Ve spojení se směrnicí NIS2 a z ní vycházejícím novým kyberzákonem se často mluví o sankcích, které budou moci být ukládány za porušení uložených povinností. Firmy zabývající se školením kolem NIS2 tuto represivní složku právní úpravy kybernetické bezpečnosti zdůrazňují, aby vyzdvihly důležitost příprav na nové povinnosti. Úplně stejnou taktiku strašení pokutami používaly i dříve u nařízení GDPR. I o něm dnes ještě bude řeč.
Dlužno přitom dodat, že u GDPR alespoň bylo dostatečně dopředu jasné, odkdy povinnosti platí a budou vymahatelné. U kyberzákona tuto jistotu stále nemáme, a ještě dost dlouhou dobu mít ani nebudeme, když zpoždění na straně Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) s odevzdáním projednatelné verze předpisu způsobí přinejmenším půlroční odklad jeho účinnosti.
Pokutám jsme se částečně už v dřívějším díle věnovali. Víme, že u přísněji regulovaných subjektů mohou dosahovat až do výše čtvrt miliardy korun nebo 2 % celosvětového ročního obratu, u subjektů s mírnější regulací pak až 175 milionů, resp. 1,4 % výše celosvětového ročního obratu. Tentokrát se ale na přestupky a jejich trestání podíváme o něco podrobněji.
Drakonické pokuty Brusel nenařídil
Začneme konstatováním, že sankce jsou zcela v rukou členských států. Směrnice NIS2 žádným způsobem nestanoví, co a jak přísně se bude trestat. V jejím článku 36 nalézáme pouze obecnou definici, že „sankce musejí být účinné, přiměřené a odrazující“ a že jednotlivé státy nejpozději do 17. ledna 2025 musejí Evropské komisi oznámit, jak bude sankční mechanismus vypadat.
Dále je zde zakotveno „doporučení“ zákazu dvojího trestání, tedy pokud jedním jednáním je porušeno více různých norem, mělo by být postiženo pouze podle jedné z nich, a to té nejpřísnější. Tato zásada ne bis in idem je v českém právním řádu zakotvena na ústavní úrovni v článku 40 odst. 5 Listiny základních práv a svobod. V tuzemských podmínkách se tak lze spolehnout na to, že se za stejný prohřešek na sebe nebudou nabalovat pokuty od více úřadů zvlášť.
V praxi toho bude jistě využíváno v případech, kdy v důsledku kybernetického incidentu dojde k úniku osobních dat. Nařízení GDPR počítá se sankcemi až 20 milionů eur (přes 500 milionů korun) nebo do výše 4 % celosvětových ročních příjmů. GDPR tedy na rozdíl od NIS2 dává jasnou představu, jak porušení ochrany osobních údajů trestat, a Brusel tento strop pro sankce nastavil o dost výše, než kam dosahuje návrh NÚKIBu. Je tedy jasné, že tyto případy kybernetických incidentů se závažným dopadem do ochrany osobních dat v tuzemsku potrestá Úřad pro ochranu osobních údajů.
Jeden delikt, tři různě přísné sankce
My se ale zaměřme na úpravu sankcí v návrhu kybernetického zákona. Není bez zajímavosti, že trestat bude možné nejen subjekty spadající pod regulaci, ale dokonce i firmy či osoby, které žádné regulované služby v některém z režimů neposkytují. Zákon takto navrhuje trestat neposkytnutí součinnosti v rámci zvládání kybernetického bezpečnostního incidentu, případně neplnění povinnosti uložené nápravným opatřením.
A používá pro to hned trojí metr. Horní hranice sankce za identický přestupek je u neregulovaných subjektů 50 milionů korun. U regulovaných subjektů s nižšími povinnostmi (režim important) se zvedá na 175 milionů a u vyšší úrovně regulace (režim essential) už je to zmiňovaných 250 milionů, resp. 2 % obratu.
Sazba se významně zvedá i pro zcela neregulované subjekty v případě vyhlášení stavu kybernetického nebezpečí. Tehdy odmítnout poskytnutí součinnosti vzdorovitému přestupci může vynést pokutu až 175 milionů. A stomilionová pokuta hrozí i za takové na první pohled banální pochybení, jako je nenahlášení kontaktních nebo dalších údajů, případně jejich změny. NÚKIB tuto přísnost zdůvodňuje tím, že chybějící telefon nebo e-mail může v určitých případech bránit jakékoliv součinnosti při řešení akutního kybernetického incidentu s potenciálně extrémními dopady. V době datových schránek, propojených základních registrů a dalších výdobytků eGovermentu, je otázkou, jestli má tato obava reálný podklad.
V důvodové zprávě (str. 175) k tomu NÚKIB uvádí, že maximální výše pokuty v současnosti platné právní úpravě „často nemusela dosahovat ani výše nákladů na jejich zabezpečení, což mohlo být v určitých případech nedostatečně odrazující, a tedy neefektivní“. Úřad přitom zmiňuje propastný rozdíl zejména při srovnání sankcí v obecném nařízení o ochraně osobních údajů a zákoně o kybernetické bezpečnosti.
Ano, porovnáme-li stávající platný kyberzákon s GDPR, s horní hranicí sankcí 5 milionů korun jej segment movitějších firem mohl do určité míry ignorovat, zatímco brát na lehkou váhu povinnosti na ochranu osobních údajů s pohyblivou složkou sankce si obvykle ani management bohatších korporací dovolit nemohl. Na druhou stranu, je otázkou přiměřenosti, jestli z 5 na 250 milionů nepředstavuje příliš vysoký skok. Zvláště, pokud v návrhu kyberzákona vyloučil některé v přestupcích obecně platné instituty.
Pojistka proti vlastním chybám NÚKIBu
Jak se říká, ďábel je obvykle skryt v detailu a NÚKIB všechny dále zmíněné pasti uschoval do společných ustanovení, tedy § 61 návrhu. Vyloučil tak v prvé řadě ustanovení o upuštění od uložení správního trestu. To se používá například v případech, kdy o dvou nebo více společných přestupcích téhož pachatele nebylo vedeno společné řízení, a kdy se tedy trest za to pozdější provinění samostatně neuloží.
Anebo v případě, kdy už samotné projednání přestupku postačí k pachatelově nápravě. NÚKIB má v plánu vládnout tvrdou rukou, a proto do důvodové zprávy napsal: „Přestupky proti kybernetické bezpečnosti jsou natolik závažného charakteru, že pouhé projednání věci před Úřadem nemůže postačovat k nápravě nezákonného stavu nebo pachatele přestupku.“
A přísnost razí i vůči lidem, kteří budou porušením sankcionované povinnosti poškozeni. V případě jiných přestupků, třeba krádeže, přestupkové komise pachatelům rovnou uloží povinnost škodu nahradit. NÚKIB si ale náhradami nechce špinit ruce, a proto vyloučil poškozené z účastníků přestupkového řízení. Těm tak nezbyde, než se se svými nároky obrátit na soudy.
Tím výčet vyloučených ustanovení nekončí. Se vskutku bizarní argumentací NÚKIB prosazuje, aby pokuty nemohly být ukládány zjednodušeným způsobem, tedy příkazem. To je přitom v přestupkových řízeních poměrně oblíbený a pro správní orgán jednoduchý způsob, jak často ke spokojenosti zúčastněných stran danou věc bez dodatečné byrokracie rychle a levně vyřešit. Pokud se způsob řešení přestupci nelíbí, podá si proti příkazu odpor, ten se tím okamžikem zruší a v řízení se pokračuje dál.
To, co NÚKIBu na tomto institutu vadí, je pravidlo zakazující v navazujícím řízení uložit přísnější pokutu, než jakou vyměřil v příkazu samotném. Nijak se tím netají ani v důvodové zprávě: „Není žádoucí, aby v řízeních před Úřadem navazujících na podání odporu proti příkazu nebylo možné uložit vyšší pokutu, než která byla stanovena v příkazu.“
Přitom regulátora nic nenutí držet se už v příkazu při zemi, respektive vydat jej až poté, co nashromáždí dostatek podkladů odůvodňujících vyšší sankci. Zjevně se ale NÚKIB chce pojistit proti situacím, kdy úředník rozhodující na prvním stupni se s důkladným dokazováním nebude chtít zdržovat a bude spoléhat na to, že proti mírnější pokutě se pachatel spíše nebude bránit. Na místo toho, aby se při prvním zjištění takového šlendriánu s takovým úředníkem rychle rozloučil, nastavuje právní úpravu tak, že umožní proti vzpurným pachatelům ve druhém kole klidně i výrazně přitvrdit. To v případě, kdy odvolací orgán původní rozhodnutí zruší a řízení mu vrátí k novému řízení.
Na to, že tato úprava může být za hranou pravidel správního trestání, upozorňovalo v meziresortním připomínkovém řízení například ministerstvo obrany. NÚKIB ale námitky odmítl lakonicky tím, že zásada zákazu změny rozhodnutí v neprospěch obviněného (reformationis in peius) není součástí práva na spravedlivý proces a je v dispozici zákonodárce, zda ji s ohledem k regulované oblasti zavede.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete dostávat exkluzivní tištěný speciál Lupa 3.0?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU