Stále se věnujeme kritice nového ustanovení trestního řádu, které platí od února 2019. Od února mohou policisté vypínat weby a servery až na 90 dní a to bez rozhodnutí soudu nebo státního zástupce.
Vzhledem k tomu, že se jedná o problematiku práva, tak je to velmi složité na pochopení pro laickou veřejnost. Proto jsme připravili tento článek, kde je vše jednoduše shrnuto. Dozvíte se také, kdo a jak nám může nařídit vypnout váš web.
V čem vidíme problém
Od února 2019 máme do trestního řádu vložen paragraf 7b, který obsahuje velmi problematický odstavec (2). Nový odstavec dává policejním orgánům neuvěřitelnou pravomoc. Policejní orgány mohou od února 2019 vypnout jakýkoliv web nebo například server a to až na 90 dní. Vše mohou udělat sami, bez posvěcení soudu anebo státního zástupce. Doposud to nebylo možné a pro vypnutí webu byl nutný souhlas soudní moci.
Stačí, že jde o neodkladnou záležitost, což si policisté snadno zdůvodní, protože na internetu se vše velmi rychle a dynamicky mění.
Vypnutí webu či serveru, případně jiné znepřístupnění dat, musí být provedeno neprodleně a až na dobu 90 dní. Hosting může podat stížnost, ale ta nebude mít odkladný účinek a je povinností hostingu služby okamžitě vypnout.
Podobná právní úprava nemá v civilizovaném světe obdoby. Policisté nemají nikde takhle obecnou pravomoc pro vypínání webů, serverů (respektive znepřístupnění jakýchkoliv dat). V zahraničních právních úpravách mohou obdobné kroky dělat jen a pouze se souhlasem soudu, výjimečně se souhlasem státního zástupce.
Dosavadní možnosti Policie ČR
Nesouhlasíme s tím, že nová právní úprava je v pořádku, a že je zjemněním dosavadních postupů. Přečtěte si pozorně následující odstavce.
Doposud Policie ČR mohla vůči hostingům postupovat jen následujícím způsobem podle trestního řádu (předložený výklad je pro názornost původního stavu a složité detaily jsou vynechány):
Postup podle §8 trestního řádu, který umožňuje jen získání informaci o zákazníkovi, provedené objednávce, smluvním vztahu, a například provedených platbách za služby. Nic víc nemohou policisté žádat, respektive jim nikdo není povinen vyhovět. Podle tohoto ustanovení nikdy nemohla a nemůže policie vypínat weby nebo servery.
Postup podle §78 trestního řádu (povinnost k předložení nebo vydání věci) řeší situace, kdy je každý povinen vydat věc, která je důležitá pro trestní řízení. Primárně jde o vydání soudu, případně státnímu zástupci. Výjimečně policejnímu orgánu. Zjednodušeně lze říci, že hosting však může odmítnout věc vydat a případná stížnost má odkladný účinek.
Postup podle §79 trestního řádu (odnětí věci) řeší situace, kdy není věc vydána dobrovolně (například podle předchozího paragrafu). Rozhodnutí o odnětí věci může udělit pouze soud nebo státní zástupce. Bez předchozího souhlasu uvedeného soudu nebo státního zástupce může být věc odňata policejním orgánem jen tehdy, jestliže nelze předchozího souhlasu (soudu nebo státního zástupce) dosáhnout a věc nesnese odkladu. K odnětí věci se podle možnosti přibere osoba, která není na věci zúčastněna. V tomto případě by mělo jít o formu zabavování serverů v datacentrech.
Výše uvedené §78 a §79 mohou být používány pro zajištění důkazů v trestním řízení a ne tedy k vypnutí nějaké služby. Zajištění důkazů je možné však řešit jinak, než zabavením serverů, a proto se to nevyužívalo a snad nikdy v ČR nepoužilo.
V trestním řádu najdeme i další paragrafy, které se nějak dotýkaly či dotýkají hostingů a to například: §79a až 79g (zajištění nástrojů trestné činnosti a výnosů z trestné činnosti). Například sdružení CZ.NIC k vypnutí některých domén použilo institut “§79e Zajištění nehmotné věci“, který již v trestním řádu nenajdeme z důvodu změny pojetí pojmu “věc”, který nyní zahrnuje i nehmotné věci. Pro náš ilustrativní rozbor to není podstané, protože v každém případěrozhodnutí o zajištění nástrojů trestné činnosti vydává soud, případně státní zástupce. Pokud se jedná o naléhavou situaci, tak mohou zajištění provést přímo policejní orgány, ale do 48 hodin musejí následně získat souhlas státního zástupce. Smyslem je omezení práv k určité věci nebo jiné majetkové hodnotě a to za účelem omezení pokračování v trestné činnosti, případně pro následné dosažení náhrady škody pro poškozeného.
Následující ustanovení lze využít jen tehdy, když není možné skutečnosti významné pro trestní řízení získat jinak. Jsou to již poměrně zásadní zásahy do práv osob.
Postup podle §88 trestního řádu (odposlech a záznam telekomunikačního provozu) je v podstatě zajištění obsahu přenášených informací včetně provozních a lokalizačních údajů. Tedy jde o jakoukoliv elektronickou, ale zejména e-mailovou komunikaci. Použít však lze jen pokud jde o závažnější trestnou činnost (s horní hranicí trestní sazby nejméně 8 let a několik vyjmenovaných zločinů s nižší sazbou). Tuto aktivitu může policie provádět jen se souhlasem soudu. Odposlech je od vydání rozhodnutí do budoucna (maximálně 4 měsíce). Pokud netrvají důvody, tak je nutné ukončit dříve.
Postup podle §88a trestního řádu (odposlech a záznam telekomunikačního provozu) jde v podstatě o údaje o telekomunikačním provozu (logy, logy přiřazených IP adres, přístupy do mailu nebo do administrace služby), které jsou předmětem telekomunikačního tajemství nebo se na ně vztahuje ochrana osobních a zprostředkovacích dat. Lze využít jen v případě vybraných trestných činů (jedná se o závažnější trestnou činnost s horní hranicí trestní sazby nejméně 3 roky plus několik vyjmenovaných trestních činů). Tuto aktivitu může policie provádět jen se souhlasem soudu. Hosting je povinen poskytnout informace i z minulosti (pokud je má) a do budoucna, ale v rozhodnutí musí být přesně stanovený časový úsek.
Postup podle §158d odstavec (3) trestního řádu (sledování osob a věci) jde například o poskytnutí kopie dat webu, serveru a to včetně obsahu e-mailové schránky. Tuto aktivitu může policie provádět jen se souhlasem soudu.
Z výše uvedených příkladů je zcela zřejmé, že dosavadní praxe vždy vyžadovala souhlas soudu, případně státního zástupce. Ve zcela výjímečných případech bylo možné, aby policejní orgán jednal samostatně, ale poté například musel policejní orgán následně získat souhlas příslušného orgánu.
Připomenutí našich článků
Celé problematice jsme se věnovali již několikrát a tak pouze odkážeme na naše předcházející články.
První článek, kde jsme na to upozornili vyšel 19. února. Nové ustanovení bylo vloženo do českého právního řádu naprosto potichu. Byli jsme v šoku, když nás s ním Policie ČR na osobním “speciálním školení” seznámila a oznámili nám, že budou podle tohoto ustanovení postupovat. Chtěli se ujistit že naše nové “povinnosti” chápeme a budeme spolupracovat.
V druhém článku, o týden později, jsme již reagovali na jednotlivé záležitosti, které v této věci zazněly na českém internetu. Věnovali jsme se i tomu, že se nemůžeme vymlouvat na EU. EU po nás podobná pravidla nechtěla a zřejmě nikde v EU také neplatí. Kritizovat umí každý a tak jsme navrhli i řešení. Současně s tím jsme upozornili na jeden další nešvar v jiném zákoně.
V našem třetím článku ze 4. března jsme provedli porovnání se slovenskou právní úpravou. Proč zrovna Slovensko? Jednak právní řády obou zemí jsou si nejbližší a zároveň ve vládním návrhu problematického ustanovení bylo argumentováno tím, že na Slovensku platí obdobná právní úprava. Vyvrátili jsme to. Na Slovensku musí vypnutí webu odsouhlasit soud, případně prokurátor (státní zástupce). Podobné postupy jsou i v Polsku. V Rusku mají situaci jinou, ale na vypínání mají postupy a řeší je specializované úřady, které s tím mají zkušenosti.
Již dříve jsme upozornili na policejní postupy, které podle nás byly nelegální. Pokusů o vypínání webů a serverů jsme zažili hodně. Dříve jsme se mohli “postavit” a bránit nás i naše zákazníky. Od února to už možné není.
Z uvedených příkladů je zcela zjevné, že policisté nemohou mít podobná neomezená oprávnění, protože jejich kreativita je až neomezená. Příkladů z praxe máme hodně, protože každý den řešíme i několik žádostí od Policie ČR.
Technická problematika
Celá záležitost je velmi problematická nejen z hlediska právního, ale i z hlediska technického. Policie nevyužívala například §79, protože je velmi složité identifikovat, který fyzický server obsahuje konkrétní data a kterou věc je nutné “zabavit”, aby došlo ke znepřístupnění. V dnešní době jsou data distribuována v rámci různých technických řešení a vypnutí jednoho serveru (nebo skupiny serverů) nezajistí to, že skutečně dojde k omezení šíření informací. Například, když vypnete jeden náš server, tak se služba spustí automaticky na jiném (například v jiném datacentru).
Neuvážené následky vypnutí jedné služby mohou být katastrofální pro tisíce nebo i stovky tisíc dalších služeb. Například na naši doménu wedos.cz je navázáno více než 300.000 dalších domén, které by mohly být nefunkční. Stejně tak policejní orgány mohou chtít vypnout nějakou službu, ale ta je součástí dalšího “balíku” služeb a není možné provést selektivní vypnutí. Opět nikdo neví, jaké následky to může způsobit.
Stejně tak jsme se setkali s vypnutím .com domény, která byla CDN pro desítky tisíc dalších webů a ty přestaly fungovat. Důvodem pro vypnutí té domény bylo to, že na jednom z webů, které CDN využívaly, byl použit obrázek, který porušoval autorská práva.
Neděláme si iluze o tom, že policisté z obvodních oddělení mohou mít zkušenosti a znalosti v oblasti IT, které by byly zárukou, že nedojde k chybám nebo neuváženým souvislostem. Bohužel jakékoliv souvislosti jsou předem těžko předvídatelné.
Vypnutí je snadné, ale následky mohou být katastrofální. Dopady na další služby, další zákazníky. Třeba dopady na firmu, které vypnou e-shop. Po 90 dnech už to policisté nemusejí ani zapínat. Firma už nebude existovat. U jakéhokoliv webu, například i diskuzního fóra, je to podobné. Vyhledávače přestanou celý web indexovat a správce serveru může po 90 dnech začínat znovu…
Nebo snad příklad z praxe – vypnutím webu, serveru nebo domény, se může stát, že zítra nebude ve vašem obchodě čerstvé pečivo. Pekárny také mají objednávky online. Nebo přestane fungovat MHD ve vašem městě, protože celý systém je navázaný na nějakou doménu, nějaký server. A takhle by šlo pokračovat. Přitom pro vypnutí stačí málo. Jeden jakýkoliv aktivní policista, který nám pošle podle nově upraveného zákona výzvu k vypnutí. Obrana není.
Nemůžeme vynechat ani informaci, že se všichni budou snažit nová ustanovení obcházet. Jednoduše budou servery a weby hostovat v zahraničí. Policejní orgány nebudou moci vypnout nic. Z hlediska vydání dat se budou provozovatelé serverů bránit šifrováním a policie dostane akorát “hromádku” šifrovaných dat.
Proč se neozvali jiní? Nevíme.
Při jednom z rozhovorů s významným deníkem nám byla včera položena otázka: “Proč se neozvaly jiné hostingy?” Nevíme. Možná proto, že o tom nevěděli. Přiznáváme, že jsme o tom také nevěděli až do okamžiku, kdy nás s novým paragrafem seznámili pracovníci Policejního prezidia. Možná se neozývají z důvodu, že problematice nerozumí. Možná se neozývají, protože se ozval první WEDOS, který je na trhu největším a nejrychleji rostoucím a poměrně obchodně agresivním konkurentem. Nevíme. To je otázka spíš pro ostatní. Ostatně můžete se svého hostingu zeptat sami.
Nikdo nehostuje v ČR tolik služeb. Málokdo se v ČR pohybuje v oblasti hostingu profesionálně od roku 1997. Takže málokdo bude mít tolik zkušeností, i špatných a velice nepříjemných, s celou problematikou, jako my.
Je však zarážející, že se ostatní ozývali v případě různých aktivit, kde mělo jít o záchranu internetu a svobod na internetu. A přitom se jednalo o zcela drobná omezení. Jenže tím to začalo… Nejprve došlo k omezení reklam na zahraniční hazardní servery. Následně dochází k omezování autorských práv a přitom se v oblasti autorský práv velmi často jedná o porušování zákonů a práv držitelů autorských práv. Za to všichni bojovali. A nyní, když jde o skutečné omezování a velké riziko pro naši budoucnost, se neozval nikdo.
Za svobodu musíme bojovat
Za svobodu musíme bojovat. Není možné, abychom tiše souhlasili a nechali si krok za krokem ukrajovat z našich svobod. Nakonec bychom nemuseli mít svobodu vůbec žádnou.
Policejní složky patří mezi výkonnou moc a určitě by Policie ČR neměla mít podobná oprávnění jako soudy. To už bychom pak třeba ty soudy ani nepotřebovali…
Proč mohou mít například na Slovensku nebo v Polsku vhodnější právní úpravu, než my?
Na závěr děkujeme všem odvážným, kteří nás v naší aktivitě podpořili článkem nebo sdílením na sociálních sítích. Svobodu si nemůžeme přeci nechat ukrást.