9. 12. 2022

Rozhovor s Martinem Richterem: „Měli bychom se více vzdělávat v kybernetické bezpečnosti“

Tématem dnešního rozhovoru je nedávno schválená právní věta týkající se porušení tajemství listin a jiných dokumentů uchovávaných v soukromí.

O tématu jsme si povídali s JUDr. Martinem Richterem, Ph.D., vědeckým pracovníkem katedry trestního práva Univerzity Karlovy a advokátem.

Rozhovor si lze pustit také jako podcast

V nedávné době byla trestním kolegiem Nejvyššího soudu schválena právní věta, která se týkala již zmiňovaného porušení tajemství listin a jiných dokumentů uchovávaných v soukromí. Na toto téma jsme na webu Trest online vydali článek, ve kterém právě tento daný případ více popisujeme. Nicméně myslíte, že byste pro ty, kteří článek nečetli nebo rozhodnutí nezaregistrovali, mohl tento případ více popsat? 

Ve vámi zmiňovaném rozhodnutí Nejvyšší soud řešil v zásadě skutkově banální případ, a to případ zaměstnance, který zdědil mobilní telefon po svém předchůdci, který jej, protože se jednalo o služební telefon, vrátil zaměstnavateli.

Zaměstnavatel telefon zřejmě nedokonale vyčistil a ponechal v něm přihlašovací údaje do soukromé e-mailové schránky poškozeného zaměstnance, tedy toho, který u zaměstnavatele ukončil pracovní poměr.

Problém nastal, když pachateli, novému zaměstnanci byla doručena na tento mobilní telefon e-mailová zpráva, která se mu díky uloženým přihlašovacím údajům zobrazila a která nepatřila jemu. Protože tato e-mailová zpráva obsahovala podmínky, za kterých poškozený měl nastupovat ke konkurenční společnosti, pachatel tento e-mail přeposlal svému nadřízenému regionálnímu manažerovi s komentářem: „Ahoj. Dobrý, co?“ Akorát regionální manažer zrovna nebyl v práci, protože čerpal dovolenou, takže obratem byla doručená do e-mailové schránky poškozeného automatická odpověď, že adresát je na dovolené. A tak můžu spekulovat, že se to poškozený dozvěděl a věc se začala řešit trestní justicí.

Dostala se nakonec k soudu a bylo rozhodnuto, že došlo ke spáchání dokonce dvou trestných činů, a to v jednočinném souběhu. Konkrétně šlo o trestné činy neoprávněného přístupu k počítačovému systému a porušování tajemství listin a dokumentů uchovávaných v soukromí. 

Mohl byste ještě zmínit, jaký trest byl uložen?  

Krajský soud v Praze nakonec uložil pachateli peněžitý trest ve výši 6 000 Kč s náhradním trestem odnětím svobody na dobu dvou měsíců. 

Zmiňoval jste na začátku, jak poměrně banálně daný případ zní, ale v čem je tato schválená právní věta významná, proč právě o ní trestní kolegium jednalo? 

Právní věta schválená trestním kolegiem je významná z toho důvodu, že dělá pomyslnou tečku pro někoho do té doby otevřeným problémem. A to, jestli e-mailová zpráva, která se nachází v e-mailové schránce, je dokumentem uchovávaným v soukromí.

Pochybnosti o tom, zda se jedná o dokument uchovávány v soukromí zřejmě spočívaly v historickém pohledu na chápání dokumentů, které jsou uchovávány v soukromí, protože e-mailová zpráva je specifická tím, že se data nutně nenachází v dispozici adresáta tzn. v dispozici osoby, která má přístupové údaje k e-mailové schránce, ale z hlediska faktického data leží, válejí se někde na datových úložištích. Často je velmi obtížné vůbec identifikovat, kde, ale rozhodně se data fyzicky nenachází v prostoru, který by bylo vůbec možné označit jako prostor soukromí z hlediska adresáta e-mailové komunikace.

Tady z toho důvodu Nejvyšší soud měl zapotřebí zdůraznit, že i když e-mailová schránka prochází několika počítačovými systémy před tím, než vůbec doputuje k adresátovi, nijak to nezbavuje e-mailovou zprávu jejího soukromého charakteru.

Zjednodušeně řečenou odesílatel a adresát nezamýšlí zprávu sdělovat veřejnosti nebo širšímu okruhu osob, a i když e-mailová zpráva bez ohledu na jejich vůli prochází počítačovým systémem jiných osob, tak ji v trestní justici považujeme za zprávu soukromou. 

V daném případu mě zaujalo, že pachatel neprolomil žádné heslo ani se nijak aktivně do e-mailového účtu nesnažil dostat. Máte pocit, že i v tomto případu je trestní postih na místě? 

To je výborná otázka, která se v tomto případě určitě nabízí. I když se vyvození trestní odpovědnosti v tomto případě někomu může zdát poměrně přísné, tak zcela nepochybně došlo k naplnění znaků trestného činu a trestní justice neměla možnost rozhodnout jinak, protože to jsou otázky trestní politiky, které se řeší v parlamentu, kdy na parlamentu záleží na tom, co stanoví jako trestný čin. A v současných podmínkách trestní zákoník nevyžaduje, aby pachatel nějakým způsobem aktivně prolamoval heslo. Stačí, že neoprávněně získá přístup k počítačovému systému tzn. nemusí jít o hackera. Může heslo třeba odhadnout, může vědět, jak se jmenuje oblíbený domácí mazlíček poškozeného, zadat ho tzv. naslepo a tím už samozřejmě dojde ke spáchání trestného činu.

Podstata je, že osoba instinktivně samozřejmě ví, že to dělat nemá. A to byl případ i tohoto pachatele, který byl řešen před Nejvyšším soudem, kdy Nejvyšší soud právě upozorňoval na skutečnost, že pachatel moc dobře věděl, že e-mailová zpráva nebyla určena jemu a měl jasnou správnou představu o tom, že by ji neměl otevírat a notabene ji někomu dalšímu přeposílat. Nejvyšší soud upozornil, že i z textace, kterou k tomu připojil vyplývá, že věděl, že zprávou nemá disponovat, a přesto s ní disponoval.

Samozřejmě někdo může být překvapen, že to zajímá trestní justici. Teoreticky by to bylo možné řešit někde na úrovni přestupkových řízení, ale právní řád je takový, jaký teď máme a řešíme to těmito prostředky, byť vidíte, že sankce samozřejmě nebyla nijak drastická a s tou závažností odpovídala přestupkovému řízení, protože 6 000 Kč je sankce, která se běžně v přestupkových řízeních ukládá. 

Neměl by být na místě i postih pro zaměstnavatele, který novému zaměstnanci poskytl telefon, který nebyl připraven, či správně konfigurován, neboť nebyly smazané přístupové údaje, které takto v podstatě zaměstnanci poskytl? 

To je velmi dobrý postřeh, ale možná pro někoho překvapivě sama skutečnost, že nedošlo ke smazání přístupových údajů, trestným činem není.

Problém nebyl v tom, že pachatel měl v mobilním telefonu přístupové údaje k e-mailové schránce jiné osoby bez jejího svolení, a dokonce bez jejího vědomí. Problém spočíval v tom, že když na základě přihlašovacích údajů přišel e-mail do tohoto mobilního zařízení, tak pachatel, přestože věděl, že to není jeho e-mailová schránka, a že e-mail není určený jemu, otevřel ho, seznámil se s jeho obsahem a potom s tím e-mailem dalším způsobem nakládal. Což je zajímavé z toho hlediska, že samozřejmě on tak činil jako zaměstnanec svého zaměstnavatele a za určitých okolností by toto jednání teoreticky samozřejmě bylo přičítatelné jeho zaměstnavateli jako právnické osobě, pokud by ten zaměstnavatel právnickou osobu byl, což upřímně nevím. 

Pojďme si ještě říct, jaké jsou specifické problémy při trestněprávním postihu trestné činnosti související právě s počítačovými systémy. 

Tím nejzásadnějším specifikem a problémem je samozřejmě vysoká latence tzn. neodhalitelnost v trestné činnosti, protože trestná činnost v kyberprostoru obecně se vyznačuje tím, že poškození se mnohdy ani nedozví, že se stali obětí trestné činnosti. A i když se to dozví, tak možnosti, jak trestnou činnost zadokumentovat takovým způsobem, aby bylo možné zahájit trestní řízení, jsou velmi omezené.

Navíc s tím jde ruku v ruce určitá tolerance společnosti ve vztahu k trestné činnosti v kybernetickém prostoru, kdy některé druhy kybernetické kriminality jsou považovány skoro za kavalírské zločiny, kdy společnost obecně je v některých případech nevnímá vůbec jako společensky škodlivá jednání. Týká se to třeba trestných činů proti autorským právům. Případně si oběti vůbec neuvědomují širší souvislosti protiprávního jednání, které proti nim bylo činěno tzn. podceňují závažnost toho, že jim někdo ukradl identitu, že jim někdo ukradl přístupové údaje, přístupová hesla a chovají se neopatrně, protože následky buďto neznají, nebo jsou pro ně příliš nepředstavitelné, abstraktní. 

Když se podíváme do běžného života, co třeba nahlížení do telefonu partnera, to by mohl být úplně totožný případ. 

Nahlížení do telefonu partnera je citlivé téma a samozřejmě záleží na vztahu partnerů tzn. jestli se jedná o neoprávněný vstup do počítačového systému nebo nejedná.

Mobilní telefon ale samozřejmě a zcela jednoznačně je počítačovým systémem a není možné zneužívat znalost svého partnera aspoň z právního pohledu není možné a akceptovatelné zneužívat znalost partnera v tom smyslu, že jsem třeba schopen odhadnout nebo dokonce znám přístupová hesla mé partnerky, tak budu překonávat bezpečnostní opatření a vstupovat do jejího mobilního telefonu bez jejího souhlasu a vědomí a seznamovat se tam třeba s komunikací, kterou vede se svými přáteli.

Počítačový systém je z hlediska trestního práva chráněn a vztahuje se to, jak na partnery, tak na jakékoliv jiné osoby. 

Vyplývají z toho pro běžný život nějaká doporučení, jak se správně chovat, abychom se případně těmto problémům vyhnuli? 

Nadneseně řečeno samozřejmě nelézt, kam člověk nemá. Ale hlavně, a tady ten případ vlastně tou svojí běžností hezky ukazuje, že je potřeba přemýšlet nad moderními zařízeními se kterými zacházíme tak, že jsou to opravdu z hlediska soukromí extrémně citlivé věci. Tzn. přemýšlet nad důvěrným charakterem počítačových systémů a nad důvěrnosti počítačových dat, a to platí obzvlášť z právního hlediska.

Není rozdíl, jestli se někdo seznamuje s papírovou listinnou korespondencí, kterou si její adresát schovává někde v domácnosti nebo jestli se seznamuje s elektronickými daty, které mají totožnou povahu, které si sice nechrání tím, že by si je schovával někde v domácnosti fyzicky, protože to ani nejde, ale chrání si je přístupovými hesly, snaží se omezit přístup třetích osob k těmto informacím, datům a je potřeba to respektovat. Ostatně se jedná, jak to už v právu bývá, jenom o selský rozum nedělat lidem to, co by se jim nelíbilo.  

Samozřejmě druhé, to hlavní doporučení je, že by se lidé zvlášť dnes měli snažit jít s dobou a vzdělávat se, a to zejména v oblasti kybernetické bezpečnosti, protože veřejnost má tendenci podceňovat kybernetická rizika a podceňovat třeba i nastavenou firemní politiku kybernetické bezpečnosti.

Trestní předpisy samozřejmě chrání právní statky, ať už se týká o soukromí nebo o vlastnictví dat, takže to není jenom o neoprávněném přístupu k počítačovému systému, ale třeba nějakou hrubou lhostejností k politice zaměstnavatele ve vztahu ke kybernetické bezpečnosti, k nějakému desateru kybernetické bezpečnosti.

Tam může být poměrně zásadní problém, protože stojí za to upozornit, že trestní zákoník obsahuje i nedbalostní trestné činy, které se týkají počítačových systémů, jako je třeba poškození záznamu v počítačovém systému a na nosiči informací z nedbalosti, kdy trestný čin spočívá na tom, že se trestá pachatel, který z hrubé nedbalosti poruší povinnost vyplývající ze zaměstnání. Tedy třeba právě nějaký způsob, jak zacházet s e-mailovou komunikací a data uložená v počítačovém systému nebo nosiči informací v důsledku tohoto porušení svých povinností zničí, poškodí, pozmění nebo je učiní neupotřebitelnými.

Sám jsem se ve své praxi setkal s případy, kdy zaměstnanci nedodržovali povinnosti vyplývající ze svého zaměstnání ve vztahu ke kybernetické bezpečnosti a skutečně to mělo za následek zničení počítačového systému, respektive počítačových dat, které se v tom systému nacházely, protože došlo k uzamčení počítačového systému a dali průchod kybernetickému útoku na zaměstnavatele. 

JUDr. Martin Richter, Ph.D.

Diskuze (7) Vstoupit do diskuze

Vložit příspěvek

  1. Kmlkmh napsal:

    purchase levofloxacin generic order levofloxacin 500mg pills

  2. Faizsl napsal:

    cost dutasteride brand flomax zofran medication

  3. Tmvhwq napsal:

    cheap aldactone 100mg order valtrex generic order fluconazole for sale

  4. Eflhuo napsal:

    order ampicillin 250mg sale buy ampicillin 500mg online erythromycin cost

  5. Pvbuvd napsal:

    fildena 50mg over the counter buy fildena 100mg sale robaxin order online

  6. Koymab napsal:

    order generic sildenafil 100mg purchase sildenafil pills estradiol 2mg for sale

  7. Xezckt napsal:

    lamotrigine order lamotrigine without prescription order retin cream without prescription