Důvěrná data do cloudu nepatří. A právníci by to měli vědět

Rozplétání případu podnikatele Františka Savova má zajímavé vedlejší dopady. Tím nejvýznamnějším se jeví být rozhodnutí městského soudu, které odmítlo přiznat datům v tzv. cloudech, tedy na sdílených internetových úložištích, stejné postavení jako například fyzickým papírovým spisům. Policie a další orgány působící v trestním řízení se tak mohou dostat k citlivým či tajným informacím advokátních klientů právě přes údaje uložené v datovém poli.

Soud konstatoval něco nač experti upozorňují už dlouho. V cloudových úložištích nemají důvěrná data co dělat. A pokud už je uživatelé do cloudu ukládají, existuje mnoho způsobů jak zařídit, aby se k nim české orgány činné v trestním řízení beztak nedostaly.

„Myslím, že jedno konkrétní rozhodnutí je příliš malá vlaštovka na to, aby to vyvolalo skutečně velký tlak, který by vedl až ke změně legislativy. Na druhou stranu se rozhodnutí dostalo v právní komunitě velmi rychle do povědomí a odborných diskuzí. To je podle mě jedině dobře. Totiž ve chvíli, kdy by se z tohoto rozhodnutí stal precedens a soudy začaly stejně rozhodovat i v dalších případech, věřím, že se advokáti skutečně důrazně ozvou. A to může v dlouhodobějším měřítku vést až ke změně legislativy,“ konstatuje právnička a žurnalistka Monika Stachoňová.

Právo versus IT

Rozhodnutí soudu se okamžitě stalo terčem ostré kritiky. „To rozhodnutí je absolutně nekoncepční. Tvrdí, že dokud si ukládám svá data do papírových spisů, je to v pořádku, ale jakmile si je uložím na externí datové pole, tak mám smůlu,“ komentoval usnesení například asistent z Ústavu práva a technologií Právnické fakulty Masarykovy univerzity Jakub Harašta. Potenciálně orgány činné v trestním řízení mohou získat například důvěrné informace důležité pro přípravu obhajoby jeho klienta a zasáhnout tak do jeho práva na obhajobu. K chráněným informacím o původně nevyšetřovaných klientech se může dostat například finanční úřad, který pak může na základě těchto informací zahájit vlastní řízení.

Vzrušení ale nejspíš vůbec není na místě. Usnesení totiž neřešilo formát dat, ale fyzické místo jejich uložení. Soud rozhodoval o tom, zda je místo uložení dat místem výkonu advokacie nebo ne a dospěl k závěru, že nikoliv.

„Pokud jsem jej pochopil správně, netýkalo se usnesení dat advokátní kanceláře, ale dat externí účetní společnosti, jejíž služeb advokátní kancelář využívala. Argumentaci soudu v tomto případě chápu, byť se s ní neztotožňuji,“ upřesňuje celou věc development & security konzultant Michal Valášek.

Soud v tomto případě podle Valáška vůbec neřešil ochranu dat advokátů uložených v cloudu. Tu ostatně žádný český soud ještě neřešil a asi ani nikdy řešit nebude, protože v Česku nepůsobí žádný provozovatel cloudových služeb. Na to je Česká republika příliš malý trh.

„V podání českých firem jsou cloud dva racky, které shoří, když do nich nateče voda, je to jenom marketingové zaklínadlo,“ tvrdí Valášek.

„Cloud o kterém se bavíme, tedy služby jako Dropbox., Box.Net, OneDrive, Google Disk a desítky dalších jsou jenom výjimečně přijatelné pro ukládání citlivých materiálů. Jakž takž za předpokladu, že ukládané soubory budou šifrovány před uložením na cloud a tím pádem  bezpečně přenášené i bezpečné ukládané,“ dodává odborník v oblasti komunikačních technologií Daniel Dočekal.

Obecně platí, že důvěrná data advokátů či jejich klientů nemají v cloudu bez odpovídající ochrany, stupně zabezpečení a šifrování co pohledávat. Není tam zaručeno zpravidla ani to, že do uložených dat nemohou zasahovat další lidé, chybí potřebné informace o tom kdo k čemu přistupoval, co měnil. A uložené soubory jsou navíc pod jurisdikcí jiného státu.

Drtivá většina českých uživatelů svoje data nezabezpečuje vůbec, bez ohledu na to, kde jsou uložena. Výjimkou jsou některé velké nadnárodní společnosti, kde je IT řízeno korporátní politikou. Ale české firmy svoje data zpravidla nechrání prakticky vůbec. Považují to za zbytečné, nepohodlné, příliš drahé, případně prostě nemají nikoho, kdo by jejich data zabezpečil.

„A problémů je víc – co ochrana dat proti ztrátě, co odposlouchávání při přenosu, jak je vyřešeno bezpečné ukládání na místních discích? Řeší tito advokáti bezpečí notebooků do kterých je  ukládají? A jak by se soud stavěl k tomu, že advokát z místa výkonu své činnosti data odnáší třeba na tabletu,“ ptá se Daniel Dočekal.

Právníci pod průměrem

„V dnešní době, kdy se stalo běžným standardem používání cloudových služeb, není už na místě rozlišovat uchovávání informací fyzicky a digitálně, a dávat absurdně přednost fyzickému uchovávání – to vede pouze k dalšímu zakonzervování a zkostnatělosti systému. Na druhou stranu je to zodpovědnost každého – tedy i advokáta, aby data uchovávaná v cloudu šifroval a měl pečlivě zabezpečené. To by měl dělat bez ohledu na soudní rozhodnutí – je to totiž zcela nezbytné pro ochranu citlivých informací jeho klientů, kterou nutně musí zabezpečit,“ soudí už citovaná právnička a publicistka Monika Stachoňová.

Jenže právě se zodpovědností za zabezpečení citlivých dat na tom nejsou advokáti nejlépe.„Příslušníci právních profesí jsou na tom podle mých zkušeností se zabezpečováním dat většinou ještě o něco hůře, než je běžný průměr,“ konstatuje Michal Valášek. „Spoléhají na svou nedotknutelnost. Současné šílení OČTŘ bude možná v tomto ohledu užitečné, protože jim snad dojde, že spoléhat na institucionální obranu není dobrý nápad.“

Součástí problému je, že české právo stále ještě není připraveno na to, že pro účely trestního řízení je potřeba zajistit digitální data. Digitální data se v současnosti získávají cestou „prohlídky jiných prostor“, kde jsou data fyzicky uložena. Je to podobně absurdní, jako kdyby se třeba informace o bankovním účtu podezřelého zjišťovala formou prohlídky prostor sídla banky. Podle expertů, které Česká justice oslovila, by měla existovat úprava, která jasně stanoví podmínky, za nichž je provozovatel služby povinen vydat data patřící zákazníkovi. Stejně tak existuje zvláštní postup pro odposlech a záznam telekomunikačního provozu, prolomení bankovního tajemství a podobně.

„Tím by se vyřešila i poněkud absurdní situace, kdy je § 85b Trestního řádu zjevně určen k ochraně informací, ale ve skutečnosti řeší jenom ochranu jejich fyzických nosičů,“ říká Michal Valášek.

Ani současné rozhodnutí městského soudu ale nemusí znamenat průlom do přístupnosti dat uložených v cloudu. Vyhnout se povinnosti otevřít data se lze vyhnout v zásadě dvěma způsoby.

Používat poskytovatele cloudových služeb, kteří jsou mimo českou jurisdikci a rozhodnutí českých orgánů pro ně nejsou závazná. Je ovšem se smířit s tím, že na oplátku budou postupovat podle pravidel svého domicilu a ověřit si, že nám budou vyhovovat. A za druhé data před uložením do cloudu šifrovat klíčem, který provozovatel služby nemá. Pak pro něj a potažmo kohokoliv dalšího budou data nepřístupná.

Nejsme v tom sami

V technologicky gramotnějších krajích už soudy hledají řešení, jak se dostat i k takto zabezpečeným datům. Například soud v americkém státě Massachussetts dospěl k přelomovému rozhodnutí: Obžalovaný musí vyšetřovatelům zpřístupnit kódované soubory v paměti svého počítače. Obhajoba, podle které se jedná o porušení pátého dodatku americké ústavy, se svými argumenty neuspěla, napsal deník Wall Street Journal.

Advokát Leon Gelfgatt z massachussetského města Marblehead byl obviněn z daňových úniků. Podle vyšetřovatelů byl přístup k datům v hard disku počítače obviněného klíčový pro objasnění celého případu. Gelfgatt připomněl dva roky starý výrok soudu v Atlantě. Ten podobné žádosti v případu dětské pornografie nevyhověl, dnes je ale všechno jinak. Podle mluvčího soudkyně Marthy Coakleyové Christophera Loha rozhodnutí massachussetského soudu představuje významný milník.

„Zajišťuje, že pokud soud bude chtít digitální důkazy, dostane je,“ cituje Loha Wall Street Journal.

Problematika kódovaných dat se v poslední době stále častěji stávala předmětem prudkých sporů o to, kam až lze při hledání spravedlnosti zajít v narušení soukromí obviněných a podezřelých. Důležitost této otázky ještě vzrostla poté co se Američané naučili ve velkém používat propracované kódovací programy jako je například DriveCrypt Plus. Tento rozšířený software použil právě Gelfgatt.

„Jestliže chce soud odkódovat hard disk počítače, musí vědět co na něm je. Pokud ví co na něm je, není důvod, aby nařizoval jeho odkódování. Celé rozhodnutí soudu je zmatené,“ kritizuje přelomový verdikt Matthew Segal ze Společnosti amerických občanských svobod.

Sám Gelfgatt se zatím nevyjádřil, dá se ale předpokládat, že se případ jeho kódovaných počítačů dostane až před Nejvyšší soud.

Ondřej Fér, Start-up.cz