroveň ochrany osobních údajů v EU a mělo by se stát referenčním základem pro jednání o mezinárodních dohodách týkajících se přeshraničního přístupu k elektronickým důkazům.

1. Úvod a základní informace

Dne 17. dubna 2018 Komise zveřejnila dva legislativní návrhy (dále jen „návrhy“), doprovázené posouzením dopadů (1), zahrnující:

—	návrh nařízení o evropských předávacích a uchovávacích příkazech pro elektronické důkazy v trestních věcech (2) (dále jen „navrhované nařízení“),

—	návrh směrnice, kterou se stanoví harmonizovaná pravidla pro jmenování právních zástupců za účelem shromažďování důkazů v trestním řízení (3) (dále jen „navrhovaná směrnice“).

Navrhované nařízení by existovalo společně se směrnicí 2014/41/EU o evropském vyšetřovacím příkazu v trestních věcech (dále jen „směrnice o evropském vyšetřovacím příkazu“) (4), jejímž cílem je usnadnit proces shromažďování důkazů na území jiného členského státu a která zahrnuje všechny druhy shromažďování důkazů, včetně elektronických údajů (5). Všechny členské státy, které se podílely na přijetí směrnice o evropském vyšetřovacím příkazu (6), měly do května 2017 provést tuto směrnici ve svých vnitrostátních právních předpisech (7).

Dne 26. září 2018 přijal stanovisko (8) k návrhům Evropský sbor pro ochranu osobních údajů (dále jen „sbor EDPB“) (9).

Dne 7. prosince 2018 přijala Rada obecný přístup k navrhovanému nařízení (10) a dne 8. března 2019 k navrhované směrnici (11). Evropský parlament zveřejnil řadu pracovních dokumentů.

Evropský inspektor ochrany údajů vítá, že s ním útvary Komise návrhy před přijetím neformálně konzultovaly. Evropský inspektor ochrany údajů rovněž vítá odkazy na toto stanovisko v 66. bodě odůvodnění navrhovaného nařízení a ve 24. bodě odůvodnění navrhované směrnice.

Dne 5. února 2019 přijala Komise dvě doporučení pro rozhodnutí Rady: doporučení o zmocnění k zahájení jednání za účelem dosažení dohody mezi Evropskou unií a Spojenými státy americkými o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech (12) a doporučení o zmocnění k účasti na jednání o druhém dodatkovém protokolu k Úmluvě Rady Evropy o kyberkriminalitě (CETS č. 185) (dále jen „Úmluva o kyberkriminalitě“) (13). Obě doporučení byla předmětem dvou stanovisek evropského inspektora ochrany údajů (14). Jednání s USA i jednání s Radou Evropy jsou úzce provázána.

V únoru 2019 zaslal Výbor Evropského parlamentu pro občanské svobody, spravedlnost a vnitřní věci podobné dopisy evropskému inspektorovi ochrany údajů a sboru EDPB s žádostí o právní posouzení dopadu zákona USA „CLOUD Act“ (15), schváleného Kongresem USA v březnu 2018, na evropský právní rámec pro ochranu osobních údajů. Dne 12. července 2019 evropský inspektor ochrany údajů a sbor EDPB přijaly na základě svého úvodního posouzení společnou odpověď na tuto žádost (16).

Dne 3. října 2019 podepsaly Spojené království a Spojené státy dvoustrannou dohodu o přeshraničním přístupu k elektronickým důkazům pro účely boje proti závažné trestné činnosti (17). Jedná se o první výkonnou dohodu, která poskytovatelům služeb v USA umožňuje vyhovět žádostem zahraniční země o poskytnutí údajů o obsahu v souladu s americkým zákonem „CLOUD Act“.

Toto stanovisko se týká obou návrhů, přičemž hlavní důraz je kladen na navrhované nařízení. V souladu s posláním evropského inspektora ochrany údajů se zaměřuje především na právo na soukromí a na ochranu osobních údajů a usiluje o to, aby bylo konzistentní se stanoviskem sboru EDPB 23/2018 a doplňovalo jej, a to i s ohledem na obecné přístupy Rady a pracovní dokumenty Evropského parlamentu.

5. ZÁVĚRY

70.

Evropský inspektor ochrany údajů podporuje cíl zajistit, aby donucovací a justiční orgány měly k dispozici účinné nástroje k vyšetřování a stíhání trestných činů ve světě měnícím se díky novým technologiím. Současně by evropský inspektor ochrany údajů chtěl zajistit, aby toto opatření bylo plně v souladu s Listinou a acquis EU v oblasti ochrany osobních údajů. Navrhované nařízení by vyžadovalo uchovávání a sdělování osobních údajů v rámci EU i mimo ni mezi příslušnými orgány členských států, soukromými subjekty a v některých případech orgány třetích zemí. To by znamenalo omezení obou základních práv na respektování soukromého života a ochranu osobních údajů, která zaručují články 7 a 8 Listiny. Aby byla taková omezení zákonná, musí splňovat podmínky stanovené v čl. 52 odst. 1 Listiny a zejména podmínku nezbytnosti.

71.

Evropský inspektor ochrany údajů se v první řadě domnívá, že by měly být dále posuzovány další alternativy, které by poskytly větší záruky a zároveň by dosahovaly stejných cílů.

72.

Zadruhé, evropský inspektor ochrany údajů bere na vědomí, že navrhované nařízení již obsahuje řadu procesních záruk. Evropský inspektor ochrany údajů je však znepokojen tím, že důležitá odpovědnost za přezkum souladu certifikátů EPOC a EPOC-PR s Listinou je svěřena poskytovatelům služeb, a doporučuje, aby do procesu shromažďování elektronických důkazů byly co nejdříve zapojeny justiční orgány určené vykonávajícím členským státem.

73.

Evropský inspektor ochrany údajů doporučuje zajistit větší soulad definic kategorií údajů v elektronických důkazech a stávajících definic konkrétních kategorií údajů podle práva EU a přehodnotit kategorii údajů o přístupu nebo umožnit přístup k těmto údajům za podobných podmínek, jako jsou podmínky přístupu ke kategoriím údajů o transakcích a údajů o obsahu. Navrhované nařízení by mělo stanovit jasné a jednoznačné definice každé kategorie údajů, aby byla zajištěna právní jistota pro všechny zapojené zúčastněné strany. Rovněž doporučuje změnit navrhovanou definici kategorie údajů o účastníkovi tak, aby byla více upřesněna.

74.

Dále doporučuje přehodnotit rovnováhu mezi druhem trestných činů, u nichž by mohly být vydávány evropské předávací a uchovávací příkazy, a kategoriemi dotčených údajů, s přihlédnutím k poslední příslušné judikatuře Soudního dvora Evropské unie. Zejména možnost vydat evropský předávací příkaz k předání údajů o transakcích a údajů o obsahu by měla být omezena na závažné trestné činy. V ideálním případě by evropský inspektor ochrany údajů upřednostnil definici přesně vymezeného seznamu konkrétních závažných trestných činů pro evropský předávací příkaz k předložení údajů o transakcích a údajů o obsahu, což rovněž zvýší právní jistotu všech zapojených zúčastněných stran.

75.

Evropský inspektor ochrany údajů rovněž vydává doporučení, jejichž cílem je zajistit dodržování práv na ochranu osobních údajů a soukromí a zároveň dosáhnout rychlého shromažďování důkazů pro účely konkrétních trestních řízení. Zaměřují se na bezpečnost předávání údajů mezi všemi zapojenými zúčastněnými stranami, pravost příkazů a certifikátů a omezené uchovávání údajů podle certifikátu EPO-PR.

76.

Kromě obecných připomínek a hlavních doporučení uvedených výše vydal evropský inspektor ochrany údajů v tomto stanovisku další doporučení týkající se těchto aspektů návrhů:

—	odkaz na použitelný rámec pro ochranu osobních údajů,

—	práva subjektů údajů (zvýšená transparentnost a právo na právní prostředek),

—	subjekty údajů, na něž se vztahují imunity a výsady,

—	jmenování zákonných zástupců pro shromažďování důkazů v trestních věcech,

—	lhůty pro splnění požadavků certifikátu EPOC a předání údajů,

—	možnost poskytovatelů služeb vznést námitky proti příkazům založeným na omezených důvodech.

77.

V neposlední řadě si je evropský inspektor ochrany údajů vědom širšího kontextu, v němž byla iniciativa předložena, a obou přijatých rozhodnutí Rady, z nichž jedno se týká druhého dodatkového protokolu k Úmluvě o kyberkriminalitě v Radě Evropy a druhé se týká zahájení jednání se Spojenými státy. Požaduje větší vyjasnění interakce navrhovaného nařízení s mezinárodními dohodami. Evropský inspektor ochrany údajů má zájem konstruktivně přispívat k zajištění soudržnosti a souladu mezi konečnými zněními a rámcem EU pro ochranu osobních údajů.

Brusel 6. listopadu 2019.

Wojciech Rafał WIEWIÓROWSKI

zástupce evropského inspektora ochrany údajů

(1) Pracovní dokument útvarů Komise: Posouzení dopadů, SWD (2018) 118 final (dále jen „posouzení dopadů“), k dispozici na adrese: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=SWD%3A2018%3A118%3AFIN.

(2) Návrh nařízení Evropského parlamentu a Rady o evropských předávacích a uchovávacích příkazech pro elektronické důkazy v trestních věcech, COM(2018) 225 final.

(3) Návrh směrnice Evropského parlamentu a Rady, kterou se stanoví harmonizovaná pravidla pro jmenování právních zástupců za účelem shromažďování důkazů v trestním řízení, COM(2018) 226 final.

(4) Směrnice Evropského parlamentu a Rady 2014/41/EU ze dne 3. dubna 2014 o evropském vyšetřovacím příkazu v trestních věcech, Úř. věst. L 130, 1.5.2014, s. 1; viz článek 23 navrhovaného nařízení.

(5) Směrnice o evropském vyšetřovacím příkazu stanoví přímou spolupráci mezi vydávajícím orgánem v členském státě a vykonávajícím orgánem jiného členského státu, nebo případně prostřednictvím ústředního orgánu či ústředních orgánů jmenovaných dotčeným členským státem či státy. Jejím cílem je usnadnit a urychlit tuto spolupráci tím, že stanovuje standardizované formuláře a pevně dané lhůty a odstraňuje několik překážek pro přeshraniční spolupráci; například „[v]ydávající orgán může vydat evropský vyšetřovací příkaz za účelem provedení veškerých opatření, které mají za cíl předběžně zamezit zničení, pozměnění, přesunu, předání nebo odstranění předmětů, jež mohou sloužit jako důkazy“ a „[v]ykonávající orgán rozhodne o předběžném opatření a toto rozhodnutí sdělí co nejdříve, pokud možno do 24 hodin od obdržení evropského vyšetřovacího příkazu“ (článek 32); výkon evropského vyšetřovacího příkazu pro účely identifikace osob zaregistrovaných pod určitým telefonním číslem nebo IP adresou nepodléhá také požadavku oboustranné trestnosti (čl. 10 odst. 2 písm. e) ve spojení s čl. 11 odst. 2).

(6) Všechny členské státy EU s výjimkou Dánska a Irska.

(7) Všechny zúčastněné členské státy provedly směrnici o evropském vyšetřovacím příkazu ve svých vnitrostátních právních předpisech v roce 2017 nebo 2018. Viz informace o stavu provádění Evropské justiční sítě: https://www.ejn-crimjust.europa.eu/ejn/EJN_Library_StatusOfImpByCat.aspx?CategoryId=120.

(8) Stanovisko č. 23/2018 ze dne 26. září 2018 k návrhům Komise o evropských předávacích a uchovávacích příkazech pro elektronické důkazy v trestních věcech (čl. 70 odst. 1 písm. b)) (dále jen „stanovisko sboru EDPB č. 23/2018“), k dispozici na adrese: https://edpb.europa.eu/sites/edpb/files/files/file1/eevidence_opinion_final_en.pdf.

(9) Evropský sbor pro ochranu osobních údajů zřízený podle článku 68 obecného nařízení o ochraně osobních údajů nahradil pracovní skupinu zřízenou podle článku 29 směrnice 95/46/ES, která byla zrušena. Podobně jako pracovní skupina zřízená podle článku 29 se sbor EDPB skládá ze zástupců vnitrostátních orgánů pro ochranu osobních údajů a evropského inspektora ochrany údajů.

(10) https://www.consilium.europa.eu/cs/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-e-evidence-council-agrees-its-position/.

(11) https://www.consilium.europa.eu/cs/press/press-releases/2019/03/08/e-evidence-package-council-agrees-its-position-on-rules-to-appoint-legal-representatives-for-the-gathering-of-evidence/.

(12) Doporučení pro rozhodnutí Rady o zmocnění k zahájení jednání za účelem dosažení dohody mezi Evropskou unií a Spojenými státy americkými o přeshraničním přístupu k elektronickým důkazům pro justiční spolupráci v trestních věcech, COM(2019) 70 final.

(13) Doporučení pro rozhodnutí Rady o zmocnění k účasti na jednání o druhém dodatkovém protokolu k Úmluvě Rady Evropy o kyberkriminalitě (CETS č. 185), COM(2019) 71 final. K dnešnímu dni podepsaly Úmluvu Rady Evropy o posílené mezinárodní spolupráci v oblasti kyberkriminality a elektronických důkazů všechny členské státy EU a téměř všechny ji ratifikovaly. Neratifikovalo ji ještě Irsko a Švédsko. Úmluva o kyberkriminalitě je závazný mezinárodní nástroj, který vyžaduje, aby smluvní strany ve svých vnitrostátních právních předpisech stanovily konkrétní trestné činy spáchané proti elektronickým sítím nebo prostřednictvím těchto sítí, a stanoví konkrétní pravomoci a postupy, které jejich vnitrostátním orgánům umožňují provádět trestní vyšetřování, včetně shromažďování důkazů o trestném činu v elektronické podobě. Podporuje rovněž mezinárodní spolupráci mezi smluvními stranami. Existují konkrétní opatření pro řešení výzev vyplývajících z volatility údajů. Úmluva v tomto ohledu stanoví urychlené uchování uložených počítačových údajů. Vzhledem k tomu, že předání zajištěných důkazů žádajícímu státu je podmíněno konečným rozhodnutím o formální žádosti o vzájemnou právní pomoc, nevztahuje se na uchování úplný soubor důvodů pro zamítnutí, zejména oboustranná trestnost je vyžadována pouze ve výjimečných případech (článek 29).

(14) Stanovisko evropského inspektora ochrany údajů 2/2019 k mandátu k vyjednání o dohodě mezi EU a USA o přeshraničním přístupu k elektronickým důkazům a stanovisko evropského inspektora ochrany údajů 3/2019 k účasti na jednáních o druhém dodatkovém protokolu k Budapešťské úmluvě o kyberkriminalitě.

(15) K dispozici na adrese: https://www.congress.gov/bill/115th-congress/house-bill/1625/text.

(16) https://edpb.europa.eu/our-work-tools/our-documents/letters/epdb-edps-joint-response-libe-committee-impact-us-cloud-act_fr.

(17) https://www.gov.uk/government/publications/ukusa-agreement-on-access-to-electronic-data-for-the-purpose-of-countering-serious-crime-cs-usa-no62019.