Martin Maisner je specialistou v oblasti práva informačních technologií, kybernetické bezpečnosti, alternativního řešení sporů, sportovního práva a závazkového práva Foto: archiv

Advokát Martin Maisner: Největší riziko informačních technologií je mezi židlí a klávesnicí

Seriózní průzkum kybernetického povědomí a počítačové gramotnosti mezi advokáty nikdo neprováděl, říká v rozhovoru kandidát do představenstva České advokátní komory (ČAK) advokát Martin Maisner. Důležité podle něj je, že Komora se touto problematikou hodlá systematicky a odborně zabývat nejen na úrovni představenstva, ale hlavně ve smyslu ochrany advokátů jak z hlediska kybernetické bezpečnosti, tak ve smyslu speciální právní úpravy ochrany osobních údajů.

ČAK se podle něj usilovně snaží vyřešit otázku bezpečného uložení elektronických dat advokátů, které by je ochránilo proti excesům ze strany orgánů činných v trestním řízení.

Jaké jsou dnes největší nebezpečí při ochraně dat a kybernetické bezpečnosti u advokátů?
Především hrozbu tzv. „čistých hackerů“ – tedy kybernetických útočníků, kteří útočí z principu nebo ze sportu – nevnímám jako tu nejvážnější. V případě advokátů a advokátních firem platí, že tzv. klientská data uložená u advokátů mohou být cílem hned několika zájmových skupin. V prvé řadě je to protistrana, která ať již v případě sporu nebo v případě kontraktačních jednání, druhou zájmovou skupinou jsou orgány činné v trestním řízení (které mají většinou dojem, že advokát skrývá nějaké usvědčující důkazy proti svému klientovi) a v neposlední řadě média, která kvůli zvýšení nákladu nebo sledovanosti jsou ochotna publikovat cokoliv bez ohledu na poškození zájmů kohokoliv.

V čem se v této souvislosti liší postavení advokáta od jiných oborů podnikání? Jaké jsou specifika ochrany advokátních dat?
Advokátní data – to je hezky řečeno. Sice to není vysloveně právní termín, ale je pravda, že struktura dat, se kterou běžně advokáti pracují, je dost specifická. Zpracovávaná data nejsou jen osobní údaje, ale také řada dalších informací, které nemají povahu osobních údajů, ale z hlediska jak právního, tak obchodního jsou velmi významná.  Dále – advokáti nepracují s rozsáhlou zákaznickou bází, a ke zpracování osobních údajů nepotřebují souhlas subjektu osobních údajů. Zpracovávat osobní údaje potřebují k uzavírání a plnění uzavřených smluv (zpravidla smluv o poskytování právních služeb v rámci advokacie) a jejich zákonná povinnost mlčenlivosti představuje mnohem silnější ochranu, než představuje jak současná tak budoucí.  Znamená to mimo jiné i to, že v případě zpracovávání osobních údajů nepodléhá zpracování advokátem Obecnému nařízení o ochraně osobních údajů (GDPR), tedy Nařízení Evropského parlamentu a Rady (EU) 2016/679, ale speciální (a v daném případě přísnější) úpravě obsažené v zák. č. 85/1996 Sb. z 13. března 1996 o advokacii.

Uvědomují si jednotliví advokáti i ČAK důležitost tohoto problému? Jak se s ním vyrovnávají?
Pokud vím, tak seriózní průzkum kybernetického povědomí a počítačové gramotnosti mezi advokáty nikdo neprováděl. Ale moc velké iluze si nedělám.  Důležité je, že Česká advokátní komora se touto problematikou hodlá systematicky a odborně zabývat nejen na úrovni představenstva ČAK, ale hlavně ve smyslu ochrany advokátů jak z hlediska kybernetické bezpečnosti, tak ve smyslu speciální právní úpravy ochrany osobních údajů. Určitě je namístě i péče o advokáty ve smyslu stanovení minimálních bezpečnostních standardů, budování funkčního a moderního portálu ČAK  a rozhodný postup proti neoprávněnému podnikání v oblasti advokacie. Jsme sice skoro na začátku, ale rozhodnuti se do těchto věcí pustit

Jakých chyb se mohou při on-line komunikaci advokáti dopouštět? Na co by si měli dávat pozor?
Myslím, že největší problém v současné době je právě v nedostatečném zabezpečení u jednotlivých advokátů. A není to otázka peněz, ale především přístupu a zodpovědného režimu. Mnozí kolegové, kteří se pohybují primárně nikoli v technologicky orientovaném prostředí, tuto otázku hrubě podceňují. A to i ve velmi jednoduchých a technologicky pochopitelných kategoriích. Vždy tvrdím, že největší riziko informačních technologií se nalézá mezi židlí a klávesnicí. A nejčastější chyby – nezabezpečený telefon, neuzamčený počítač, neřízený a nekontrolovaný přístup ke klientským souborům. Tedy všechno věci, na které nepotřebujete být programátor nebo fanoušek Billa Gatese.

Co z této oblasti by mělo ještě přijmout současné vedení ČAK, a co bude na novém vedení, do kterého kandidujete?
Současné vedení možná stihne vydat doporučené bezpečnostní standardy IT pro advokáty, ale zbytek asi čeká na nové představenstvo a do značné míry i kontrolní radu. Řešení řady z uvedených problému není úplně jednoduché a je třeba je provést opravdu dobře a efektivně.

Bude potřeba při přechodu na on – platformu poskytování právních služeb přijmout jenom vnitřní předpisy, a nebo se to muset odrazit i legislativně, například v Zákoně o advokacii?
Striktně řečeno on-line poskytování právních služeb je možné již nyní, pokud budou dodržena všechna ustanovení zákona o advokacii. Není žádná speciální „on-line advokacie“ stejně jako není „telefonní advokacie“. Pokud se bavíme o vnitřních předpisech nebo o novele zákona o advokacii, tak to věci sice pomůže – zejména pokud tam některé zásady budou uvedeny expresis verbis – ale není to nezbytně nutné. O modernizaci právním úpravy bude nové představenstvo samozřejmě usilovat.

Měla by ČAK reagovat v rámci ochrany elektronických dat jednotlivých advokátů reagovat i technickým zabráněním tomu, aby OČTŘ mohly vstupovat do advokátních spisů například na základě klíčových slov?
Myslím, že otázka přístupu OČTŘ k advokátním spisům bude i nadále předmětem diskusí, zkoumání a patrně i vyjednávání. Advokáti nehodlají obstruovat trestní řízení, jsou si ale vědomi svého postavení v trestním řízení i svého postavení ve společnosti jako strážců důvěrných informací, které jim klienti svěří. Technické otázky budou pečlivě zkoumány, ale v současné době si nejsem jist, jestli jsem schopen vymezit technické priority takového přístupu.

Komora chystá centrální úložiště elektronických dat advokátů. Co by mělo být jeho účelem, a jak by mělo fungovat?
Vaši otázku bych trochu poopravil v tom, že ČAK se usilovně snaží vyřešit otázku bezpečného uložení elektronických dat advokátů, tedy způsob uložení, který by ochránil advokátova a zejména tzv. klientská data nejen před hackery, konkurencí a médii, ale i proti excesům ze strany OČTŘ. Jestli bude nakonec finální řešení formou centrálního super bezpečného úložiště pod patronací ČAK, advokátního zabezpečeného cloudu nebo jiné řešení, to se ještě uvidí. Třeba nás i vývoj technologií nějak překvapí.

Dušan Šrámek