V roce 2023 Evropská unie přijala jednu z nejvýznamnějších reforem digitální trestní justice posledních let: nový evropský rámec pro elektronické důkazy, běžně označovaný jako „balíček e-evidence“.
Balíček, zveřejněný v Úředním věstníku Evropské unie v červenci 2023, zavádí nový právní systém, který umožňuje orgánům jednoho členského státu požadovat elektronická data přímo od poskytovatelů služeb v jiném členském státě, aniž by bylo nutné využívat tradiční mechanismy mezinárodní právní pomoci.
Reforma se skládá ze dvou právních nástrojů:
Nařízení (EU) 2023/1543 o evropských příkazech k předložení a evropských příkazech k uchování elektronických důkazů v trestním řízení („Nařízení“);
Směrnice (EU) 2023/1544 stanovující harmonizovaná pravidla pro určené provozovny a právní zástupce za účelem získávání elektronických důkazů („Směrnice“).
Směrnice musí být provedena do vnitrostátního práva do 18. února 2026, zatímco Nařízení bude plně uplatnitelné od 18. srpna 2026.
Zásadní změna v trestněprávní spolupráci EU
Nový rámec představuje významný odklon od tradičního systému přeshraniční spolupráce v trestních věcech.
Dosud musely orgány usilující o přístup k elektronickým důkazům uloženým v zahraničí obvykle využívat smlouvy o vzájemné právní pomoci nebo evropské vyšetřovací příkazy. Tyto postupy často vyžadovaly komunikaci mezi vládami a justičními orgány napříč několika jurisdikcemi (proces, který byl často kritizován jako příliš pomalý vzhledem k realitě digitálních vyšetřování).
Nová pravidla EU mají tento problém řešit.
Podle Nařízení budou moci orgány jednoho členského státu zasílat závazné příkazy přímo poskytovatelům služeb působícím v EU, i když jsou data uložena jinde. Cílem je zajistit rychlejší přístup k elektronickým důkazům dříve, než budou smazány, změněny nebo přepsány.
To odráží dvě širší reality digitálního věku:
elektronické důkazy jsou vysoce proměnlivé;
ukládání dat stále častěji postrádá jasné územní určení.
Reforma se proto snaží přizpůsobit trestní řízení světu, ve kterém se data mohou okamžitě pohybovat přes hranice, zatímco vyšetřování zůstávají omezená územními právními systémy.
Které společnosti jsou dotčeny?
Nařízení se široce vztahuje na poskytovatele služeb nabízející služby v EU.
Patří mezi ně:
služby elektronických komunikací, jako jsou e-mailové služby, komunikační platformy, nebo poskytovatelé připojení k internetu;
poskytovatelé cloudových a hostingových služeb;
sociální sítě;
online tržiště;
služby registrace doménových jmen a přidělování IP adres;
další digitální platformy umožňující komunikaci nebo ukládání dat.
Důležité je, že společnost nemusí být fyzicky usazena v EU, aby spadala do působnosti Nařízení. Poskytovatel může být zahrnut i tehdy, pokud má „významnou vazbu“ na Unii, například prostřednictvím značného počtu uživatelů v EU nebo cílením svých aktivit na trhy EU.
V praxi to znamená, že nová pravidla přímo dopadnou na mnoho globálních technologických a cloudových společností nabízejících služby v Evropě.
Evropské příkazy k předložení dat
Evropský příkaz k předložení umožňuje orgánům jednoho členského státu přímo přikázat poskytovateli služeb v jiném členském státě předložit elektronické důkazy.
Evropské příkazy k uchování dat
Evropský příkaz k uchování ukládá poskytovateli povinnost uchovat specifikovaná elektronická data tak, aby nemohla být smazána nebo změněna do doby následného požadavku na jejich předložení.
Rámec pokrývá několik kategorií dat:
údaje o účastníkovi;
provozní údaje;
obsahová data;
IP adresy a související identifikační údaje používané výhradně k identifikaci uživatele.
Nařízení se však vztahuje pouze na již uložená data. Nepovoluje sledování v reálném čase ani budoucí dohled.
Přísné lhůty pro splnění povinností
Jedním z nejvýraznějších prvků Nařízení je rychlost, s jakou musí společnosti reagovat.
Poskytovatelé služeb mají zpravidla:
10 dnů na splnění příkazu k předložení;
pouze 8 hodin v naléhavých případech.
Uchovaná data musí být zpravidla uchována po dobu 60 dnů s možností prodloužení o dalších 30 dnů.
Pro mnoho organizací to vytváří provozní výzvy, které se více podobají řešení bezpečnostních incidentů než tradičnímu právnímu posouzení. Společnosti budou potřebovat:
rychlé interní validační mechanismy;
eskalační postupy;
koordinaci právních a technických týmů;
pracovníky schopné posuzovat jak trestněprávní aspekty, tak povinnosti v oblasti ochrany osobních údajů.
Napětí mezi GDPR a mezinárodním právem
Jednou z klíčových právních otázek, které rámec e-evidence vyvolává, je jeho vztah ke stávajícím pravidlům ochrany osobních údajů a mezinárodním právním závazkům.
Společnosti se mohou dostat do situace, kdy:
orgán EU požaduje zpřístupnění dat podle Nařízení;
jiný právní režim (GDPR) takové zpřístupnění omezuje nebo zakazuje.
Nařízení proto obsahuje zvláštní mechanismus přezkumu konfliktů s právem třetích zemí. Pokud se poskytovatel domnívá, že splnění povinnosti by porušilo závazky podle práva mimo EU, může podat odůvodněnou námitku. Soudy vydávajícího státu pak musí zvážit protichůdné zájmy a rozhodnout, zda má být zpřístupnění provedeno.
Přesto zůstává značná míra nejistoty.
Nařízení oslabuje tradiční roli místních orgánů jako strážců jurisdikce. V mnoha případech budou zahraniční orgány komunikovat přímo se soukromými společnostmi namísto spolupráce mezi státy.
Tato změna zásadně mění představy o územní jurisdikci, dohledu a odpovědnosti v trestních vyšetřováních.
Záruky a obavy o základní práva
Balíček e-evidence patřil mezi nejkontroverznější iniciativy EU v oblasti trestní justice posledních let.
Během vyjednávání organizace občanské společnosti, advokátní komory, novinářské organizace i obhájci digitálních práv varovali, že navrhovaný systém může oslabit ochranu základních práv.
Kritici se zaměřovali zejména na:
omezenou roli vykonávajícího státu;
obavy ohledně soudního dohledu;
nedostatečné záruky profesního tajemství;
rizika pro důvěrnost novinářských zdrojů;
slabou ochranu proti zneužití v členských státech s problémy v oblasti právního státu;
omezené možnosti účinných opravných prostředků.
Systém notifikací se stal obzvláště sporným tématem. Zatímco Evropský parlament původně prosazoval silnější zapojení státu, ve kterém se poskytovatel nachází, konečný kompromis tyto záruky výrazně oslabil.
Podle přijatého systému je možnost vykonávajícího orgánu odmítnout výkon příkazu do značné míry omezena na závažné případy zahrnující:
imunity a výsady;
zjevné porušení základních práv;
zásadu ne bis in idem;
určité námitky dvojí trestnosti.
I v těchto případech jsou lhůty pro přezkum mimořádně krátké (v naléhavých situacích mohou činit pouhých 96 hodin).
Sankce a rizika spojená s dodržováním pravidel
Členské státy musí zavést sankce za nedodržování povinností.
Podle Nařízení mohou poskytovatelé služeb čelit pokutám až do výše 2 % svého celosvětového ročního obratu za porušení pravidel týkajících se příkazů k předložení nebo uchování dat.
Směrnice navíc vyžaduje, aby členské státy stanovily „účinné, přiměřené a odrazující sankce“ za porušení povinností týkajících se právních zástupců a určených provozoven.
Tím získává celý rámec značnou donucovací sílu a otázka souladu s pravidly se stává součástí řízení podnikových rizik.
Součást širší strategie digitálního prosazování práva v EU
Balíček e-evidence není izolovanou iniciativou. Je součástí širšího trendu rozšiřování regulačních a donucovacích mechanismů v digitálním prostoru EU.
Mezi další významné nástroje patří:
Digital Services Act, který zavedl rozsáhlé povinnosti pro online zprostředkovatelské služby;
Nařízení (EU) 2021/784 týkající se odstraňování teroristického obsahu online.
Tyto nástroje společně ukazují širší ambici EU vytvořit integrovaný rámec pro digitální správu, odpovědnost a spolupráci při prosazování práva.
Příprava na rok 2026
Přestože Nařízení začne být použitelné až od srpna 2026, organizace poskytující digitální služby v Evropě by se již nyní měly připravovat.
Nový rámec si pravděpodobně vyžádá:
aktualizaci interních pravidel řízení;
revizi postupů pro reakci na požadavky orgánů činných v trestním řízení;
mapování dat;
přeshraniční právní posouzení;
školení zaměstnanců;
rychlé eskalační procesy.
Pro mnoho společností se vyřizování žádostí podle pravidel e-evidence může brzy stát klíčovou provozní schopností, nikoli pouze okrajovou právní agendou.
Širší význam reformy je stejně důležitý. Evropská unie fakticky předefinovává způsob získávání elektronických důkazů přes hranice v digitálním věku. Zda se tento model stane globálním standardem (nebo varovným příkladem) bude do značné míry záviset na tom, jak úspěšně dokáže systém po svém vstupu v účinnost v roce 2026 vyvážit efektivitu, suverenitu a ochranu základních práv.
