Regulace kybernetické bezpečnosti v soukromém sektoru
Autor: Mgr. Michal Antoš, advokátní koncipient
V oblasti regulace kybernetické bezpečnosti spočívá stěžejní právní úprava v zákoně č. 181/2014 Sb., o kybernetické bezpečnosti (dále též "ZoKB"), a podzákonných předpisech, které úpravu tohoto zákona dále rozvíjejí.
Tyto právní předpisy nicméně zavádějí povinnost k zajištění kybernetické bezpečnosti pouze u poměrně malé množiny subjektů, jejichž bezpečnost v této oblasti je považována za nejvýznamnější, neboť přímo souvisí se zajištěním bezpečnosti státu a jeho funkcí. Jedná se především o významné subjekty v odvětví energetiky, telekomunikací, bankovnictví atp. Jelikož zákon o kybernetické bezpečnosti na většinu subjektů soukromého sektoru nedopadá, lze se poměrně často setkat s otázkou, zda i tyto subjekty mají povinnost v určitém rozsahu kybernetickou bezpečnost zajistit.
Samotný zákon o kybernetické bezpečnosti byl konstruován zejména k zajištění veřejného zájmu na bezpečnosti kritické informační infrastruktury a významných informačních systémů. Jeho předmětem tak je zajištění kybernetické bezpečnosti stanovením povinností správcům a provozovatelům informačních a komunikačních systémů zařazených do kritické informační infrastruktury či významných informačních systémů a sítí, příp. poskytovatelům služeb elektronických komunikací a subjektů zajišťujících sítě elektronických komunikací. Mezi povinné osoby pak na základě novely přibyli i provozovatelé základní služby, správci a provozovatelé informačního systému základní služby a konečně poskytovatelé digitálních služeb. Jiným osobám zákon o kybernetické bezpečnosti povinnosti neukládá. S ohledem na smysl a účel, se ZoKB nedotýká zejména uživatelů a poskytovatelů obsahu ve službách informační společnosti.
Subjekty, které pod zákon o kybernetické bezpečnosti nespadají, by měly mít v prvé řadě na zavedení organizačních a technických opatření k zajištění kybernetické bezpečnosti vlastní zájem. Důvod spočívá především v tom, že počet útoků i na menší společnosti rok od roku stoupá a způsobená újma zřídka kdy bývá zanedbatelná.[1] I pro tyto subjekty však jsou zákonné povinnosti vztahující se k zajištění kybernetické bezpečnosti stanoveny. Jejich účelem není zajištění vlastní ochrany těchto subjektů, jsou stanoveny na ochranu zájmů, které tyto subjekty spravují nebo kontrolují. Úpravu těchto povinností je proto třeba hledat v právních předpisech, které regulují přímo činnost těchto subjektů.
Základní povinností, která je v obecné rovině stanovena pro všechny osoby, je povinnost prevence zakotvená v § 2900 a násl. zákona č. 89/2012 Sb., občanský zákoník (dále též "ObčZ"), což je i dle důvodové zprávy k ZoKB jedním z hlavních principů a cílů zákona o kybernetické bezpečnosti.[2] Vedle základní povinnosti prevence, která spočívá v povinnosti počínat si tak, aby nedošlo k nedůvodné újmě mj. na vlastnictví jiného, vyplývá z § 2901 ObčZ též povinnost zakročovací. Povinnost zakročit na ochranu jiného je stanovena pro každého, kdo nebezpečnou situaci vytvoří, má nad ní kontrolu nebo může podle svých možností a schopností újmu snadno odvrátit.
Ve vztahu ke kybernetické bezpečnosti bude patrně nejčastějším případem situace, kdy dotčený subjekt bude mít kontrolu nad situací, která vznikne činností třetí osoby. Může se jednat např. o protiprávní jednání, ke kterému budou užity servery jiné osoby. Nerespektování povinnosti prevence může mít přitom za následek odpovědnost za škodu, které bylo možné předejít, pokud by dotčený subjekt na ochranu jiného zakročil. Opatření, která by subjekty měly přijmout, aby mohly své povinnost splnit, přitom nejsou a ani nemohou být zákonem určitě stanoveny. Lze totiž vycházet z toho, že každý subjekt je ohrožen jinou měrou a lze po něm požadovat pouze, aby provedl zásah způsobem, který je přiměřený. Jiné požadavky lze jistě klást na mezinárodní IT společnost a jiné na drobného podnikatele, u kterého jsou rizika zpravidla nesrovnatelně nižší. S tímto ohledem by na splnění zakročovací povinnosti obecně mělo být nahlíženo.
Při zajišťování kybernetické bezpečnosti by konečně měla být brána v potaz i úprava ustanovení § 2903 ObčZ upravující následky pro samotného poškozeného, který neodvrátil újmu, která jemu samotnému přímo hrozila. Pokud újma hrozí bezprostředně, nebo v reálně očekávatelné budoucnosti, lze po poškozeném požadovat, aby způsobem přiměřeným okolnostem zakročil, jinak nese ze svého, čemu sám mohl zabránit.
Vedle obecných povinností vyplývajících z občanského zákoníku jsou v oblasti kybernetické bezpečnosti povinnosti ukládány i předpisy upravující pouze specifickou oblast chráněných zájmů. V této souvislosti lze poukázat zejména na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen "nařízení GDPR"). K zabezpečení zpracování osobních údajů stanoví čl. 32 nařízení GDPR povinnost správce, ale i zpracovatele osobních údajů, přijmout vhodná technická a organizační opatření k zajištění úrovně zabezpečení odpovídající danému riziku.
Při posuzování, v jakém rozsahu mají být technická a organizační opatření přijata, nařízení GPDR určuje, že bude přihlédnuto ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k rizikům pro práva a svobody fyzických osob. Opatření by tedy měla být zejména proporcionální k povaze dat, způsobu jejich zpracovávání a hrozícím rizikům. Z čl. 32 odst. 2 nařízení GDPR pak vyplývá, že vhodnost opatření se určí zejména na základě rizika, která zpracování údajů představuje, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
Je zjevné, že ani nařízení GDPR nedává jasné pokyny, jaká opatření by měla být k zabezpečení osobních údajů přijata. Demonstrativní výčet uvedený v čl. 32 odst. 1 nařízení GDPR lze považovat za vhodné vodítko, nicméně nejedná se o opatření, která by měl každý správce a zpracovatel přijmout. Každý z nich by měl naopak provést vlastní analýzu a vyhodnotit přijatá opatření, aby dokázal případně prokázat, z jakého důvodu opatření zavedl a považoval je za dostatečná a v souladu s čl. 32 nařízení GDPR.
Závěr
Účelem tohoto článku bylo poukázat na skutečnost, že i pro subjekty, které nejsou povinnými osobami podle zákona o kybernetické bezpečnosti, platí povinnost zajištění určité míry kybernetické bezpečnosti. Povinnosti jsou stanoveny jak obecnými předpisy, tak i předpisy sektorovými, především nařízením GDPR. Výčet právních předpisů, které povinnosti v oblasti kybernetické bezpečnosti stanovují, je samozřejmě širší, nedopadají však již na tak velkou množinu subjektů.
Článek byl publikován dne 21. ledna 2020 na webu Právní prostor.cz
Odkazy:
[1] K tomu viz např. https://www.kaspersky.com/about/press-releases/2019_third-of-small-companies-suffered-a-data-breach
[2] Důvodová zpráva k zákonu č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), s. 83. Dostupná z: https://www.psp.cz/sqw/text/tiskt.sqw?o=7&ct=81&ct1=0