Ve středu 14. 12. 2005 přijal Evropský Parlament zákon o uchováváni dat o telefonních hovorech, krátkých textových zprávách a (internetových) datových spojeních (data retention directive).

Cílem zákona je pomoc národním bezpečnostním složkám při pátrání po pachatelích vážných zločinů (organizovaný zločin, terorismus) tím, že jim poskytne údaje o všech telefonních a internetových spojeních a krátkých textových zprávách za poslední měsíce.

První návrh směrnice na uchovávání dat se objevil po teroristických útocích v Madridu 11. března 2004. Hlavním motivem tohoto i následujících návrhů je boj proti terorismu. Oponenti tvrdí, že teroristé budou umět stopy po své elektronické komunikaci zamaskovat.

Finální znění zákona je v některých klíčových bodech odlišné od původních návrhů.

• Data je nutno uchovávat po dobu nejméně šesti měsíců a maximálně po dobu dvou let.
• Náklady na vedení agendy nesou jednotliví telekomunikační operátoři.
• Přístup zainteresovaných složek je umožněn pouze při „vyšetřování vážných zločinů“, namísto původně vágně definované „prevenci zločinu“.
• Je v kompetenci legislativ jednotlivých členských zemí určit, které orgány a v jakém kontextu mají mít k datům přístup.
• Daný orgán nikdy nemá přístup k celé databázi operátora, pouze ke částem relevantním k vyšetřovanému případu. Navíc pro každý je třeba jednorázové povolení.

Oproti původním návrhům se uchovávají i údaje o neuskutečněných (nespojených) voláních. Po třech letech proběhne ekonomické zhodnocení, které má ukázat, zda se „data retention“ vyplácí.

V České republice byla schválena vyhláška č. 485/2005 dne 7. prosince 2005 (a od té doby také platí), tedy týden před tím, než EU schválila Data Retention direktivu. Podle vyhlášky, schválené ministerstvem informatiky a vnitra, jsou provozovatelé veřejných komunikačních sítí povinni uchovávat několik měsíců údaje o elektronické komunikaci – údaje typu časů, IP adres, mailových adres a podobně (naštěstí ne obsah zpráv) o které pak mohou žádat „oprávněné orgány“. Rozsah údajů je o něco širší než požaduje Evropská Unie. Vyhláška ukládá uchovávat údaje po dobu šesti měsíců (tedy minimální doba v souladu s direktivou Evropské Unie), s vyjímkou některých údajů (které ale zmíněná direktiva nezahrnuje), kterým stačí 3 měsíce.

Orgány oprávněné k vyžádání nejsou ve vyhlášce specifikovány. Jsou určeny pouze metody, jakými je operátor povinen údaje předávat a jak potvrdit jejich autentičnost. Pochopitelně s dovětkem, že v případě potřeby může být všechno jinak. Co se týče nákladů na vedení agendy, vyhláška č. 486/200 specifikuje výši náhrad za poskytnutí údajů. Poslanci Evropského Parlamentu také původně navrhovali, aby vlády jednotlivých zemí měly povinnost uhradit zvýšené náklady spojené se sběrem a ukládáním dat, nicméně tento odstavec byl z textu směrnice vyškrtnut. Vzhledem k tomu, že náhrady jsou ve řádu deseti- až několika málo stokorun, pokryjí v našich podmínkách zhruba čas sekretářky strávený telefonováním a odesíláním potřebných údajů oprávněnému orgánu.

Schválený kompromis s členskými státy EU má usnadnit vyšetřování trestných činů sladěním národních legislativ o uchovávání a poskytování komunikačních dat operátory. Obsah samotné komunikace má ale zůstat utajen. Toto je jeden z hlavních argumentů zastánců zákona při diskuzích o míře zásahu nové direktivy do soukromí občanů.

Direktiva specifikuje sledovaný rozsah z technického hlediska poměrně volně, podobně se k problému staví i česká vyhláška. V případě hlasových služeb je interpretace poměrně přímočará, složitější situace nastává u datových služeb. Vzhledem k architektuře současných počítačových sítí není zcela jasná hranice mezi údajem nutným pro identifikaci spojení a samotným obsahem – protokoly jsou vrstveny nad sebe, tedy protokol nižší úrovně poskytuje protokolu vyšší úrovně možnost navázání spojení, ale z pohledu nižšího protokolu je vyšší již obsahem komunikace. Obdobný problém se objevuje například u některých technologií pro IP telefonii – monitorovaný klient ustaví jedno spojení s „telekomunikační sítí“ a skrz toto jedno připojení pak realizuje jednotlivé hlasové přenosy s různými protistranami. Pak by muselo při sledování provozu k analýze datového obsahu spojení, jinak sledování ztrácí význam (minimálně jeho podstatnou část). A požadavek, aby tato síť byla provozována vně EU se dá označit jako ryzí formalita.

Další překážku klade šifrování datového provozu na různých úrovních, které může znemožňovat dekódovaní informací. Toto je řešitelné nějakým výnosem, který před časem platil mj. v USA – lapidárně řečeno, šifrovací algoritmy mohly být jen tak silné, aby je vládní organizace byly schopné dešifrovat „hrubou silou“. Jenže i v USA je toto minulostí a nedá se předpokládat omezování výkonu kryptografických algoritmů legislativou. Z toho plyne, že v případě kdy nekalý živel zvolí dostatečně silné šifrování „vhodným“; způsobem, nejlépe v kombinaci s technologií nastíněnou v předchozím odstavci dovede zamaskovat svoji komunikaci takřka neodhalitelně.

Na druhou stranu lze na vyšetřování zločinů pohlížet jako čekání na chybu jeho pachatelů. Z tohoto pohledu se dá předpokládat, že chyby pachatelé trestných činů dělají a celé „data retention“ má význam. Zda a jaký se snad ukáže za tři roky.

Perlička na závěr: rakouský ministr vnitra se k otázce, zda bude stát proplácet operátorům náklady, vyjádřil zhruba v tomto smyslu: „Stát to nemusí proplácet, je to občanská povinnost. Stejně jako občanům neproplácíme čas strávený vyplňováním daňových přiznání.“

• vyhláška č. 485/2005 dne 7. prosince 2005, „O rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání“.
• European Council: „Deal on EU data retention law“ (URL: http://www.europarl.eu.int/news/expert/infopress_page/004-3786-348-12-50-901-20051215IPR03785-14-12-2005-2005--false/default_en.htm )
• Häring, David: „Evropský parlament schválil legislativu, která zasahuje do soukromí občanů EU“ (URL: http://www.linuxzone.cz/index.phtml?ids=10&idc=1392 ), 23.12.2005
• Kolektiv autorů: „Odpor v EU proti orwellovské vyhlášce“ (URL: http://www.iure.org/549865)