V závěrečném dílu seriálu Jak na datovku jsme slíbili, že se k edukaci o používání datových schránek v budoucnu budeme nepravidelně vracet, objeví-li se téma, které bude stát za hlubší rozbor. Náš seriál na jaře upozornil na celou řadu záludností a nešvarů, jimiž stát tento moderní nástroj komunikace zatížil a tím od jeho dobrovolného využívání úspěšně odrazuje.
Jako první jsme například upozornili na rozsáhlý únik osobních údajů přímo na webu mojedatovaschranka.cz, kde na jedno kliknutí byly ke stažení kompletní seznamy držitelů datovek podle jejich kategorií. Ministerstvo vnitra tehdy reagovalo tvrzením, že mu nic jiného nezbývá, protože zveřejňování ukládá zákon.
Ledva se změnil provozovatel (od dubna spravuje systém datových schránek Digitální a informační agentura, DIA), i bez změny zákona seznam držitelů datovek z řad fyzických osob z webu zmizel. A v dohledné době má zmizet i obdobný seznam živnostníků. Tedy vyjma těch, kteří se dobrovolně přihlásí k tomu, aby v takovém seznamu figurovali. Princip opt-out (který navíc platil jen pro nepodnikatele) se změní na opt-in pro všechny.
Kolektivní nevědomost
Dnes se podíváme na další, svými potenciálními důsledky mnohem závažnější nešvar, který jsme v jednom z předchozích dílů seriálu rovněž zmiňovali, ale který zatím u politiků nenašel dostatečnou odezvu, aby ho napravili, nebo alespoň se jím začali vážněji zabývat. Potrápí pouze právnické osoby s kolektivním statutárním orgánem. Může to být eseróčko, akciová společnost, nadace, spolek nebo klidně bytové družstvo či společenství vlastníků jednotek. Ti všichni si mohou ve svých stanovách upravit jednání za svůj subjekt jakkoliv.
Jednatelé, případně členové výboru mohou navenek jednat samostatně, každý zvlášť, společně, případně podle dalších ve stanovách specifikovaných podmínek. Není výjimkou, a je to tak správně, že takový dokument pamatuje na situace, kdy hlavní činovník onemocní nebo z jiných důvodů není po omezenou dobu schopen své povinnosti vůči právnické osobě plnit a musí ho zastoupit někdo jiný. Pak lze do stanov vydefinovat, že pro určitý úkon jsou potřeba podpisy alespoň dvou jiných představitelů kolektivního orgánu.
Stát vaše dohody nezajímají
Jenže stát na toto vnitřní uspořádání právnické osoby absolutně nebere ohledy. I kdyby stanovy nakrásně vylučovaly, aby za subjekt jednal kdokoliv jiný než prezident spolku, předseda bytového družstva nebo ředitel podniku, přístupové údaje k datovce dostanou všichni členové statutárního orgánu bez výjimky. Stát je tedy pošle každému, kdo je do takové funkce zapsán ve veřejném rejstříku.
K čemu to může vést, si ukážeme na příkladu z reálné praxe jednoho pražského společenství vlastníků jednotek (SVJ). Je docela jedno, které to je, pro vysvětlení problému je jeho bližší identifikace nepodstatná, nicméně redakce jeho identitu zná.
V tomto SVJ funguje pětičlenný výbor a každý z tohoto výboru dostal začátkem roku přístupové údaje do datovky zřízené ze zákona. Stanovy tohoto SVJ říkají, že za právnickou osobu může jednat předseda, nebo výborem písemně pověřený člen výboru. U právních úkonů činěných písemnou formou je potřeba podpis předsedy, nebo v jeho zastoupení místopředsedy.
To znamená, že pokud se výbor nerozhodne jinak, navenek za SVJ jedná vždy předseda, nemůže-li, potom písemně místopředseda. Logicky to platí i pro datovku. Ostatní členové výboru by se do schránky neměli přihlašovat, protože přihlášením mohou způsobit doručení písemnosti a tím už právně jednají.
Když je kolega zvědavý přespříliš
Zpočátku do datovky SVJ chodily vcelku nepodstatné zprávy jako pozvánky z radnice na jednání různých výborů zastupitelstva nebo výpisy ze základních registrů. Už tehdy si ale předseda povšiml, že se do schránky přihlašuje a tím způsobuje doručení došlých zpráv někdo jiný než on. Dvakrát tedy po dobrém požádal své kolegy, aby zkrotili svou zvědavost a počkali si, až jim on sám přijaté dokumenty rozešle.
Pak ale SVJ začalo vymáhat dlužné zálohy po jednom z jeho členů a do datovky začaly chodit soudní obsílky. Tedy dokumenty, u kterých je bezpodmínečně nutné reagovat v určených lhůtách.
A tak se stalo, že když se po týdnu předseda do datovky přihlásil, stáhl si zprávu, kterou vyzvedl před pěti dny někdo jiný a nedal o tom nikomu vědět. Šlo o usnesení ukládající určitou povinnost ve lhůtě 7 dnů od doručení. Reálně tedy SVJ zbývaly pouhé dva dny na to se s výzvou patřičně vypořádat.
V časovém presu a s vypětím sil se to podařilo. Protože se ale k soustavnému nahlížení do datovky SVJ ani tentokrát nikdo nepřiznal a datové schránky nikde přes žádné rozhraní nezobrazují, čím přihlášením došlo k doručení došlé zprávy, rozhodl se předseda, že zkusí zapátrat přes provozovatele. A sázka na tuto kartu mu vyšla.
Pomůže provozovatel datovek
Digitální a informační agentura reagovala prakticky obratem a poskytla „forenzní údaje“.
Ptáte-li se, co všechno z nich lze vyčíst, v první řadě poskytnou odpověď na otázku, kdo všechno má k datové schránce přístup, odkdy ho má a kdo byl do systému datových schránek přihlášen ve chvíli, kdy k doručení dotazované zprávy došlo.
Z dalšího dokumentu lze zjistit přesnou časovou posloupnost, kdy byla zpráva vytvořena, kdy prošla systémem datových schránek a kdo svým přihlášením její doručení způsobil.
A pak je tu ještě jedna tabulka, zachycující jednak, z jaké IP adresy k přihlášení došlo, a jednak detaily, co se v kterém čase odehrálo. Uvidíte detaily toho, jaké vnitřní servery datových schránek byly kdy kvůli požadavku uživatele kontaktovány a s jakým výsledkem.
K tomu všemu návdavkem dostanete od Digitální a informační agentury 15stránkovou brožuru s podrobnostmi, jak jednotlivé údaje v zaslaných tabulkách interpretovat.
SafeLog k datovým schránkám by Lupacz on Scribd
Vybaveni těmito vědomostmi se podezření mění v jistotu a můžete udeřit na konkrétního kolegu, který svou neutuchající zvědavostí připravil výboru perné chvilky. V popisovaném případě šlo o člena výboru, který na dané adrese už několik let nebydlí, schůzí se neúčastnil a vlastně se čekalo pouze na to, až bude na jeho místo zvolen někdo jiný, aby při hromadném přepisu na rejstříkovém soudu SVJ ušetřilo za soudní poplatek.
Prý si do svého mobilu nainstaloval aplikaci Datovka, do ní bez rozmyslu zadal údaje ke všem datovkám, které mu stát zkraje roku zřídil, a víc neřešil. SVJ, aby mělo do budoucna klid, podalo následně návrh na jeho výmaz z rejstříku. Jakmile jeho angažmá takto formálně skončí, pozbydou platnosti i přihlašovací údaje.
Systém čeká na změnu od politiků
Popsaný příběh ukazuje hned na několik problémů, kterými datové schránky trpí. Prvním z nich je, že si nechávají pro sebe, který konkrétní uživatel daný úkon v datovce provedl. Tají to nejen ve vztahu ke druhé straně, ale i ve vztahu k „vlastním“ lidem. Je tak třeba vyvíjet úsilí a doptávat se provozovatele systému na potřebné informace. Dobrou zprávou je, že ač je tato cesta zdlouhavější a vyžaduje určité úsilí, k cíli vede.
A druhým problémem je, že tomu prvnímu by šlo velmi efektivně předejít, pokud by osoba podle stanov odpovědná za subjekt, v tomto případě předseda výboru, mohla sama definovat, komu dalšímu kromě něj mají být údaje k datové schránce zaslány.
Bohužel, jak se zatím zdá, ochrana osobních údajů je stále téma, na kterém se dá získat mnohem více politických bodů.