Advokátní tajemství v cloudu
V tomto článku se zamýšlíme nad tím, zda lze ochranu důvěrných klientských informací účinně zabezpečit i v cloudovém prostředí, zejména ve vztahu k pravomocem orgánů činných v trestním řízení.
Technologický vývoj zásadně ovlivnil každodenní činnost advokátů a advokátních kanceláří. Jen těžko si lze dnes představit, že by advokáti komunikovali či vedli spisy pouze v papírové podobě. Tak jako jiné profese, i výkon advokacie je nevyhnutelně spjat s digitalizací a advokáty běžně užívané softwarové nástroje jsou čím dále častěji umísťovány v „cloudu“[1] – ať už se jedná o klasické kancelářské nástroje, e-mailovou komunikaci, nástroje pro komplexní správu dokumentace a spisů kanceláře, či nástroje pro vykazování odpracovaného času.
O možnosti využívání cloudových služeb advokáty se vede debata již několik let, a to zejména v souvislosti s povinností advokátů zachovávat mlčenlivost o všech skutečnostech, o nichž se v souvislosti s výkonem své profesní činnosti dozvědí, a s průlomy do advokátního tajemství ze strany orgánů činných v trestním řízení.
Advokátní tajemství a zpřístupnění informací orgánům činným v trestním řízení
Povinnost zachovávat advokátní tajemství je jednou z nejvýznamnějších povinností advokáta zakotvenou v § 21 zák. č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů (dále jako „zák. o advokacii“), často označovanou za základní pilíř advokacie.[2] Povinnost mlčenlivosti je někdy označována za „privilegium“ advokátů (viz mj. anglický, obecně užívaný pojem „client-attorney privilege“), slouží však výhradně k ochraně práv klienta, a to pro realizaci jeho práva na spravedlivý proces,[3] konkrétně práva na právní pomoc a účinnou obhajobu.[4]
V českém právním řádu je advokátní tajemství konstruováno formálně jako jednostranná povinnost advokáta zachovávat mlčenlivost.[5] S výjimkou několika kazuisticky upravených procesů (týkajících se např. orgánů činných v trestním řízení,[6] správce daně[7] či Úřadu pro ochranu osobních údajů[8]) není nijak zakotvena obecná povinnost (třetích stran) respektovat advokátní tajemství. Tato povinnost, včetně např. ochrany korespondence mezi advokátem a klientem, tak musela být opakovaně dovozena Ústavním soudem,[9] ale i Evropským soudem pro lidská práva.[10] Důležitost institutu advokátního tajemství jakožto součásti práva na spravedlivý proces přitom stoupá, mj. i vzhledem ke vzrůstajícím tendencím státních institucí, včetně těch zákonodárných,[11] toto základní právo omezovat, a usnadňovat si tak přístup k (elektronicky uchovávaným) informacím od soukromých osob. Orgány činné v trestním řízení nezřídka účelově vykládají zavedené procesní instituty s cílem získat snazší přístup k informacím za pomoci moderních technologií – např. prostřednictvím tzv. prostorových odposlechů[12] či obcházením zákonné úpravy pro získání dat telekomunikačního provozu.[13]
Přístup k informacím, kterými disponují advokáti, ze strany orgánů činných v trestním řízení podléhá obecné úpravě zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů (dále jako „tr. řád“). S povinností advokáta zachovávat advokátní tajemství (§ 21 zák. o advokacii) koresponduje povinnost orgánů činných v trestním řízení respektovat a dodržovat v rámci svých postupů pravidla stanovená na ochranu mlčenlivosti.[14] V případě, že tyto orgány nedodrží při své činnosti zákonem stanovený postup sloužící k ochraně advokátního tajemství, budou důkazy opatřené v rámci takové činnosti získány v rozporu se zákonem a jako takové vyloučeny z dokazování.[15]
Orgány činné v trestním řízení mohou při získávání informací od advokátů uplatňovat tradiční instituty, jako je vydání a odnětí věci, zajištění věci, domovní prohlídka a prohlídka jiných prostor (§ 78 a násl. tr. řádu). Pokud by však mělo např. v rámci vydání věci (postupem dle § 78 tr. řádu) dojít k vydání informací, na které se vztahuje povinnost mlčenlivosti, nemá advokát povinnost takové informace vydat (§ 78 odst. 2 tr. řádu); v opačném případě by porušil svou povinnost mlčenlivosti.[16] Orgány činné v trestním řízení zároveň mohou požadovat tzv. „zmrazení dat“, kdy lze s účinností od 1. února 2019 podle § 7b tr. řádu uložit jakékoli osobě, aby po stanovenou dobu (nejvýše 90 dní) uchovala v nezměněné podobě vymezená data, která jsou uložena v počítačovém systému nebo na nosiči informací, a aby zároveň znemožnila přístup k těmto datům a nezpřístupnila informaci o skutečnosti, že jí bylo takové uchování dat nařízeno.[17] Tento předběžný zajišťovací institut má zajistit součinnost osoby, která drží rozhodná data, a jejich uchování v původní podobě, což je důležité zejména ve vztahu k elektronickým informacím; pokud by se orgány činné v trestním řízení chtěly s takovými daty seznámit, musejí využít jiných institutů, včetně např. domovní prohlídky či prohlídky jiných prostor.[18] Cílem těchto institutů přitom není a nemá být přenos veřejnoprávních pretenzí do práv jednotlivců v trestním řízení na soukromoprávní subjekty, a tím nahrazování činnosti orgánů činných v trestním řízení,[19] ale má se jednat pouze o jistý druh pomoci ze strany osob nezúčastněných na trestním řízení při realizací úkonů tohoto řízení.[20]
Cloudové úložiště jako prostor, v němž advokát vykonává advokacii
Z hlediska využívání cloudových služeb je významná zejména možnost orgánů činných v trestním řízení provést domovní prohlídku, resp. prohlídku jiných prostor, v nichž advokát vykonává advokacii. Ta podléhá speciálním pravidlům stanoveným v § 85b tr. řádu. Orgány činné v trestním řízení v takovém případě musejí zachovat náležitou ochranu veškerých listin, které obsahují skutečnosti, na něž se vztahuje povinnost mlčenlivosti advokáta. Podle § 85b odst. 1 tr. řádu jsou orgány činné v trestním řízení povinny vyžádat si součinnost České advokátní komory, přičemž s obsahem listin, které podléhají advokátnímu tajemství, jsou oprávněny se seznámit pouze na základě souhlasu zástupce Komory a v jeho přítomnosti; zároveň advokát není oprávněn tyto listiny zpřístupnit sám bez přítomnosti zástupce Komory. V případě, že zástupce Komory tento souhlas neudělí, lze jej případně nahradit soudním rozhodnutím.[21] Účelem tohoto ustanovení je zabránit orgánům činným v trestním řízení, aby se neoprávněně seznámily s důvěrnými informacemi, které advokát uchovává, tj. aby nedošlo k narušení advokátního tajemství, a tedy práva na spravedlivý proces klientů.
Při využívání cloudových služeb advokát zpravidla ukládá informace podléhající advokátnímu tajemství mimo fyzické prostory své kanceláře. Nejvyšší soud[22] a následně i Ústavní soud[23] potvrdily, že data uložená mimo kancelář advokáta – včetně tedy cloudového úložiště – požívají stejné ochrany jako data uložená přímo v kanceláři advokáta.[24] Klíčová je tedy informace a její vlastník (správce), kterým je advokát, nikoli to, kde se informace nachází.[25]
Podle Nejvyššího soudu se za „jiné prostory, v nichž advokát vykonává advokacii“ ve smyslu § 85b tr. řádu považuje „jakýkoli prostor, který souvisí s výkonem advokacie, a v němž se proto vyskytují informace o klientech, ať již v písemné, elektronické, či jiné podobě“, čímž jednoznačně stanovil, že při získávání dat, která mohou podléhat povinnosti mlčenlivosti advokáta, musejí orgány činné v trestním řízení postupovat v souladu s § 85b tr. řádu. Nejvyšší soud dokonce výslovně uvedl, že postup podle § 85b tr. řádu se uplatní na „různá elektronická úložiště dat, a to ať už jde o webové stránky advokáta, vlastní datová úložiště advokáta nenacházející se v místech běžného výkonu advokátní praxe, nebo úložiště provozovaná od advokáta odlišnou osobou, umožňující dálkový přístup pomocí internetové sítě (např. různé typy tzv. hostingů, cloudů, serverů)“.
Ochrana dat advokáta v cloudu
Při současném stavu technologií představují cloudová řešení renomovaných poskytovatelů maximálně bezpečný způsob nakládání s daty. Tito poskytovatelé cloudových služeb každoročně investují značné finanční prostředky do zabezpečení vlastních datacenter, a zajišťují tak úroveň zabezpečení, kterou jen stěží může zajistit advokát či advokátní kancelář sama vlastními prostředky.
Vysoká úroveň kybernetické bezpečnosti, která poskytuje ochranu před vnějšími zásahy, jako jsou např. hackerské útoky třetích stran a jiné neoprávněné zásahy, však sama o sobě neznamená ochranu před ingerencemi ze strany státních orgánů v rámci jejich pravomocí. Zároveň se uložením dat do cloudu advokát nezbavuje svých zákonných povinností, včetně povinnosti zachovávat advokátní tajemství – tyto povinnosti platí nadále ve stejném rozsahu, jako by měl data uchována na vlastních serverech či v papírových spisech v kanceláři. Advokát tedy musí zajistit, že data, která uchovává v cloudu, budou řádně chráněna a nebudou vydána orgánům státní moci bez toho, aniž by byl dodržen předepsaný zákonný postup (tj. bez souhlasu České advokátní komory či na základě svolení klienta). Toto může zajistit smluvně v rámci podmínek dohodnutých se svým poskytovatelem cloudových služeb.
Co by tedy měl zaručit poskytovatel cloudových služeb? Samotná kybernetická bezpečnost, resp. zavedení nezbytných organizačních a technických opatření chránících cloudová úložiště, se standardně prokazuje dodržováním mezinárodních bezpečnostních norem ISO – pro bezpečnost cloudových úložišť se pak doporučuje zejména ISO 27001, ISO 27002 a ISO 27018. Poskytovatel cloudové služby by se měl smluvně zavázat k dodržování těchto opatření, pravidelně je obnovovat a rovněž provádět nezávislý přezkum jejich dodržování. Je však nezbytné, aby advokát sám nastavil vhodná technická a organizační opatření na své straně – zejména nastavení vhodných přístupových oprávnění, silných hesel apod.
Dodržování bezpečnostních standardů je třeba specificky řešit v souvislosti s povinnostmi vyplývajícími z předpisů na ochranu osobních údajů (tedy zejména nařízení 2016/679, obecné nařízení o ochraně osobních údajů, tzv. GDPR). Advokát se při své praxi nevyvaruje nakládání s osobními údaji, jejich ochranu v rámci cloudu je tak potřeba zajistit mj. uzavřením smlouvy s poskytovatelem služeb o zpracování osobních údajů[26] v souladu s čl. 28 odst. 3 GDPR. Samozřejmostí by měl být rovněž závazek mlčenlivosti poskytovatele služeb, resp. tedy zajištění důvěrnosti ukládaných dat, a závazek nevyužívat ukládaná data pro vlastní účely poskytovatele. Ukládaná data by neměla být ze strany poskytovatele služeb jakkoli přezkoumávána a ani by neměl znát jejich povahu. Toho advokát může dosáhnout i šifrováním veškerých dat a komunikace ještě před jejich ukládáním na cloudové úložiště.
Smluvní záruky ochrany důvěrnosti dat dané poskytovatelem cloudových služeb by měly dopadat i na ochranu v cloudu uložených informací a dokumentace klienta proti žádostem na jejich vydání ze strany orgánů veřejné moci. Je totiž poměrné časté, že tyto orgány se snaží získat v rámci svých šetření přístup k informacím „oklikou“ právě prostřednictvím poskytovatelů cloudových úložišť. V případě, kdy orgány činné v trestním řízení provádějí domovní prohlídku, resp. prohlídku jiných prostor, v nichž advokát vykonává advokacii – což v souladu s výše zmíněnou soudní judikaturou zahrnuje i cloudová úložiště, ve kterých advokát uchovává klientské informace a spisy – je primárně povinností tohoto orgánu vyžádat si součinnost České advokátní komory, a zajistit tedy přítomnost jejího zástupce. Pokud tak neučiní, budou orgány činné v trestním řízení postupovat v přímém rozporu se zákonnými požadavky.
Poskytovatelé cloudových služeb nemají často možnost si ověřit, zda orgány činné v trestním řízení žádají o přístup k informacím podléhajícím specifickému chráněnému režimu, jako je advokátní či jiné profesní tajemství, neboť neznají povahu a obsah datových souborů ukládaných zákazníkem v rámci jejich služby. Soulad s pravidly na ochranu konkrétních údajů by tak měl v případě excesu policejních orgánů zajistit advokát. Aby tak ovšem mohl v konkrétním případě učinit, měl by být poskytovatelem cloudových služeb bezodkladně informován o žádostech třetích stran na zpřístupnění jeho dat.
Advokátovi by tedy mělo být poskytovatelem cloudových služeb smluvně garantováno, že v případě žádosti o zpřístupnění dat třetí osobou, včetně žádostí orgánů činných v trestním řízení, bude – není-li takový postup prokazatelně v rozporu se zákonem – o takové žádosti včas vyrozuměn tak, aby mohl podniknout nezbytné kroky k ochraně informací podléhajících advokátnímu tajemství. Tato garance je důležitá zejména pro případy, kdy samotné orgány činné v trestním řízení nepostupují v souladu se zákonem a samy nezajistí povinnou přítomnost a souhlas zástupce České advokátní komory nebo kdy by mělo dojít k vydání listin, na které se tato ediční povinnost nevztahuje dle § 78 odst. 2 tr. řádu. Lze namítat, že samotná žádost (soudní příkaz k domovní prohlídce nebo výzva k vydání věci) může takovýto postup vyloučit z důvodu, aby nedošlo k maření probíhajícího vyšetřování, nebo v případech, že by byla ohrožena bezpečnost státu či jiné obdobné veřejné zájmy. Domníváme se však, že právo poskytovatele služeb informovat zákazníka o jakýchkoli žádostech třetích stran, včetně orgánů činných v trestním řízení, o přístup k informacím, které ukládá v rámci zakoupené cloudové služby, by mělo být omezeno jen ve výjimečných, zákonem podložených a konkrétními skutečnostmi odůvodněných případech. Poskytovatel služby by měl zákazníkovi smluvně zaručit, že neposkytne bez jeho vědomí automaticky přístup k jeho datům; v případě jakékoli žádosti předložené orgány činnými v trestním řízení by zákazníkovi mělo být principiálně zaručeno, že bude o požadovaném zpřístupnění informován.
Jakmile je zákazník – advokát – poskytovatelem cloudových služeb informován o žádosti o přístup k jeho datům uchovávaným v cloudu, je už dále na něm, aby podnikl nezbytné kroky k zajištění advokátního tajemství, tedy zejména aby:
a) učinil oznámení o doručení žádosti o zpřístupnění informací České advokátní komoře (pro případ, že by povinnou součinnost Komory nedožádal orgán činný v trestním řízení);
b) učinil oznámení o své stavovské příslušnosti a možnosti výskytu důvěrných informací v rozsahu informací, které jsou předmětem dožádání, vůči žádajícímu orgánu; a
c) sdělil poskytovateli cloudových služeb, že předmětné informace podléhají povinnosti mlčenlivosti, a proto není oprávněn je žádajícímu orgánu vydat bez dodržení zákonného postupu (zejména § 85b tr. řádu, § 255 daňového řádu či § 58 zákona o zpracování osobních údajů).
Závěr
Je nepochybné, že cloudová úložiště podléhají stejné ochraně jako počítače nebo servery umístěné přímo v kanceláři advokáta a že se tedy na ně uplatní stejná pravidla a postupy ve vztahu k ochraně advokátního tajemství a přístupu orgánů činných v trestním řízení, včetně postupu stanoveného v § 85b tr. řádu. Dodržování těchto pravidel a postupů vyžaduje součinnost poskytovatele cloudových služeb se zákazníkem – advokátem, která musí být poskytovatelem služeb zaručena smluvně a důsledně dodržována. Zůstává však v první řadě na advokátovi využívajícím cloudové služby, aby zajistil, že nedojde k nezákonnému průlomu do advokátního tajemství, a to mj. výběrem důvěryhodného poskytovatele služeb a zakotvením vhodných smluvních podmínek a garancí, které mu v důsledku umožní zachovat si plnou kontrolu nad klientskými daty a dodržování zákonných postupů.
Mgr. Dominik Vítek působí jako advokát v advokátní kanceláři Pierstone v Praze.
Mgr. Lenka Suchánková, LL.M., je zakládající partnerkou a advokátkou v advokátní kanceláři Pierstone v Praze.
[1] Pojmem „cloud“ v kontextu tohoto článku míníme síť vzájemně propojených vzdálených serverů po celém světě, které fungují jako jeden ekosystém (k tomu více např zde https://azure.microsoft.com/cs-cz/overview/what-is-the-cloud). Může se jednat o využívání sdíleného e-mailového serveru, ukládání dat na centrálním úložišti, využívání tzv. veřejných cloudových úložišť či využívání jakýchkoli „sdílených“ služeb prostřednictvím internetu. Advokáti budou nejčastěji využívat model služeb označovaný jako SaaS (Software as a Service).
[2] J. Svejkovský, M. Vychopeň, L. Krym, A. Pejchal a kol.: Zákon o advokacii, Komentář, 1. vydání, C. H. Beck, Praha 2012, str. 139.
[3] Tamtéž, str. 142.
[4] T. Gřivna: Právo na zachování důvěrné komunikace mezi advokátem a jeho klientem, publikováno dne 2. 8. 2017, dostupné z http://www.bulletin-advokacie.cz/pravo-na-zachovani-duverne-komunikace-mezi-advokatem-a-jeho-klientem.
[5] Srov. § 21 zákona advokacii.
[6] Srov. § 85b zákona č. 141/1961 Sb., trestní řád, ve znění pozdějších předpisů.
[7] Srov. § 255 zákona č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů, dále „daňový řád“.
[8] Srov. § 58 zákona č. 110/2019, o zpracování osobních údajů, ve znění pozdějších předpisů, dále „zákon o zpracování osobních údajů“.
[9] Srov. např. nálezy Ústavního soudu ze dne 3. 1. 2017, sp. zn. III. ÚS 2847/14, nebo ze dne 28. 8. 2009, sp. zn. II. ÚS 2894/08-2.
[10] Srov. např. rozhodnutí ESLP ze dne 6. 3. 2013 ve věci Michaud v. Francie, Application no. 12323/11, dostupné z https://hudoc.echr.coe.int/eng#{%22itemid%22:[%22001-115377%22]}.
[11] Vzpomeňme si např. na nedávno navrhovanou snahu prolomit advokátní mlčenlivost pro účely správy daně, zdůvodňovanou nezbytností a efektivností při správě daně – k tomu viz např. https://radiozurnal.rozhlas.cz/tomas-sokol-o-prolomeni-mlcenlivosti-advokatu-byl-zasah-do-prav-obcanu-7180721.
[12] K tomu J. Jelínek: K chybějící právní úpravě tzv. prostorového odposlechu v trestním řádu, Bulletin advokacie č. 7-8/2018, str. 14.
[13] K tomu J. Tlapák Navrátilová, I. Galovcová: Uchování dat uložených v počítačovém systému – poskytování součinnosti, nebo nahrazování činnosti orgánů činných v trestním řízení? Bulletin advokacie č. 11/2019, str. 36-39.
[14] Z pohledu advokáta by bylo nezákonným narušením mlčenlivosti ze strany orgánů činných v trestním řízení dotčeno advokátovo ústavně zaručené právo vlastnit majetek podle čl. 11 odst. 1 Listiny základních práv a svobod (např. při zadržování výpočetní techniky) a mohlo by jít o zásah do práva podnikat a provozovat jinou hospodářskou činnost podle čl. 26 Listiny. Podrobněji sjednocující stanovisko trestního kolegia Nejvyššího soudu sp. zn. Tpjn 306/2014. Z pohledu klienta by šlo zejména o zásah do práva na respektování soukromého a rodinného života (čl. 6 Úmluvy o ochraně lidských práv a základních svobod) a zásah do práva na obhajobu.
[15] Usnesení Ústavního soudu ze dne 26. 10. 2015, sp. zn. I. ÚS 2878/14, bod 36-37.
[16] Informace představenstva ČAK k § 7b trestního řádu, Bulletin advokacie č. 11/2019, str. 4-7, a rovněž dostupné z https://advokatnidenik.cz/2019/10/23/informace-k-ustanoveni-%c2%a7-7b-trestniho-radu/.
[17] ČAK ve svém stanovisku upozorňuje na rozpor mezi požadavkem § 7b tr. řádu, který zakazuje zpřístupnit informaci o zmrazení dat, a základním právem klienta advokáta na právní pomoc: „neboť advokátovi nelze uložit, aby klientovi, proti kterému je vedeno trestní stíhání, nesdělil, že mu byl doručen příkaz dle § 7b tr. řádu. Vynucování takovéhoto požadavku by bylo v rozporu s čl. 37 odst. 2 Listiny upravující právo na právní pomoc. Stát nemůže požadovat po advokátovi, aby v rámci obhajoby svému klientovi cokoli zamlčoval.“ Uplatnění úpravy § 7b tr. řádu vůči advokátům je minimálně z tohoto pohledu nevhodné. Stanovisko ČAK dostupné zde: https://advokatnidenik.cz/2019/10/23/informace-k-ustanoveni-%c2%a7-7b-trestniho-radu/.
[18] K tomu viz např. vyjádření ČAK: ČAK předkládá informaci k ustanovení § 7b trestního řádu, dostupné z https://advokatnidenik.cz/2019/10/23/informace-k-ustanoveni-%c2%a7-7b-trestniho-radu/.
[19] Srov. op. cit. sub 13, str. 36.
[20] Tamtéž, str. 39.
[21] Srov. § 85b odst. 3 tr. řádu.
[22] Sjednocující stanovisko Nejvyššího soudu ze dne 25. 6. 2015, sp. zn. Tpjn 306/2014.
[23] Usnesení ze dne 26. 10. 2015, sp. zn. I. ÚS 2878/14.
[24] A to navzdory předchozímu výkladu Městského soudu v Praze sp. zn. Nt 615/2014, ve kterém Městský soud dovodil, že se postup podle § 85b tr. řádu uplatní pouze v případech, kdy je prováděna prohlídka v prostorách, (a) kde advokát vykonává advokacii, přičemž za výkon advokacie se v souladu se zákonem o advokacii považuje poskytování právních služeb, a (b) kde se mohou nacházet listiny obsahující skutečnosti, na něž se vztahuje povinnost mlčenlivosti advokáta – zde je podle judikatury nutné, aby se v prostorách pravidelně vyskytovalo větší množství informací o klientech advokáta.
[25] V. Smejkal: Ochrana dat advokátů v elektronických úložištích, publikováno dne 20. 4. 2015, dostupné z http://www.bulletin-advokacie.cz/ochrana-dat-advokatu-v-elektronickych-ulozistich?browser=mobi.
[26] K tomu srov. např. kapitolu 6.3 Metodiky pro advokáty a advokátní kanceláře k dosažení shody s GDPR vydanou ČAK, dostupnou z https://www.cak.cz/scripts/detail.php?id=18817.