Mobilní operátoři po dobu šesti měsíců ze zákona shromažďují a ukládají data o tom, kdo komu volal, z jakých telefonních přístrojů, jak dlouho hovor trval a kde se při tom konkrétní člověk (jeho telefon) zrovna nacházel. I když soudy opakovaně rozhodly, že by to stát dělat neměl, praxe trvá.

Je to obraz, který je vidět snad v každém kriminálním filmu. Policie vyšetřuje nějaký případ a obratem pracuje s údaji o pohybu mobilního telefonu pachatele či podezřelého i seznamem jeho hovorů – s kým, kdy a odkud si telefonoval.

Oficiální data ukazují, že v roce  2024 si Policie ČR vyžádala provozní a lokalizační údaje celkem 76 187krát. Nejvíce žádostí (58,5 %) z nich byly takzvané výpisy na buňku BTS (základnová převodní stanice mobilního signálu, k níž se v daném místě telefon připojil).

To vyšetřovatelům ukáže seznamy všech mobilních čísel, které se v daný čas hlásily ke stanicím tam, kde byl kupříkladu spáchán nějaký trestný čin.

„Plošný sběr dat z našich mobilních telefonů je v rozporu s evropským právem. Stát to ale ignoruje,“ říká Vobořil.

Čeští mobilní operátoři tato data předat musí. Ukládá jim to zákon o elektronických komunikacích; údaje mají uchovávat a zpracovávat „pro účely předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů“. Jde o takzvané data retention.

Rozpor s evropskými zákony

Plošný sběr dat dlouhodobě považuje za problém nezisková organizace Iuridicum Remedium (IuRe), která mimo jiné pravidelně organizuje Ceny Velkého bratra. „Chceme, aby stát přestal sbírat a půl roku uchovávat data z telefonů o každém z nás,“ shrnuje právník a předseda organizace Jan Vobořil.

Opírá se při tom o fakt, že plošný sběr dat je v rozporu s evropskými zákony – jak už v roce 2014 rozhodl Soudní dvůr Evropské unie, který směrnici o data retention zrušil. To, že plošný sběr údajů je nepřípustným zásahem do soukromí, potvrdil pak Soudní dvůr EU i v sérii dalších rozhodnutí.

„Plošný sběr dat z našich mobilních telefonů je v rozporu s evropským právem. Stát to ale ignoruje,“ říká Vobořil. A poukazuje na řadu případů, kdy byla data z telefonů zneužita proti novinářům či politicky aktivním osobám.

Proto IuRe ve spolupráci s datovým novinářem Janem Cibulkou v roce 2021 zažalovalo Česko (zastoupené ministerstvem průmyslu) s žádostí o omluvu „za neřešení rozporu mezi českou legislativou a nadřízeným evropským právem“. V roce 2025 Městský soud v Praze rozhodl, že sběr dat je nelegální a omluvu nařídil. Stát se ale odvolal a spor se posunul k Nejvyššímu soudu.

„Stát by měl podle nás změnit zákon. Plošný sběr dat je možné zrušit či nahradit alternativou, která bude respektovat lidská práva. Může jít třeba o model tzv. data freeze, kdy jsou určitá data zpracovávaná operátory operativně zmrazena. Aby ke změně došlo, musí politici vědět, že veřejnosti na ochraně soukromí záleží,“ konstatuje Vobořil.

Iuridicum Remedium se i na základě toho nedávno obrátila na veřejnost s výzvou, aby se lidé aktivně ptali svých mobilních operátorů a požadovali po nich informace, jaká data o nich schraňují.

Postup je jednoduchý:

„Obrátit se na pověřence pro ochranu osobních údajů, kterého má každý operátor – stačí napsat na kontaktní email uvedený na webových stránkách a zažádat o vydání provozních a lokalizačních údajů, které jsou o vás uchovávány. Operátor žádost musí vyřídit do 30 dnů,“ vysvětluje na instruktážním videu Vobořil.

Na základě žádosti by pak měl přijít přehled toho, na jaká čísla zákazník volal, kdy to bylo, jak dlouho hovory trvaly, ale k tomu i identifikační čísla základnových stanic, ke kterým se telefon připojuje. „Na tom se ukáže, jak podrobný přehled o vašem pohybu operátor má,“ podotýká Vobořil.

Dobrý den, vaši žádost – Právo na přístup – provozní údaje jsme byli nuceni zamítnout.

Víc než jedno číslo

Autor tohoto textu se rozhodl – coby zákazník společnosti Vodafone – doporučený postup vyzkoušet. Pověřencem pro ochranu osobních údajů ve společnosti Vodafone je Šimon Mudra. Žádost ve výše uvedeném znění byla odeslána 12. listopadu, odpověď přišla o dva dny později.

Šimon Mudra v ní sděluje, že s ohledem „na zabezpečení osobních údajů“ a také na „citlivost provozních a lokalizačních údajů, o které žádáte“ Vodafone vyžaduje zaslání žádosti prostřednictvím internetové samoobsluhy, kde je k tomu již předvyplněný formulář.

Skutečně – přihlášení, ověření přes SMSkód a aplikace nabízí: Zajímá-li vás, jaké osobní údaje (zákaznická data) o vás zpracováváme (a to včetně kopie těchto osobních údajů), a také jak je zpracováváme, vyplňte a odešlete nám tento formulář.

Dvě kliknutí a žádost je odeslána i s textovým dodatkem, že žádost se týká explicitně vydání všech provozních a lokalizačních údajů, „které jsou u vás uchovávány o mé osobě, respektive o mém telefonním čísle 604 XXX XXX“.

Obratem přichází potvrzující SMS s dodatkem, že na vyřízení je lhůta 30 dní.

Dne 19. listopadu pak přichází další SMS: „Dobrý den, vaši žádost – Právo na přístup – provozní údaje jsme byli nuceni zamítnout. Tyto údaje můžeme totiž z důvodu jejich ochrany poskytnout pouze zákazníkům, kteří vlastní u Vodafonu jednu SIM. Hezký den, váš Vodafone.“

Operátor zjevně spatřuje riziko pro ochranu osobních údajů v tom, že v rámci své smlouvy autor tohoto textu platí telefon i za další členy rodiny – přestože žádost explicitně směřovala na jedno telefonní číslo, jehož vlastnictví je s jeho jménem dlouhodobě spojeno.

Den poté přichází další zpráva: o tom, že Vodafone na e-mail zaslal požadovaná data. Překvapení se ale nekoná. Místo požadovaných provozních a lokalizačních údajů v zašifrovaném souboru dorazil jen obsáhlý soupis smluv a jednotlivých vyúčtování a faktur.

„Měli by vás místo toho vyzvat, abyste doložil, že jste uživatel čísla. Už to, že vám přišel SMS kód k souboru s jinými vašimi daty přece ukazuje, že vědí, komu to číslo patří. Případně by mohli žádat čestné prohlášení. Na svá data nárok máte,“ shrnuje Jan Vobořil.

Jeho kolega z IuRe Hynek Trojánek na svém příkladu ale ukazuje, že pokud má uživatele na sebe vedeno jen jedno číslo, získání svých lokalizačních a provozních údajů je poměrně snadné:

„Operátor mi do měsíce na základě žádosti poslal zašifrovaný dokument. Za půl roku to u mne bylo asi čtyři tisíce položek. Komu jsem volal a psal, kde jsem byl. Jsou tam jmenovitě i odesílatelé potvrzovacích SMS. Takže je vidět, že v datech se uchovává nejen to, s kým komunikujete, kde a s kým se nacházíte, ale třeba i to, jakou máte banku a kde nakupujete.“