Praxe, kdy orgány činné v trestním řízení prohledávají elektronická média a počítačový systém v rámci zabavených advokátních spisů v elektronické podobě podle klíčových slov v naději, že „něco najdou“ může vést k narušení ochrany dat u osob, které nesouvisejí s žádným konkrétním vyšetřováním. Je o tom přesvědčen advokát Martin Maisner. V rozhovoru pro Českou justici se vyjádřil i k vytváření různých státních registrů. „Jakákoliv databáze osobních údajů je potenciálním cílem zneužití a nepochybuji o tom, že registry vedené státní správou budou nejen nelegálně napadány, ale docela jistě i zneužívány pod zdánlivě legálními záminkami To je zcela reálné nebezpečí, které je třeba vzít v úvahu.“
Vaší specializací je právo informačních technologií, ochrana dat a kybernetická bezpečnost. Zaznamenáváte vzrůst významu tohoto oboru?
Význam oboru a potřeba právně řešit současný stav rozvoje informačních technologií roste enormně; nicméně právní vědomí veřejnosti roste daleko pomaleji. Jakkoli jsou dnes informační technologie a soubory dat integrální součástí jak ekonomiky, tak běžného života každého z nás, žije většina subjektů v jakési iluzi, že je o vše postaráno, a že jejich systémy a data jsou bezpečná. Což neodpovídá realitě.
Na začátku byl obyčejný příkaz amerického soudce vydaný v prosinci 2013 podle amerického zákona z roku 1986 o uchovávání dat (SCA), aby Microsoft předal e-mailovou komunikaci klienta v drogovém případu. Jenže tato e-mailová schránka se poprvé nenacházela v USA, ale v datovém centru v irském Dublinu. Microsoft odmítl vyhovět s odkazem na soukromí klienta, který není občanem USA. Jenže v dubnu 2014 tentýž soud rozhodl, že příkaz vydaný na základě SCA je hybrid. Částečně jde o příkaz k domovní prohlídce a částečně o soudní obsílku, a proto nevyžaduje po vládě, aby vtrhla do sídla Microsoftu a vedla fyzické pátrání, nýbrž pouze sofistikované využití technologie za účelem přístupu do Dublinu ze sídla korporace. Jak předpokládáte, že příběh skončí?
Uvedený případ je ukázkovým případem toho, jak globalizovaný svět naráží na rozdílnost nejen právní úpravy, ale i rozdílnou právní filozofii. Navíc podle názoru některých právních odborníků právní úprava z roku 1986 neřeší současný faktický stav uspokojivě. Americké právní normy označované jako SCA (Stored Communications Act) a ECPA (Electronic Communications Act) – oba z roku 1986 detailně specifikují právní podmínky ochrany dané čtvrtým dodatkem Ústavy Spojených států. Podstata této úpravy spočívá v tom, že zatímco k prohlídce domu či kanceláře je třeba soudního povolení (search warrant), k vydání dat (například elektronické korespondence) třetích osob stačí dokument nižší právní síly (subpoena) a dokonce i důvody k takovému postupu nemusí být tak závažné, není potřeba dokonce ani to, co se označuje právní terminologií „důvodné podezření“. To znamená poměrně významný průlom do principu ústavní ochrany Čtvrtým dodatkem, ale má to určité limity. V první řadě je zřejmé, že aplikace amerických zákonů mimo území USA není zcela bez kontroverzí. V případě, že bude rozhodnutí, které předjímáte ve své otázce, plně aplikováno, bude to znamenat zásadní změnu vnímání pravidel zpracování a uchovávání dat a nepochybuji o tom, že velcí provideři a provozovatelé úložišť se budou nuceni zamyslet, jak postupovat dále, protože zpochybnění bezpečnosti jejich dat v systémech providera nepochybně zpochybňuje hodnotu poskytované služby.
V dnešní době samozřejmě zaznamenáváme volání po prolomení různých institutů ochrany soukromí, počínaje bankovním tajemstvím, tajemstvím dopravovaných zpráv nebo ochrany osobních údajů (v zájmu boje proti korupci, praní špinavých peněz a boje proti teroru). Všechny tyto snahy o získání dat, které mají podle orgánů činných v trestním řízení výrazně napomoci stíhání a odhalování těch nejzávažnějších trestných činů ale také zásadně omezují ochranu soukromí každého z nás a je jen otázka míry, ve které je toto omezení ochrany pro společnost přijatelné a snesitelné.
Vztahuje se povinnost (které se domáhá americká vláda) vydat data jen na případ, že americká firma provozuje datové úložiště, nebo i na případ, že poskytuje jakoukoliv IT službu, při které by se technicky k požadovaným datům mohla dostat? O jaký typ IT služeb by se mohlo jednat?
To nelze vyloučit. V budoucnu je docela dobře možné, že soudy budou analogicky aplikovat výklad i na jakékoliv služby zpracování, skladování nebo přenosu dat, při nichž lze data technicky extrahovat.
Nehrozí, že se například formou právní pomoci se budou moci naše vyšetřující orgány přes americké dostat například k informacím od českých advokátů?
Tady je potřeba začít poněkud šířeji. Ochrana mlčenlivosti advokátů je nesmírně důležitý institut jak v ČR, tak v každém jiném standardně fungujícím státním útvaru. Vždy je třeba si uvědomit, že důvěrnost komunikace mezi advokátem a klientem a data advokátovi klientem poskytnutá umožňuje klientovi, aby sdělil advokátovi veškeré údaje a on podle toho na základě své odbornosti vyhodnotil, jak bude svého klienta hájit nebo jak bude jeho obchodní transakce strukturovat. V rámci ochrany mlčenlivosti ochranu zde nepožívá jen konkrétní advokát, nýbrž i listiny a nosiče, na kterých se nalézají data, na něž se vztahuje povinnost mlčenlivosti, odvíjející se od smlouvy uzavřené mezi klientem a advokátem v rámci poskytování právní pomoci a které se nalézají v prostorech, kde advokát vykonává advokacii. Pojem „jiné prostory, v nichž advokát vykonává advokacii“ ve smyslu označeného ustanovení musí být tedy vykládán v souladu s tímto účelem jako jakýkoli prostor, který souvisí s výkonem advokacie a v němž se proto vyskytují informace o klientech ať již v písemné, elektronické či jiné podobě. Vedle sídla advokáta zapsaného do seznamu advokátů jde dále např. o pobočku advokátní kanceláře, kancelář advokáta v sídle obchodní společnosti, jíž poskytuje právní služby, vozidlo advokáta nebo místa určená k archivaci či ukládání advokátních spisů. Mohou jimi být i různá elektronická úložiště dat, a to ať už jde o webové stránky advokáta, vlastní datová úložiště advokáta nenacházející se v místech běžného výkonu advokátní praxe nebo úložiště provozovaná od advokáta odlišnou osobou, umožňující dálkový přístup pomocí internetové sítě.
S ohledem na tuto úpravu je těžko představitelné, že by české úřady dostávaly k dispozici data získaná v rámci jiného řízení v USA k vlastnímu vytěžení. Domnívám se, že tak daleko ještě nejsme. Nemám sice pochybnosti o tom, že tajné služby mají možnost monitorovat leccos a že určitá data tajné služby i sdílejí, ale informace takto získané nejsou zpravidla důkazně využitelné.
Co říkáte na způsob určování toho, co má být vydáno vyšetřujícím orgánům z advokátních na základě klíčových slov?
Považuji to za nesprávné a nezákonné. Prohlídka počítačového systému či elektronického média se řídí primárně předpisy upravujícími domovní prohlídku. Domovní prohlídku lze vykonat, je-li důvodné podezření, že v určité prostoře se nachází věc důležitá pro trestní řízení. Do jaké míry má jít o konkrétní věc, nikoliv jen „nějakou“, uvedené ustanovení neříká. Komentář k trestnímu řádu se zabývá výkladem pojmu „věc důležitá pro trestní řízení“, ovšem pouze z hlediska její důkazní použitelnosti, a nikoliv se zaměřením na to, jak určitě musí být definována před zahájením prohlídky. Lze si jistě představit výklad, podle něhož k důvodnosti prohlídky postačí podezření, že by se v určité prostoře mohlo nacházet něco, co by mohlo být důkazem. Ovšem také výklad, podle něhož „důvodnost“ podezření vyžaduje alespoň obecnou povědomost o existenci konkrétní věci (věcí), důležité pro trestní stíhání. Přitom je zjevné, že i prakticky může jít o velmi vyšetřovací situace. Hledání konkrétního vražedného nástroje, jehož charakteristika vyplývá ze zranění na těle oběti, se nutně liší od získávání důkazů o daňové trestné činnosti. A jak bude ještě zmíněno, dost jiný rozměr tomuto způsobu získávání důkazů dává počítačová technika či obecněji existence informací v elektronické podobě. Příliš volný výklad zadání prohlídky nekoresponduje s tím, že jde o zásah do domovní svobody jako ústavně zaručeného práva. Tak prohlídku hodnotí prakticky veškerá judikatura, která se jí nějak zabývá, a podobně i odborná literatura. Již z toho důvodu je nutné, aby hledaná věc či věci byly popsány co nejpřesněji.
Praxe, kdy orgány činné v trestním řízení prohledávají elektronická média a počítačový systém podle klíčových slov v naději, že „něco najdou“ (v anglosaské terminologii se to případně označuje jako „fishing expedition“) může vést k tomu, že dochází k narušení ochrany dat u osob, které nesouvisejí s žádným konkrétním vyšetřováním v naději, že se buď najde něco, co by umožnilo takové osoby inkriminovat, nebo obvinit ze zapojení do trestné činnosti přímo advokáta. Za situace, kdy jsou kriminalizovány i zcela standardní obchodní praktiky a rozhodování v zastupitelských orgánech se jedná o praxi velmi nebezpečnou. Mám i dojem, že v některých případech se jednalo o určitou formu nátlaku na advokáta, který v jiných řízeních jako obhájce komplikoval život orgánům činným v trestním řízení, tedy – abych parafrázoval jednu nejmenovanou státní zástupkyni – „bránil právu obžalovaného na rychlé odsouzení.“
Zajišťuje stát dostatečnou kybernetickou bezpečnost?
Než budeme hledat odpověď na položenou otázku, je třeba se zastavit nad tím, cosi představujeme pod pojmem „kybernetická bezpečnost“ a na čí „kybernetickou bezpečnost“ se ptáme. Kybernetická bezpečnost systému se většinou definuje jako stav, kdy se k datům uloženým v systému nebo systémem zpracovávaným dostane vždy a bez problému osoba oprávněná a kdy se k těmto datům nedostane nikdo jiný. Kybernetická bezpečnost jednotlivce pak lze definovat tím, že jeho data a osobní projevy v elektronických systémech nebudou využity či zneužity bez jeho souhlasu nebo bez zákonného důvodu žádnou třetí osobou. Druhé hledisko je, zda je stát skutečně povinen zabezpečit úplnou kybernetickou bezpečnost každému jednotlivci, a jak by to měl případně realizovat.
Prvotní odpovědnost státu za kybernetickou bezpečnost je jeho odpovědnost za kybernetickou bezpečnost systémů ve veřejné správě. Tuto povinnost se stát snaží plnit jednak na poli legislativy (Zákon o kybernetické bezpečnosti č. 181/2014 Sb.) jednak jeho implementací – vytvářením bezpečnostních politik, stanovením povinností pro zpracovatele dat a provozovatele systémů, vzděláváním, kontrolními mechanismy a podobně.
Na druhé straně je jasným faktem, že kybernetická ochrana jednotlivce je zcela ponechána na zodpovědnosti jednotlivce. Je zcela vaší volbou jaké zabezpečení si na vaše digitální zařízení pořídíte, jak budete se svými daty zacházet a zda budete dbát doporučení odborníků. Stát bude sice stíhat kybernetické zločince, pokud se mu je podaří ztotožnit a usvědčit, ale moc bych si od toho nesliboval. Většina veřejnosti si navíc myslí, že za zabezpečení jejich internetového bankovnictví ručí banka, ať dělají, co dělají a že stát je hlídá a sleduje, aby jim v kyberprostoru někdo neublížil, zatímco všechny své osobní a intimní údaje nepřetržitě zveřejňují na sociálních sítích.
Nedostává se do rozporu snaha mít co nejrychleji a nejpřístupněji data s principem bezpečnosti?
Jednoznačně ano. Čím jsou data lépe zabezpečená, tím méně efektivní a komfortní je k nim přístup. Nicméně volba každého z nás (pokud se rozhodujeme sami za sebe) – je legitimní – chci mít data po ruce a na jednom místě a mám k nim jednoduchý přístup, a na druhé straně je mi jedno, jestli jsou uložena nebezpečně a nejsou chráněna proti zneužití. Pokud však rozhoduji za systém, kde nejsou jen má data, a tudíž vystavuji soukromí a data někoho jiného nebezpečí zneužití, je situace zcela jiná. Při volbě mezi efektivitou a zabezpečením je však třeba rozlišovat, zda se skutečně jedná o efektivitu užívání nebo spíše o komfort.
Nehrozí kvůli různým vznikajícím registrům nebezpečí zneužití, ať již nelegálně, neoprávněnými osobami, či státnímu orgány k nejrůznějším regulacím?
Snaha zřídit pro státní správu centralizované datové úložiště, centrální registr nebo registry státní správy propojit existuje již nějakou dobu a jakkoliv takové iniciativy se zdají slibovat větší efektivitu práce s daty, riziko zneužití nebo napadení takové databáze je samozřejmě násobně větší, jakkoliv se mnou řada odborníků z oblasti IT nemusí souhlasit. Jakákoliv databáze osobních údajů je potenciálním cílem zneužití a nepochybuji o tom, že registry vedené státní správou budou nejen nelegálně napadány, ale docela jistě i zneužívány pod zdánlivě legálními záminkami To je zcela reálné nebezpečí, které je třeba vzít v úvahu. Samozřejmě že přísné dodržování právních předpisů a hojné kontrolní mechanismy mohou toto nebezpečí snížit, ale nikdy vyloučit.
JUDr. MARTIN MAISNER, PhD., MCIARb., PARTNER, ROWAN REGAL
Martin Maisner je specialistou v oblasti práva informačních technologií, kybernetické bezpečnosti, alternativního řešení sporů, sportovního práva a závazkového práva.
Právu informačních technologií se aktivně věnuje již od roku 1990 a podílel se nejen na řadě dílčích právních teorií, týkající se specifických institutů práva informačních technologií (outsourcing, komplexní kybernetická bezpečnost), ale i na tvorbě právního prostředí a obchodních zvyklostí v oboru v rámci České republiky i v mezinárodním měřítku. Poskytuje komplexní právní poradenství jak dodavatelům technologií a zákazníkům, ale také například uchazečům o veřejné zakázky v oblasti přípravy jejich nabídek. V roce 2012 získal titul Právník roku v oboru IT
Dušan Šrámek