Zákony a předpisy upravující kybernetickou bezpečnost
3. Právní základ činnosti ISP (internet service provider - poskytovatel internetových služeb).
3.1. Regulace činnosti ISP v České republice
Základní právní normou charakterizující činnost ISP v České republice je zákon č. 480/2004 Sb., o některých službách informační společnosti[1]. Tento zákon je implementací Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services.[2]
Český zákon o některých službách informační společnosti rozeznává následující tři poskytovatele služeb, přičemž stanoví, že poskytovatelem služby je každá fyzická nebo právnická osoba, která poskytuje některou ze služeb informační společnosti:[3]
1. Poskytovatele služeb spočívajících v přenosu informací poskytnutých uživatelem (angl. Mere Conduit nebo Access Provider).
2. Poskytovatele služeb spočívajících v automatickém mezi ukládání informací poskytnutých uživatelem (tzv. caching).
3. Poskytovatele služeb spočívajících v ukládání informací poskytnutých uživatelem (tzv. storage nebo hosting).
Z výše uvedené definice není vyloučena žádná osoba (nemusí se jednat např. o osobu podnikající podle jiného právního předpisu), nicméně platí, že pokud se na poskytovatele vztahují další speciální předpisy (viz např. některý z poskytovatelů připojení), musí se jimi také řídit.
Graficky je možné uvedené poskytovatele (a vázanost jednotlivými právními předpisy znázornit následovně:
Příjemcem služby informační společnosti je pak uživatel, kterým může být každá fyzická nebo právnická osoba, která využívá službu informační společnosti, zejména za účelem vyhledání či zpřístupnění informací.[4]
Službou informační společnosti se dle zákona o některých službách informační společnosti rozumí „jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu. Služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat.“[5]
Definice uvedená v České právní úpravě pak přímo vychází ze Směrnice Evropského parlamentu a Rady (EU) 2015/1535 [čl. 1 písm. b)], která uvádí, že službou je „jakákoli služba informační společnosti, tj. každá služba poskytovaná zpravidla za úplatu, na dálku, electronicky a na individuální žádost příjemce služeb.”
Z této definice vyplývají čtyři základní znaky služby:
- je poskytovaná elektronickými prostředky,
- je poskytována na individuální žádost uživatele,
- je běžně poskytována za odměnu,
- je poskytována distančně (na dálku).
Pojem poskytování pomocí elektronických prostředků je uveden ve Směrnici Evropského parlamentu a Rady (EU) 2015/1535 v čl. 1 písm. b) ii), kde je definováno, že se jedná o službu, která je odeslána z výchozího místa a je přijata v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat. Tato služba je jako celek odeslána, přenesena nebo přijata drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky. Česká úprava využívá demonstrativního výčtu, kde je uvedeno, že se jedná zejména o síť elektronických komunikací, elektronická komunikační zařízení, automatické volací a komunikační systémy, telekomunikační koncová zařízení a elektronickou poštu.[6]
Individuální žádost uživatele znamená, že se musí jednat o aktivní činnost ze strany uživatele. Husovec uvádí, že jde o případy, kdy například uživatel sám vpíše adresu do políčka prohlížeče (IE, Firefox, Chrome aj.), čímž formuluje žádost na otevření příslušné stránky, nebo napíše SMS zprávu. Typickým příkladem služby, která je poskytována bez individuální žádosti, pak podle Husovce je např. televizní vysílání.[7]
Nejproblematičtějším kritériem definice služby informační společnosti je, že tato služba je poskytována za odměnu. Česká úprava kopíruje i v tomto bodě úpravu mezinárodní a obsahuje ustanovení „zpravidla za úplatu“. V prostředí Internetu či jiných počítačových sítí existuje celá řada služeb, které jsou poskytovány „zdarma“. Husovec zcela správně argumentuje tím, že pod pojmem odměna si je možné představit celou řadu skutečností odlišných od ryze peněžitého plnění.[8] Může se jednat o plnění, které bude mít podobu nepeněžitého charakteru, kdy ISP získá o uživatelích informace v podobě osobních, technických a jiných údajů, času stráveného užíváním dané služby, nabídne uživateli reklamu na jiné produkty atd. Nicméně i tato podmínka by měla dle Husovce být interpretována extenzivněji, a to tak, že je vyvíjena činnost potenciálně ekonomická.[9]
Díky tomu, že si pod pojmem úplata lze představit skutečně rozlišné možnosti (např. poděkování, návštěva stránky či odkazu, finanční či jiné plnění), a díky znění zákona o některých služdách informační společnosti (viz „zpravidla za úplatu“) lze vyvodit závěr, že činnost poskytovatele služeb informační společnosti může být poskytována i zdarma.
Pojem na dálku definuje Směrnice Evropského parlamentu a Rady (EU) 2015/1535 jako službu, která je poskytována bez současné přítomnosti stran.[10]
Husovec ve své monografii dále uvádí příklady, které demonstrují, co vše lze považovat za službu informační společnosti. Pod tento pojem je třeba dle Směrnice 2000/31/ES Evropského parlamentu a Rady zařadit celou řadu činností, ke kterým dochází v online světě. Může se jednat o online prodej zboží, služby, které poskytují online informace, komerční komunikaci, či služby poskytující nástroje pro vyhledávání, přístup a získávání údajů, služby poskytující přenos informací prostřednictvím komunikační sítě aj.
„Judikatura Soudního dvora EU již přímo či nepřímo uznala například službu AdWords (inzertní služba ve vyhledávači Google)[11], službu pojištění motorových vozidel přes Internet[12], on-line prodej kontaktních čoček[13], připojení se k Internetu[14], rezervaci hotelu skrze email[15], rezervaci služeb cestovní kanceláře skrze email[16], aukční server eBay[17]a klasické vyhledávání od společnosti Google.“ [18]
3.1.1 Poskytovatelé služeb spočívajících v přenosu informací poskytnutých uživatelem (Mere Conduit či Access Provider)
Z hlediska zákona o některých službách informační společnosti může být tímto poskytovatelem jakákoli fyzická či právnická osoba, která je schopna poskytovat jiným subjektům (fyzickým či právnickým osobám) službu přenosu informací (poskytnutých uživatelem) prostřednictvím sítí elektronických komunikací nebo ve zprostředkování přístupu k sítím elektronických komunikací za účelem přenosu informací.
Takovýmto poskytovatelem pak nebudou pouze osoby podnikající v oblasti připojování jiných k počítačovým sítím či do Internetu (typicky se bude jednat o osoby zapsané v Evidenci podnikatelů v elektronických komunikacích podle všeobecného oprávnění)[19], ale půjde o jakoukoli osobu poskytující či zprostředkovávající přenos informací prostřednictvím sítí elektronických komunikací. Lze si tedy představit situaci, kdy bude poskytovatelem připojení podle tohoto zákona i osoba, která zřídí a jiným zpřístupní například WiFi připojení v rámci restaurace, bytového domu, domácnosti aj. Stejně tak do této kategorie budou spadat například i školy (typicky vysoké školy poskytující svým studentům a učitelům konektivitu v rámci své sítě či do Internetu.). Službou spočívající v přenosu informací však je i např. aplikace Skype, ICQ aj. Velmi zjednodušeně můžeme označit tyto poskytovatele za poskytovatele připojení.
Z hlediska vymezení jednotlivých práv a povinností poskytovatelů připojení je nicméně třeba tyto poskytovatele rozdělit do dvou skupin, a to na poskytovatele veřejné a neveřejné. Na obě dvě skupiny poskytovatelů připojení se vztahuje zákon o některých službách informační společnosti, avšak na veřejné poskytovatele připojení se dále vztahuje zákon o elektronických komunikacích, který těmto poskytovatelům stanoví další práva a povinnosti. K určení, zda je poskytovatel zařazen do té které skupiny pomůže výše uvedená Evidence podnikatelů v elektronických komunikacích podle všeobecného oprávnění spravovaná Českým telekomunikačním úřadem.
3.1.1.1 Práva a povinnosti poskytovatele služeb spočívajících v přenosu informací poskytnutých uživatelem dle ZSIS
Zákon o některých službách informační společnosti v případě poskytovatele připojení v co možná největší míře omezuje odpovědnost tohoto subjektu za přenášené informace. Zvláštní požadavky a podmínky jsou však stanoveny vůči operátorům služeb elektronických komunikací. Tyto podmínky stanoví zákon o elektronických komunikacích. Ustanovení čl. 12 směrnice č. 2000/31/ES umožňuje členským státům nařídit Poskytovateli, aby přerušil poskytování služeb, skrze něž dochází k přenosu informací, jež neoprávněně zasahují do práv jiného. Tato možnost je jedním z prostředků, jak zabránit protiprávnímu jednání. Příkaz k přerušení poskytování služeb zpravidla vydává soud.
Poskytovatele připojení lze činit odpovědného za obsah informace jen pokud:
§ přenos sám iniciuje,
§ zvolí uživatele přenášené informace, nebo
§ zvolí nebo změní obsah přenášené informace.[20]
Podle § 6 ZSIS není poskytovatel připojení povinen dohlížet na obsah přenášených informací, či aktivně zjišťovat protiprávnost přenášené informace. Poskytovatele nelze činit odpovědného za kvalitu informace (kterou mu nelze přičíst), a to i v případě, že si je vědom protiprávnosti přenášené informace.[21]
3.1.1.2 Práva a povinnosti poskytovatele služeb spočívajících v přenosu informací poskytnutých uživatelem dle zák. č. 127/2005 Sb.
Veřejní poskytovatelé připojení se dále řídí zákonem č. 127/2005 Sb., o elektronických komunikacích[22]. Tento zákon definuje některé pojmy, které dále používá. Pro účely této monografie se jedná zejména o:
- Službu elektronických komunikací [§ 2 písm. n) ZoEK[23]]. Tímto pojmem se dle § 2 písm. n) ZoEK rozumí služba, která je obvykle poskytována za úplatu a spočívá (zcela nebo převážně) v přenosu signálů po sítích elektronických komunikací. Touto službou pak nejsou služby nabízející obsah prostřednictvím sítí a služeb elektronických komunikací nebo vykonávají redakční dohled nad obsahem přenášeným sítěmi a poskytovaný službami elektronických komunikací. Dále touto službou nejsou služby informační společnosti, které nespočívají zcela nebo převážně v přenosu signálů po sítích elektronických komunikací.
- Veřejně dostupnou službou elektronických komunikací [§ 2 písm. o) ZoEK]. Touto službou je taková služba elektronických komunikací, z jejíhož využívání není nikdo předem vyloučen.
Nevyloučením se rozumí možnost uzavřít smlouvu s podnikatelem, jenž poskytuje veřejně dostupnou službu elektronických komunikací. Podstatné je, že tato služba je otevřena širokému okruhu lidí, z nichž není nikdo předem vyloučen. Opakem takovéto služby může být například členství v různých spolcích, komorách, či například status studenta školy.
- Podnikatel, který zajišťuje nebo je oprávněn zajišťovat veřejnou komunikační síť nebo přiřazené prostředky, je tímto zákonem označován za operátora [§ 2 písm. e) ZoEK].
- Účastníkem [§ 2 písm. a) ZoEK] je každý, kdo uzavřel s podnikatelem poskytujícím veřejně dostupné služby elektronických komunikací smlouvu na poskytování těchto služeb. Uživatelem [§ 2 písm. n) ZoEK] je každý, kdo využívá nebo žádá veřejně dostupnou službu elektronických komunikací.
Zákon o elektronických komunikacích zavedl, na základě Směrnice Evropského parlamentu a Rady 2006/24/ES, ze dne 15. března 2006, o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES [24], povinnost preventivně uchovávat provozní a lokalizační údaje[25] o uskutečněné elektronické komunikaci. Tato povinnost se vztahuje pouze na podnikatele, který zajišťuje nebo je oprávněn zajišťovat veřejnou komunikační síť nebo přiřazené prostředky.
Účelem směrnice o Data Retention bylo harmonizovat předpisy členských států týkající se povinnosti poskytovatelů veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí, pokud jde o uchovávání provozních a lokalizačních údajů tak, aby se daly poskytovat příslušným orgánům členských států pro účely prevence, vyšetřování, odhalování a stíhání závažné trestné činnosti, jako jsou terorismus a organizovaný zločin
Rozsah směrnice byl stanoven na oblast provozních a lokalizačních údajů o právnických i fyzických osobách a na související údaje, které jsou nezbytné k identifikaci účastníka nebo registrovaného uživatele.
Tato směrnice se nevztahovala na obsah elektronických sdělení ani na informace vyžadované při použití sítě elektronických komunikací.
Členské státy byly dle Směrnice povinny zajistit, aby se telekomunikační údaje uchovávaly po dobu nejméně šesti měsíců a nejvýše dvou let ode dne komunikace. Uvedená směrnice byla v různých podobách transponována do právních řádů členských zemí EU. Nicméně už od jejího vzniku docházelo k názorovým střetům na směrnici jako takovou. Odpůrci namítali, že směrnice nepřiměřeným způsobem zasahuje do základních lidských práv a svobod, zejména tím, že de facto přikazuje plošné sbírání informací o jednotlivých uživatelích. Dále bylo argumentováno, že směrnice (v takto obecné podobě) by nebyla schopna projít testem proporcionality.
Test proporcionality je standardním právním nástrojem jak soudů mezinárodních, tak soudů ústavních (národních) v případě, že se posuzuje konflikt ustanovení právního řádu, sledující ochranu ústavně zaručeného práva či veřejného zájmu, s jiným základním právem či svobodou. Test proporcionality zahrnuje tři kritéria posuzování přípustnosti zásahu:
- Princip vhodnosti (způsobilosti naplnění účelu), dle něhož musí být příslušné opatření vůbec schopno dosáhnout zamýšleného cíle, jímž je ochrana jiného základního práva nebo veřejného statku.
- Princip potřebnosti, dle něhož je povoleno použití pouze prostředku nejšetrnějšího k dosažení požadovaného účelu (zásahu do základních práv a svobod), z více možných prostředků.
- Princip přiměřenosti (v užším smyslu), dle kterého újma na základním právu nesmí být nepřiměřená ve vztahu k zamýšlenému cíli, tj. opatření omezující základní lidská práva a svobody nesmějí, jde-li o kolizi základního práva či svobody s veřejným zájmem, svými negativními důsledky přesahovat pozitiva, která představuje veřejný zájem na těchto opatřeních.
Směrnice o Data Retention, respektive její národní transpozice se staly předmětem ústavních žalob v některých zemích EU. Z těch nejvýznamnějších je třeba zmínit rozhodnutí ústavních soudů Rumunska (2009), Německa (2010) a České republiky (2011). Zaměřím se na rozhodnutí soudů v SRN a ČR.
Spolkový ústavní soud SRN, který řešil konflikt mezi svobodou a bezpečností (na základě směrnice o Data Retention) a vyslovil se ve prospěch svobody jednotlivce. Dne 2. března 2010 soud rozhodl, že hromadné uchovávání údajů o telefonických a datových přenosech je v Německu neústavní.
Soud tak reagoval na hromadnou stížnost 35 000 občanů, kteří žádali zrušení zákona z roku 2008, jenž telekomunikačním společnostem nařizoval archivovat záznamy o telefonických hovorech a e-mailové komunikaci po dobu šesti měsíců pro potřeby vyšetřovacích orgánů. Spolkový ústavní soud napadené předpisy jako neústavní zrušil. Dále uvedl, že povinnost uchovávat údaje ve stanoveném rozsahu sice není od samého počátku zcela protiústavní, chybí však zákonná úprava odpovídající zásadě přiměřenosti. Dle vyjádření soudu nebyly napadené předpisy v souladu s ústavněprávními požadavky na bezpečnost dat, nedošlo k jasnému vymezení účelu použití údajů (a transparentnosti použití údajů) a nebyla dostatečně zajištěna právní ochrana.
Soud uvedl, že „využívání základních práv a svobod občanů (zde tajemství zpráv podávaných elektronickými komunikačními prostředky) nesmí být ze strany státu kompletně sledováno, dokumentováno a registrováno; to patří k ústavně právní identitě Spolkové republiky Německo, o jejíž zachování se republika musí zasazovat v evropských i mezinárodních souvislostech“.[26]
V České republice došlo k implementaci směrnice o Data Retention ještě před její účinností v rámci EU (V EU byla implementována 15. března 2007, s požadavkem na transpozici do 15. září 2007. V ČR byla implementována do § 97/3 ZoEK, s účinností od 1. 5. 2005). I v ČR došlo k podání ústavní stížnosti, konkrétně sdružením Iuricum Remedium, kterou podpořila skupina 51 poslanců . Tato stížnost byla podána k Ústavnímu soudu v březnu 2010. V roce 2011 pak Ústavní soud rozhodl a zcela vyhověl návrhu na úplné zrušení příslušných pasáží zákona o elektronických komunikacích (konkrétně se jednalo o § 97 odst. 3 a 4) a prováděcí vyhlášky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů a zrušení ustanovení trestního řádu.[27] Soud se vyjádřil následovně: „Ústavní soud seznal, že napadená právní úprava porušuje ústavněprávní limity, neboť nesplňuje požadavky plynoucí z principu právního státu a je v kolizi s požadavky na omezení základního práva na soukromí v podobě práva na informační sebeurčení ve smyslu čl. 10 odst. 3 a čl. 13 Listiny, které plynou z principu proporcionality.“
Legislativci v ČR reagovali na námitky Ústavního soudu ČR a byla přijata nová právní úprava, která v ČR nadále umožňuje plošné uchovávání provozních a lokalizačních údajů, neboť respektuje již dříve zmíněný test proporcionality zejména tím, že jasně deklaruje okruh subjektů (oprávněných provozní a lokalizační údaje vyžadovat) a účel pro který je možné údaje vyžadovat.
Zároveň byla přijata opatření, jež přikazují podnikatelům dle zákona o elektronických komunikacích přijmout taková pravidla, aby měly provozní a lokalizační údaje zajištěny stejnou kvalitu a podléhaly stejnému zabezpečení a ochraně před neoprávněným přístupem, změnou, zničením, ztrátou anebo odcizením nebo jiným neoprávněným zpracováním nebo využitím, jako údaje podle § 88 ZoEK.[28]
Byla také stanovena maximální délka, po kterou je možné tyto údaje uchovávat, ta v současnosti činí 6 měsíců. Po uplynutí této doby je právnická nebo fyzická osoba, která provozní a lokalizační údaje uchovává, povinna je zlikvidovat, pokud nebyly poskytnuty orgánům oprávněným k jejich využívání podle zvláštního právního předpisu nebo pokud zákon nestanoví jinak (§ 90 ZoEK). Dále byla stanovena povinnost zajistit, aby při uchovávání provozních a lokalizačních údajů nebyl uchováván obsah zpráv a takto uchovávaný dále předáván (§ 97 odst. 3 ZoEK).
Zároveň byla v trestním řádu zdůrazněna zásada subsidiarity (zejm. § 88 a 88a zák č. 141/1961 Sb., o trestním řízení soudním: „nelze-li sledovaného účelu dosáhnout jinak, nebo bylo-li by jinak jeho dosažení podstatně ztížené“). Garance minimální ingerence do základních lidských práv je v těchto případech dána mimo jiné i tím, že příkaz k vydání provozních a lokalizačních údajů vydává soudce na návrh státního zástupce.
Kdo a za jakých podmínek je tedy v ČR oprávněn žádat vydání provozních a lokalizačních údajů? Dle § 97 odst. 3 ZoEK je právnická nebo fyzická osoba, která provozní a lokalizační údaje uchovává, na požádání povinna je bezodkladně poskytnout:
a) orgánům činným v trestním řízení pro účely a při splnění podmínek stanovených zvláštním právním předpisem[29],
b) Policii České republiky pro účely zahájeného pátrání po konkrétní hledané nebo pohřešované osobě, zjištění totožnosti osoby neznámé totožnosti nebo totožnosti nalezené mrtvoly, předcházení nebo odhalování konkrétních hrozeb v oblasti terorismu nebo prověřování chráněné osoby a při splnění podmínek stanovených zvláštním právním předpisem[30],
c) Bezpečnostní informační službě pro účely a při splnění podmínek stanovených zvláštním právním předpisem[31],
d) Vojenskému zpravodajství pro účely a při splnění podmínek stanovených zvláštním právním předpisem[32],
e) České národní bance pro účely a při splnění podmínek stanovených zvláštním právním předpisem61)[33].
V rámci Evropské unie pak soudní dvůr EU (dne 8. 4. 2014) po předchozím stanovisku[34] svého generálního advokáta Pedra Cruze Villalóna vynesl verdikt[35], v jehož rámci zneplatnil příslušnou směrnici o data retention (2006/24/ES).
„Dnešním rozsudkem prohlašuje Soudní dvůr směrnici za neplatnou.“
„Vzhledem k tomu, že Soudní dvůr neomezil časové účinky rozsudku, je prohlášení neplatnosti účinné ode dne, kdy směrnice vstoupila v platnost“.
Soudní dvůr EU zejména vytýkal tu skutečnost, že „unijní zákonodárce překročil přijetím směrnice o uchovávání provozních údajů hranice vymezené požadavkem na dodržování zásady proporcionality.“
Rozhodnutí spočívající v ponechání či zrušení platných legislativ, které řeší uchovávání provozních a lokalizačních údajů v členských státech EU, je plně na příslušných národních orgánech a samotná Unie jim nehodlá ani doporučovat či dávat nějaké vodítko ohledně toho, jak se mají zachovat.[36]
Jak se postavit k plošnému uchovávání provozních a lokalizačních údajů? Osobně se domnívám, že v kyberprostoru není možné jiným způsobem zrekonstruovat události, které se odehrály v minulosti, než tak, že budou uchovávány provozní a lokalizační údaje. Kyberprostor a ICT, které umožňují velmi rychlou změnu topologie sítě, služeb aj. technologie, které umožňují získání několika různých identit v rámci jednotek sekund vlastně ani jinou možnost nepřipouští.
Uvědomuji si, že plošné uchovávání provozních a lokalizačních údajů zasahuje do mých základních práv a svobod, nicméně tím, že jsem přijal koncepci společenské smlouvy a vzdal jsem se části svých práv a svobod ve prospěch autority (v našem případě státu), která má zajistit ochranu moji a mých práv, vlastně ani jinou možnost nemám. Domnívám se, že pokud chceme efektivně prověřovat a vyšetřovat kybernetickou trestnou činnost, kybernetické útoky a jiné negativní jevy, jež se odehrávají v kyberprostoru, tak se bez tohoto nástroje neobejdeme. Otázka, kterou bychom měli řešit, by neměla znít: „Jak omezit sbírání údajů a dat o osobách v kyberprostoru (neboť toto se na zcela jiných úrovních děje), a tím omezit možnosti státu řešit negativní jevy v kyberprostoru?“ Otázky, které jsou zcela legitimní a které by měly být řešeny, jsou: „Jak nastavit pravidla, komu a za jakých podmínek povolit přístup k těmto údajům, co se s těmito údaji děje, pro jaké účely mohou být využívány, atd.“
Osobně jsem přesvědčen o tom, že podobné údaje by neměli uchovávat pouze veřejní poskytovatelé připojení, ale všichni ISP, kteří poskytují nějakou službu. Důvodů pro toto tvrzení mám několik.
Za prvé se domnívám, že ostatní služby, než ty, jež spočívají v poskytnutí připojení, jsou a do budoucna budou majoritními službami v kyberprostoru. Uživatel tak přestává řešit otázku, kdo a jakým způsobem ho připojuje, a primárně se věnuje službám, které mohou mít například i podobu virtuálního propojení do různých virtuálních prostředí. Významné tedy nebude samo fyzické propojení, jako propojování mezi jednotlivými službami.
Druhým důvodem je ta skutečnost, že v současnosti již ze strany poskytovatelů těchto služeb dochází v drtivé většině k uchovávání ne jen provozních a lokalizačních údajů, ale celé řady dalších údajů, které jim uživatelé dovolí uchovávat na základě smluvních podmínek uzavřených mezi ISP a koncovým uživatelem.
Posledním důvodem je vlastní ochrana ISP před uživateli. Poskytovatel služby musí respektovat právo a je v jeho nejlepším zájmu uchovávat údaje, které by ho mohly případně zprostit odpovědnosti například za škodu, či jinou újmu.
K uchovávání provozních a lokalizačních údajů se nedávno vyjádřil i generální advokát[37], který konstatoval, že data retention představuje v mnoha případech jediný účinný nástroj k řešení bezpečnostních rizik a závažné trestné činnosti. Současně formuloval požadavky na jeho proporcionální implementaci v právních řádech členských států.
Grafické znázornění rozdělení poskytovatelů připojení a některých jejich práv a povinností
3.1.2 Poskytovatelé služeb spočívajících v automatickém meziukládání informací poskytnutých uživatelem (tzv. caching)
Caching spočívá v přenosu informací, při němž dochází automaticky dočasně k jejich meziuložení. Následně je tato informace přenesena příjemci služby na jejich žádost.
„Caching je v podstate špecialnou upravou služby mere conduit, keďže aj ten zahŕňa prenos s prechodnym medzi-uloženim informacii. Jediny rozdiel, v ktorom by služba caching mohla vybočovať z ramca široko koncipovanej mere conduit je to, že ukladanie pri prenose je vykonane na „dobu dlhšiu, ako je primerane nutne na prenos“.[38]
Husovec dále velmi výstižně popisuje služby cachingu na příkladu proxy serveru či browseru cachingu, které urychlují načítání webových stránek. Příjemcem služby je majitel webové stránky deníku (tzv. primární příjemce), jehož obrázky si poskytovatel cachingu uloží na geograficky bližším počítači (např. v Evropě), aby nemusel neustále přistupovat na počítač, kde je v originále webová stránka uložena (např. Afrika), čímž se urychlí celkové načítání stránky (v Evropě). Uživatel, který jde webovou stránku navštívit a je dalším příjemcem služby (tzv. sekundární příjemce), tak na základě individuální žádosti adresované poskytovateli služby cachingu získá obrázek z jeho počítače a není nucen „cestovat“ na počítač originální.[39]
Poskytovatelé cachingu nejsou zbaveni odpovědnosti za kvalitu informací, pokud dojde z jejich strany k porušení standardních či smluvených technických podmínek cachingu.[40]
Poskytovatel cachingu je dle § 4 ZSIS odpovědný v případě, že:
a) změní obsah informace,
b) nevyhoví podmínkám přístupu k informaci,
c) nedodržuje pravidla o aktualizaci informace, která jsou obecně uznávána a používána v příslušném odvětví,
d) překročí povolené používání technologie obecně uznávané a používané v příslušném odvětví s cílem získat údaje o užívání informace, nebo
e) ihned nepřijme opatření vedoucí k odstranění jím uložené informace nebo ke znemožnění přístupu k ní, jakmile zjistí, že informace byla na výchozím místě přenosu ze sítě odstraněna nebo k ní byl znemožněn přístup nebo soud nařídil stažení či znemožnění přístupu k této informaci.
Poskytovatel cachingu nemá povinnost aktivně vyhledávat skutečnosti a okolnosti poukazující na protiprávní obsah informace či dohlížet na obsah jimi přenášených nebo ukládaných informací.
3.1.3 Poskytovatele služeb spočívajících v ukládání informací poskytnutých uživatelem (tzv. storage nebo hosting)
Poskytováním storage nebo hostingu se rozumí zpřístupnění úložiště (prostoru) uživateli, aby si tam mohl umístit data. Ukládání informací, resp. dat, na rozdíl od mere confuit či cachingu, není pouze dočasné. Mezi služby hostingu je možné zařadit:
a) Webhosting (Active 24, Ignum, Zoner aj.)
b) Cloudová úložiště umožňující ukládání jakýchkoli souborů a dat (Dropbox, iCloud, Microsoft OneDrive, ownCloud aj.)
c) Úložiště souborů (Rapidshare, DropBox aj.)
d) Úložiště videí (YouTube aj.)
e) Úložiště zvukových souborů (iTunes aj.)
f) Služby internetových aukcí (eBay aj.)
g) Blogy, fóra, diskusní chaty aj.
h) Sociální sítě (Facebook, Twitter aj.).
Uvedený výčet není konečný, v rámci hostingu může být poskytována celá řada dalších služeb.
U poskytovatelů hostingu je situace s jejich případnou právní odpovědností nejsložitější.[41] Opět se vychází z ustanovení směrnice č. 2000/31/ES, jejíž doporučení přejal český zákonodárce do § 5 ZSIS. V tomto ustanovení je dána podmínka alespoň nevědomé nedbalosti[42] poskytovatele ve vztahu k protiprávnímu obsahu informace u něj uložené. Zákonodárce však neukládá poskytovatelům povinnost aktivně vyhledávat protiprávní informace uživatelů[43] (neboť by v mnohých případech šlo de facto o zásah do základních práv a svobod zaručených Listinou - např. čl. 13) či dohlížet na obsah přenášených nebo ukládaných informací.
Poskytovatel hostingu je dle § 5 odst. 1 ZSIS odpovědný v případě, že:
a) mohl vzhledem k předmětu své činnosti a okolnostem a povaze případu vědět, že obsah ukládaných informací nebo jednání uživatele jsou protiprávní, nebo
b) dozvěděl-li se prokazatelně o protiprávní povaze obsahu ukládaných informací nebo o protiprávním jednání uživatele a neprodleně neučinil veškeré kroky, které lze po něm požadovat, k odstranění nebo znepřístupnění takovýchto informací.
Poskytovatel hostingu je vždy odpovědný za obsah uložených informací v případě, že vykonává přímo nebo nepřímo rozhodující vliv na činnost uživatele.[44]
Pro účely této monografie byly vybrány pouze určité aspekty, které se vztahují k poskytovatelům služeb informační společnosti, zejména s ohledem na využitelnost informací v rámci odhalování a vyšetřování kybernetické kriminality a kybernetických útoků.
[1] Dále jen zákon o některých službách informační společnosti či ZSIS
[2] Dostupný online: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32015L1535&qid=1624364501265
[3] Viz § 2 písm. d) ZSIS
[4] Viz § 2 písm e) ZSIS
[5] § 2 písm. a) ZSIS
[6] Viz § 2 písm. c) ZSIS
[7] Blíže viz HUSOVEC, Martin. Zodpovednosť na Internete podľa českého a slovenského práva. Praha: CZ.NIC, 2014, s. 100
[8] Tamtéž viz s. 98
[9] Tamtéž s. 99
[10] Viz čl. čl. 1 písm. b) i) této směrnice.
[11] Rozhodnutie Google France C-236/08 až C-238/08.
[12] Rozhodnutie Bundesverband C-298/07.
[13] Rozhodnutie Ker-Optika C-108/09.
[14] Rozhodnutie Promusicae C-275/06 a Tele 2. C-557/07
[15] Rozhodnutie Alpenhof C-144/09.
[16] Rozhodnutie Pammer C-585/08.
[17] Rozhodnutie L'Oreal v. Ebay 324/09.
[18] HUSOVEC, Martin. Zodpovednosť na Internete podľa českého a slovenského práva. Praha: CZ.NIC, 2014. ISBN: 978-80-904248-8-3, s. 101-102.
[19] Databáze podnikatelů v elektronických komunikacích podle všeobecného oprávnění je dostupná online: https://www.ctu.cz/vyhledavaci-databaze/evidence-podnikatelu-v-elektronickych-komunikacich-podle-vseobecneho-opravneni
[20] Tyto tři možnosti činí poskytovatele připojení odpovědného de facto pouze v případě, že je sám subjektem, který aktivně odesílá, či jinak manipuluje s přenášenými informacemi.
[21] Srov. čl. 12 směrnice č. 2000/31/ES a ust. § 3 odst. 1, 2 zák. č. 480/2004 Sb.
[22] Dále jen ZoEK
[23] Dále jen ZoEK
[24] Dále jen směrnice o Data Retention. Pojem data retention znamená plošné ukládání provozních a lokalizačních údajů u poskytovatelů připojení (v ČR u poskytovatelů dle zákona o elektronických komunikacích).
[25] Viz § 97 odst. 4 ZoEK.
Provozními a lokalizačními údaji jsou zejména údaje vedoucí k dohledání a identifikaci zdroje a adresáta komunikace a dále údaje vedoucí ke zjištění data, času, způsobu a doby trvání komunikace.
Rozsah provozních a lokalizačních údajů, forma a způsob jejich předávání orgánům oprávněným k využívání podle zvláštního právního předpisu (viz § 97 odst. 3 ZoEK) a způsob jejich likvidace stanoví prováděcí právní předpis. Prováděcím předpisem je vyhláška č. 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů.
[26] German Federal Constitutional Court rejects data retention law. [online]. [cit.16.7.2016]. Dostupné z: https://edri.org/edrigramnumber8-5german-decision-data-retention-unconstitutional/
Srov dále např.:
National legal challenges to the Data Retention Directive. [online]. [cit.16.7.2016]. Dostupné z: https://eulawanalysis.blogspot.cz/2014/04/national-legal-challenges-to-data.html
Data retention unconstitutional in its present form. [online]. [cit.16.7.2016]. Dostupné z: https://www.bundesverfassungsgericht.de/SharedDocs/Pressemitteilungen/EN/2010/bvg10-011.html?nn=5404690
German Bundestag Passes New Data Retention Law. [online]. [cit.16.7.2016]. Dostupné z: http://www.gppi.net/publications/global-internet-politics/article/german-bundestag-passes-new-data-retention-law/
[27] Viz Nález Ústavního soudu Pl. ÚS ÚS 41/11, ze dne 22. 3. 2011. Shromažďování a využívání provozních a lokalizačních údajů o telekomunikačním provozu. [online]. [cit. 24. 8. 2016]. Dostupné z: http://nalus.usoud.cz/Search/ResultDetail.aspx?id=69635&pos=1&cnt=4&typ=result
[28] Blíže viz § 88a ZoEK
[29] Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů.
[30] Zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů.
Zákon č. 137/2001 Sb., o zvláštní ochraně svědka a dalších osob v souvislosti s trestním řízením a o změně zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů.
[31] § 6 až 8 zákona č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů.
[32] § 9 a 10 zákona č. 289/2005 Sb., o Vojenském zpravodajství.
[33] Zákon č. 15/1998 Sb., o dohledu v oblasti kapitálového trhu a o změně a doplnění dalších zákonů, ve znění pozdějších předpisů.
[34] Stanovisko Generálního advokáta Pedra Cruz Villalóna. Věc C-293/12 a C-594/12. [online]. [cit.15.7.2016]. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=145562&pageIndex=0&doclang=CS&mode=req&dir=&occ=first&part=1&cid=727954
[35] Soudní dvůr Evropské unie. Tisková zpráva č. 54/14, ze dne 8. 4. 2014. Rozsudek ve spojených věcech C-293/12 a C-594/12. [online]. [cit.15.7.2016]. Dostupné z: http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-04/cp140054cs.pdf
[36] PETERKA, Jiří. Uchovávat provozní a lokalizační údaje nám už EU nenařizuje. My to v tom ale pokračujeme. [online]. [cit. 10. 11. 2015]. Dostupné z: http://www.earchiv.cz/b14/b0428001.php3
[37] Stanovisko Generálního advokáta SAUGMANDSGAARD ØE, ze dne 19. 7. 2016. Ve spojených věcech C-203/15 a C-698/15. [online]. [cit.10.8.2016]. Dostupné z: http://curia.europa.eu/juris/document/document.jsf?text=&docid=181841&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=111650
[38] viz HUSOVEC, Martin. Zodpovednosť na Internete podľa českého a slovenského práva. Praha: CZ.NIC, 2014, s. 133
[39] Tamtéž s. 133
[40] Srov. čl. 13 směrnice č. 2000/31/ES a ust. § 4 ZSIS
Srov. POLČÁK, Radim. Právo na internetu. Spam a odpovědnost ISP. Brno: Computer Press, 2007, s. 58
[41] Srov. čl. 14 směrnice č. 2000/31/ES a ust. § 5 ZSIS
[42] Srov. ust. § 16 odst. 1 písm. b) TZK.
[43] Srov. čl. 15 směrnice č. 2000/31/ES a ust. § 6 ZSIS
[44] § 5 odst. 2 ZSIS