Právnickým osobám se zřejmě ještě letos rozšíří okruh dalších povinností, které vyplývají z právě projednávaných digitálních předpisů EU, jež jsou známé pod zkratkami NIS2, DSA a DMA a o nichž Advokátní deník již informoval. Na podrobnosti nové legislativy jsme se proto zeptali specialisty v oblasti práva informačních technologií a kybernetické bezpečnosti, místopředsedy představenstva ČAK JUDr. Martina Maisnera, PhD., MCIArb.

Mohl byste nějak v kostce shrnout, jaké nové povinnosti směrnice a nařízení pro právnické osoby zavádějí?

Především je třeba zdůraznit, že všechny tři předpisy se teprve připravují. Pokud bych měl v kostce shrnout, jaké nové povinnosti směrnice a nařízení pro právnické osoby zavádějí, je to úkol téměř neřešitelný. Tvrdí se totiž, že každá z uvedených směrnic představuje stejný přelom v oblasti povinností, jaký znamenala směrnice GDPR.  Do určité míry to může být pravda. Rád bych ale především všechny tři legislativní nadělení velmi stručně představil.

Směrnici NIS2[1] (Směrnice o síťové a informační bezpečnosti) a nařízení DSA[2] (Akt o digitálních službách) a DMA[3] (Akt o digitálních trzích) představila Evropská komise předloni. Všechny normy by měly být schváleny letos, možná během českého předsednictví v Radě EU, které začne od července. Směrnici NIS2 čeká pak ještě lhůta 18 měsíců pro zavedení do českého právního řádu, zatímco nařízení budou účinná přímo.

Co to bude pro společnosti znamenat a na co se budou muset připravit?

Především bych doporučoval analýzu, která by měla zodpovědět následující otázky, a to pro každý uvedený předpis zvlášť: Týká se předpis mého provozu? Pokud se týká, vyhovuje můj provoz (IT systém) předpisu? Pokud nevyhovuje, jakým způsobem jej musím změnit, aby vyhovoval? Co mohu zabezpečit interně a co outsourcovat a kolik mě to bude stát?

Dotkne se nějak nová legislativa ČAK nebo advokátů vůbec, a pokud ano, tedy jak?

Na otázku, do jaké míry se tyto směrnice a nařízení dotknou České advokátní komory a advokátů, nemohu jednoznačně odpovědět, protože advokáty a advokátní kanceláře směrnice a nařízení explicitně neuvádějí. Je však obtížné odpovědět jednoznačně, pokud si ČAK a jednotlivé advokátní kanceláře neudělají shora naznačenou analýzu. Na rozdíl od nařízení GDPR, které se týká opravdu každého advokáta, se totiž uvedené směrnice a nařízení nutně advokátů přímo týkat nemusejí. Podle dosud publikovaných podkladů by se například směrnice NIS2 neměla týkat subjektů, které nespadají do oblasti působnosti práva EU, a v každém případě všech subjektů, které vykonávají zejména činnosti v oblasti obrany, národní bezpečnosti, veřejné bezpečnosti nebo vymáhání práva, bez ohledu na to, který subjekt tyto činnosti vykonává a zda se jedná o veřejný nebo soukromý subjekt.

Dále to jsou subjekty, které vykonávají činnosti v oblasti soudnictví, parlamentů nebo centrálních bank; také činnosti subjektů, které nespadají do oblasti působnosti práva EU, a v každém případě všechny činnosti týkající se národní bezpečnosti nebo obrany, bez ohledu na to, který subjekt tyto činnosti vykonává a zda se jedná o veřejný nebo soukromý subjekt; stejně jako činnost subjektů v oblasti soudnictví, parlamentů, centrálních bank a v oblasti veřejné bezpečnosti, včetně subjektů veřejné správy, které vykonávají činnosti v oblasti prosazování práva za účelem předcházení, vyšetřování, odhalování nebo stíhání trestných činů nebo výkonu trestů.

Znamená to tedy, že se NIS2 netýká subjektů poskytujících právní služby?

Možná, podle shora uvedeného výčtu bych si to uměl představit. Na druhou stranu se advokátů tato legislativní změna dotkne v tom smyslu, že se patrně budou podílet na analýze a přizpůsobení se nové legislativě u svých klientů, kterých se uvedené předpisy týkají. A ČAK se může dotýkat také v oblasti veřejné správy.

Pokud jde o nařízení DSA, nemělo by se týkat advokátů, kteří neprovozují žádnou online platformu a neposkytují služby online ani na svém serveru neposkytují klientům hostingové služby – směřuje to primárně na poskytovatele digitálních služeb. Nicméně analýzu vlastního systému doporučuji v každém případě.

Jaké typy organizací a společností budou muset dodržovat zpřísněná pravidla bezpečnosti sítí a informací?

Zpřísněných pravidel se týká především směrnice NIS2 a je třeba říci, že podle návrhu EK se směrnice týká subjektů zásadního významu, jako jsou energetika (elektřina, dálkové vytápění a chlazení, ropa, plyn a vodík), doprava; bankovnictví; infrastruktura finančních trhů; zdravotnictví; výroba farmaceutických výrobků včetně očkovacích látek a kritických zdravotnických prostředků; pitná voda; odpadní vody; digitální infrastruktura, registry internetových domén, poskytovatelé služeb cloud computingu, poskytovatelé služeb datových center, sítě pro doručování obsahu, poskytovatelé služeb vytvářejících důvěru a veřejné sítě elektronických komunikací a služby elektronických komunikací, veřejná správa a vesmír; a dále důležitých subjektů, jako jsou například poštovní a kurýrní služby; nakládání s odpady; chemické látky; potraviny; výroba jiných zdravotnických prostředků, počítačů a elektroniky; strojní zařízení a digitální poskytovatelé (internetová tržiště, internetové vyhledavače a platformy služeb sociálních sítí).

Advokátní kanceláře mezi nimi nejsou?

Poskytovatelé právních služeb zde explicitně nejsou, ale není zcela jisté, jestli se advokát či advokátní kancelář díky způsobu poskytování právních služeb či způsobu propojení s klientem do některé z těchto kategorií nemůže dostat.

Mají se také zpřísnit pravidla pro online reklamu a odpovědnost za odstraňování nezákonného a škodlivého obsahu na internetu. Jsou v nařízeních přesně specifikovány hranice – co ještě není a už je škodlivý obsah?

Zpřísnění pravidel pro online reklamu má především DMA – tedy další povinnosti pro velké provozovatele (tzv. gatekeepery), zejména odpovědnost za nezákonný a škodlivý obsah. Nejpřesnější specifikací bude asi označení typu „hate speech“, tedy nenávistných projevů, nikoliv podrobný výčet. Ono je to asi dobře, při kazuistickém výčtu by se určitě na půlku věcí zapomnělo, ale o to složitější bude aplikace. Navíc názor na škodlivost a nezákonnost se bude zákonitě vyvíjet. Zakázaná sice není personalizovaná reklama výslovně, jak se někdy chybně uvádí, ale bude dále zcela omezena možnost sběru dat o uživatelích a jejich užití ke „komerčním účelům“, čímž se v širším smyslu rozumí i personalizovaná reklama.

Stanovují směrnice i výše pokut za jejich porušení?

Pokud se týče směrnice NIS2, tak členské státy by měly zajistit, aby za porušení povinností byly ukládány správní pokuty v maximální výši nejméně 10 000 000 EUR nebo až do výše 2 % celkového celosvětového ročního obratu podniku, k němuž patří základní nebo významný subjekt, za předchozí účetní období, podle toho, která částka je vyšší. Navrhuje se také rozlišovat režim pokut zvlášť pro zásadní a důležité subjekty a snížení maximálních částek: u základních subjektů by správní pokuty byly v maximální výši nejméně 4 000 000 EUR nebo v případě právnické osoby 2 % celkového celosvětového ročního obratu (podle toho, která částka je vyšší); u významných subjektů by správní pokuty činily maximálně 2 000 000 EUR nebo v případě právnické osoby 1 % celkového celosvětového ročního obratu.

Za porušení povinností stanovených DMA jsou sankce stanoveny přímo v DMA, a to v případě porušení povinností nebo předběžných opatření či závazků až do výše 10 % obratu gatekeepera v předchozím finančním roce. V případě porušení informačních povinností či neposkytnutí součinnosti Komisi je pokuta až 1 % ročního obratu podniku v předchozím finančním roce. A k vynucení součinnosti či plnění závazků je dále Komise oprávněna ukládat penále až ve výši 5 % průměrného denního obratu podniku nebo gatekeepera v předchozím finančním roce denně. Takže jde o pokuty celkem zásadní.

Redakce AD
Foto: ČAK

[1] Směrnice NIS2 rozšiřuje směrnici NIS1 zejména co do okruhu povinných subjektů a stanovuje nové povinnosti zejména v oblasti řízení rizik v oblasti kybernetické bezpečnosti.

[2] Nařízení DSA (Digital Services Act) stanoví nová pravidla pro provoz online platforem a stanoví povinnosti uživatelů, platforem a veřejných orgánů.

[3] Nařízení DMA (Digital Markets Act) stanoví přísnější pravidla zejména pro velké, dominantní provozovatele platforem (gatekeepery) a rozšíření jejich odpovědnosti za obsah.