Martin Husovec: Ústavná ochrana súkromia: koľko autonómie ešte majú naše Ústavné súdy?

Tento příspěvek je písemným shrnutím ústního referátu prezentovaného na kolokviu "Národní ústavní systémy a Evropská unie: Harmonický vztah, nebo manželství před rozvodem?" organizovaném Českou společností pro evropské a srovnávací právo a studentským spolkem Common Law Society.

Sillicon Valley mala na jar 2014 pre európskeho právnika osobitnú príchuť. V apríli Vás nosia na rukách, no už v máji Vás chcú zakopať pod zem. Vinník? Jeden a ten istý - Luxemburg!

V apríli prepisoval Súdny dvor Európskej únie novodobú históriu. Tam, kde celá hrsť národných ústavných súdov (na čele s BVerfG) nevidelo žiaden problém s ústavnosťou Orwellovského plošného sledovania občanov, našiel SDEÚ odvahu vyhlásiť celú smernicu za neplatnú pre flagrantné porušenie práva na súkromie a ochranu osobných údajov (Digital Rights Ireland C-293/12 a C-594/12). V čase Snowdenových odhalení nám tlieskali a závideli mnohí americkí kolegovia.

V máji však prišlo trošku vytriezvenia. SDEÚ sa opojil ochranou osobných údajov natoľko, že nejako pozabudol na základný kameň našich demokracií - slobodu prejavu (Google Spain C-131/12). Inak sa nedá vysvetliť, že tak dôležitý spor o budúcnosť nášho prístupu k online informáciám dokázal vyriešiť bez toho, aby túto slobodu čoby len raz spomenul. Navyše s dovetkom, že "tieto práva v zásade prevažujú nielen nad hospodárskym záujmom poskytovateľa vyhľadávača, ale aj nad záujmom verejnosti na nájdení uvedenej informácie" (§ 91, Google Spain).

Aj ďalšie mesiace ukázali, že ústavnoprávny rozmer ochrany súkromia naberá pred SDEÚ na obrátkach. Európska doktrína súkromia si razila svoju cestu naprieč svetom.

Vráťme sa ale späť k už nebohej smernici o data retention (Smernica 2006/24/EC). Táto Smernica prikazovala členským štátom, aby tie zase zaväzovali svojich telekomunikačných operatórov k plošnému monitorovaniu občanov na čas 6 mesiacov až dvoch rokov bez potreby existencie akéhokoľvek podozrenia, bez výluk a dostatočných záruk pri prístupe k takto získaným údajom (pozri viac u Tomáša na JP).

SDEÚ po svojom abstraktnom prieskume vyhlásil, že jej ústavnoprávne konformná implementácia do vnútroštátneho práva – tak, ako to prezentovali ústavné súdy niektorých členských štátov (napr. BVerfG, 1 BvR 518/02; ÚSČR, Pl. ÚS 24/10) - nie je možná. Súd považoval celú Smernicu za mimoriadne silný zásah do práv na ochranu súkromia a ochranu osobných údajov občanov EÚ, ktorý neprejde testom proporcionality a porušuje teda článok 7 a 8 Charty EÚ. Už druhý krát tak zneplatnil časť sekundárneho únijného práva pre rozpor s právom na súkromie (Schecke und Eifert C-92/09 a C-93/09).

Žiaľbohu, vnútroštátni "potomkovia" tejto smernice si v členských štátoch žijú naďalej svoj vlastný život. Tak je tomu v ČR (hoc v prerobenej podobe na druhý krát) ako aj v SR (hoc Ústavný súd nateraz aspoň pozastavil účinnosť právnej úpravy).

Historicky prvé zneplatnenie celého právneho aktu únijného práva (pre ľudské práva) vedie k niekoľkým otáznikom (pozri článok Zuzky Vikarskej). Ak SDEÚ zneplatní celú smernicu ab initio, tak je otázne do akej miery sú členské štáty viazané ďalej Chartou EÚ, aby mohli "po nej upratať". Keďže Charta EÚ sa podľa článku 51 ods. 1 aplikuje len tam kde sa vykonáva únijné právo. Je to akoby SDEÚ odpálil rebrík (sekundárne právo), po ktorom EÚ nútila členské štáty vyliezť do koruny stromu (k nejakej implementácií) bez toho, aby im potom pomohol zliezť späť na zem (k stavu bez implementácie) a nechal ich tak na pospas ich vlastným schopnostiam (vnútroštátnym ústavnoprávnym pomerom). 

Nie je to len teoretická otázka. Ak by sa neaplikovala Charta EÚ, napríklad slovenský Ústavný súd by v prebiehajúcom konaní o prieskume vnútroštátnej implementácie (PL. ÚS 10/2014) mohol v podstate odignorovať závery SDEÚ a na základe (prípadných) nižších slovenských ustanovprávnych štandardov ochrany súkromia rovnakú právnu úpravu "podržať". Samozrejme len dovtedy, pokiaľ by sa Európsky súd pre ľudské práva (ESĽP) cez Dohovor nerozhodol dorovnať na štandard garantovaný SDEÚ. Čím by sa kruh pre slovenskú deviáciu uzavrel.

Hoci by sa to niektorým páčilo, naštastie to ani teoreticky nie je stiuácia, ktorá nastala po zneplatnení Smernica 2006/24/EC.

Aplikovateľnosť Charty EÚ

Trošku pozadia. Únijné právo upravuje takmer každé spracovanie osobných údajov. Právnym základom je už pomerne zastaralá smernica o ochrane osobných údajov (Smernica 95/46/EC). Táto bola neskôr precizovaná pre oblasť elektronických komunikácií druhou smernicou, a to smernicou o súkromí a elektronických komunikáciách (Smernica 2002/58/EC). Práve posledne menovaná smernica pritom vo svojom článku 15 už v roku 2002 predpokladala, že:

Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu práv a povinností  [podľa tejto smernice], ak také obmedzenie predstavuje nevyhnutné, vhodné a primerané opatrenie v demokratickej spoločnosti na zabezpečenie národnej bezpečnosti (t. j. bezpečnosti štátu), obrany, verejnej bezpečnosti a na zabránenie, vyšetrovanie, odhaľovanie a stíhanie trestných činov alebo [..]. Na tento účel členské štáty môžu, medzi iným, prijať legislatívne opatrenia umožňujúce zadržanie údajov na limitované obdobie, oprávnené z dôvodov stanovených v tomto odseku. Všetky opatrenia uvedené v tomto odseku musia byť v súlade so všeobecnými princípmi práva spoločenstva vrátane tých, ktoré sú uvedené v článku 6 ods.1 a 2 

Zmluvy o Európskej únii [odkaz na Chartu EÚ a Dohovor].

Členské štáty mohli teda prijať vlastné úpravy, ktoré by zadržiavali osobné údaje (čítaj sledovali občanov) na účely boja proti trestnej činnosti. Museli však splniť podmienky tohto ustanovenia, vrátane explicitnej povinnosti súladnosti s Chartou EÚ.

Po teroristických útokoch v Madride a Londýne (2004 a 2005) sa EÚ rozhodla využiť právomoc podľa článku 15 sama. Počas britského predsedníctva tak bola prijatá teraz už nebohá smernica o data retention (Smernica 2006/24/EC). Človek by si myslel, že po tom, ako ju SDEÚ odpálil, bude každému jasné, že veci sa vrátili do stavu predtým ako EÚ využila túto právomoc. A teda do stavu, kedy členské štáty môžu prijať vlastnú úpravu, ale musia pritom dodržať pravidlá článku 15, a teda aj jasné (na novo formulované) požiadavky SDEÚ z rozhodnutia Digital Rights Ireland.

Nespočetné množstvo politických špičiek v členských štátoch však zaujalo pozíciu mŕtveho chrobáka: rozhodnutie SDEÚ sa nás netýka; zneplatnená bola predsa iba smernica. Iní dokonca začali tvrdiť, že odpadnutím smernice o data retention odpadol celkovo aj únijný prvok, a tak Charta EÚ vlastne nikoho nezaväzuje, aby odstránil vnútroštátne implementácie (rozumej inak únijne nekompatibilný neporiadok).

To je samozrejme hlúposť.

Pár dní po rozhodnutí SDEÚ vo veci Digital Rights Ireland sme v rámci organizácie European Information Society Institute (EISi) vydali pomerne podrobné stanovisko  k aplikovateľnosti Charty EÚ (dostupné tu). Minulý týždeň vydal zhodné právne stanovisko aj tím odborníkov pre Európsky Parlament (dostupné tu). Obidve stanoviská jasne dochádzajú k záveru, že Charta EÚ sa aplikuje na vnútroštátne implementácie aj naďalej. Prečo?

Základné určenie rozsahu aplikovateľnosti Charty EÚ sa nachádza v jej článku 51 ods. 1: "Ustanovenia tejto charty sú pri dodržaní zásady subsidiarity určené pre [..] tiež pre členské štáty výlučne vtedy, ak vykonávajú právo Únie." Šírka jej aplikovateľnosti teda závisí od dvoch vecí v kompetencii SDEÚ: a) výkladu podkladového únijného práva a b) výkladu samotného článku 51 ods. 1 Charty. Tam, kde sa neaplikuje Charta EÚ, si členské štáty môžu robiť veci naďalej po svojom. Samozrejme, nie tak úplne, keďže stále je tu Dohovor, resp. iné medzinárodné zmluvy o ľudských právach.

Za posledné roky SDEÚ postupne rozširuje rozsah aplikovateľnosti Charty EÚ cez a) aj b). Jednak svojou judikatúrou v oblasti článku 51 ods. 1 (Fransson C-617/10), ale aj výkladom ustanovení samotných smerníc týkajúcich sa ochrany osobných údajov (Smernica 95/46/EC a 2002/58/EC), kde pomerne extenzívne chápe čo je to “osobný údaj” (YS C-141/12), na koho všetkého sa aplikuje smernica (Google Spain) a oveľa viac reštriktívne poníma rozsah akýchkoľvek výnimiek zo smerníc (Ryneš C-212/13). Tým SDEÚ ponecháva možnosť existencie len malého množstva situácií týkajúcich sa zásahu do súkromia, ktoré by neboli vykonávaním únijného rámca o ochrane osobných údajov.

A to platí aj pre vnútroštátne implementácie nebohej data retention smernice. Tieto národné právne úpravy môžu byť naďalej ponechané na základe už spomínaného článku 15 smernice o súkromí a elektronických komunikáciách (Smernice 2002/58/EC), no musia splniť jeho podmienky. A to vrátane explicitnej povinnosti súladu s Chartou EÚ. Ale aj keby táto explicitná povinnosť v článku 15 neexistovala, aplikovateňosť Charty EÚ by vyplývala už z jej samotného článku 51 ods. 1. Aj derogácie z únijného práva sú totiž spôsobom jeho vykonávania (§ 19, Fransson). Čo samozrejme nie je nič nové, keďže SDEÚ už v časoch (1991), keď ešte základné práva a slobody boli len súčasťou „všeobecných právnych princípov“, judikoval (ERT C-260/89), že uváženie štátu v rámci derogácie z únijného práva taktiež spadá do rozsahu jeho prieskumu (§ 42 et seq.). A teda, že vnútroštátna úprava, ktorá sa derogácie dovoláva, musí byť následne aj súladná s ľudskoprávnym štandardom Dohovoru (§§ 44, 45). 

Tým, že Súdny dvor Európskej Únie teda zrušil celú smernicu o data retention, tak nie len zneplatnil jeden sekundárny akt únijného práva, ale aj vymedzil aký rozsah voľnosti je daný štátom pri derogácií zo smernice o súkromí a elektronických komunikáciách podľa článku 15 vôbec k dispozícií (to isté platí aj pre derogáciu podľa článku 13 smernice o ochrane súkromia). 

Dopad na slovenské konanie PL. ÚS 10/2014

Aj slovenské transpozičné predpisy, ktoré momentálne preskúmava Ústavný súd SR tak nie len stratili dôvod svojej transpozície, ale ocitli sa aj priamo v rozpore s „Chartovým“ štandardom, ktorý postuloval SDEÚ v prípade Digital Rights Ireland. Ten vyslovene bráni tomu, aby si SR ponechalo zákon o elektronických komunikáciách v súčasnej podobe.

Ústavný súd SR bol navrhovateľmi vyzvaný, aby podľa článku 125 ods. 1 písm. a) posúdil súladnosť ustanovení zákona o elektronických komunikáciách nie len s Ústavou, ale aj s medzinárodnými zmluvami - Dohovorom a Chartou EÚ. Vzhľadom na to, že Ústavný súd SR sa dlhodobo pri výklade článkov 16, 19 a 22 jasne hlási k judikatúre Dohovoru (napr. PL. ÚS 43/95, PL. ÚS 43/95, PL. ÚS 10/08, PL. ÚS 1/09, PL. ÚS 1/2014), novým elementom ostáva predsa len tá Charta EÚ.

Súd ju musí aplikovať (článok 7 ods. 2 a ods. 4 a 125 ods. 1 písm. a) Ústavy, § 45 Fransson). Dokonca z jej vysokého štandardu nemôže veľmi deviovať. Členské štáty totiž v rozsahu aplikovateľnosti Charty EÚ nemôžu udržiavať svoje nižšie ústavné štandardy ochrany. Dokonca, ako ukázal prípad Melloni C-399/11, za určitých okolností nemôžu udržiavať ani svoje vyššie štandardy. S ústavným štandardom ochrany súkromia podľa Digital Rights Ireland pritom možno nakladať dvojako. Buď a) tak, že ide len o formulovanie toho, čo už poskytuje Dohovor podľa svojho článku 8, alebo b) tak, že v tomto ohľade ide SDEÚ vedome nad rozsah Dohovoru (článok 52 ods. 3 Charty EÚ). 

Ak by platilo prvé, do budúcna by bolo v podstate jedno, že SDEÚ zneplatí aj celý akt sekundárneho práva. Ústavný súd SR by vždy musel aplikoval jeden a ten istý štandard ochrany súkromia, rovnaký ako SDEÚ. Ak by platilo druhé, Ústavný súd SR môže buď i) dorovnať ústavný štandard ochrany súkromia na "Chartovú úroveň" v rámci svojich článkov 16, 19 a 22 Ústavy, alebo ii) ho aplikovať len tam, kde musí, t.j. kde sa vykonáva únijné právo podľa článku 52 ods. 1 Charty EÚ. A tu je práve dôvod vrátiť sa späť na začiatok tohto článku. Ak platí, že SDEÚ dnes ponecháva možnosť existencie len malého množstva situácií týkajúcich sa zásahov do súkromia, ktoré by neboli vykonávaním únijného rámca o ochrane osobných údajov, je vlastne zbytočné prijať pozíciu ii). Vnútroštátna suverenita je v ústavnoprávnych otázkach ochrany súkromia už beztak minimálna.

Nová smernica?

V kuloároch sa šušká, že možno samotná EÚ príde s novou smernicou. Osobne si myslím, že vzhľadom na to, že Európska Komisia bude musieť čoskoro obhajovať ústavnosť nejednej uzatvorenej medzinárodnej zmluvy týkajúcej sa ochrany osobných údajov (napr. European Parliament v Council of the European Union C-317/04), ako aj niekoľkých ďalších aktov sekundárneho práva (Michael Schwarz C-291/12, Willems C-446/12), bolo by dosť nerozumné, ak by sa do novej smernice akokoľvek hnala. Asi nie je v nikoho záujme, aby nová smernica dopadla rovnako ako tá posledná.

Autor je IMPRS-CI Doctoral Research Fellow na Max Planck Institute for Innovation and Competition, Affiliate Scholar na Stanford University, Center for Internet & Society (CIS) a právnik v rámci organizácie European Information Society Institute (EISi), ktorá iniciovala podanie proti data retention na Ústavnom súde SR.