Bez větší mediální pozornosti prošla parlamentem novela zákona č. 141/1961 Sb. neboli trestního řádu. Ta přináší jen několik menších úprav, jedna se však poměrně zásadně dotýká fungování webů v případě řešení sporných situací. Upravený zákon již začal platit od 1. února 2019 a na jeho problematickou novinku týkající se webů nyní upozornil Wedos na svém blogu.
Odstavení webu na tři měsíce
Jako sporný se jeví § 7b, ve kterém se definují nové postupy v případě zajištění dat potřebných pro trestní řízení. Ten se dotýká všech provozovatelů webů, ať už obsahových nebo e-shopů. Pokud na ně někdo podá trestní oznámení, ať už z důvodu domnělého porušení zákona příspěvkem v diskuzi, podezřením z podvodu nebo třeba autorskoprávním sporem, může být web zničehonic až na tři měsíce odstaven. Dotýká se to pochopitelně i provozovatelů hostingů, kteří toto budou muset zajistit.
Novela trestního řádu, § 7b:
(1) Je-li zapotřebí zabránit ztrátě, zničení nebo pozměnění dat důležitých pro trestní řízení, která jsou uložena v počítačovém systému nebo na nosiči informací, lze nařídit osobě, která uvedená data drží nebo je má pod svojí kontrolou, aby taková data uchovala v nezměněné podobě po dobu stanovenou v příkazu a učinila potřebná opatření, aby nedošlo ke zpřístupnění informace o tom, že bylo nařízeno uchování dat.
(2) Je-li to zapotřebí k zabránění pokračování v trestné činnosti nebo jejímu opakování, lze nařídit osobě, která drží nebo má pod svojí kontrolou data, která jsou uložena v počítačovém systému nebo na nosiči informací, aby znemožnila přístup jiných osob k takovým datům.
(3) Příkaz podle odstavce 1 nebo 2 je oprávněn vydat předseda senátu a v přípravném řízení státní zástupce nebo policejní orgán. Policejní orgán potřebuje k vydání takového příkazu předchozí souhlas státního zástupce; bez předchozího souhlasu může být příkaz policejním orgánem vydán jen tehdy, jestliže nelze předchozího souhlasu dosáhnout a věc nesnese odkladu.
(4) V příkazu podle odstavce 1 nebo 2 musí být označena data, na která se příkaz vztahuje, důvod, pro který mají být data uchována nebo k nim má být znemožněn přístup, a doba, po kterou mají být tato data uchována nebo k nim má být znemožněn přístup, která nesmí být delší než 90 dnů. Příkaz musí obsahovat poučení o následcích neuposlechnutí příkazu.
(5) Orgán, který vydal příkaz podle odstavce 1 nebo 2, jej neprodleně doručí osobě, vůči které směřuje.
Je logické, aby měly v případě právních sporů vyšetřovací orgány přístup k datům potřebným k vyřešení případu. Mohou si o ně oficiální cestou zažádat poskytovatele hostingu a ten, pokud je má, tak je poskytne. To je praxe fungují doposud. Typicky se jedná o zjištění údajů provozovatele webu.
Rozhodnout může policista
Nově se však pravomoci policie značně rozšiřují. Pokud by zveřejnění sporných dat znamenalo pokračování trestní činnosti nebo jejímu opakování, lze nařídit třetí straně, která tato data uchovává, aby k nim znemožnila veřejný přístup. Jinými slovy, je možné po provozovateli hostingu vymoci, aby web vypnul.
Jenže pravomoc k tomuto radikálnímu řešení bude mít i policista, který se bude domnívat, že věc nesnese odkladu a nemůže čekat, než mu odstavení webu schválí státní zástupce. V takovém případě může hostingu nařídit, aby daný web až na tři měsíce okamžitě odstavil.
Zástupci Wedosu ve svém blogovém příspěvku upozorňují, že je nové nařízení velmi snadno zneužitelné. Už nyní řeší velké množství právních sporů, kdy stojí mezi stěžovatelem a provozovatelem webu. Někdy jsou stížnosti oprávněné, jindy jde však o zjevné úmysly o poškození konkurence nebo o vyřizování účtů za slovní přestřelky v diskuzích. V takových případech nyní hrozí, že se bude třetí odstavec § 7b novely trestního řádu zneužívat. „Je to srovnatelné, jako kdyby mohla Policie ČR najednou provádět domovní prohlídky jen na základě uvážení příslušníka. Případně jako kdyby mohla zavírat továrny a firmy až na 90 dní a to opět jen na základě uvážení jednoho příslušníka,“ popisují na svém blogu zástupci Wedosu.
Dobrý záměr EU, nedobré české doplňky
První odstavec sporného § 7b zjevně vyplývá z usnesení Evropské rady z roku 2001 (viz články 16 a 17). Ačkoli se jedná o usnesení staré již 18 let, logicky a s nadhledem nastoluje základní principy řešení sporů týkající se elektronických dat. Že se mají uchovat a kdo k nim následně může mít přístup.
Možnost okamžitě odstavit web na tři měsíce jen na základě uvážení policejního orgánu je však už věc, která přišla z hlav českých zákonodárců.
V Poslanecké sněmovně pro novelu hlasovalo 114 přítomných poslanců, 14 se zdrželo a 35 bylo proti (opravené údaje, původně jsme vycházeli z jiného hlasování). Můžete se také podívat, jak vládní návrh procházel výbory a schvalováním až k publikaci ve Sbírce zákonů.
Aktualizováno: Když jsme získali od Mgr. Drgové z právní firmy SimpleLaw níže uvedený právní názor, zaujal nás tím, že trochu mírnil rozbouřenou situaci. Zařadili jsme ho tedy v odděleném boxu do článku. Později se nám však z více stran potvrdilo, že lze sporné body skutečně aplikovat i na ostré weby, nikoli jen na zálohy. To posléze připustila i Mgr. Drgová. Její původní vyjádření však ponecháváme níže pro návaznost diskuzí.
Právní názor
Trestní řád dává policejním orgánům pravomoc vyžadovat součinnost v podobě § 8 trestního řádu. Skrze institut dožádání může policejní orgán žádat informace kupříkladu o smluvních partnerech, kteří jsou podezřelí z trestné činnosti. Nemůže jít ale tak daleko, že by na jeho základě žádal kupříkladu po provozovateli služby Vyfakturuj faktury uložené v účtu uživatele podezřelého z daňové trestné činnosti, protože se jedná o data uložená v soukromí, k jejichž vydání je potřeba povolení soudu podle § 158d odst. 3 trestního řádu. Vydání povolení však může trvat několik týdnů, proto je maximálně praktické požádat provozovatele služby o co nejdřívější provedení kopie a zálohy uživatelských dat a její oddělení od zbytku dat.
Do přijetí novely trestní řád nereflektoval zranitelnost elektronických dat a neobsahoval speciální ustanovení o urychleném uložení počítačových dat, ačkoliv Budapešťská úmluva, ke které se připojilo skoro 70 států včetně České republiky, s nimi od počátku počítala. Policejní orgány tak postupovaly podle § 8 trestního řádu.
Nový § 7b výslovně upravuje oddělení a uchování dat uložených v počítačovém systému nebo na nosiči informací, aby nebyla narušena jejich integrita a byly v použitelném stavu předány orgánům činným v trestním řízení. Navazuje tak na čl. 16 odst. 2 Úmluvy, který dává státům možnost přijmout opatření, která mohou potenciální ztrátě nebo pozměnění dat předcházet. A jedním z nich je znemožnění přístupu dalším osobám. Tím se myslí absolutní oddělení dotčeného datasetu, kdy k němu nebudou moci přistupovat kupříkladu externí technici nebo je nebude moci zpětně změnit sám uživatel. Proto, jak vysvětluje i důvodová zpráva, bude nejčastěji vydán příkaz k oddělení a zálohování dat a následně k jejich znepřístupnění.
§ 7b odst. 2 je sám o sobě značným zásahem způsobujícím, že sám uživatel nebude moci data v záloze zpětně změnit nebo je smazat. Poskytovatelé SaaS pravidelné zálohy samozřejmě provádí, ale nic je k tomu nezavazuje a novelizované ustanovení tak dává policii zákonné zmocnění požadovat vytvoření zálohy. A to vždy pouze ohledně přesně specifikovaných dat.
Pokud bychom přistoupili na interpretaci, že § 7b odst. 2 trestního řádu má mířit na nezpřístupnění dat veřejnosti, bylo by to v rozporu s požadavkem na utajení vyšetřování trestné činnosti, který je uveden v § 7b odst. 1 a dále u obecné součinnosti v § 8 odst. 7. Dále taková interpretace nezapadá ani do struktury trestního řádu, protože zablokování originálních dat by způsobilo na příkladu služby Vyfakturuj znepřístupnění samotnému uživateli, který by mohl podniknout jiná opatření ke smazání digitálních stop, což je proti smyslu ustanovení a účelu vyšetřování.
V neposlední řadě, opatření vztahující se k originálním datům se blíží spíše zajišťovacím instrumentům, které vzhledem ke své závažnosti vyžadují v přípravném řízení přivolení státního zástupce nebo soudu. Pro jejich absenci by se tak stal § 7b odst. 2 neproporcionálním a dožádání směřující na znepřístupnění originálních dat nezákonnými. I v případu rozhodovaném Soudním dvorem Evropské unie v případu UPC Telekabel Wien byla posuzována blokace IP adresy webové stránky přikázaná soudem, nikoliv policejním orgánem.
Proto je nutné § 7b odst. 2 trestního řádu interpretovat tak, že se vztahuje výhradně k datům zálohovaným podle § 7b odst. 1 a příkaz policejního orgánu k blokování webové stránky nebo znepřístupnění originálních dat založený na tomto ustanovení by byl nezákonný.
Anna Drgová, SimpleLaw
K výše uvedenému právnímu názoru můžeme ještě doplnit, že také v Důvodové zprávě (PDF), která doprovázela vládní návrh zákona, se s blokováním webů přímo počítá:
„V daném ustanovení se dále umožňuje urychleně předběžně reagovat na závadná data a nařídit osobě, která je drží nebo je má pod svojí kontrolou, aby na časově omezenou dobu znemožnila přístup jiným osobám k takovým datům, pokud je to zapotřebí k zabránění pokračování v trestné činnosti nebo jejímu opakování (typicky podvodné e-shopy, škodlivé kódy – viry, červy, zdroje DDoS útoků atd.).“