Ke dni 28.6.2022 nabyla účinnosti novela trestního zákoníku a dalších souvisejících právních předpisů.
Jednou z podstatných změn, které shora uvedený zákon přinesl, je zpřesnění a rozšíření ochrany poskytované počítačovým systémům, nosičům informací a datům zákonem č. 40/2009 Sb., trestní zákoník.
V této oblasti došlo zejména k následujícím změnám:
I. Pro naplnění skutkové podstaty trestného činu dle ust. § 230 odst. 2 trestního zákoníku spočívající v neoprávněném zásahu do počítačového systému nebo nosiče informací již nově není podmínkou předchozí získání přístupu k počítačovému systému.
Neoprávněné zacházení s daty lze tedy v trestněprávní rovině postihovat i v případech, kdy pro něj pachatel nepotřebuje přímo získat přístup k počítačovému systému (např. v případě využití nakaženého systému jako prostředníka pro spáchání útoku na cílový počítačový systém, kdy nežádoucí aktivity v cílovém systému provádí na základě instrukcí malware útočníka až nakažený počítač; např. při masovém šíření ransomwaru či DDoS útocích). V rámci této základní skutkové podstaty trestného činu je postihováno jak
neoprávněné užití dat uložených v počítačovém systému nebo na nosiči informací; tak i
neoprávněný výmaz dat uložených v počítačovém systému nebo na nosiči informací nebo jiné zničení, poškození, změna, potlačení či snížení kvality těchto dat nebo jejich učinění neupotřebitelnými;
padělání nebo pozměnění dat uložených v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá (bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná);
neoprávněné vložení dat do počítačového systému nebo na nosič informací nebo učinění jiného zásahu do programového nebo technického vybavení počítačového systému nebo jiného technického zařízení pro zpracování dat;
a nově výslovně i
neoprávněný přenos dat do počítačového systému nebo na nosič informací (byť tento byl v rámci této skutkové podstaty fakticky postihován již dříve, a to v rámci jiného zásahu do programového nebo technického vybavení počítačového systému nebo jiného technického zařízení pro zpracování dat).
Ochrana dle shora uvedeného ustanovení trestního zákoníku je pak poskytována nejen vůči zásahům do počítačového systému, ale i vůči zásahům proti počítačovému systému, kdy dochází k narušení jeho dostupnosti (např. v případě zásahu znemožňujícího přístup k datům uloženým v počítačovém systému, dočasného nebo trvalého ochromení činnosti počítače či jiného technického zařízení pro zpracování dat, zablokování funkce programů, DDoS útoku apod.).
Samotný přístup k počítačovému systému je tak jako doposud chráněn samostatnou základní skutkovou podstatou dle ust. § 230 odst. 1 trestního zákoníku, která kriminalizuje neoprávněný přístup k počítačovému systému. Ten spočívá v neoprávněném získání přístupu k počítačovému systému nebo jeho části překonáním bezpečnostního opatření.
Novelou trestního zákoníku bylo v této souvislosti dále rozšířeno vymezení systémů kritické infrastruktury, kterým je poskytována zvýšená ochrana jak proti neoprávněnému přístupu k počítačovému systému, tak i proti neoprávněnému zásahu do počítačového systému. Nově je přísněji postihováno jednání směřující proti počítačovému systému, jehož narušení by mělo závažný dopad na fungování státu, zdraví osob, bezpečnost, hospodářství nebo zajištění základních životních potřeb obyvatel.
II. K další podstatné změně došlo u základní skutkové podstaty trestného činu dle ust. § 231 odst. 1 trestního zákoníku spočívající v opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat.
Pro naplnění skutkové podstaty tohoto trestného činu nově postačí úmysl pachatele, aby bylo jím vyrobené, uvedené do oběhu, dovezené, vyvezené, provezené, nabízené, zprostředkované, prodané nebo jinak zpřístupněné, opatřené nebo přechovávané
zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části nebo k neoprávněnému zásahu do počítačového systému nebo nosiče informací, nebo
počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části,
(kýmkoliv) užito ke spáchání trestného činu porušení tajemství dopravovaných zpráv podle § 182 odst. 1 písm. b) nebo c) trestního zákoníku nebo shora uvedeného trestného činu neoprávněného přístupu k počítačovému systému a neoprávněného zásahu do počítačového systému nebo nosiče informací podle § 230 odst. 1 nebo 2 trestního zákoníku.
Doposud byl vyžadován úmysl pachatele jeden ze shora uvedených trestných činů sám spáchat.
III. Samotný pojem počítačový systém byl novelou přímo definován, a to jako zařízení anebo skupina vzájemně propojených nebo přidružených zařízení, z nichž jedno nebo více provádí na základě programu automatické zpracování dat. V rámci ochrany počítačového systému je pak ochrana výslovně poskytována rovněž datům uloženým, zpracovaným, opětovně vyhledaným nebo přeneseným počítačovým systémem za účelem jeho provozu, použití, ochrany a údržby.
Novelou trestního zákoníku bylo dále zpřesněno, že někoho uvést někoho v omyl či využít něčího omylu prostřednictvím technického zařízení lze jak
provedením zásahu do dat uložených v počítačovém systému; tak i
provedením zásahu do dat uložených na nosiči informací;
a dále
provedením zásahu do programového nebo technického vybavení počítačového systému;
provedením jiné operace v počítačovém systému, zásahu do elektronického nebo jiného technického zařízení, včetně zásahu do předmětů sloužících k ovládání takového zařízení, anebo využitím takové operace či takového zásahu provedeného jiným.
Uvedené může mít dopad zejména ve vztahu ke skutkové podstatě trestné činu podvodu či trestného činu poškození cizích práv.
Shora uvedenou novelizaci trestního zákoníku doporučujeme zohlednit zejména při nastavení interních směrnic týkajících se přístupů k zařízením a systémům, užívání těchto zařízení při plnění pracovních úkolů, užívání a přechovávání dat apod.
Ve vztahu ke shora uvedeným trestným činům připadá na základě zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, ve znění pozdějších předpisů (dále jen „zákon o trestní odpovědnosti právnických osob“) v úvahu i trestní odpovědnost právnické osoby. Té je za splnění podmínek stanovených zákonem o odpovědnosti právnických osob přičitatelné nejen jednání jejích statutárních orgánů, osob ve vedoucím postavení či osob vykonávajících rozhodný vliv na její řízení, ale i jejích zaměstnanců a osob v obdobném postavení (jednají-li při plnění pracovních úkolů). Právnická osoba se pak trestní odpovědnosti zprostí pouze v případě, pokud vynaložila veškeré úsilí, které na ní bylo možno spravedlivě požadovat, aby spáchání protiprávního činu shora uvedenými osobami zabránila.
Stejně tak shora uvedené doporučujeme vést v patrnosti pro případ, že by se Váš počítačový systém, Vaše nosiče informací či Vaše data staly předmětem neoprávněného zásahu či útoku. Ochrana poskytovaná trestním zákoníkem byla v tomto ohledu provedenou novelou trestního zákoníku rozšířena, ve více případech tak může být relevantním obrátit se na orgány činné v trestním řízení.
S implementací nových zákonných ustanovení do Vašich interních předpisů i smluvní dokumentaci Vám rádi pomůžeme. Rovněž se na nás můžete s důvěrou obracet i v případech, kdy Vaše společnost zaznamená bezpečnostní incident.
Kontaktní osoba: Mgr. Ing. Martin Kopecký
tel: 272 049 111
463 303 203