Radi razumijevanja cijelog konteksta, u ovom se članku daje pregled zakonodavstva i dosadašnje prakse Suda EU-a u odnosu na zadržavanje i korištenje telekomunikacijskih podataka te se analizira što za bi nacionalna zakonodavstva moglo značiti mišljenje neovisnog odvjetnika.
Kratka povijest problema
Zadržavanje telekomunikacijskih podataka je mjera kojom se osigurava da je određeni set tih podataka, koji pokazuju izvor, odredište, trajanje i vrstu komunikacije, dostupan nakon komunikacije te da se ti podaci mogu koristiti za borbu protiv kriminala ili za potrebe nacionalne sigurnosti.
Lavina se zakotrljala kada je 2014. godine Sud EU-a, u presudi poznatoj kao Digital Rights, proglasio nevaljanom Direktivu o zadržavanju podataka3, utvrdivši da nije u skladu s temeljnim pravima EU-a. 2016. Sud EU-a donio je novu presudu, poznatu kao Tele2 i Watson presuda, kojom je potvrdio svoje stavove iz presude Digital Rights.
Od tada na razini EU-a, ali i u državama članicama, traju rasprave o tome kako uskladiti zadržavanje podataka sa standardima koje je Sud EU utvrdio u svojoj praksi, posebice u okolnostima u kojima Komisija EU-a nije smatrala potrebnim predložiti novi propis koji bi zamijenio Direktivu o zadržavanju podataka i uredio to pitanje na jedinstveni način.
U sklopu tih rasprava, kao posebno pitanje postavlja se primjenjivost sudske prakse utvrđene u Digital Rights i Tele 2 presudama na područje nacionalne sigurnosti, koje je u isključivoj nadležnosti država članica.
No, prije odgovora na to pitanje, potrebno se vratiti u prošlost i kratko analizirati čime je zadržavanje podataka bilo regulirano prije donošenja posebne Direktive o zadržavanju podataka, zašto je ta direktiva bila donesena te čime je pitanje zadržavanja telekomunikacijskih podataka regulirano nakon njezinog proglašenja nevaljanom.
Direktiva o e-privatnosti i Direktiva o zadržavanju podataka
Prije donošenja posebne direktive, mogućnost propisivanja obveze zadržavanja podataka bila je predviđena kao dopušteni izuzetak u sklopu direktive kojom je uređena zaštita privatnosti u elektroničkim komunikacijama, a to je Direktiva o e-privatnosti (dalje: EPD). U Hrvatskoj je ta direktiva prenesena u odredbe Zakona o elektroničkim komunikacijama ("Narodne Novine" 73/08., 90/11., 133/12., 80/13., 71/14., 72/17.).
Važeći članak 15. EPD-a omogućava državama članicama donošenje zakonskih mjera kojima će ograničiti opseg prava i obveza koji pružaju ostale odredbe EPD-a, kada takvo ograničenje predstavlja nužnu, prikladnu i razmjernu mjeru unutar demokratskog društva s ciljem zaštite nacionalne sigurnosti (odnosno državne sigurnosti), obrane, javne sigurnosti te s ciljem sprečavanja, istrage, otkrivanja i progona kaznenih djela odnosno neovlaštene uporabe elektroničkog komunikacijskog sustava. Države članice mogu donijeti zakonske mjere kojima se omogućuje zadržavanje podataka tijekom ograničenog razdoblja, ako su te mjere opravdane gore navedenim razlozima. Sve mjere moraju biti u skladu s općim načelima prava EU.
Nakon serije terorističkih napada u 2005. (Madrid, London) dopušteni izuzetak iz članka 15. EPD-a pretvoren je u obvezu koja je propisana Direktivom o zadržavanju podataka.
Obveza zadržavanja podataka odnosila se na telekom operatore (pružatelji javno dostupnih elektroničkih komunikacijskih usluga ili javne komunikacijske mreže). Države članice su direktivu trebale prenijeti do rujna 2017.
Kategorije podataka koji su se trebale zadržavati bile su:
(1) podaci potrebni za pronalaženje i identifikaciju izvora komunikacije (npr. telefonski broj priključka s kojeg poziv dolazi, adresa internetskog protokola (IP), korisničko ime ili telefonski broj);
(2) podaci potrebni za otkrivanje odredišta komunikacije (npr. birani telefonski broj, ime i adresa korisnika);
(3) podaci potrebni za utvrđivanje datuma, vremena i trajanja komunikacije (npr. datum i vrijeme početka i završetka komunikacije, datum i vrijeme prijave i odjave od usluge pristupa internetu, zajedno s adresom IP-a);
(4) podaci nužni za otkrivanje vrste komunikacije (npr. vrsta telefonske usluge ili usluge pristupa internetu);
(5) podaci potrebni za identifikaciju komunikacijske opreme korisnika ili njihove navodne opreme (npr. međunarodni identitet pokretnog pretplatnika (IMSI); međunarodni identitet pokretne opreme (IMEI), lokacijska oznaka (ID ćelije) s koje je usluga aktivirana).
Propisano razdoblje zadržavanja podataka bilo je minimalno 6 mjeseci, a maksimalno dvije godine.
Direktiva o zadržavanju podataka zabranjivala je pohranjivanje podataka koji otkrivaju sadržaj komunikacije.
U Hrvatskoj su odredbe Direktive o zadržavanju podataka prenesene u Zakon o elektroničkim komunikacijama, ali i u Uredbu o obvezama iz područja nacionalne sigurnosti Republike Hrvatske za pravne i fizičke osobe u telekomunikacijama ("Narodne novine" br. 64/08., 76/13.).
Možemo, dakle, rezimirati da je prije Digital Rights i Tele 2 presuda zadržavanje podataka bilo uređeno posebnom Direktivom o zadržavanju podataka, koja je obvezivala telekom operatore na zadržavanje određenog seta prometnih podataka, radi njihovog korištenja u borbi protiv kriminala odnosno zaštiti nacionalne sigurnosti. Ta direktiva je dopušteni izuzetak predviđen čl. 15. EPD-a pretvorila u obvezu za sve države članice.
Digital Rights i Tele2 presude
U travnju 2014. Sud EU je donio presudu u spojenim predmetima C-293/12 i C-594/12 kolokvijalno poznatu kao Digital Rights (po nazivu tužitelja koji je inicirao postupak u Irskoj) kojom je utvrdio da je Direktiva o zadržavanju podataka nevaljana, jer je zakonodavac Unije prekoračio granice koje nameće poštovanje načela proporcionalnosti s obzirom na članak 7. (Poštovanje privatnog i obiteljskog života), članak 8. (Zaštita osobnih podataka) i članak 52. stavak 1. (Načelo proporcionalnosti) Povelje o temeljnim ljudskim pravima EU.
Sud EU-a je utvrdio sljedeće ključne nedostatke: Direktiva o zadržavanju podataka na općenit način obuhvaća svaku osobu i sva sredstva elektroničke komunikacije kao i sve podatke o prometu bez ikakvog razlikovanja, ograničenja ili iznimke s obzirom na cilj borbe protiv teških kaznenih djela.
Direktiva ne zahtijeva nikakav odnos između podataka čije se zadržavanje propisuje i prijetnje javnoj sigurnosti te, posebice, nije ograničena na zadržavanje podataka iz jednog privremenog razdoblja i/ili jednog određenog zemljopisnog područja i/ili jednoga danoga kruga osoba koje mogu na jedan ili drugi način biti umiješane u teško kazneno djelo ili na osobe koje, ako se zadrže njihovi podaci, mogu zbog drugih razloga doprinijeti sprečavanju, otkrivanju ili progonu teških kaznenih djela.
Direktiva ne predviđa nikakav objektivni kriterij koji bi omogućio ograničenje pristupa nadležnih nacionalnih tijela podacima i njihove naknadne uporabe u svrhu sprečavanja, otkrivanja ili kaznenih progona koji se odnose na kaznena djela koja se mogu, s obzirom na širinu i težinu miješanja u temeljna prava iz članaka 7. i 8. Povelje, smatrati dovoljno teškima za opravdanje takvog miješanja. Suprotno tome, direktiva se u članku 1. stavku 1. ograničava na općenito upućivanje na teška kaznena djela koja svaka država članica definira u svojem unutarnjem pravu
Sud EU-a je ipak ostavio otvorena vrata za zadržavanje podataka, utvrdivši da podaci koji se moraju zadržavati omogućuju nadležnim tijelima raspolaganje s dodatnim mogućnostima otkrivanja teških kaznenih djela i u tom pogledu predstavljaju korisno sredstvo za kaznene istrage. Na taj se način zadržavanje takvih podataka može smatrati prikladnim za ostvarenje cilja koji slijedi navedena direktiva, pod uvjetom da je zadovoljen test proporcionalnosti.
Datumom donošenja presude Digital Rights, Direktiva o zadržavanju podataka prestala je važiti. Međutim, to nije dovelo do automatskog prestanka važenja nacionalnih propisa donesenih radi prenošenja odredbi te direktive. Ti propisi nastavili su se primjenjivati, a na svakoj državi članici je procjena njihove usklađenost sa standardima Digital Rights presude. Pravni temelj za nacionalne propise o zadržavanju podataka ponovo je postao čl. 15. EPD-a.
U prosincu 2016. Sud EU-a je donio presudu u spojenim predmetima C-203/15 i C-698/15, kolokvijalno poznatu kao Tele2 presuda (Tele2 je tužitelj koji je inicirao postupak u Švedskoj). U toj presudi Sud EU-a je ispitivao usklađenost nacionalnog propisa o zadržavanju podataka, koji svoj pravni temelj ima u članku 15. EPD sa standardima postavljenim u presudi Digital Rights.
Sud EU-a je potvrdio stavove iz Digital Rights presude, zaključivši da je protivan članku 15. EPD-a, nacionalni propis, koji u cilju borbe protiv kriminaliteta određuje opće i neselektivno zadržavanje svih podataka o prometu i lokaciji svih pretplatnika i registriranih korisnika u pogledu svih sredstava elektroničke komunikacije. Također je protivan članku 15. EPD-a nacionalni propis kojim se uređuje zaštita i sigurnost podataka o prometu i lokaciji i osobito pristup nadležnih nacionalnih tijela zadržanim podacima kad svrha tog pristupa u okviru borbe protiv kriminaliteta nije ograničena na borbu protiv teških kaznenih djela, kad se navedeni pristup ne podvrgava prethodnom nadzoru suda ili neovisnog upravnog tijela i kad nije propisano da se predmetni podaci zadržavaju na području Unije.
Učinak Tele 2 presude je primjena istih mjerila koje je Sud EU-a uspostavio u presudi Digital Rights, kojom je proglasio nevaljanom Direktivu o zadržavanju podataka, i na postojeće dopušteno ograničenje prava iz članka 15. EPD-a.
Možemo sumirati da je Digital Rights presuda proglasila Direktivu o zadržavanju podataka nevaljanom i ona od tada više ne postoji. Zadržavanje podataka vraćeno je u okvire čl. 15. EPD-a. Zadržavanje podataka predstavlja legitimni cilj u borbi protiv kriminala, ali ono mora zadovoljiti test proporcionalnosti razrađen u presudi Tele2.
Novi postupci pred Sudom EU-a i mišljenje neovisnog odvjetnika
Nakon donošenja Digital Rights i Tele2 presuda postavilo se pitanje jesu li zahtjevi iz tih presuda uopće primjenjivi i na područje nacionalne sigurnosti, i ako jesu, u kojoj mjeri.
Pred Sudom EU-a pojavili su se predmeti iz UK (C-623/17), Belgije (C-520/18), Francuske (C-512/18). U svim tim predmetima, između ostalih, postavlja se pitanje primjene članka 15. EPD-a u slučajevima kada je obveza operatorima da zadrže podatke o prometu i lokaciji nametnuta radi osiguravanja nacionalne sigurnosti, obrane državnog područja i javne sigurnosti, koje je u odgovornosti samih država članica tj. ne ulazi u doseg prava EU-a.
To pitanje pojavilo se zbog pomalo nejasnog pristupa u samoj EPD direktivi, koja u članku 1. prvo kaže da se Direktiva ne primjenjuje na aktivnosti koje se odnose na javnu sigurnost, obranu, državnu sigurnost. Potom, u članku 15., Direktiva propisuje da države članice mogu donijeti zakonske mjere kojima će ograničiti opseg prava i obveza iz EPD-a s ciljem zaštite nacionalne sigurnosti (odnosno državne sigurnosti), obrane, javne sigurnosti.
U svojem mišljenju neovisni odvjetnik doveo je u vezu te dvije odredbe na sljedeći način. Utvrdio je da se u EPD direktivi nacionalna sigurnost razmatra na dvojako. S jedne strane, ona je razlog za isključenje iz primjene direktive, a s druge strane ona je razlog za ograničenje, koje se provodi zakonom.
Polazeći od pretpostavke da za tu dvojakost postoji razlog, neovisni odvjetnik smatra da je ključan element razlikovanja te dvije odredbe u tome tko provodi aktivnosti vezane uz nacionalnu sigurnost. Neovisni odvjetnik smatra da se isključenje iz primjene direktive odnosi samo na slučajeve kada aktivnosti s ciljem zaštite nacionalne sigurnosti samostalno obavljaju tijela javne vlasti, a da pritom od pojedinaca (u ovom slučaju pružatelja komunikacijskih usluga) ne zahtijevaju suradnju niti im nalažu obveze koje se odnose na njihovo poslovanje.
U slučaju kada zaštita nacionalne sigurnosti zahtijeva sudjelovanje pravne ili fizičke osobe, kojoj se nameću određene obveze, ta okolnost predstavlja okidač za primjenu prava Unije kojim je određeno područje, u ovom slučaju zaštita privatnosti, uređeno.
Neovisni odvjetnik potom uspoređuje ima li razlike u načinu tretmana nacionalne sigurnosti između EPD direktive i GDPR-a4 u pogledu tretmana nacionalne sigurnosti. Ta usporedba je važna jer je EPD zapravo lex specialis u odnosu na GDPR, u dijelu koji se odnosi na zaštitu osobnih podataka u elektroničkim komunikacijama.
U toj usporedbi, neovisni odvjetnik uočava da je isti dualizam prisutan i u GDPR uredbi. U članku 2. iz njezine primjene se isključuje obrada osobnih podataka koje obavljaju države članice tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije i koje obavljaju tijela u svrhu zaštite od prijetnji javnoj sigurnosti. Međutim, u članku 23. GDPR uredbe predviđa se ograničenje zakonskom mjerom njome utvrđenih prava i obveza kad je potrebna zaštita nacionalne sigurnosti.
Neovisni odvjetnik stoga zaključuje da bi pozivanje na nacionalnu sigurnost kao opravdanje za ograničenje zakonskom mjerom prava iz GDPR-a i EPD-a bilo suvišno, ako je zaštita nacionalne sigurnosti dovoljna kako bi se utvrdilo isključenje iz područja primjene. Prema mišljenju neovisnog odvjetnika, to nije slučajno. Naime, potpuno isključenje iz primjene EPD-a i GDPR-a kada je riječ o nacionalnoj sigurnosti dovelo bi do nepriznavanja bilo kakvog subjektivnog prava.
To bi značilo znatan gubitak za učinkovitost EPD-a, jer bi puko pozivanje na neodređeni pojam nacionalne sigurnosti bilo dovoljno da jamstva zaštite osobnih podataka postanu neprimjenjiva.
Zato je jedino prihvatljivo tumačenje ono prema kojem se isključenje odnosi na aktivnosti samih državnih tijela, a dopušteno ograničenje odnosi se na donošenje zakonskih mjera kojima se, u cilju zaštite nacionalne sigurnosti, pravnim ili fizičkim osobama nalažu određene obveze.
Posljedice mišljenja neovisnog odvjetnika
Sud EU-a ne mora slijediti mišljenje neovisnog odvjetnika. Međutim, dano i objavljeno mišljenje ima svoju težinu i sigurno će utjecati na način na koji će Sud EU odlučiti o pitanju primjene EPD-a na područje nacionalne sigurnosti.
Ukoliko Sud EU-a prihvati logiku neovisnog odvjetnika, prema kojoj se isključenje primjene EPD-a odnosi samo na radnje koje državna tijela sama poduzimaju, nacionalni zakoni kojima se uređuje zadržavanje podataka za potrebe nacionalne sigurnosti morati će se kretati u granicama dopuštenog ograničenja i zadovoljiti test proporcionalnosti, kao što je to slučaj i kada se podaci zadržavaju radi „obične“ borbe protiv kriminala tj. za redovne kaznene postupke.
Domagoj Maričić
________________________________
^ 1 Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama).
^ 2 Ispravan termin koji se koristi u propisima EU-a te u Zakonu o elektroničkim komunikacijama je elektronički komunikacijski podaci. No, za potrebe boljeg razumijevanja u ovom članku koristimo u javnosti bolje poznat termin telekomunikacijski podaci.
^ 3 Direktiva 2006/24/EZ od 15. ožujka 2006. o zadržavanju podataka dobivenih ili obrađenih u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga ili javnih komunikacijskih mreža i o izmjeni Direktive 2002/58/EZ.
^ 4 Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka).
