Dopady technologického vývoje na povinnosti advokáta na úseku kybernetické bezpečnosti
Následující článek získal druhé místo v kategorii Talent roku dvojročníku soutěže Právník roku 20/21 a v Bulletinu advokacie jej tradičně publikujeme v souladu se statutem soutěže. Vítězný článek tohoto mimořádného, „koronavirového“ dvojročníku soutěže – „Korporátní dluhopisy: černé ovce kapitálového trhu?“ autora JUDr. Martina Hobzy, Ph.D., byl publikován pro jeho aktuálnost a bez ohledu na budoucí úspěch v soutěži již v BA č. 3/2021, článek „Unijní ochrana hospodářské soutěže jako argument pro přistoupení EU k EÚLP“ od Mgr. Ing. Martina Koudelky, LL.M., který získal třetí místo, vyšel rovněž již dříve, a to v BA č. 1-2/2021.
Publikovaný článek rozebírá povinnosti advokáta na úseku kybernetické bezpečnosti. Ty lze odvodit z obecných povinností advokáta ukládaných § 16 odst. 1, § 21 odst. 1 a § 25 odst. 1 zákona o advokacii; jejich zanedbání tak může vést k porušení zákonných, smluvních či stavovských povinností advokáta. Autor v článku rozebírá standardy péče, které advokát musí při nakládání s klientskými daty dodržovat a při jejichž nedodržení jedná protiprávně, vysvětluje vztah základního a exkulpačního standardu péče a dochází k závěru, že je nutné ohraničit vybrané povinnosti advokáta související s informační bezpečností přiměřeným standardem péče.
Advokáti jsou pro kybernetické útočníky přitažlivými cíli. Zpracovávají totiž obrovské množství velmi citlivých dat různých subjektů (svých klientů), jsou velmi motivovaní k platbě výkupného v případě útoku prostřednictvím ransomware a svou informační bezpečnost[1] obecně podceňují a nevynakládají na její zajištění tolik prostředků jako jejich klienti.[2] Advokáti měli k technologiím vždy rezervovaný přístup.[3] Tento trend se sice v poslední době mění a advokáti technologie využívají stále větší měrou. Informační bezpečnost nicméně stále podceňují.[4]
V této práci argumentuji, že by se advokáti měli začít aktivně zajímat o rizika spojená s používáním technologií při poskytování právních služeb a na tato rizika přiměřeně reagovat, protože jsou (stejně jako jejich klienti) vystaveni rychle rostoucím bezpečnostním hrozbám.[5]
Zákon o advokacii[6] ani žádný stavovský předpis České advokátní komory (dále jen „ČAK“) se o informační bezpečnosti klientských dat explicitně nezmiňuje. To však neznamená, že by advokát v tomto ohledu měl zůstat nečinný. V této práci vysvětlím, že v důsledku masivního rozvoje informačních a komunikačních technologií dochází k posunu v obsahu zákonných i etických povinností advokáta. Povinnost chránit klientská data lze dovodit z obecných povinností advokáta, zejména z povinnosti chránit a prosazovat práva a oprávněné zájmy klienta, povinnosti mlčenlivosti či povinnosti vést klientský spis. Ignorace technologií a důsledků jejich užívání tak může vést k porušení zákonných, smluvních či stavovských povinností advokáta.
Dále se budu zabývat standardem péče, který advokát musí při nakládání s klientskými daty dodržovat a při jehož nedodržení jedná protiprávně. Typickou povinností související s klientskými daty je povinnost mlčenlivosti. Tuto povinnost stanoví zákon o advokacii absolutně, ačkoliv kvůli řadě složitých technických, organizačních, ekonomických a personálních důvodů nemůže advokát (ani nikdo jiný) absolutní bezpečnost dat zajistit.[7] Zákon o advokacii tak zatěžuje advokáta povinnostmi, které sice nemůže splnit, ale které současně nelze považovat za neexistující s ohledem na zásadu impossibilium nulla est obligatio.
Vedle základního standardu řádnosti výkonu advokacie obsahuje zákon o advokacii další standard, jehož dodržení vyloučí advokátovu odpovědnost za újmu. Ke své exkulpaci advokát musí prokázat, že újmě nemohlo být zabráněno ani při vynaložení veškerého úsilí, které lze na něm požadovat. V práci vysvětlím, jaký je vztah základního a exkulpačního standardu, proč jsou v informační společnosti již nepřiměřeně přísné a proč musí dojít k jejich přehodnocení. Negativním důsledkem této přílišné přísnosti je fakt, že se standardy míjejí svým regulačním účinkem, tedy že nemotivují advokáty k řízení rizik a zavádění bezpečnostních opatření k jejich zmírňování. Kybernetická bezpečnostní rizika tak na jedné straně rostou, na druhé straně zákon o advokacii neposkytuje ochranu ani advokátům, ani jejich klientům, a v konečném důsledku ani advokátnímu stavu jako celku. V práci proto zdůrazním nutnost ohraničení vybraných povinností advokáta souvisejících s informační bezpečností přiměřeným standardem péče, který by vycházel z přístupu založeného na riziku, na němž jsou postaveny moderní právní předpisy na ochranu osobních údajů (GDPR) a informačního prostoru (zákon o kybernetické bezpečnosti). Tyto předpisy za protiprávní nepovažují porušení zabezpečení chráněného aktiva, ale nedodržení příslušného standardu ochrany.
V závěru argumentuji ve prospěch systematické podpory ze strany ČAK, která může mít podobu školení v oblasti informační bezpečnosti či doporučení pro zabezpečení klientských dat či doporučených standardů pro technologie a služby ke zpracování, uchovávání a komunikaci klientských dat.
1. Technologie a informační bezpečnost v advokacii
1.1 Hrozby a zranitelnosti klientských dat
Jako další profese, začali i advokáti ve snaze zvyšovat efektivitu práce a uživatelskou přívětivost svých služeb tvořit, zpracovávat, uchovávat a přenášet klientská data v elektronické podobě. Nejvyhledávanějšími vlastnostmi technologií užívaných advokáty jsou rychlost a jednoduchost. Se svými klienty proto komunikují prostřednictvím e-mailu a instant messaging aplikací,[8] ukládají data na veřejný či privátní cloud či se na cestách vzdáleně připojují do své sítě. Tyto technologie jsou dnes integrální, byť mnohdy neviditelnou součástí právních služeb.
E-mail, instant messaging či cloud nejsou specifické či zvláště nebezpečné technologie. Oproti analogovému poskytování právních služeb jsou však informační a komunikační technologie pro advokáty méně předvídatelné. Též přibylo zranitelností a vektorů útoku, čímž se výrazně zvýšilo riziko bezpečnostního incidentu.[9] Může jít o e-mail pro klienta nedopatřením odeslaný protistraně (toto riziko je v případě listinného dopisu téměř nulové), úmyslné protiprávní jednání útočníka (toto riziko existovalo i před elektronizací, avšak elektronická data jsou snáze replikovatelná a manipulovatelná, a jsou-li umístěna na zařízení připojeném k internetu, jsou i dálkově dostupná) či selhání techniky.
Mnohé ze současných hrozeb jsou neadresné nebo vznikají neúmyslně (neodborná manipulace s datovými nosiči, chyba hardwaru či softwaru nebo ztráta zařízení obsahujícího klientská data). Ty nejnebezpečnější hrozby jsou však cílené a úmyslné. Advokáti, ač si to sami mnohdy neuvědomují, jsou velmi přitažlivými cíli kybernetických útoků. Existují pro to tři hlavní důvody.
- Za prvé, advokáti agregují obrovské množství důvěrných dat o svých klientech.[10] Tento objem se bude dále zvětšovat s čím dál intenzivnějším zapojením technologií do poskytování právních služeb. Útočníkovi stačí realizovat jediný úspěšný útok na advokátní kancelář a dostane se k datům stovek subjektů.[11] Kromě kvantity je třeba zohlednit i hodnotu dat zpracovávaných advokáty, neboť ti se dostávají do styku s těmi nejdůležitějšími a nejdůvěrnějšími daty, s nimiž jejich klienti nakládají (např. o fúzích a akvizicích, trestních řízeních, duševním vlastnictví či obchodních sporech). Útočníci tak nemusejí hledat hodnotná data mezi balastem.
- Za druhé, úspěch advokátní kanceláře se z velké míry odvíjí od důvěry klientů a její celkové reputace. Advokáti často poukazují na svůj zákonný závazek mlčenlivosti a na jeho benefity pro klienty. Jsou tedy silně motivováni zaplatit požadované výkupné či bezpečnostní incident neohlásit, čímž zvyšují hodnotu jimi zpracovávaných dat a přitahují útočníky.[12]
- Za třetí, útočníci vnímají advokátní kanceláře jako snadné cíle. Advokáti jsou pod konstantním tlakem na rychlost poskytování právních služeb. To vede k využívání technologií zlepšujících efektivitu práce, a naopak k odmítání technologií zvyšujících bezpečnost, neboť ty jsou inherentně spojeny se snížením uživatelského komfortu.[13] Advokátní kanceláře tak oproti svým klientům nevěnují tolik pozornosti relevantním hrozbám a zranitelnosti a investují méně do bezpečnostních technologií, procesů a školení svých zaměstnanců.[14] Bezpečnostní hrozby, ať jde o cílené útoky, či nahodilé události, by advokacie již neměla dále ignorovat. Na to jsou tyto hrozby příliš pravděpodobné a mají příliš závažné dopady na klienty, samotné advokáty i na důvěru v advokátní stav.
1.2 Informační bezpečnost a povinnosti advokáta
Ve vztahu ke zpracovávání a ochraně klientských dat zákon o advokacii ani stavovský předpis ČAK advokátům nestanoví žádnou výslovnou povinnost. Právní úprava kybernetické bezpečnosti dopadá pouze na určené kategorie správců a provozovatelů kritické infrastruktury.[15] Stejně tak nemají advokáti expresivně vyjádřenou povinnost sledovat aktuální technologické trendy, hrozby či zranitelnost. Znamená to tedy, že advokáti nemusejí při poskytování právních služeb reflektovat aktuální technologickou a bezpečnostní realitu? A že si nemusejí uvědomovat existující informační hrozby a zranitelnost svých systémů a sítí a reagovat na ně? Odpověď na všechny položené otázky zní ne. Bylo by omylem se domnívat, že informační bezpečnost se týká pouze povinných subjektů uvedených v zákoně o kybernetické bezpečnosti a několika málo velkých advokátních kanceláří. Povinnosti na úseku informační bezpečnosti má totiž každý advokát, který zpracovává klientská data.
Povinnosti advokáta ve vztahu k informační bezpečnosti dovozuji ze tří základních zákonných povinností advokáta.[16] Za prvé je advokát povinen chránit a prosazovat práva a oprávněné zájmy klienta (§ 16 odst. 1 zák. o advokacii). Za druhé je advokát vázán povinností mlčenlivosti o všech skutečnostech, o nichž se dozvěděl v souvislosti s poskytováním právních služeb (§ 21 odst. 1 zák. o advokacii). Za třetí je advokát o poskytování právních služeb povinen vést přiměřenou dokumentaci (§ 25 odst. 1 zák. o advokacii).
Všechny tři uvedené povinnosti advokáta mohou být zásadním způsobem porušeny, pokud v důsledku nedostatečné úrovně informační bezpečnosti dojde k bezpečnostnímu incidentu. Kromě porušení zákona o advokacii a z toho plynoucí odpovědnosti za újmu vůči klientovi může tímto advokát porušit i své stavovské povinnosti a čelit za to kárné odpovědnosti.
Součástí klientských dat jsou i osobní údaje, takže bezpečnostní incident může vyústit i v sankci udělenou Úřadem pro ochranu osobních údajů. Vedle právních důsledků nedostatečného zabezpečení je v sázce i advokátova pověst, což považuji za jedno z nejvýznamnějších aktiv advokacie.
V následujících třech kapitolách budou detailněji rozebrány výše uvedené povinnosti advokáta a jejich přesah i do informační bezpečnosti.
1.2.1 Povinnost chránit a prosazovat práva a oprávněné zájmy klienta
Povinnost chránit a prosazovat práva a oprávněné zájmy klienta dle ust. § 16 odst. 1 zák. o advokacii je ústřední povinností advokáta. Z hlediska tohoto ustanovení je posuzována řádnost výkonu advokacie.[17] Porušení některé povinnosti v něm obsažené je jedním z předpokladů vzniku odpovědnosti advokáta za škodu.[18] Citované ustanovení je však současně velmi široce formulováno, takže konkrétní skutkové podstaty neřádného výkonu advokacie jsou tvořeny ad hoc rozhodnutími kárných orgánů ČAK či soudů.
Nikoho nepřekvapí, že advokát musí při poskytování právních služeb znát právní předpisy, judikaturu i teorii a mít schopnost logické a vhodné aplikace těchto znalostí. Dále nebude sporu o tom, že povinnost řádného výkonu advokacie ve smyslu ust. § 16 zák. o advokacii obsahuje povinnost advokáta držet krok nejen s vývojem legislativy a judikatury, ale i společenské reality. Náležitá subsumpce skutkového stavu pod hypotézu právní normy, tedy advokátův denní chléb, nezbytně vyžaduje pochopení podstaty jednotlivých prvků skutkového děje. Společenské vztahy se stále větší měrou navazují a realizují v kyberprostoru. Jejich obsah je tak stále více determinován technologickým vývojem, zejména na poli informačních a komunikačních technologií.[19] Znalostmi technologií musí disponovat nejen advokáti zaměřující se na právo informačních a komunikačních technologií, ale i advokáti s generální praxí, neboť technologie zasahují téměř do všech právních oblastí (občanské právo – eCommerce, správní právo – ochrana osobních údajů, trestní právo – počítačová kriminalita).
Technologický vývoj se nepromítá jen do obsahu právních služeb, ale i do jejich designu a ochrany klientských dat advokátem. Právní služby nelze poskytovat řádně, aniž by advokát chápal podstatu e-mailu, dokázal odeslat datovou zprávu nebo uměl posoudit bezpečnost a důvěryhodnost cloudového informačního systému, jejž zamýšlí využívat.
Jsem proto přesvědčen, že v důsledku masového využívání informačních a komunikačních technologií je třeba interpretovat povinnost chránit a prosazovat práva a oprávněné zájmy klienta stanovenou v § 16 odst. 1 zák. o advokacii tak, že tato povinnost zahrnuje i povinnosti v oblasti informační bezpečnosti klientských dat.
Tento závěr koresponduje s vývojem v ostatních zemích. Např. Americká advokátní komora (American Bar Association, dále jen „ABA“) v roce 2012 provedla doplnění výkladového stanoviska k pravidlu 1.1 Modelových pravidel etického jednání, které zní: „Advokát zajišťuje kvalifikované právní zastoupení klienta. Kvalifikované zastoupení vyžaduje právní znalosti, dovednosti, důkladnost a přiměřenou přípravu nezbytnou k zastoupení.“[20]
Výkladové stanovisko k pravidlu 1.1 do roku 2012 znělo: „Aby si advokát udržel potřebné znalosti a dovednosti, měl by držet krok se změnami v právu a v jeho výkladu, zapojovat se do dalšího studia a vzdělávání a dodržovat všechny požadavky na kontinuální vzdělávání, které se jej týkají.“[21] V roce 2012 bylo výkladové stanovisko upraveno a nyní zní takto: „Aby si advokát udržel potřebné znalosti a dovednosti, měl by držet krok se změnami v právu a jeho výkladu, včetně výhod a rizik souvisejících s příslušnými technologiemi, zapojovat se do dalšího studia a vzdělávání a dodržovat všechny požadavky na kontinuální vzdělávání, které se jej týkají.“[22]
Stejně tak Kanadská advokátní komora (Canadian Bar Association, dále jen „CBA“) v roce 2004 přijala doplňující komentář k povinnosti kompetence advokáta dle Pravidel etického jednání. Dle tohoto komentáře kompetence advokáta zahrnuje více než pochopení právních zásad. Advokát má proto „… držet krok s vývojem ve všech oblastech, ve kterých advokát praktikuje. Advokát by měl také získat a udržovat znalosti technologického pokroku v oblastech, ve kterých praktikuje, aby udržoval úroveň své kompetence, která splňuje standard rozumně očekávaný od advokátů s obdobným zaměřením jejich praxe.“[23]
ABA i CBA výslovně deklarují, že součástí etických povinností advokáta je i povinnost držet krok s technologickým vývojem a povinnost znát výhody a rizika s tímto související. ČAK se k dopadu technologického vývoje na povinnosti advokáta zatím explicitně nevyjádřila. V souvislosti s poskytováním právních služeb online ČAK pouze uvedla, že advokát není nijak omezen v používání online platforem při poskytování právních služeb, pokud dodržuje řádně pravidla stanovená zákonem o advokacii a stavovskými předpisy.[24]
1.2.2 Povinnost mlčenlivosti
Advokát může povinnost mlčenlivosti porušit nejen zpřístupněním či rozšířením klientských údajů, ale rovněž tím, že tyto údaje získá v důsledku advokátovy nečinnosti třetí strana (např. zachycením e-mailové komunikace, prolomením slabého hesla k informačnímu systému či krádeží notebooku s nezašifrovaným diskem).
Podle toho, zda k porušení mlčenlivosti může dojít jednáním či opomenutím advokáta, lze rozlišovat aktivní (nikomu nic nesdělit) a pasivní mlčenlivost (zajistit, aby se nikdo nic nedozvěděl). Rozhodnutí kárné komise se týkají v drtivé většině pouze aktivní mlčenlivosti advokáta a jsou poměrně intuitivní a předvídatelná (např. je porušením mlčenlivosti, jestliže advokát poskytne televizi fotografie z trestního spisu, aniž by byl zproštěn povinnosti mlčenlivosti,[25] nebo jestliže vydá tiskové prohlášení, zveřejněné na internetovém serveru, kde se na adresu předsedy svého klienta neslušně vyjádří[26]).
Z pohledu informační bezpečnosti je mnohem zajímavější, ale též i méně intuitivní a předvídatelná, mlčenlivost pasivní. Zákon o advokacii totiž nekompromisně stanoví, že advokát je povinen zachovávat mlčenlivost o všech skutečnostech, o nichž se dozvěděl v souvislosti s poskytováním právních služeb. K dodržení povinnosti mlčenlivosti si tedy advokát musí dávat pozor nejen na to, co o svém klientovi sám rozšíří, ale i na to, co o jeho klientovi mohou získat třetí osoby v důsledku jeho opomenutí. Proto se dopustí kárného provinění, jestliže po skončení zastoupení předá klientovi spisový materiál v průhledných deskách prostřednictvím třetí osoby, která není vázána povinností mlčenlivosti.[27] Na tomto elementárním příkladu je zřetelně vidět výše popsaná pasivní komponenta advokátní mlčenlivosti. Advokát se dopustil kárného provinění opomenutím spočívajícím v nepřijetí přiměřených opatření k zajištění důvěrnosti klientských dat obsažených na listinách klientského spisu, když tento spis předal v průhledných deskách třetí osobě, která není vázána povinností mlčenlivosti. Dle právní věty tohoto kárného rozhodnutí není rozhodné, zda se třetí osoba s klientskými daty seznámila, či nikoliv, a tedy zda k narušení důvěrnosti klientských dat došlo, či nedošlo. Kárné provinění spočívá v nepřijetí bezpečnostních opatření k ochraně klientských dat před hrozbou, že se s nimi neoprávněně seznámí třetí osoba.
Povinnost mlčenlivosti je problematická z toho důvodu, že advokát (ale ani nikdo jiný) není v důsledku kombinace řady složitých technických, organizačních, ekonomických a personálních důvodů schopen zajistit absolutní bezpečnost datových aktiv. Při elektronickém zpracování klientských dat totiž advokáti využívají technologie, jejichž fungování nemohou mít fakticky zcela pod kontrolou. Dále se do procesu zpracování elektronických dat čím dál častěji zapojují třetí subjekty (poskytovatel hostingu, cloudových služeb, nástrojů na automatizovanou tvorbu právní dokumentace apod.), na které nedopadají specifické povinnosti dle zákona o advokacii a stavovských předpisů. Všechny tyto okolnosti vedou k jednoznačnému závěru o nedosažitelnosti absolutní bezpečnosti dat.
Na premise, že absolutní bezpečnosti dat nelze dosáhnout, je vystavěno obecné nařízení o zpracování osobních údajů (dále jen „GDPR“)[28] a zákon o kybernetické bezpečnosti. Tyto předpisy povinné subjekty nesankcionují za vznik bezpečnostního incidentu, ale za nepřijetí přiměřených bezpečnostních opatření odpovídajících příslušnému riziku. Povinný subjekt musí prokázat, že provedl řádnou analýzu rizik a že v návaznosti na její výsledek zavedl a prováděl přiměřená opatření.
1.2.3 Povinnost vést klientský spis
Dle § 25 odst. 1 zák. o advokacii je advokát povinen při poskytování právních služeb vést přiměřenou dokumentaci. Co je myšleno přiměřenou dokumentací, blíže rozvádí stavovský předpis o dokumentaci advokáta při poskytování právních služeb.[29] Podle něj musí být dokumentace vedena tak, aby z ní byl zřejmý jeho postup při poskytování právních služeb, jakož i oprávněnost účtované odměny.[30] Uvedené povinnosti doplňuje čl. 10 odst. 4 Etického kodexu, podle nějž advokát vede o svých výkonech pro klienta přiměřené záznamy, jejich obsah na požádání poskytne s úplným vysvětlením. Klientský spis je advokát povinen archivovat po dobu pěti let,[31] pro spisy advokátních úschov je stanovena desetiletá skartační lhůta.[32] Na žádost Kontrolní rady ČAK je advokát povinen klientský spis či jeho část předložit.[33]
Je zřejmé, že § 25 odst. 1 zák. o advokacii nesměřuje primárně k ochraně klientských dat obsažených ve spise, ale spíše k ochraně samotného advokáta a advokátního stavu. Narušení dostupnosti, důvěrnosti či integrity dat v klientském spise nicméně může představovat porušení zákona o advokacii a kárné provinění, a proto by se advokát o tyto atributy jím spravovaných dat měl zajímat. Pozměněné či trvale nedostupné záznamy o poskytování právních služeb nelze považovat za podklady, z nichž je zřejmý postup advokáta a oprávněnost účtované odměny. Zašifrovaný klientský spis napadený ransomware nelze předložit Kontrolní komisi ke kontrole a spis o advokátní úschově na vyhořelém serveru rozhodně není řádně archivován.
2. Odpovědnost advokáta za bezpečnostní incident a z toho plynoucí újmu
Dle § 24 odst. 1 zák. o advokacii advokát odpovídá klientovi za újmu, kterou mu způsobil v souvislosti s výkonem advokacie. Judikatura formulovala následující předpoklady odpovědnosti advokáta podle § 24 zák. o advokacii:
a) výkon advokacie,
b) vznik škody, a
c) příčinná souvislost mezi výkonem advokacie a vznikem škody.[34]
2.1 Standard řádnosti výkonu advokacie
Řádnost výkonu advokacie, resp. protiprávnost, je posuzována z hlediska § 16 zák. o advokacii.[35] V literatuře i judikatuře je uváděno, že porušení některé z povinností dle § 16 zák. o advokacii je jedním z předpokladů vzniku odpovědnosti advokáta za škodu.[36] Dle mého názoru je vedle § 16 zák. o advokacii třeba zohledňovat i § 5 odst. 1 zák. č. 89/2012 Sb., občanský zákoník (dále „o. z.“), dle nějž má advokát povinnost jednat se znalostí a pečlivostí, která je s advokacií spojena. Standard péče advokáta tak plyne ze spojení § 5 odst. 1 o. z., § 16 zák. o advokacii a stavovských předpisů ČAK dle § 17 zák. o advokacii.[37] Jakékoliv jednání advokáta by tedy mělo být poměřováno tímto standardem.
Na rozdíl od ust. § 4 odst. 1 o. z. nemůže být objektivizovaný standard průměrného odborníka dle § 5 odst. 1 o. z. vyvrácen důkazem subjektivní nedostatečnosti. Advokát tak nemůže dosáhnout snížení standardu péče v konkrétním případu prokázáním toho, že např. není technicky zdatný. Standard průměrného advokáta je pouze jeden, a subjektivní nedostatky individuálního advokáta proto nemohou vést k jeho snížení. Na svou obranu může advokát pouze uvést, že nevybočil z požadovaného standardu náležité péče.
Nemožnost podat důkaz o subjektivní nedostatečnosti by měla být významnou motivací všech advokátů ke kontinuálnímu vzdělávání nejen v právních oblastech, kde se to předpokládá, ale i v oblastech mimoprávních, zejména v oblasti technologií a informační bezpečnosti. Pro mnohé advokáty může být překvapením, že zájem technologicky zaměřených advokátů o informační bezpečnost zvyšuje standard péče pro všechny příslušníky advokátního stavu.
2.2 Zavinění jakožto předpoklad odpovědnosti advokáta za újmu
Dle judikatury Nejvyššího soudu i významné části literatury[38] vychází odpovědnost advokáta za škodu podle § 24 odst. 1 zák. o advokacii z odpovědnosti bez zřetele na zavinění (jde o tzv. objektivní odpovědnost).[39] S tímto závěrem nesouhlasí Tichý[40] a Melzer,[41] dle nichž je odpovědnost advokáta dle § 24 odst. 1 zák. o advokacii odpovědností subjektivní s objektivizovaným zaviněním. Melzer spatřuje subjektivní odpovědnost v dikci § 24 odst. 4 zák. o advokacii, která exkulpační důvod váže na konkrétní osobu advokáta, resp. na konkrétní společnost. Z použití výrazu „na nich“ je třeba dovodit, že se zohledňují i konkrétní okolnosti u advokáta, který újmu způsobil.[42] Tichý pak trefně dodává, že advokát typicky poskytuje právní služby na základě příkazní smlouvy,[43] z jejíž povahy je dáno, že advokát odpovídá za plnění svých povinností ve smlouvě stanovených, nikoliv však za výsledek své činnosti.[44]
V neprospěch objektivní odpovědnosti hovoří i kritérium řádné péče advokáta, jehož dodržení je dle § 24 odst. 4 zák. o advokacii negativním předpokladem vzniku odpovědnosti advokáta za újmu. Dle cit. ustanovení se advokát odpovědnosti za újmu zprostí, prokáže-li, že újmě nemohlo být zabráněno ani při vynaložení veškerého úsilí, které lze na něm požadovat. Měřítko standardní péče se typicky užívá k určení vady vůle, tedy k určení zavinění.[45] V případě objektivní odpovědnosti spojuje občanský zákoník vznik povinnosti k náhradě újmy s událostí, která byla vyvolána nezávisle na vůli škůdce (exploze trhaviny, sesuv půdy, zvýšená emise jedů a toxických látek, pokousání zvířetem apod.).[46] Obsahuje-li § 24 odst. 4 zák. o advokacii měřítko standardní péče, znamená to, že odpovědnost advokáta dle cit. ustanovení vzniká jako sankce za něco, čemu se advokát mohl svým volním jednáním vyhnout.[47]
2.3 Možnost exkulpace advokáta
Při nedodržení standardu péče vyplývajícího ze spojení § 5 odst. 1 o. z., § 16 zák. o advokacii a stavovských předpisů ČAK dle § 17 zák. o advokacii jedná advokát protiprávně. Typickým důsledkem protiprávního jednání je v soukromém právu vznik odpovědnosti za újmu. Této odpovědnosti se advokát může zprostit, prokáže-li, že byl naplněn exkulpační důvod dle § 24 odst. 4 zák. o advokacii, tedy že dodržel příslušný standard péče.
Standard péče vedoucí k exkulpaci advokáta je ve vztahu k odpovědnosti za újmu způsobenou kybernetickým incidentem problematický hned ze dvou důvodů. Za prvé je stanoven příliš přísně. Požadavek na vynaložení veškerého úsilí totiž nezohledňuje stávající technologickou realitu a z ní plynoucí hrozby, rizika ani náklady na jejich zmírnění. Spojení kategorické povinnosti advokátní mlčenlivosti a povinnosti vynaložit veškeré úsilí k zabránění újmy vede k závěru, že advokát exkulpace nemůže nikdy dosáhnout. Je nepřiměřené požadovat, aby advokát v souvislosti se svou povinností mlčenlivosti vyvinul veškeré úsilí k zajištění důvěrnosti klientských dat bez ohledu např. na náklady na zajištění příslušných bezpečnostních opatření. Vždy totiž existuje nějaké bezpečnější, ale také dražší či více omezující opatření, které lze zavést. Ze spojení „veškeré úsilí“ plyne, že advokát nemá jinou možnost než tato další opatření neustále zavádět. Stávající nastavení exkulpačního důvodu proto advokáty nemotivuje k zavádění a provádění technických a organizačních bezpečnostních opatření k mitigaci rizik. V konečném důsledku tak znění § 24 odst. 4 zák. o advokacii jde proti zájmům advokáta, klienta i advokátního stavu.
Za druhé jde pouze o exkulpační důvod ve vztahu k odpovědnosti advokáta za újmu. I pokud se advokátovi podaří požadovanému standardu vyhovět, nebude sice odpovídat za újmu, ale stále může porušovat zákon o advokacii a jednat protiprávně, což především znamená jeho kárnou odpovědnost.[48]
3. Standard náležité péče advokáta
3.1 Absolutní bezpečnost dat
Snaha dosáhnout absolutní bezpečnosti dat je marná.[49] Každá organizace dříve či později zažije bezpečnostní incident.[50] Dosažení absolutní bezpečnosti dat brání i samotné právo. Zvyšování bezpečnosti totiž imanentně omezuje jiná práva a svobody. V kontrapozici proti zájmům, které povinnosti na ochranu dat odůvodňují (např. právo člověka na informační sebeurčení, zájem státu na vnitřní bezpečnosti či osobnostní a majetková práva klientů), stojí především vlastnické právo a právo na podnikání povinných subjektů. Čím více dáme přednost bezpečnosti klientských dat, tím více omezíme vlastnická práva a práva na podnikání advokátů. Tato kolize má řešení spočívající v proporčním omezení práv na obou stranách. Požadavek absolutní bezpečnosti dat však zcela neguje vlastnické právo a právo na podnikání advokátů, kteří jsou nuceni se asymptoticky k takto extrémně stanovené povinnosti přiblížit.
3.2 Relativní bezpečnost dat
Moderní právní předpisy směřující na ochranu vybraných datových aktiv (GDPR) či informačního prostředí (zákon o kybernetické bezpečnosti) proto neobsahují požadavek na absolutní bezpečnost chráněného statku, ale určují pouze standardy, které mají povinné subjekty dodržet. Způsob, jakým mají dosáhnout naplnění stanoveného standardu, je ponechán na regulovaných subjektech.[51] Tento přístup je projevem pragmatické metody právní regulace, která vychází z premisy, že důsledkem nepředvídatelnosti technologického vývoje je mj. i nemožnost precizně právně regulovat lidské jednání související s informačními a komunikačními technologiemi.[52] Pragmatická metoda si uvědomuje limity ryzího pozitivismu i iusnaturalismu a namísto akcentování dokonalé právní jistoty či dokonalého poznání spravedlnosti staví do popředí praktickou užitečnost práva.[53] Za pragmatickou je možné považovat pouze takovou právní normu, kterou je objektivně možné splnit bez větší zátěže pro povinné subjekty, a takové soudní rozhodnutí, které vychází z reálné (nikoliv ideální) společenské, technické a ekonomické situace.[54]
Vhodným příkladem, na kterém lze ilustrovat fungování těchto pragmatických právních norem, je zmíněné GDPR. Jedním z jeho nosných principů je přístup založený na riziku (tzv. risk based approach), podle nějž správcem přijatá opatření na ochranu osobních údajů musejí odrážet povahu, rozsah, kontext a účely zpracování a různě pravděpodobná rizika pro subjekty údajů.[55] Dle tohoto principu tedy správce musí provést analýzu rizik a v návaznosti na zjištěná rizika přijmout přiměřená opatření.[56] GDPR nestanoví požadavek absolutní bezpečnosti osobních údajů ani to, jaká konkrétní opatření má správce k dosažení souladu zavést. Stanovuje pouze standard, aby opatření byla přiměřená příslušným rizikům plynoucím ze zpracování osobních údajů. Čím rizikovější zpracování osobních údajů pro práva a svobody subjektů údajů je, tím robustnější bezpečnostní opatření musí správce zavést a provádět. Dozorové orgány pak nesankcionují porušení zabezpečení osobních údajů, tedy porušení jejich důvěrnosti, dostupnosti či integrity, ale nedodržení stanoveného standardu ochrany.
3.3 Přiměřený standard ochrany klientských dat
Zákon o advokacii byl přijat v roce 1996, tedy v době, kdy informační společnost byla ještě v plenkách a současné možnosti tvorby, uchovávání a přenosu elektronických dat byly nepředstavitelné. Povinnost chránit a prosazovat práva a oprávněné zájmy klienta a povinnost mlčenlivosti jsou proto v zákoně o advokacii formulovány téměř bezbřeze. Co mohlo fungovat pro manuální výkon advokacie, již rozhodně nemůže fungovat pro advokacii v informační společnosti. Pokud se tyto povinnosti mají v souvislosti s informační bezpečností interpretovat a aplikovat způsobem uvedeným v kapitole 2, o čemž jsem přesvědčen, je třeba je v souladu s požadavkem na účelnost práva[57] ohraničit přiměřeným standardem, který by vycházel z principu založeného na riziku.
Kromě standardu určujícího řádnost výkonu advokacie operuje zákon o advokacii se standardem náležité péče jako s exkulpačním důvodem ve vztahu k odpovědnosti advokáta za újmu.[58] Tento standard je však nepřiměřeně přísný a jeho věcný rozsah je příliš úzký. Povinnosti advokáta směřující k zabezpečení klientských dat v informační společnosti vyžadují stanovení přiměřeného standardu, při jehož dosažení by byla vyloučena samotná protiprávnost a který by úroveň ochrany stanovil s ohledem na rizika, stav techniky a náklady na provedení příslušných opatření.
Inspirací mohou být již zmíněná Modelová pravidla etického jednání ABA či GDPR. Modelová pravidla pracují s požadavkem na přiměřenou péči (reasonable efforts), který limituje jak základní povinnost kompetentního výkonu advokacie, tak povinnost mlčenlivosti.[59] GDPR pak výslovně uvádí, že ke zmírnění rizik v souvislosti se zpracováním osobních údajů by správce měl zavést vhodná technická a organizační opatření, jejichž vhodnost je třeba posuzovat s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům.[60]
Modelová pravidla etického jednání ABA ani GDPR tedy nezatěžují povinné subjekty nepřiměřenými či nereálnými povinnostmi, spočívajícími např. v absolutní ochraně datových aktiv. Za protiprávní považují nesplnění standardu chování, který je stanoven relativně ve vztahu ke konkrétnímu případu.[61] Obě normy tedy nesankcionují samotný fakt, že k bezpečnostnímu incidentu došlo, ale to, že povinný subjekt nenaplnil daný standard péče. Na tomto je jasně patrný rozdíl v konstrukci odpovědnosti advokáta dle zákona o advokacii a dle GDPR. Advokát dle zákona o advokacii jedná protiprávně vždy, když dojde k narušení důvěrnosti klientských dat. Pouze pokud prokáže, že újmě nemohl zabránit ani při vynaložení veškerého úsilí, které lze na něm požadovat, vyloučí své zavinění, a tedy i svou odpovědnost za újmu. Jeho jednání však bude stále protiprávní. Zatímco dodrží-li advokát stanovený standard péče dle GDPR, nejenže nebude odpovídat za újmu, ale především nebude ani jednat protiprávně, přestože došlo k narušení důvěrnosti jím zpracovávaných osobních údajů.
Závěr
Informační a komunikační technologie hojně využívané advokáty za účelem poskytování právních služeb nejsou samy o sobě zvlášť nebezpečné. Zvýšené riziko a potřeba zavádět bezpečnostní opatření plynou z toho, že advokáti zpracovávají velké objemy citlivých klientských dat a že svou informační bezpečnost dlouhodobě podceňují. Bezpečnostní incident, ať cílený, či nahodilý, pak může mít závažný dopad jak na advokáta samotného, tak na jeho klienty. Medializací většího incidentu by mohlo dojít i k zásahu do pověsti celého advokátního stavu.
Zákon o advokacii ani žádný stavovský předpis advokáty nezavazuje k řízení rizik a přijímání bezpečnostních opatření ke zvýšení jejich informační bezpečnosti. Tyto povinnosti lze nicméně dovodit z obecných povinností advokáta, zejména z povinnosti chránit a prosazovat práva a oprávněné zájmy klienta, povinnosti mlčenlivosti či povinnosti vést klientský spis.
Zákon o advokacii obsahuje dva standardy péče. Při porušení základního standardu péče, který plyne ze spojení § 5 odst. 1 o. z., § 16 zák. o advokacii a stavovských předpisů ČAK dle § 17 zák. o advokacii, advokát jedná protiprávně. Druhý standard péče je obsažen v § 24 odst. 4 zák. o advokacii, při jeho dodržení se advokát exkulpuje z povinnosti nahradit klientovi škodu. Oba tyto standardy jsou pro zpracování klientských dat v informační společnosti nepřiměřeně přísné, neboť na rozdíl od moderních právních předpisů na ochranu datových aktiv (GDPR) či informačního prostoru (zákon o kybernetické bezpečnosti) vyžadují absolutní bezpečnost dat. Nepřiměřenost se obzvláště zřetelně projevuje ve formulaci povinnosti advokáta zachovávat mlčenlivost dle § 21 zák. o advokacii, který tuto povinnost zakládá kategoricky, aniž by bral v potaz stávající technologickou realitu a z ní plynoucí hrozby, rizika ani náklady na jejich zmírnění. Zajistit absolutní bezpečnost jakéhokoliv datového aktiva, klientská data nevyjímaje, totiž není schopen nikdo.
Advokát by neměl jednat protiprávně již na základě toho, že v jeho systému došlo k bezpečnostnímu incidentu. Protiprávnost by mělo zakládat až nedodržení přiměřeného standardu péče. Přesný obsah tohoto standardu by se vždy měl vázat až ke konkrétnímu subjektu a konkrétnímu zpracování klientských dat. V důsledku kontinuálního technologického, společenského a právního vývoje se tento standard navíc dále proměňuje. Aby jej bylo možné uplatňovat dlouhodobě, měl by být technologicky neutrální a jeho obsahem by neměly být povinnosti k provedení konkrétních technických či organizačních opatření (např. šifrovat datová média či tvořit hesla určeným způsobem apod.), ale spíše povinnost řídit rizika, tedy zejména:
- identifikovat aktiva (co je důležité a co je třeba chránit, např. klientská data, osobní údaje, obchodní tajemství, dobrá pověst),
- identifikovat hrozby (cokoliv, co může cíleně či náhodně narušit dostupnost, důvěrnost či integritu aktiva, např. phishingový útok, požár, výpadek sítě),
- identifikovat zranitelnosti (předpoklady, které u daného aktiva musejí být splněny, aby se hrozba materializovala, např. nevhodně nastavená přístupová oprávnění, nedostatečná míra kontroly, neproškolený zaměstnanec) a v návaznosti na výše uvedené
- zavést a provádět technická a organizační bezpečnostní opatření k mitigaci rizik na akceptovatelnou úroveň, příp. k řešení neakceptovatelných rizik.
Advokát je oborníkem v oblasti práva, a ačkoliv by měl držet krok s technologickým vývojem, nebude to obvykle expert na informační bezpečnost. I přes jistý zásah do práv advokátů (zejména vlastnického práva) je informační bezpečnost advokátů a ochrana klientských dat společným zájmem všech tří zúčastněných stran (advokáta, klienta i ČAK). Jsem proto přesvědčen, že advokáti by kladně přijali systematickou podporu ze strany ČAK. Kromě vzdělávání v oblasti informační bezpečnosti by tato podpora mohla mít podobu doporučení pro zabezpečení klientských dat či doporučených standardů pro technologie a služby ke zpracování, uchovávání a komunikaci klientských dat. Tyto kroky by jistě přispěly ke zvýšení informovanosti, lepšímu pochopení problematiky a v konečném důsledku i vyšší bezpečnosti klientských dat zpracovávaných advokáty.
Mgr. Jan Brauner, LL.M., je advokátem v Brně, členem sítě advokátů a patentových zástupců INTERPARTNERS GROUP.
[1] Informační bezpečností se rozumí zachování důvěrnosti, dostupnosti a integrity aktiv (ISO/IEC 27000:2018).
[2] E. Wald: Legal Ethics’ Next Frontier: Lawyers and Cybersecurity, Chapman Law Review č. 2/2016, str. 506.
[3] Když budoucí ministr zahraničí USA John Foster Dulles v roce 1911 nastoupil do newyorské advokátní kanceláře Sullivan & Cromwell, telefony a stenografy nebyly všeobecně akceptovány a „někteří partneři měli dojem, že jediný důstojný způsob komunikace mezi členy advokátního stavu byl, když si navzájem dopisovali spenceriánským písmem a když tyto zprávy byly doručovány ručně“. V kanceláři Sullivan & Cromwell se telefon objevil až v roce 1887, tedy téměř dekádu poté, co se tento vynález stal všeobecně dostupným (první newyorská telefonní ústředna vznikla v roce 1878). Telefon byl umístěn mimo hlavní kanceláře a koncipienti měli zakázáno se jej dotýkat, pokud nezvonil. Viz C. Lanctot: Attorney-Client Relationships in Cyberspace: The Peril and the Promise [online], Duke Law Journal č. 1/1999, str. 164, https://scholarship.law.duke.edu/cgi/viewcontent.cgi?article=1060&context=dlj.
[4] J. Westby: Cybersecurity & Law Firms: A Business Risk [online], ABA [cit. 10. 9. 2020], https://perma.cc/VBR2-2RAM.
[5] V roce 2014 vydala Americká advokátní komora usnesení o kybernetické bezpečnosti, ve kterém upozorňuje na „bezprecedentní hrozby spojené s rozšířením užívání elektronických záznamů a mobilních telefonů“. Viz usnesení Pracovní skupiny pro kybernetickou bezpečnost Americké advokátní komory ze dne 6. 5. 2014 [online], https://perma.cc/ACE4-GAKC.
[6] Zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů (dále jen „zák. o advokacii“).
[7] Z. Fields: Handbook of Research on Information and Cyber Security in the Fourth Industrial Revolution [online], Information Science Reference, 2018, str. 347; https://books.google.hr/books?id=w9ZdDwAAQBAJ&dq=cyber+threats+cannot+be+eliminated&hl= cs& source=gbs_navlinks_s.
[8] Např. WhatsApp, Telegram, Facebook Messanger, Signal, Discord apod.
[9] V této práci budu za bezpečnostní incident považovat narušení důvěrnosti, dostupnosti či integrity klientských dat.
[10] D. Simshaw: Legal Ethics and Data Security: Our Individual and Collective Obligation to Protect Client Data [online], American Journal of Trial Advocacy, 2015, roč. 38, str. 550; https://www.ssrn.com/abstract=2668174.
[11] Nejznámější a nejrozsáhlejší únik klientských dat zaznamenala v roce 2016 panamská advokátní kancelář Mossack Fonseca & Co. Zveřejněno bylo celkem 11,5 milionu dokumentů o 214 488 offshore společnostech v celkovém objemu 2,6 TB (2 600 GB). Při následném šetření bylo zjištěno, že kancelář nešifrovala e-maily, užívala neaktualizovaný software obsahující mnoho známých zranitelností, či nesegmentovala e-mailový a webový server a klientskou databázi. Nízká úroveň informační bezpečnosti kanceláře Mossack Fonseca & Co vedla až k tomu, že na ni hackeři po zveřejnění úniku dat útočili pro zábavu. Viz J. Leyden: SQL injection vuln found at Panama Papers firm Mossack Fonseca [online], theregister.com, 11. 4. 2016 [cit. 25. 9. 2020]; https://www.theregister.com/2016/04/11/hackers_pwn_mossack_fonseca).
[12] Pokud se dotčený klient nedozví, že jeho data získali útočníci, nepodnikne kroky ke zmírnění újmy (např. změnou přístupových údajů, urychleným podáním přihlášky průmyslového práva či změnou obchodní strategie). Právě proto, aby dotčené subjekty mohly sanovat důsledky bezpečnostního incidentu a aby byla zmírněna informační asymetrie mezi regulovanými subjekty, státem a dalšími dotčenými osobami, je stále častěji užívána tzv. regulace prostřednictvím zveřejnění (regulation through disclosure) či regulace prostřednictvím transparentnosti (governance through transparency). M. Karyda, L. Mitrou: Data Breach Notification: Issues and Challenges for Security Management [online], MCIS 2016 Proceedings, 2016, str. 7; https://pdfs.semanticscholar.org/0b27/4586fc727c22f19d7a4484cb365ea20f4123.pdf.
[13] Op. cit. sub 2, str. 503.
[14] J. Rhodes, R. Litt: The ABA Cybersecurity Handbook: A Resource for Attorneys, Law Firms and Business Professionals [online], American Bar Association, 2018, str. 105; https://www.americanbar.org/products/inv/book/309654847/.
[15] Srov. § 3 zák. č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů (dále jen „zákon o kybernetické bezpečnosti“).
[16] Povinnosti advokáta na úseku informační bezpečnosti mohou vyplývat i z jiných právních předpisů, zejména GDPR a zák. č. 110/2019 Sb., o zpracování osobních údajů. V této práci se však zaměřuji na povinnosti plynoucí ze zákona o advokacii a stavovských předpisů ČAK.
[17] D. Kovářová a kol.: Zákon o advokacii a stavovské předpisy, Komentář, Wolters Kluwer ČR, a. s., Praha 2017, str. 409 a 412; J. Svejkovský a kol.: Advokátní právo, C. H. Beck, Praha 2017, str. 207. Nebo též rozsudek Nejvyššího soudu ze dne 26. 2. 2003, sp. zn. 15 Cdo 1862/2001.
[18] J. Svejkovský a kol., op. cit. sub 17, str. 207.
[19] Jedním z nejvýznamnějších důsledků užívání informačních a komunikačních technologií je virtualizace, spočívající ve změně vnějších jevových znaků při zachování podstaty virtualizovaného fenoménu. Komunikace prostřednictvím e-mailu tak nemá hmotnou povahu a na rozdíl od dopisu si není možné sáhnout na hmotný nosič posílané zprávy, avšak podstata, tedy přenos určitého údaje či zprávy, zůstává stejná. Viz P. Lévy: Kyberkultura: zpráva pro Radu Evropy v rámci projektu „Nové technologie: kulturní spolupráce a komunikace“, Karolinum, Praha 2000, str. 45.
[20] Usnesení Americké advokátní komory ze dne 8. 8. 2012, č. 105a [online], https://www.americanbar.org/content/dam/aba)administrative/ethics_2020/20120808_revised_resolution_105a_as_amended.pdf (pozn.: překlad autora).
[21] Tamtéž.
[22] Tamtéž.
[23] Guidelines for Practicing Ethically with New Information Technologies, Canadian Bar Association [online], https://www.lawsociety.nu.ca)sites/default/files/website-general/cba_supplemental.pdf (pozn.: překlad autora, zvýrazněno autorem).
[24] Výkladové stanovisko České advokátní komory k poskytování právních služeb online projednané a schválené představenstvem ČAK dne 9. 4. 2019. Stanovisko bylo publikováno v Bulletinu advokacie č. 5/2019, str. 8. Bez zajímavosti není, že v návrhu stanoviska bylo uvedeno, že advokát není nijak omezen v používání technologie kdykoliv při poskytování právních služeb, pokud dodržuje pravidla stanovená zákonem a stavovskými předpisy. Srov. M. Maisner: Výzva advokátní veřejnosti: Diskutujme o podobě poskytování právních služeb online [online]; Česká advokátní komora [cit. 20. 9. 2020]; https://www.cak.cz/scripts/detail.php?id=19770.
[25] Souhrnný věcný rejstřík ke kárným rozhodnutím ČAK 1991-2020, č. 34/16.
[26] Rozhodnutí kárného senátu Kárné komise České advokátní komory ze dne 17. 9. 2010, sp. zn. K 119/2007.
[27] Rozhodnutí kárného senátu Kárné komise České advokátní komory ze dne 21. 6. 2002, sp. zn. K 39/00.
[28] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[29] Usnesení představenstva ČAK ze dne 8. 11. 1999, č. 9/1999 Věstníku (dále jen „usnesení o dokumentaci“).
[30] Čl. 1 usnesení o dokumentaci.
[31] Čl. 3 usnesení o dokumentaci.
[32] § 56a odst. 3 zák. o advokacii.
[33] Čl. 2 odst. 1 usnesení o dokumentaci.
[34] Usnesení Nejvyššího soudu ze dne 23. 9. 2010, sp. zn. 25 Cdo 2007/2009, publikované v Souboru civilních rozhodnutí Nejvyššího soudu, C. H. Beck, pod C 9028.
[35] D. Kovářová a kol., op. cit. sub 17, str. 409 a 412; dále J. Svejkovský a kol., op. cit. sub 17, str. 207. Dále srov. usnesení Nejvyššího soudu ze dne 26. 11. 2009, sp. zn. 25 Cdo 2992/2007.
[36] J. Svejkovský a kol., op. cit. sub 17, str. 207.
[37] F. Melzer: Civilní odpovědnost za poradenství advokátem, Bulletin advokacie č. 11/2018, str. 17.
[38] Např. M. Vychopeň in J. Svejkovský, M. Vychopeň, L. Krym a kol.: Zákon o advokacii, Komentář, C. H. Beck, Praha 2012, str. 168; V. Mandák: I. K počátku objektivní promlčecí doby nároku na náhradu škody způsobené advokátem klientovi v souvislosti s výkonem advokacie II. K povaze této odpovědnosti advokáta (objektivní odpovědnost), Bulletin advokacie č. 5/2009, str. 35.
[39] Rozsudek Nejvyššího soudu ze dne 29. 9. 2009, sp. zn. 25 Cdo 2533/2007.
[40] L. Tichý: K rozlišování mezi tzv. subjektivní a objektivní odpovědností – rozsudek NS o povaze odpovědnosti advokáta za škodu, Bulletin advokacie č. 1-2/2013, str. 21-22.
[41] Op. cit. sub 37, str. 16.
[42] Pro srovnání poukazuji na znění ust. § 2924 o. z., dle kterého se provozovatel závodu nebo jiného zařízení sloužícího k výdělečné činnosti zprostí povinnosti nahradit škodu z provozní činnosti, prokáže-li, že vynaložil veškerou péči, kterou lze rozumně požadovat, aby ke škodě nedošlo. Odpovědnost za škodu z provozní činnosti byla tradičně postavena na objektivní odpovědnosti. Zavedení standardu péče, jehož dodržení vylučuje vznik odpovědnosti za škodu z provozní činnosti, představuje jednoznačný příklon k odpovědnosti subjektivní, která odpovědnost spojuje s vadou vůle, v tomto případě s nedodržením stanoveného standardu.
[43] Samozřejmě jiná situace nastává při přípravě stanoviska či rešerše na základě smlouvy o dílo, kdy advokát odpovídá za řádné a včasné provedení díla, tj. za výsledek své činnosti.
[44] Op. cit. sub 40, str. 22.
[45] M. Hulmák a kol.: Občanský zákoník VI, Závazkové právo, Zvláštní část (§ 2055-3014), C. H. Beck, Praha 2014, str. 1600.
[46] D. Elischer: Protiprávnost – co je jejím zdrojem v soukromém právu? Časopis pro právní vědu a praxi č. 4/2016, str. 501-526.
[47] Porušením standardu péče by bylo např. to, pokud by si advokát svou e-mailovou schránku zřídil u poskytovatele freemailu, ačkoliv jako odborník věděl či vědět měl, že tento poskytovatel využívá obsah e-mailové schránky pro cílení reklamy.
[48] „Přípustnosti omezení nebo vyloučení odpovědnosti za škodu podle uvedených pravidel nebrání ani to, že je standard řádné péče stanoven advokátovi kogentně. Strany si nemohou ujednat, že může jednat s nižším standardem péče. Pokud si ujednají omezení nebo vyloučení povinnosti k náhradě škody, pak advokát bude jednat stále protiprávně, stále může být jeho jednání posouzeno jako kárné provinění, čímž je zachována ochrana veřejného pořádku (zde v podobě ochrany advokátního stavu); potenciálně poškozený tak disponuje jen svým zájmem obdržet náhradu škody.“ Viz op. cit. sub 37, str. 19.
[49] A v důsledku možného falešného pocitu ochrany i nebezpečná. Pouze ta organizace, která si bude uvědomovat, že se kybernetickému incidentu nelze zcela vyhnout, se bude připravovat na to, jak tento incident zvládnout. Falešný pocit bezpečí vede k nedostatečné připravenosti na nevyhnutelné. Organizace, která se bude považovat za absolutně chráněnou, např. nebude zavádět incident response plan. The five most common cyber security mistakes [online], KPMG [cit. 17. 9. 2020], https://assets.kpmg/content/dam/kpmg/tr/pdf/2017/01/five-most-common-cyber-security-mistakes.PDF.
[50] V souvislosti s kybernetickými incidenty se operuje s pojmem „kdy“, spíše než „zda“. Viz Securing Communication of Protected Client Information [online], American Bar Association [cit. 17. 9. 2020], https://www.americanbar.org/content/dam/aba)administrative/law_national_security/ABA%20Formal%2 0Opinion%20477.authcheckdam.pdf. Toto si uvědomuje už i ČAK, viz M. Maisner: Na advokátní stav čekají v budoucnu nové výzvy, Epravo.cz Magazine č. 3/2016, str. 16.
[51] Tzv. performativní pravidla či performance-based rules. K bližšímu vysvětlení pojmu viz R. Polčák a kol.: Právo informačních technologií, Wolters Kluwer ČR, Brno 2018, str. 13.
[52] R. Polčák: Internet a proměny práva, Auditorium, Praha 2012, str. 177.
[53] Důvodová zpráva k zákonu o kybernetické bezpečnosti se k pragmatické metodě výslovně hlásí a v této souvislosti uvádí, že navrhovaná právní úprava stojí na principu minimalizace státního donucení, který je „nejen důsledkem liberálního přístupu k předmětu právní regulace, ale zejména důsledkem pragmatického zhodnocení dosavadních zkušeností získaných analýzou současného stavu zabezpečení informačních systémů a služeb a sítí elektronických komunikací“. Důvodová zpráva k zák. č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti).
[54] R. Polčák, J. Harašta, V. Stupka: Právní problémy kybernetické bezpečnosti, Masarykova univerzita, Právnická fakulta, Brno 2016, str. 11.
[55] G. Maldoff: The Risk-Based Approach in the GDPR: Interpretation and Implications [online], iapp.org. březen 2016 [cit. 20. 9. 2020], https://iapp.org/media)pdf/resource_center/GDPR_Study_Maldoff.pdf.
[56] Jednou z komponent přiměřenosti opatření je i požadavek na jeho hospodárnost. Náklady spojené se zavedením bezpečnostního opatření nesmí být neúměrné nákladům spojeným s realizací rizika [srov. čl. 25 odst. 1 GDPR, shodně též § 3 písm. c) vyhl. č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat, ve znění pozdějších předpisů].
[57] Op. cit. sub 52, str. 161.
[58] § 24 odst. 4 zák. o advokacii.
[59] Faktory, které je třeba brát v úvahu při určování přiměřenosti požadované péče, jsou zejména: citlivost klientských dat, pravděpodobnost narušení jejich důvěrnosti, pokud by nebyla přijata dodatečná bezpečnostní opatření, náklady na dodatečná bezpečnostní opatření, obtížnost zavedení bezpečnostní opatření a rozsah, v jakém bezpečnostní opatření nepříznivě ovlivní schopnost advokáta poskytovat právní služby klientům (např. učiněním zařízení či softwaru nepřiměřeně náročným na užívání). Model Rules of Professional Conduct. Rule 1.6 Confidentiality of Information – Comment [online], American Bar Association [cit. 17. 9. 2020]; https://www.americanbar.org/groups/professional_responsibility/publications/model_rules_of_profession al_conduct/rule_1_6_confidentiality_of_information/comment_on_rule_1_6/.
[60] Čl. 32 odst. 1 GDPR.
[61] Jde o zřetelný odklon od ideálu právní jistoty, akcentovaný pozitivisty, ve prospěch účelného řešení složitého problému.