Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Vladimír Smejkal Právní ochrana informačních systémů veřejné správy Prof. Vladimír Smejkal soudní znalec člen Legislativní rady vlády.

Podobné prezentace


Prezentace na téma: "Vladimír Smejkal Právní ochrana informačních systémů veřejné správy Prof. Vladimír Smejkal soudní znalec člen Legislativní rady vlády."— Transkript prezentace:

1 Vladimír Smejkal Právní ochrana informačních systémů veřejné správy Prof. Vladimír Smejkal soudní znalec člen Legislativní rady vlády

2 Vladimír Smejkal 2 OBSAH Úvod Soukromoprávní ochrana Veřejnoprávní ochrana Literatura Závěr

3 Vladimír Smejkal 3 Úvod Právních předpisů, které bychom mohli označit za předpisy, týkající se informační společnosti, je mnoho: Slovo „elektronický, elektronicky, digitální, digitálně“ se vyskytuje v cca 800 předpisech uveřejněných ve Sbírce zákonů, cca 60 předpisech uveřejněných ve Sbírce mezinárodních smluv, v cca 100 publikovaných rozhodnutích soudů (v judikatuře), v cca 770 věstnících, zpravodajích a jiných tiskovinách, vydaných orgány státu nebo v důvodových zprávách k zákonům, jakož i v cca 100 předpisech místních samospráv. Slovo „Internet“ nebo „dálkovým přístupem“ – což je legislativní opis Internetu – najdeme tamtéž ve zhruba polovině dříve uvedených případů. To svědčí o skutečnosti, že elektronická komunikace a její právní ochrana pevně v našem právním řádu zakotvila. Zda se tak stalo vždy správným způsobem a zda bylo dosaženo žádoucího výsledku, budu rozebírat v další části tohoto příspěvku.

4 Vladimír Smejkal 4 Zákon č. 365/2000 Sb. ve znění od Informační systémy veřejné správy jsou souborem informačních systémů, které slouží pro výkon veřejné správy. Jsou jimi i informační systémy zajišťující činnosti podle zvláštních zákonů (ObchZ, ŽZ, zákon o stat. službě apod.). …kde jsou IS pro výkon veřejné moci?

5 Vladimír Smejkal 5 Zákon č. 365/2000 Sb. ve znění od Zákon se nevztahuje na informační systémy veřejné správy vedené: a)zpravodajskými službami; b)Policií České republiky při plnění jejích úkolů; c)orgány činnými v trestním řízení v souvislosti s trestním řízením, s výjimkou evidence Rejstříku trestů, d)Policií České republiky a Vězeňskou službou České republiky při poskytování zvláštní ochrany a pomoci ohroženým osobám podle zvláštního právního předpisu,

6 Vladimír Smejkal 6 Zákon č. 365/2000 Sb. ve znění od e)Ministerstvem financí v rámci činnosti podle zvláštního právního předpisu o boji proti legalizaci výnosů z trestné činnosti nebo zvláštního právního předpisu o provádění mezinárodních sankcí za účelem udržování mezinárodního míru a bezpečnosti, ochrany základních lidských práv a boje proti terorismu; f)Národním bezpečnostním úřadem, zpravodajskou službou nebo Ministerstvem vnitra při provádění bezpečnostního řízení a vedení evidencí podle zvláštního zákona, g)v působnosti Ministerstva obrany, při činnostech vykonávaných podle zvláštních právních předpisů,

7 Vladimír Smejkal 7 Zákon č. 365/2000 Sb. ve znění od h)Ministerstvem vnitra, Ministerstvem financí a Ministerstvem spravedlnosti při zpracování osobních údajů příslušníků bezpečnostních sborů podle zvláštního právního předpisu, i)správními úřady a orgány územních samosprávných celků v přenesené působnosti při činnostech souvisejících se zajišťováním obrany státu podle zvláštního právního předpisu, j)orgány veřejné správy a právnickými osobami, pokud jsou používané výlučně k podpoře krizového řízení.

8 Vladimír Smejkal 8 Zákon č. 365/2000 Sb. ve znění od Zákon se nevztahuje na provozní informační systémy správců informačních systémů veřejné správy, s výjimkou vazeb provozních informačních systémů na informační systémy veřejné správy. Zákon se rovněž nevztahuje na informační systémy veřejné správy nakládající s utajovanými informacemi.

9 Vladimír Smejkal 9 Bezpečnost ISVS Stávající znění ZoISVS v ust. § 3 odst. 8 uvádí, že „Provozovatel je povinen při provozování informačního systému [ § 2 písm. d)] zajišťovat ochranu a bezpečnost informací v rámci provozovaného informačního systému.“ …co to je, jak má být zajišťována – není definováno.

10 Vladimír Smejkal 10 Bezpečnost ISVS Ve znění ZoISVS účinném od podle ust. § 5b – Bezpečnost informačních systémů veřejné správy platí: (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.

11 Vladimír Smejkal 11 Bezpečnost ISVS Podle § 12 písm. g) Ministerstvo informatiky stanoví vyhláškou rozsah zajišťování bezpečnosti informačních systémů veřejné správy a oblasti minimálních bezpečnostních požadavků k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací, podle § 5b odst. 1. Otázkou je, jakým způsobem bude tato vyhláška koncipována, neboť pouhé se odvolávání na zahraniční, v České republice a v českém jazyce nezveřejněné normativní texty nemohou být dle našeho názoru platnou součástí právního řádu.

12 Vladimír Smejkal 12 Bezpečnost ISVS Kladný příklad: zpracování bezpečnostních požadavků v souvislosti se zákonem č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů, a to vyhláškou Úřadu pro ochranu osobních údajů č. 366/2001 Sb. (odkazy na ČSN nebo přímo stanoveno). Negativní příklad: Vyhláška Ministerstva informatiky č. 496/2004 Sb., o elektronických podatelnách ze dne Zde v příloze k této vyhlášce najdeme odkazy na tzv. normativní dokumenty, kterými jsou výlučně zahraniční cizojazyčné dokumenty. a pozor: Národní strategie informační bezpečnosti ČR není právním předpisem!

13 Vladimír Smejkal 13 Bezpečnost ISVS Chceme-li budovat bezpečný ISVS, musíme určitým způsobem (doporučením odborníků, celkovou bezpečnostní politikou, požadavky právních předpisů a v nich uvedených norem technických) „nastavit“ úroveň bezpečnosti, kterou chceme dosáhnout a tuto úroveň vhodným způsobem, nejlépe odkazem na všeobecně známou a přijímanou normu, definovat. Úroveň bezpečnosti se správně stanovuje „komplexně“ tedy např. v rovinách administrativní, komunikační, fyzické a personální bezpečnosti, jak je např. stanoveno v zákoně o ochraně utajovaných informací, a jak by na základě analýzy rizik a návrhu bezpečnostní politiky mělo být stanoveno i pro jakýkoliv informační systém veřejné správy a v jakékoliv jiné organizaci, která chce chránit svá data.

14 Vladimír Smejkal 14 Bezpečnost ISVS Opomíjená složka bezpečnosti ISVS: právní ochrana. Není to ani administrativní, ani fyzická, ale soukromoprávní a veřejnoprávní ochrana.

15 Vladimír Smejkal 15 Právní ochrana IS/IT Veřejnoprávní ochrana informačních systémů je dána souborem obecných právních norem, jakož i norem speciálních, které upravují specifika týkající se dané skupiny subjektů (či specifických objektů). Jsou to zákony upravující podnikání, zacházení s osobními údaji, ale i ochranu spotřebitele, ochranu životního prostředí; především je to ale trestní zákon, případně přestupkový zákon, zákon o elektronických komunikacích, zákon o informačních systémech veřejné správy apod.

16 Vladimír Smejkal 16 Právní ochrana IS/IT Veřejnoprávní vymezení bezpečnosti ISVS je dáno souborem: zcela obecných předpisů, jakými jsou občanský zákoník, obchodní zákoník, trestní zákon, zákoník práce apod.; speciálních právních norem upravujících zvláštní otázky týkající se IS u všech subjektů práva – zejména zákon o ochraně osobních údajů, autorský zákon, zákon o ochraně utajovaných informací, zákon o účetnictví, zákon o elektronickém podpisu apod.; zvláštních předpisů, které upravují zvláštní povinnosti týkající se zacházení s informacemi u vybraných subjektů – například zákon o České národní bance, o územních finančních orgánech atd.; předpisy pro ISVS vyplývající ze zákona o informačních systémech veřejné správy.

17 Vladimír Smejkal 17 Právní ochrana IS/IT Veřejnoprávní ochrana je uskutečňována především prostřednictvím orgánu státní moci, jimž je zákonem dána represivní možnost vůči porušitelům práv – typicky tedy prostřednictvím orgánů činných v trestním řízení, správních orgánů nebo pomocí soudní moci, a to i jako dovolávání se porušení pokojného stavu nebo porušení (nedodržení) smlouvou či jinak založeného soukromoprávního vztahu.

18 Vladimír Smejkal 18 Právní ochrana IS/IT Někdy dokonce i soukromoprávní spory, typicky v oblasti elektronických komunikací, rozhodují veřejnoprávní (správní) orgány: Podle § 127 ZoEK předseda Rady ČTÚ rozhoduje spory mezi osobami vykonávajícími komunikační činnosti na základě návrhu kterékoliv ze stran sporu, pokud se spor týká povinností uložených tímto zákonem nebo na jeho základě. Následně podle § 129 ČTÚ rozhoduje spory mezi osobou vykonávající komunikační činnost na straně jedné, a účastníkem, popřípadě uživatelem na straně druhé, a to na základě návrhu kterékoliv ze stran sporu, pokud se spor týká povinností uložených tímto zákonem nebo na jeho základě. …nejednoduchý právní stav vyplývající z aplikování OSŘ a SŘS, řeší jej § 104b odst. 3 a § 104c OSŘ, resp. v § 46 odst. 3 a 4 SŘS + využití institutu tzv. kompetenčního senátu.

19 Vladimír Smejkal 19 Právní ochrana IS/IT Jedním z nejpodstatnějších předpisů, realizujících veřejnoprávní ochranu IS, je trestní zákoník, bohužel, díky odmítnutí nového návrhu trestního zákoníku v březnu 2006 Poslaneckou sněmovnou stále v podobě historického zákona č. 140/1961 Sb., mnohokráte novelizovaného. V rámci něj je ochrana proti výše popsaným jednáním realizována především v rámci ust. § 257a – Poškození a zneužití záznamu na nosiči informací… se všemi problémy týkajícími se např. nemožnosti postihu některých jednání prostřednictvím Internetu.

20 Vladimír Smejkal 20 Právní ochrana IS/IT Lze tedy konstatovat, že veřejnoprávní ochrana informačních systémů (a tedy i ISVS) je v rámci trestního práva v ČR nedostatečná. Pokud jsou konstruovány jiné ochrany v rámci jiných veřejnoprávních předpisů, pak se tyto obvykle zaměřují již jen na speciální případy, obvykle ve vztahu k obsahu nebo způsobu užití informačního systému – např. zákon o elektronických komunikacích.

21 Vladimír Smejkal 21 Právní ochrana IS/IT Nový trestní zákoník reagoval na mezinárodní právní akty (zejm. Úmluva Rady Evropy o počítačové kriminalitě i na zkušenosti z právní teorie i praxe. Z hlediska ochrany IS bychom zde našli ustanovení, která odpovídala moderním pojetí trestněprávní ochrany v podmínkách 21. století: § 204 – Neoprávněný přístup k počítačovému systému a poškození a zneužití záznamu v počítačovém systému a na nosiči informací § 205 – Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat § 206 – Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti

22 Vladimír Smejkal 22 Právní ochrana IS/IT Soukromoprávní ochrana informačních systémů je doplňkem veřejnoprávní ochrany a je nezbytná zejména tam, kde veřejnoprávní ochrana by byla nepřiměřená, neexistuje nebo může selhat v důsledku nezvládnutého či nezvládnutelného procesu dokazování (in dubio pro reo). Soukromoprávní ochrana vychází především ze smluv uzavřených provozovatelem informačního systému s jinými subjekty, a to jak se zaměstnanci, tak s dalšími osobami (ať už fyzickými nebo právnickými) nebo z jiných možností, daných normami soukromého práva (občanský nebo obchodní zákoník, autorský zákon apod.), přičemž cílem je snižování rizik.

23 Vladimír Smejkal 23 Právní ochrana IS/IT Hlavní problém: špatné smlouvy!

24 Vladimír Smejkal 24 Právní ochrana IS/IT Všechny smlouvy jsou uzavírány v euforii a s představou, že vše bude fungovat. Opak je pravdou. (Smejkal)

25 Vladimír Smejkal 25 Právní ochrana IS/IT Obsahu smlouvy je celkově věnována minimální pozornost (viz motto textu); všichni se těší (na dodávku, na peníze…). Jsou používány nevhodné typy smluv – např. kupní smlouva pro dodávku software na klíč; typicky pak Pokud již dílo bylo vytvořeno, pak nemá smysl o jeho vytvoření uzavírat smlouvu o dílo a jde spíše o prodej softwarového vybavení klientovi, tj. poskytnutí práva software užívat (eventuálně šířit), a to na základě smlouvy licenční podle AutZ.

26 Vladimír Smejkal 26 Právní ochrana IS/IT Smlouvy obsahují značné množství zcela nedefinovaných výrazů, přičemž se zjevně zapomíná na to, že kritériem kvality smlouvy je schopnost kdykoliv přesně reprodukovat původní úmysly jejich účastníků [nejčastějším problémem je užívání cizojazyčných termínů, které nejsou jednoznačně či vůbec přeložitelné nebo mohou být stranami chápány různě]. Typická chyba: „Předmětem (plnění) smlouvy je vytvoření informačního systému pro řízení podniku.“ …nic víc a nic méně!

27 Vladimír Smejkal 27 Právní ochrana IS/IT Definice předmětu plnění je přitom jednou z nejcitlivějších součástí smlouvy! Nedostatečná specifikace předmětu plnění je vadou většiny smluv; konkretizace tohoto plnění by měla být nejdůležitějším obsahem smlouvy! …řeší se odkazem na přílohu č. 1 nebo samostatný dokument (Projekt)

28 Vladimír Smejkal 28 Právní ochrana IS/IT Chybí ujednání opravňující odběratele provádět buď stálou nebo namátkovou kontrolu postupu prací. Sledování průběhu plnění – viz stavební deník. Ve smlouvách by měl být zakotven způsob předávání a přejímání díla, zejména pokud jde o povinnost klienta převzít dílo, které je hotové a naopak oprávnění přijmout dílo, které vykazuje vady, pro které není plně využitelné, resp. o míru součinnosti, při předávání díla jsou velmi časté.

29 Vladimír Smejkal 29 Právní ochrana IS/IT Není upravena povinnost mlčenlivosti pro dodavatele (a jeho zaměstnance či subdodavatele). Chybí ujednání zakládající povinnost pracovníků dodavatele podřídit se obecným bezpečnostním opatřením na pracovištích klienta.

30 Vladimír Smejkal 30 Právní ochrana IS/IT Smlouva neobsahuje žádné ujednání o možnosti odstoupit od smlouvy v případě podstatného porušení smlouvy; není definováno, co takovým podstatným porušením smlouvy se rozumí. Rozpory mezi smlouvou a jejími dodatky.

31 Vladimír Smejkal 31 Právní ochrana IS/IT V rozporu se zákonem jsou ustanovení omezující odpovědnost stran za způsobenou škodu určitou částkou; takovéto vzdání se náhrady škody předem obchodní zákoník, resp. občanský zákoník nepřipouští. Podle našeho názoru jde o rozpor s kog. ust. § 574 odst. 2 ObčZ, resp. s kog. ust. § 386 odst. 1 ObchZ + neplatné pro rozpor s dobrými mravy (§ 39 ObčZ). …ale probíhá o tom diskuse, nikoliv judikatura.

32 Vladimír Smejkal 32 Právní ochrana IS/IT Ve smlouvách se objevují neúčinné, leč pro uklidnění objednatele uváděné zjevně nevymáhatelné závazky stran, které nejsou kontrahenty smlouvy (typu “v případě ukončení činnosti firmy XYZ, s.r.o. přebírá její závazky zahraniční mateřská společnost XYZ, Ltd.”). Smlouvy jsou uzavírány podle nevhodného právního řádu a nevhodné jurisdikce (příkladem byla smlouva uzavřená v Praze podle rakouského práva s rozhodčím místem ve Švýcarsku, dnes to jsou typicky smlouvy s MS – Delaware, Washington D.C.,ale dnes i Taiwan apod.).

33 Vladimír Smejkal 33 Právní ochrana IS/IT Právní ochrana v oblasti soukromého práva je uskutečňována obvykle takovými instituty, jako jsou ochrana osobnosti, ochrana autorských práv či jiných práv duševního vlastnictví a samozřejmě prostřednictvím klasických postupů, jako je náhrada škody a vydání bezdůvodného obohacení, ale také třeba náhrada nemajetkové újmy, neboť z hlediska soukromoprávního jsou informační systémy a jejich součásti věcmi nebo jinými majetkovými hodnotami.

34 Vladimír Smejkal 34 Právní ochrana IS/IT Jiný, nežli soudní způsob ochrany (vymáhání) práv, je rozhodčí řízení, které má veskrze smluvní, soukromoprávní charakter. Předpokladem vzniku oprávnění rozhodců k projednání a rozhodnutí sporu ve smyslu zákona č. 216/1994 Sb., o rozhodčím řízení a o výkonu rozhodčích nálezů (ZRŘ), je aby šlo o majetkový spor s výjimkou sporů v souvislosti s výkonem rozhodnutí a sporů vyvolaných prováděním konkursu a vyrovnání, k jejichž projednání a rozhodnutí by jinak byla dána pravomoc soudu a aby strany mohly o předmětu sporu uzavřít smír), ale též existence rozhodčí smlouvy. …pozor na jednoinstančnost řízení!

35 Vladimír Smejkal 35 Právní ochrana IS/IT Co dělat, když se vyskytnou problémy: 1)nekomunikovat s protistranou, dokud problém nezanalyzujete a nezkonzultujete s právníkem; 2)vyhledat odbornou pomoc dříve, než máte na stole žalobu; ideální je mimosoudní řešení – dohoda o narovnání… cokoliv kromě soudu; 3)mnoho kuchařů přesolí polévku – vyberte si jednoho poradce či právníka a tomu věřte.

36 Vladimír Smejkal 36 Právní ochrana IS/IT Oba způsoby ochrany jsou často komplementární, resp. lze je používat oba současně, případně – s ohledem na vyhodnocení konkrétní situace – zvolit ten způsob ochrany, který se jeví účinnější z hlediska cílů, jichž má být dosaženo. Tak například neoprávněný zásah do autorských práv lze obecně postihnout jak soukromoprávně, aplikací relevantních ustanovení autorského zákona, tak trestněprávně, případně v rámci přestupkového řízení resp. správního trestání. Příklad: porušení autorských práv…

37 Vladimír Smejkal 37 Právní ochrana IS/IT Právní úprava týkající se IS/IT resp. služeb informační společnosti není ani úplná, ani dokonalá. Lze proto doporučit: 1.kombinaci veřejnoprávní a soukromoprávní ochrany, 2.provádění právních auditů, 3.používání služeb specializovaných odborníků na právo IS/IT. Přesto existuje nezanedbatelné riziko špatného výkladu či protichůdných právních úprav resp. odporujících si rozhodnutí soudních a /nebo správních orgánů.

38 Vladimír Smejkal 38 Závěr Obor služeb informační společnosti a informačních a komunikačních technologií a jejich regulace bývá základem pro úvahy, zda už tu vlastně nevzniklo nové právní odvětví, které se skládá z řady specializacím jakými jsou počítačové právo, právo elektronických komunikací, autorské právo, právo informačních systémů apod. Domnívám se, že ano - a naše díla jsou toho důkazem. Nadměrná produkce právních předpisů v českém právu (které jsou navíc často nekvalitní a v nejednom případě obsahují kontroverzní a bizarní ustavení) značně znesnadňují jejich přesnou a úplnou aplikaci; pro oblast IS/ICT to platí obzvláště. Proto ještě jednou opakuji, že bez právní ochrany se žádný IS neobejde, a to ani ISVS, byť je třeba i (výjimečně) založen zákonem.

39 Vladimír Smejkal 39 Literatura Smejkal, V. a kol.: Právo informačních a telekomunikačních systémů. 2. vydání. C.H.Beck, Praha 2004 Smejkal, V., Švestka, J.: Odpovědnost za škodu při provozu informačního systému, aneb nemalujme čerta na zeď. Právní rozhledy, XIII., 2005, č. 19, s.719 – 721 (reakce na nesmyslný článek v DSM) Smejkal, V., Rais, K.: Řízení rizik. 2. vydání. GRADA, Praha Mates, P., Smejkal, V.: E-government v České republice. Nakladatelství Linde, Praha Mates, P., Smejkal, V., Vaníček, Z.: Komentář k zákonu o elektronických komunikacích. C.H.Beck, Praha 2006 – v tisku.

40 Vladimír Smejkal 40 Děkuji za pozornost. dotazy… kontakt:


Stáhnout ppt "Vladimír Smejkal Právní ochrana informačních systémů veřejné správy Prof. Vladimír Smejkal soudní znalec člen Legislativní rady vlády."

Podobné prezentace


Reklamy Google