Právní aspekty řízení provozu IT v podniku

Bankovní institut vysoká škola Praha Katedra informačních technologií

Právní aspekty řízení provozu IT v podniku Bakalářská práce

Autor:

Petr Misík informační technologie, správce informačních systémů

Vedoucí práce:

Ing. Lubomír Jankových, CSc.

Odborný konzultant:

JUDr. Jiří Matzner, Ph.D.

Praha

Červen, 2012

Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze, dne 14. 6. 2012

Petr Misík

Poděkování Na tomto místě bych rád poděkoval v první řadě Ing. Lubomíru Jankových, CSc. za cenné připomínky a odborné rady, kterými přispěl k vypracování této bakalářské práce. Dále děkuji JUDr. Jiří Matznerovi, Ph.D. za konzultaci a vyčerpávající právnickou podporu. V neposlední řadě bych rád poděkoval prof. Ing. Vladimíru Smejkalovi, CSc. LL.M. a JUDr. Lukáši Jansovi za pomoc při úpravě zadání tématu bakalářské práce.

Anotace Cílem této práce je vytvořit podklad pro úpravu existující metodiky řízení provozu podnikového IT vzhledem k platným právním předpisům.

Klíčová slova: Právní aspekty řízení IT, metodika IT, IT bezpečnost, informační technologie

Annotation The point of this bachelor thesis is to create a basis for the adjustment of existing methodology of enterprise IT management operations given the current legislation.

Key words: Legal aspects of IT, IT metodology, IT security, information technology

Obsah 1

České právní předpisy upravující řízení provozu IT ...................................................... 9 Členění právních norem............................................................................................ 9 Výčet právních norem majících vliv na řízení IT ................................................... 10 Předmět úpravy jednotlivých zákonů ..................................................................... 12 Vymezení pojmů z pohledu zákona........................................................................ 15 2 Bezpečnost provozu podnikového IT v rámci českého právního řádu ......................... 19 2.1 Bezpečnostní politika IT......................................................................................... 19 2.1.1 Bezpečnost informačního systému ................................................................... 19 2.1.2 Řízení rizik ....................................................................................................... 20 2.2 Požadavky na bezpečnost IT .................................................................................. 20 2.2.1 Personální bezpečnost....................................................................................... 21 2.2.2 Fyzická bezpečnost a bezpečnost prostředí ...................................................... 23 2.2.3 Ochrana prostředků pro zpracování informací ................................................. 24 3 Ochrana duševního vlastnictví v podnikových IS ........................................................ 26 3.1 Autorské dílo .......................................................................................................... 26 3.1.1 Počítačový program .......................................................................................... 26 3.1.2 Databáze ........................................................................................................... 27 3.2 Právo k autorskému dílu ......................................................................................... 27 3.2.1 Právo k počítačovému programu ...................................................................... 28 3.2.2 Právo k databázi ............................................................................................... 28 3.3 Licence a licenční smlouva..................................................................................... 29 3.3.1 Licence výhradní .............................................................................................. 30 3.3.2 Licence nevýhradní .......................................................................................... 30 3.3.3 Licenční smlouva.............................................................................................. 30 3.3.4 Smlouva o dílo .................................................................................................. 32 3.4 Ochrana autorského práva ...................................................................................... 33 3.4.1 Nároky autora ................................................................................................... 34 3.4.2 Finanční důsledky porušení autorského zákona ............................................... 35 3.4.3 Oprávnění uživatele .......................................................................................... 36 3.5 Ochrana osobních údajů ......................................................................................... 37 3.5.1 Zpracování osobních údajů............................................................................... 38 3.5.2 Práva a povinnosti při zpracování osobních údajů ........................................... 38 3.5.3 Povinnosti osob při zabezpečení osobních údajů ............................................. 39 3.5.4 Porušení práv a povinností při zpracování osobních údajů .............................. 40 4 Trestněprávní ochrana IT.............................................................................................. 42 4.1 Odpovědnost právnických osob ............................................................................. 42 4.1.1 Spáchání trestného činu právnickou osobou .................................................... 42 4.1.2 Trestný čin právnické osoby ............................................................................. 43 4.1.3 Druhy trestů a ochranných opatření.................................................................. 43 4.2 Odpovědnost fyzických osob ................................................................................. 44 4.2.1 Podmínky trestní odpovědnosti ........................................................................ 44 4.2.2 Odpovědnosti zaměstnance a možné důsledky ................................................ 45 4.3 Trestné činy ............................................................................................................ 46 4.3.1 Neoprávněný přístup k počítačovému systému a nosiči informací .................. 46 4.3.2 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat .......................................................................... 47 4.3.3 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti ......................................................................... 48 5 1.1 1.2 1.3 1.4

4.3.4

Porušení autorského práva, práv souvisejících s právem autorským a práv k databázi ............................................................................................................. 49 4.4 Trestné činy s odpovědností fyzických osob .......................................................... 50 4.4.1 Neoprávněné nakládání s osobními údaji ......................................................... 50 4.4.2 Porušení předpisů o pravidlech hospodářské soutěže....................................... 50 4.4.3 Porušení práv k ochranné známce a jiným označením ..................................... 51 5 Návrh na doplnění metodiky řízení provozu ................................................................ 53 5.1 Obecná doporučení při tvorbě metodiky řízení provozu IT ................................... 53 5.2 Stávající směrnice řízení provozu IT ...................................................................... 55 5.3 Doplnění jednotlivých kapitol stávající metodiky .................................................. 57

6

Úvod Informační technologie zaznamenaly rychlý rozvoj a jsou neustále velmi dynamicky se vyvíjející oblastí, umožnily vznik informační společnosti. Pro informační společnost je charakteristické elektronické zpracovávání a uchovávání informací a jejich přenos v elektronické podobě elektronickými prostředky, tj. sítí elektronických komunikací, elektronickou poštou, za použití elektronických komunikačních zařízení a koncových telekomunikačních zařízení. Rozvoj informační společnosti a uplatnění informačních technologií téměř ve všech oblastech lidské činnosti s sebou přináší i řadu nových problémů a rizikových faktorů, vzniká nový druh kriminality. Dochází tak k potřebě a nutnosti reagovat úpravou legislativy na změny, které v informační společnosti nastávají. Vytváří se nová právní disciplína, nazývaná počítačovým právem neboli právem IT (informačních technologií). Právo je prostředkem regulace, je to systém pravidel, která vytváří a vynucuje stát. Chápeme jej jako soubor právních norem upravujících chování a vztahy daných subjektů. Platné právní normy tvoří právní řád státu. IT právo je soubor právních norem, které upravují využívání informačních technologií. Zajišťují ochranu autorských práv a duševního vlastnictví při tvorbě a poskytování počítačových

programů,

vztahují

se

k informačním

a

komunikačním

systémům,

k elektronickým komunikacím, k elektronickému podpisu, k ochraně osobních údajů, k ochraně utajovaných informací. Dále upravují vztahy mezi jednotlivými subjekty – autorské, občanskoprávní, obchodní, pracovněprávní. Trestní zákoník stanovuje trestní odpovědnost neoprávněných přístupů, poškozování záznamů a vybavení, a porušování autorského práva. Z hlediska řízení provozu IT v podniku v souladu s platnou legislativou je nutno sledovat změny právních úprav v této oblasti. Účelem vytvoření podkladu pro úpravu metodiky řízení provozu podnikového IT je zachytit souhrn platných právních norem souvisejících s IT současně s vysvětlením jejich obsahu a tím zajištění jednotného postupu zaměstnanců konkrétního podniku v souladu s platnými právními normami. Má být přínosem pro IT odborníky bez právních znalostí. Aby mohl být vytvořen závazný podklad pro úpravu existující metodiky řízení provozu podnikového IT jsou nejprve uvedeny a vysvětleny právní normy, které se k tématu vztahují. Od nich se odvíjí vytvoření vlastního podkladu v poslední části práce.

7

Jelikož je podklad určen IT odborníkům, u nichž existuje předpoklad, že znají pojmy z oblasti IT nikoli však z oblasti práva, je tato práce zaměřena více na právní stránku. Pokud je dále v podkladu vysvětlen pojem z oblasti IT, je tak učiněno z pohledu práva. Cílem práce je úprava existující metodiky řízení provozu podnikového IT vzhledem k platným právním předpisům.

8

1 České právní předpisy upravující řízení provozu IT Z hlediska práva neexistuje jedna ucelená právní norma, která by pokrývala komplexně danou oblast. Je to dáno tím, že IT se vyvíjí rychleji než reaguje legislativa, a proto právní rámec tvoří řada vzájemně se překrývajících pramenů práva. K jejich vymezení je nezbytná znalost platného právního řádu i vědomosti z oboru IT. Následující kapitola přináší přehled ustanovení majících vliv na řízení IT v podniku.

1.1 Členění právních norem Právní normy členíme dle právní síly1 právního předpisu na: a) originální – původní právní předpisy (zákony), b) derivativní – odvozený, prováděcí - jedná se o nařízení, kterými se provádí právní předpis vyšší právní síly (nařízení vlády, vyhlášky ministerstva). Mezi originální právní předpisy jsou řazeny i vyhlášky obcí nebo krajů, jelikož jsou vydávány v samostatné působnosti. Naopak nařízení obcí nebo krajů jsou vydávány v přenesené působnosti a jsou považovány za derivativní právní předpisy. Dle věcné působnosti právní normy členíme na2: a) obecné – vztahují se na větší počet stejných případů, např. občanský zákoník, obchodní zákoník, trestní zákoník, zákoník práce, b) speciální – upravují zvláštní otázky týkající se IS u všech subjektů práva, např. autorský zákon, zákon o ochraně osobních údajů, zákon o elektronickém podpisu, c) zvláštní – upravují zvláštní povinnosti týkající se zacházení s informacemi u vybraných subjektů, např. zákon o České národní bance. Zákon speciální má přednost před zákonem obecným.

1

Teorii právní síly právního předpisu zavedl Adolf Julius Merkl. Právní síla právního předpisu určuje hierarchii právních předpisů. Na vrcholu hierarchie stojí Ústava. 2 SMEJKAL, Vladimír; RAIS, Karel. Řízení rizik ve firmách a jiných organizacích. Třetí, rozšířené a aktualizované vydání. Grada Publishing, a.s., 2010. str. 229

9

1.2 Výčet právních norem majících vliv na řízení IT Zákony Zákon č. 40/1964 Sb., občanský zákoník Zákon č. 513/1991 Sb., obchodní zákoník Zákon č. 6/1993 Sb., o České národní bance Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Zákon č. 480/2004 Sb., o některých službách informační společnosti Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 441/2003 Sb., o ochranných známkách Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim Zákon č. 40/2009 Sb., trestní zákoník Zákon č. 262/2006 Sb., zákoník práce Prováděcí vyhlášky a nařízení vlády K zákonu č. 227/2000 Sb., o elektronickém podpisu: Vyhláška č. 496/2004 Sb., o elektronických podatelnách Nařízení vlády 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) K zákonu č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích): Nález Ústavního soudu č. 94/2011 Sb., ze dne 22. března 2011 sp. zn. Pl. ÚS 24/10 ve věci návrhu na zrušení § 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických 10

komunikacích), ve znění pozdějších předpisů, a na zrušení vyhlášky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání K zákonu 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů: Vyhláška č. 193/2009 Sb., o stanovení podrobností provádění autorizované konverze dokumentů Vyhláška č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek K zákonu č. 365/2000 Sb., o informačních systémech veřejné správy: Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy) Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní) K zákonu č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti: Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění vyhlášky č. 55/2008 Sb. Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) Vyhláška č. 363/2011 Sb., o personální bezpečnosti a o bezpečnostní způsobilosti 11

Vyhláška č. 405/2011 Sb., o průmyslové bezpečnosti Vyhláška č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných informací

1.3 Předmět úpravy jednotlivých zákonů Zákon č. 40/1964 Sb., občanský zákoník upravuje majetkové vztahy fyzických a právnických osob, majetkové vztahy mezi těmito osobami a státem, vztahy vyplývající z práva na ochranu osob, pokud tyto občanskoprávní vztahy neupravují jiné zákony, z pohledu IT: uzavírání smluv, ochrana spotřebitele. Zákon č. 513/1991 Sb., obchodní zákoník upravuje postavení podnikatelů, obchodní závazkové vztahy, i některé jiné vztahy s podnikáním související, z pohledu IT: obchodní vztahy, obchodní tajemství, smlouva o dílo, nekalá soutěž, záruka za jakost, nároky z vad. Zákon č. 6/1993 Sb., o České národní bance upravuje cíle, povinnosti, organizaci, vztahy ČNB k vládě a dalším orgánům, činnost, pravomoc a hospodaření ČNB, z pohledu IT: koordinace rozvoje bankovního informačního systému v České republice, stanovit zásady bankovního informačního systému. Zákon č. 227/2000 Sb., o elektronickém podpisu upravuje používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb poskytovateli usazenými na území České republiky, z pohledu IT: elektronická komunikace. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) upravuje podmínky podnikání a výkon státní správy, včetně regulace trhu, v oblasti elektronických komunikací, 12

z pohledu IT: sítě elektronických komunikací. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů upravuje elektronické úkony orgánů veřejné moci vůči fyzickým a právnickým osobám a naopak, a elektronické úkony mezi orgány veřejné moci navzájem prostřednictvím

datových

schránek,

informační

systém

datových

schránek,

autorizovanou konverzi dokumentů, z pohledu IT: elektronická komunikace prostřednictvím datových schránek. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy stanoví práva a povinnosti, které souvisejí s vytvářením, užíváním, provozem a rozvojem informačních systémů veřejné správy, z pohledu IT: práva a povinnosti správců IS veřejné správy. Zákon č. 480/2004 Sb. o některých službách informační společnosti upravuje odpovědnost a práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení prostřednictvím elektronických prostředků, z pohledu IT: elektronické komunikace. Zákon č. 101/2000 Sb., o ochraně osobních údajů k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států, z pohledu IT: při využívání softwaru umístěném na hardwaru poskytovatele. Zákon č. 441/2003 Sb., o ochranných známkách upravuje právo užívat ochrannou známku ve spojení s výrobky nebo službami, pro něž je chráněna, z pohledu IT: ochrana loga a názvů softwaru. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti upravuje zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k nim a další požadavky na jejich ochranu, zásady pro stanovení citlivých činností a podmínky pro jejich výkon a s tím spojený výkon státní správy, 13

z pohledu IT: ochrana informací. Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) upravuje práva autora k jeho autorskému dílu, práva související s právem autorským, právo pořizovatele k jím pořízené databázi, ochranu práv podle tohoto zákona a kolektivní správu práv autorských a práv souvisejících s právem autorským, z pohledu IT : souvisí s tvorbou a poskytováním počítačových programů a s pořizováním databází. Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim upravuje podmínky trestní odpovědnosti právnických osob, tresty a ochranná opatření, které lze za spáchání stanovených trestných činů právnickým osobám uložit, a postup v řízení proti právnickým osobám, z pohledu IT: neoprávněné přístupy, neoprávněná manipulace s daty, přechovávání prostředků

použitelných

k neoprávněnému

přístupu,

poškozování

záznamů

a vybavení, porušování autorských práv. Zákon č. 40/2009 Sb., trestní zákoník vymezuje trestné činy a stanoví trestní sankce, které lze za jejich spáchání uložit, z pohledu IT: neoprávněné přístupy, neoprávněná manipulace s daty, přechovávání prostředků

použitelných

k neoprávněnému

přístupu,

poškozování

záznamů

a vybavení, porušování autorských práv. Zákon č. 262/2006 Sb., zákoník práce upravuje právní vztahy vznikající při výkonu závislé práce mezi zaměstnanci a zaměstnavateli, některé právní vztahy před vznikem pracovněprávních vztahů a právní vztahy kolektivní povahy, které souvisejí s výkonem závislé práce, z pohledu IT: odpovědnost zaměstnance za škodu.

14

1.4 Vymezení pojmů z pohledu zákona Aktiva informačního systému - na základě analýzy rizik definovaný hardware, software, dokumentace informačního systému a utajované informace, které jsou v informačním systému uloženy. Analýza rizik - proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků. Auditní záznam - záznam informačního systému o události, která může ovlivnit bezpečnost informačního systému. Autentizace subjektu informačního systému - proces ověření jeho identity v informačním systému, splňující požadovanou míru záruky. Autor – fyzická osoba, která dílo vytvořila. Autorizace subjektu informačního systému - udělení určitých práv pro vykonávání určených aktivit v informačním systému. Autorské dílo - dílo literární a jiné dílo umělecké a dílo vědecké, které je jedinečným výsledkem tvůrčí činnosti autora a je vyjádřeno v jakékoli objektivně vnímatelné podobě včetně podoby elektronické, trvale nebo dočasně, bez ohledu na jeho rozsah, účel nebo význam. Bezpečnostní správce informačního systému nebo komunikačního systému - pracovník správy informačního systému nebo komunikačního systému v roli vytvořené pro řízení a kontrolu bezpečnosti informačního systému nebo komunikačního systému a provádění stanovených činností pro zajištění bezpečnosti informačního systému nebo komunikačního systému. Databáze – soubor nezávislých děl, údajů nebo jiných prvků, systematicky nebo metodicky uspořádaných. Datový prvek - jednotka dat, která je v daném kontextu dále považována za nedělitelnou a je jednoznačně definována. Elektronická pošta - textová, hlasová, zvuková nebo obrazová zpráva poslaná prostřednictvím veřejné sítě elektronických komunikací, která může být uložena v síti nebo v koncovém zařízení uživatele, dokud ji uživatel nevyzvedne. Elektronické prostředky - zejména síť elektronických komunikací, elektronická komunikační zařízení, automatické volací a komunikační systémy, telekomunikační koncová zařízení a elektronická pošta. 15

Fyzická bezpečnost informačního systému nebo komunikačního systému - opatření použitá k zajištění fyzické ochrany aktiv těchto systémů proti náhodným nebo úmyslným hrozbám. Identifikace subjektu informačního systému - proces zjištění jeho identity v informačním systému. Informace o správě práv k dílu - informace určená autorem, která identifikuje dílo, autora nebo jiného nositele práva, nebo informace o způsobech a podmínkách užití díla a jakákoli čísla nebo kódy, které takovou informaci představují. Informační činnost - získávání a poskytování informací, reprezentace informací daty, shromažďování, vyhodnocování a ukládání dat na hmotné nosiče a uchovávání, vyhledávání, úprava nebo pozměňování dat, jejich předávání, šíření, zpřístupňování, výměna, třídění nebo kombinování, blokování a likvidace dat ukládaných na hmotných nosičích. Je prováděna správci, provozovateli a uživateli informačních systémů prostřednictvím technických a programových prostředků. Informační systém - funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost, zahrnuje data uspořádaná tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále nástroje umožňující výkon informačních činností. Integrita aktiva informačního systému nebo komunikačního systému - vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem informačního systému. Komunikační činnost - zajišťování sítí elektronických komunikací, poskytování služeb elektronických komunikací, provozování přístrojů. Licenční smlouva - autor poskytuje nabyvateli oprávnění k výkonu práva dílo užít (licenci) k jednotlivým způsobům nebo ke všem způsobům užití, v rozsahu omezeném nebo neomezeném. Ochranná známka - jakékoliv označení schopné grafického znázornění, zejména slova, včetně osobních jmen, barvy, kresby, písmena, číslice, tvar výrobku nebo jeho obal, pokud je toto označení způsobilé odlišit výrobky nebo služby jedné osoby od výrobků nebo služeb jiné osoby. Osobní údaj - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 16

Počítačová bezpečnost - bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky. Produkt - souhrnný název pro technické vybavení, programové vybavení, dokumentaci informačních systémů nebo služby nebo jejich kombinaci. Prostředek výpočetní techniky – souhrn technických a programových prostředků. Provozní dokumentace - dokumentace informačního systému veřejné správy, která popisuje funkční a technické vlastnosti informačního systému. Provozní informační systém - informační systém zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu, například účetnictví, správu majetku, a nesouvisející bezprostředně s výkonem veřejné správy. Přístroj - zařízení, které je rádiovým zařízením nebo telekomunikačním koncovým zařízením anebo obojím. Riziko pro informační systém nebo komunikační systém - pravděpodobnost, že určitá hrozba využije zranitelných míst některého z těchto systémů. Role - souhrn určených činností a potřebných autorizací pro subjekt informačního systému působící v informačním systému nebo komunikačním systému. Shromažďování osobních údajů - systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Služba - činnost informačního systému uspokojující dané požadavky oprávněného subjektu spojená s funkcí informačního systému. Služba informační společnosti - jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat. Správce informačního systému nebo komunikačního systému - pracovník správy informačního systému nebo komunikačního systému v roli vytvořené zejména pro zajištění požadované funkčnosti informačního systému nebo komunikačního systému a řízení provozu informačního systému nebo komunikačního systému. Subjekt údajů - fyzická osoba, k níž se osobní údaje vztahují. Uchovávání osobních údajů - udržování údajů v takové podobě, která je umožňuje dále zpracovávat. 17

Utajovaná informace – informace, která je uvedena v seznamu utajovaných informací, a jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky. Uživatel informačního systému nebo komunikačního systému - fyzická osoba v roli vytvořené zejména pro nakládání s utajovanými informacemi v informačním systému nebo pro přenos utajovaných informací v komunikačním systému. Veřejný informační systém - informační systém vedený správci nebo jiný informační systém poskytující služby veřejnosti, který má vazby na informační systémy veřejné správy. Zpracování osobních údajů - jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

18

2 Bezpečnost provozu podnikového IT v rámci českého právního řádu Pojem bezpečnost IT není v českém právním systému vymezena. Obecně lze pojem chápat jako počínat si takovým způsobem, aby nebyla způsobena škoda. Podniku může být způsobena škoda na majetku, který zahrnuje hmotné, osobní a nehmotné složky. Zdrojem úspěchu podniku je také informace či obchodní tajemství. Je tedy potřeba chránit hmotný i nehmotný majetek firmy. K jeho ohrožení může dojít jak vnějším, tak vnitřním vlivem. V souvislosti s IT znamená bezpečnost provozu ochranu informací podniku, ochranu osobních údajů a ochranu prostředků pro zpracování informací. Jelikož bezpečnost informací podniku není v právních normách stanovena, použijeme právní normy vztahující se k výkonu státní správy a nakládání s utajovanými informacemi.

2.1 Bezpečnostní politika IT Bezpečnostní politiku informačního systému tvoří dle § 5 vyhlášky č. 523/2005 Sb., soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové bezpečnostní dokumentaci informačního systému a v provozní bezpečnostní dokumentaci informačního systému. V podniku, který nevyvíjí software uvažujeme o provozní bezpečnostní dokumentaci informačního systému, která stanoví činnost bezpečnostních správců, činnost správců a činnost uživatelů informačního systému.

2.1.1 Bezpečnost informačního systému Pojem bezpečnost informačního systému je pouze v § 5 písm. e) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, definován bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému. 19

Bezpečnost informací je definována jako zachování důvěrnosti, integrity a dostupnosti informací. Důvěrnost znamená zajištění toho, že informace je přístupná jen těm, kteří jsou oprávněni k ní mít přístup. Integrita je zabezpečení přesnosti a kompletnosti informací a metod jejich zpracování. Dostupnost je zajištění toho, že jsou informace a s nimi spojená aktiva uživatelům přístupná v době, kdy je potřebují. Podklad pro úpravu existující metodiky řízení provozu podnikového IT bude vycházet z ustanovení zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, a z vyhlášky Národního bezpečnostního úřadu č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor.

2.1.2 Řízení rizik Rizikem se obecně rozumí nebezpečí vzniku škody, poškození, ztráty či zničení, jde o neurčitý

nebo

nežádoucí

výsledek.

Rizikem

pro

informační

systém

se

rozumí

pravděpodobnost, že určitá hrozba využije zranitelných míst tohoto systému. Hrozby mohou být jak vnější, tak vnitřní. Cílem podniku je rizikům předcházet, eliminovat nebezpečí vzniku rizik jejich řízením. Řízení rizik zahrnuje analýzu, způsob řešení a vypracování plánu pro řízení rizik. Aktivem informačního systému se rozumí definovaný hardware, software, dokumentace informačního systému a informace, které jsou v informačním systému uloženy. Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik. V rámci provedení analýzy rizik se vymezují aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému. Po stanovení hrozeb se vymezují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí. Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika. Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.

2.2 Požadavky na bezpečnost IT Dle § 3 vyhlášky 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci 20

stínicích komor, se bezpečností informačních systémů dosahuje uplatněním souboru opatření z oblasti: a) počítačové a komunikační bezpečnosti, b) kryptografické ochrany, c) ochrany proti úniku kompromitujícího elektromagnetického vyzařování, d) administrativní bezpečnosti a organizačních opatření, e) personální bezpečnosti a f) fyzické bezpečnosti informačního systému. Dle § 5 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, je ochrana utajovaných informací zajišťována: a) personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana, b) průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem, c) administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi, d) fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat, e) bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a f) kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací.

2.2.1 Personální bezpečnost Zaměstnanec nakládající s daty citlivými pro podnik či s osobními údaji musí splňovat určité podmínky. Již v průběhu přijímacího řízeni musí být zaměstnavatelem u potencionálního 21

zaměstnance sledována jeho způsobilost k právním úkonům, bezúhonnost, osobnostní způsobilost a bezpečnostní spolehlivost. Dle § 31 zákona č. 262/2006 Sb., zákoníku práce, před uzavřením pracovní smlouvy je zaměstnavatel povinen seznámit fyzickou osobu s právy a povinnostmi, které by pro ni z pracovní smlouvy, popřípadě ze jmenování na pracovní místo vyplynuly, a s pracovními podmínkami a podmínkami odměňování, za nichž má práci konat, a povinnostmi, které vyplývají ze zvláštních právních předpisů vztahujících se k práci, která má být předmětem pracovního poměru. Při přijetí do pracovního poměru musí být zaměstnanec seznámen s pracovním řádem a s veškerými směrnicemi, prováděcími a metodickými pokyny zaměstnavatele, které se vztahují k jeho výkonu práce. Tím podnik předejde sporům, ke kterým by mohlo v budoucnu dojít. Zaměstnavatelem by měly být sledovány cíle jako je zneužití pracovních prostředků, ochrana informací, zajištění legálnosti softwaru a ochrana autorských práv. Základním a zásadním dokumentem zakládajícím právní vztah mezi zaměstnancem a zaměstnavatelem je pracovní smlouva. Dle § 34 zákoníku práce pracovní smlouva musí obsahovat náležitosti: a) druh práce, který má zaměstnanec pro zaměstnavatele vykonávat, b) místo nebo místa výkonu práce, ve kterých má být práce podle písmene a) vykonávána, c) den nástupu do práce. Dále je možno se zaměstnancem uzavřít smlouvu se zvýšenou odpovědností za výkon funkce. Rozdílně bude vymezen druh práce u uživatele, správce nebo bezpečnostního správce informačního systému. Dle druhu vykonávané práce je třeba zaměstnanci nastavit autorizované přístupy a oprávnění pouze v rozsahu nezbytném pro jemu určené aktivity v informačním systému v souladu s bezpečnostní dokumentací informačního systému. Zaměstnanci musí dodržovat předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému. Pokud bude využíván určitý identifikátor několika zaměstnanci, musí být určitelné, kdo jej v dané době využíval. Stejně tak musí být identifikovatelné narušení bezpečnosti informačního systému nebo pokusy o něj. Dle činností stanovených v bezpečnostní dokumentaci informačního systému role bezpečnostního správce informačního systému nebo jiné pověřené osoby obsahuje především výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, správě konfigurace 22

informačního

systému,

správě

a

vyhodnocování

auditních

záznamů,

aktualizaci

bezpečnostních směrnic, řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, zajištění školení uživatelů v oblasti bezpečnosti informačního systému, kontroly dodržování bezpečnostních provozních směrnic. Autorizované přístupy a oprávnění zaměstnanců musí být udržovány v aktuálním stavu. Provozovatel informačního systému zajišťuje úvodní a další periodická školení zaměstnanců v dodržování opatření stanovených v bezpečnostní dokumentaci informačního systému a správném užívání informačního systému.

2.2.2 Fyzická bezpečnost a bezpečnost prostředí Fyzickou bezpečnost tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k aktivům informačního systému, popřípadě přístup nebo pokus o něj zaznamenat. Cílem zajištění fyzické bezpečnosti je předcházet neoprávněným přístupům, odcizení, zničení a poškození informačních aktiv. Aktiva informačního systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna. Dále aktiva informačního systému musí být umístěna tak, aby bylo nepovolané osobě zamezeno odezírat informace sloužící k identifikaci a autentizaci uživatele. Dle § 27 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, opatřeními fyzické bezpečnosti jsou: a) ostraha, b) režimová opatření, c) technické prostředky. Ostraha představuje zajištění ochrany fyzickou osobou proti vniknutí neoprávněných osob do objektů. Režimová opatření stanoví oprávnění osob a dopravních prostředků: pro vstup a vjezd do objektu, oprávnění osob pro vstup do zabezpečené oblasti a způsob kontroly těchto oprávnění a dále způsob manipulace s klíči a identifikačními prostředky, které se používají pro systémy zabezpečení vstupů, a způsob manipulace s technickými prostředky a jejich používání, při výstupu osob a výjezdu dopravních prostředků z objektu a pro jejich kontrolu, podmínky a způsob kontroly pohybu osob v objektu a zabezpečené oblasti a způsob kontroly a vynášení informací z objektu a zabezpečené oblasti. 23

Technickými prostředky dle § 30 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti jsou zejména: a) mechanické zábranné prostředky, b) elektrická zámková zařízení a systémy pro kontrolu vstupů, c) zařízení elektrické zabezpečovací signalizace, d) speciální televizní systémy, e) tísňové systémy, f) zařízení elektrické požární signalizace, g) zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů, h) zařízení fyzického ničení nosičů informací, i) zařízení proti pasivnímu a aktivnímu odposlechu utajované informace.

2.2.3 Ochrana prostředků pro zpracování informací Dle § 34 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti se informačním systémem nakládajícím s utajovanými informacemi rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací. Dle § 35 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti se komunikačním systémem nakládajícím s utajovanými informacemi rozumí systém zajišťující přenos těchto informací mezi koncovými uživateli a zahrnující koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy. Instalace, provoz a údržba informačního systému musí být prováděna oprávněnou osobou. Nesmí být ohrožena bezpečnost a oslabeny bezpečnostní funkce informačního systému. Bezpečnost informačního systému musí být průběžně prověřována a vyhodnocována. Programové vybavení a informace musí být chráněny před působením škodlivého kódu. Může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému. V informačním systému musí být prováděno zálohování programového vybavení a informací. Záloha musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti informací.

24

V informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému a chráněny před modifikací nebo zničením. V bezpečnostní dokumentaci informačního systému musí být dále uvedeno: opatření zaměřená na uvedení informačního systému do stavu odpovídajícímu bezpečnostní dokumentaci, základní typy krizových situací, které mohou podle analýzy rizik nastat a pro každou z nich specifikována činnost následující: a) bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace, b) po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly. Pro případ havárie softwarového nebo hardwarového vybavení musí být uveden v bezpečnostní dokumentaci informačního systému způsob: a) zálohování informačního systému a uložení záložních médií, b) zajišťování servisní činnosti, c) zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány, d) obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu. Před trvalým ukončením provozu informačního systému musí být provedeno vyjmutí nebo zničení nosičů informací, se kterými informační systém nakládal.

25

3 Ochrana duševního vlastnictví v podnikových IS Duševní vlastnictví je majetek nehmotné povahy, který je výsledkem procesu lidského myšlení. Za duševní vlastnictví je považováno dílo, které je jedinečným výsledkem tvůrčí činnosti autora. Pro účely ochrany duševního vlastnictví v podnikových IS uvažujeme o počítačovém programu a databázi. Nejprve je popsáno, co je autorským dílem a jaká práva z autorství vyplývají.

3.1 Autorské dílo K ochraně duševního vlastnictví se vztahuje zákon č. 121/2000 Sb., autorský zákon. Neobsahuje sice definici, ani jiné české právní předpisy, co je počítačový program nebo software (budeme těmto slovům přikládat stejný význam), ale pojem počítačový program je zde užit. K počítačovému programu se přistupuje jako k autorskému dílu.

3.1.1 Počítačový program Za autorské dílo se dle § 2 odst. 2 zákona č. 121/2000 Sb., autorský zákon, považuje počítačový program, je-li původní v tom smyslu, že je autorovým vlastním duševním výtvorem. Dle § 65 odst. 1 autorského zákona je počítačový program, bez ohledu na formu jeho vyjádření, včetně přípravných koncepčních materiálů, chráněn jako dílo literární. Avšak myšlenky a principy, na nichž je založen jakýkoli prvek počítačového programu, včetně těch, které jsou podkladem jeho propojení s jiným programem, nejsou dle § 65 odst. 2 autorského zákona podle tohoto zákona chráněny. Je tedy rozhodné, co je jako počítačový program podle autorského zákona chráněno a co nikoliv. Dle předchozích ustanovení samotná myšlenka, na které je software založen, chráněna není, ale již přípravné koncepční materiály k vytvoření softwaru ano. Také jednotlivé vývojové fáze a části softwaru jsou autorským zákonem chráněny, jak vyplývá z § 2 odst. 3 autorského zákona, kdy právo autorské se vztahuje na dílo dokončené, jeho jednotlivé vývojové fáze a části, pokud splňují podmínky původnosti autorova vlastního duševního výtvoru.

26

3.1.2 Databáze Dle autorského zákona je databáze chráněna právem autora k jeho autorskému dílu nebo právem pořizovatele k jím pořízené databázi, viz. § 1 autorského zákona. Autorským dílem je dle § 2 odst. 2 autorského zákona databáze, která je způsobem výběru nebo uspořádáním obsahu autorovým vlastním duševním výtvorem a jejíž součásti jsou systematicky nebo metodicky uspořádány a jednotlivě zpřístupněny elektronicky či jiným způsobem, databáze je dílem souborným. Přičemž dle § 5 odst. 2 autorského zákona autorem díla souborného je fyzická osoba, která je tvůrčím způsobem vybrala nebo uspořádala; tím nejsou dotčena práva autorů děl do souboru zařazených. Databází se dle § 88 autorského zákona rozumí soubor nezávislých děl, údajů nebo jiných prvků, systematicky nebo metodicky uspořádaných a individuálně přístupných elektronickými nebo jinými prostředky, bez ohledu na formu jejich vyjádření. Pořizovatelem databáze dle § 89 autorského zákona může být fyzická nebo právnická osoba, která na svou odpovědnost pořídí databázi, nebo pro kterou tak z jejího podnětu učiní jiná osoba.

3.2 Právo k autorskému dílu Jelikož je software duševním výtvorem autora a dle § 5 odst. 1 autorského zákona je autorem fyzická osoba, i v případě podniku zabývajícím se vývojem softwaru, zůstávají autorská práva zaměstnanci, který software vytvořil. Autorský zákon v § 58 upravuje zaměstnanecké dílo. Pokud se na vývoji podílí více zaměstnanců, autorský zákon upravuje v § 59 kolektivní dílo. Zaměstnavatel vykonává majetková práva k dílu vytvořenému zaměstnancem, které dle § 58 autorského

zákona

autor

vytvořil

ke

splnění

svých

povinností

vyplývajících

z pracovněprávního či služebního vztahu k zaměstnavateli. Podnik, pro který je tento podklad určen, se nezabývá vývojem softwaru, nebudeme se tedy autorskému právu z tohoto pohledu dále věnovat. V případě zaměstnavatele zabývajícího se vývojem softwaru by měly být kvalitně a dostatečně ošetřeny veškeré pracovněprávní dokumenty a nastaveny kontroly při jednotlivých fázích vývoje softwaru. V případě databáze autorský zákon upravuje v § 88 - § 94 zvláštní právo pořizovatele databáze.

27

3.2.1 Právo k počítačovému programu Právo autorské k dílu dle § 9 autorského zákona vzniká okamžikem, kdy je dílo vyjádřeno v jakékoli objektivně vnímatelné podobě. Právo autorské zahrnuje výlučná práva osobnostní dle § 11 autorského zákona a výlučná práva majetková dle § 12 autorského zákona. Osobnostních práv se dle § 4 autorského zákona autor nemůže vzdát; tato práva jsou nepřevoditelná a smrtí autora zanikají. Ani majetkových práv se dle § 26 autorského zákona autor nemůže vzdát; tato práva jsou nepřevoditelná. Majetková práva dle § 27 autorského zákona trvají po dobu autorova života a 70 let po jeho smrti. Osobnostním právem je dle § 11 autorského zákona právo autora rozhodnout o zveřejnění svého díla, právo osobovat si autorství a právo na nedotknutelnost svého díla, zejména právo udělit svolení k jakékoli změně nebo jinému zásahu do svého díla. Do majetkového práva patří právo dílo užít. Dle § 12 odst. 4 autorského zákona právem dílo užít je a) právo na rozmnožování díla, b) právo na rozšiřování originálu nebo rozmnoženiny díla, c) právo na pronájem originálu nebo rozmnoženiny díla, d) právo na půjčování originálu nebo rozmnoženiny díla, e) právo na vystavování originálu nebo rozmnoženiny díla, f) právo na sdělování díla veřejnosti. Dle § 12 má autor právo své dílo užít v původní nebo jiným zpracované či jinak změněné podobě, samostatně nebo v souboru anebo ve spojení s jiným dílem či prvky a udělit jiné osobě smlouvou oprávnění k výkonu tohoto práva. Poskytnutím oprávnění právo autorovi nezaniká, autorovi vzniká pouze povinnost strpět zásah do práva dílo užít jinou osobou v rozsahu vyplývajícím ze smlouvy. Autor poskytuje oprávnění k výkonu práva užít software prostřednictvím licenční smlouvy.

3.2.2 Právo k databázi Pokud databáze naplňuje znaky autorského díla, tzn. že je autorovým vlastním duševním výtvorem, vznikají k databázi práva osobnostní i majetková. Znaky autorského díla naplňuje především databáze, která je součástí softwaru. K databázi jako k autorskému dílu musí být udělena licence. Do autorského práva k databázi dle § 36 autorského zákona nezasahuje oprávněný uživatel souborného díla, užívá-li takové dílo za účelem přístupu k jeho obsahu a pro běžné využívání jeho obsahu. 28

Pořizovatelem databáze se rozumí ten, kdo data uspořádal. Například při psané této práce je využíváno k nahlížení zákonů na webové stránce zakonyprolidi.cz, na které pořizovatel databáze zákony uspořádal, ale není autorem zákonů.3 Tím pořizovateli databáze přísluší zvláštní práva k databázi, podle § 88a autorského zákona, pokud pořízení, ověření nebo předvedení obsahu databáze představuje kvalitativně nebo kvantitativně podstatný vklad bez ohledu na to, zda databáze nebo její obsah jsou předmětem autorskoprávní nebo jiné ochrany. Zvláštní právo pořizovatele databáze dle § 93 autorského zákona trvá 15 let od pořízení databáze. Je-li v této době databáze zpřístupněna, zaniká zvláštní právo pořizovatele databáze za 15 let od prvního takového zpřístupnění. Každý nový kvalitativně nebo kvantitativně podstatný vklad do databáze spočívající v doplnění, zkrácení či jiných úpravách má za následek nový běh trvání práva. Pořizovatel má dle § 90 autorského zákona právo nakládat s databází, např. převést ji na jiný podklad nebo databázi zpřístupnit veřejnosti. Zpřístupněnou databázi lze užívat obvyklým způsobem. Dle § 91 do práva pořizovatele databáze, která byla zpřístupněna jakýmkoli způsobem veřejnosti, nezasahuje oprávněný uživatel, pokud databázi užívá běžně a přiměřeně, nikoli systematicky či opakovaně, a bez újmy oprávněných zájmů pořizovatele databáze, a že nezpůsobuje újmu autorovi ani nositeli práv souvisejících s právem autorským k dílům nebo jiným předmětům ochrany obsaženým v databázi.

3.3 Licence a licenční smlouva Pro používání software jako autorského díla v souladu se zákonem musí být udělen souhlas autora. Pro tento souhlas je zaveden termín licence. Licence je poskytována licenční smlouvou. Dle § 46 odst. 1, autorského zákona, licenční smlouvou autor poskytuje nabyvateli oprávnění k výkonu práva dílo užít (licenci) k jednotlivým způsobům nebo ke všem způsobům užití, v rozsahu omezeném nebo neomezeném. Pokud není ve smlouvě sjednáno jinak, je nabyvatel povinen licenci využít. Dle § 46 odst. 4, autorského zákona, smlouva vyžaduje písemnou formu, poskytuje-li se licence jako výhradní. Pokud je ve smlouvě sjednáno, že lze oprávnění tvořící součást licence poskytnout zcela nebo zčásti třetí osobě,

3

Dle § 3 písm. a) autorského zákona se ochrana podle práva autorského nevztahuje na úřední dílo, jímž je právní předpis.

29

jedná se o udělení podlicence (§ 48 odst. 1). Pro podlicenci platí ustanovení obdobně jako pro licenční smlouvu. V případě databáze zpřístupněné pořizovatelem dle § 92 autorského zákona existuje tzv. bezúplatná zákonná licence. Pokud není databáze součástí softwaru lze využít obsah databáze pro osobní potřebu nebo pro účely vědecké nebo vyučovací, je-li uveden pramen, v rozsahu odůvodněném sledovaným nevýdělečným účelem, a pro účely veřejné bezpečnosti nebo správního či soudního řízení.

3.3.1 Licence výhradní Výhradní licence je většinou sjednávána k softwaru vyvinutému na míru určitému zákazníkovi. Znamená, že stejný software nebude používat jiná, např. konkurenční firma. V případě výhradní licence, jak je uvedeno v § 47 odst. 2, autorského zákona, autor nesmí poskytnout licenci třetí osobě a je povinen, není-li sjednáno jinak, se i sám zdržet výkonu práva užít dílo způsobem, ke kterému licenci udělil. Pokud by autor poskytl licenci třetí osobě v době trvání výhradní licence původního nabyvatele, pokud ten neudělí souhlas, je taková smlouva neplatná. Autor může dle § 53 odst. 1 autorského zákona od smlouvy odstoupit, pokud nabyvatel licenci nevyužívá vůbec nebo ji využívá v nedostatečné míře, jsou-li tím značně nepříznivě dotčeny oprávněné zájmy autora

3.3.2 Licence nevýhradní Pokud ze smlouvy nevyplývá jinak, má se za to, že jde o licenci nevýhradní. Tato licence se uděluje k softwaru, který může na základě licence používat více zákazníků. V případě nevýhradní licence je dle § 47 odst. 3 autorského zákona autor nadále oprávněn k výkonu práva užít dílo způsobem, ke kterému licenci udělil, jakož i k poskytnutí licence třetím osobám.

3.3.3 Licenční smlouva Licenční smlouvu může uzavřít autor nebo zaměstnavatel autora, tedy vykonavatel majetkových práv k dílu, které zaměstnanec vytvořil ke splnění svých povinností vyplývajících z pracovněprávního či služebního vztahu k zaměstnavateli.

30

V licenční smlouvě musí být specifikováno co je předmětem licence, způsob užití licence, sjednán rozsah poskytnuté licence a nabyvatel se jí zavazuje poskytnout autorovi odměnu. V některých případech lze licenci poskytnout bezúplatně. Způsoby užití mohou být dle § 50 odst. 1 autorského zákona omezeny rozsahem, zejména co do množství, místa nebo času. Pokud ve smlouvě nebude stanoveno, ke kterým jednotlivým způsobům užití díla nebo k jakému rozsahu užití se licence poskytuje, má se dle § 50 odst. 2 autorského zákona za to, že licence byla poskytnuta k takovým způsobům užití a v takovém rozsahu, jak to je nutné k dosažení účelu smlouvy. Dle § 50 odst. 3 autorského zákona nestanoví-li smlouva nebo nevyplývá-li z jejího účelu jinak, má se za to, že a) územní rozsah licence je omezen na území České republiky, b) časový rozsah licence je omezen na dobu obvyklou u daného druhu díla a způsobu užití, nikoli však na dobu delší než jeden rok od poskytnutí licence, a má-li být dílo odevzdáno až po poskytnutí licence, tak od takového odevzdání, c) množstevní rozsah licence je omezen na množství, které je obvyklé u daného druhu díla a způsobu užití. Ve smlouvě však lze stanovit podmínky libovolné, např. časový rozsah může být sjednán na dobu neurčitou. Návrh na uzavření smlouvy může být dle § 46 odst. 5 autorského zákona podán i vůči neurčitému okruhu osob. To se týká např. softwaru nabízeného přes internet. Licenční smlouvu pak lze dle § 46 odst. 6 autorského zákona uzavřít provedením úkonu vyjádření souhlasu s návrhem na uzavření smlouvy bez vyrozumění navrhovatele. Podmínky licence jsou přijaty okamžikem, kdy byl tento úkon učiněn. Dále musí být v licenční smlouvě dle § 49 autorského zákona dohodnuta výše odměny nebo v ní musí být alespoň stanoven způsob jejího určení. Pokud odměna ve smlouvě určena není, stejně musí být autorovi poskytnuta, jinak je smlouva neplatná. Pokud se licence poskytuje bezúplatně, musí to být ve smlouvě sjednáno. Výše odměny může být dohodnuta v závislosti na výnosech z využití licence. Při sjednání odměny se přihlédne k účelu licence a způsobu a okolnostem užití díla a k územnímu, časovému a množstevnímu rozsahu licence. Licence zaniká dobou, na kterou je její poskytnutí sjednáno v licenční smlouvě. Autor má také právo od licenční smlouvy odstoupit dle § 53 autorského zákona od výhradní smlouvy pro nečinnost nabyvatele, pokud nečinnost není způsobena okolnostmi převážně spočívajícími na straně autora. Smrtí fyzické osoby nebo zánikem právnické osoby, které byla udělena licence, dle § 55 autorského zákona přechází práva a povinnosti z licenční smlouvy na jejího 31

právního nástupce. Licenční smlouva může takový přechod práv a povinností na právního nástupce vyloučit.

3.3.4 Smlouva o dílo V případě softwaru vyvíjeného na míru se uplatní smlouva o dílo. Právní úprava smlouvy o dílo je zakotvena v zákoně č. 513/1991 Sb., obchodní zákoník. Dle § 536 obchodního zákoníku se smlouvou o dílo zavazuje zhotovitel k provedení určitého díla a objednatel se zavazuje k zaplacení ceny za jeho provedení, přičemž dílem se rozumí zhotovení určité věci. V případě softwaru se nejedná o věc, ale dle § 556 obchodního zákoníku spočívá dílo v jiném výsledku činnosti. Dále dle § 558 obchodního zákoníku, je-li předmětem díla výsledek činnosti, který je chráněn právem z průmyslového nebo jiného duševního vlastnictví, je objednatel oprávněn použít jej pouze k účelu vyplývajícímu z uzavřené smlouvy o dílo. K jiným účelům je oprávněn jej použít jen se souhlasem zhotovitele. Smlouva o dílo musí obdobně jako licenční smlouva obsahovat, co je předmětem smlouvy, účel ke kterému bude předmět smlouvy využit a měly by být sjednány podmínky a rozsah práv k softwaru. Dle § 536 odst. 3 obchodního zákoníku cena musí být ve smlouvě dohodnuta nebo v ní musí být alespoň stanoven způsob jejího určení, ledaže z jednání o uzavření smlouvy vyplývá vůle stran uzavřít smlouvu i bez tohoto určení. Dle § 61 odst. 1 autorského zákona, je-li dílo autorem vytvořené na základě smlouvy o dílo (dílo vytvořené na objednávku), platí, že autor poskytl licenci k účelu vyplývajícímu ze smlouvy, není-li sjednáno jinak. K užití díla nad rámec takového účelu je objednatel oprávněn pouze na základě licenční smlouvy. To znamená, že pokud objednatel bude chtít využít software k jinému účelu, než který je stanoven ve smlouvě o dílo, musí tento další účel sjednat licenční smlouvou. Dále dle § 61 odst. 2, není-li sjednáno jinak, autor může dílo vytvořené na objednávku užít a poskytnout licenci jinému, není-li to v rozporu s oprávněnými zájmy objednatele. Aby nedocházelo k následným problémům s právy k užívání softwaru, zhotovitel musí vykonávat autorská majetková práva k softwaru. Musí mít tedy řádně ošetřeny vztahy zaměstnanecké (v souladu s § 58 nebo i § 59 autorského zákona) a s dalšími firmami, které se případně na vývoji softwaru podílely – v tomto případě získat licenci či mít postoupen výkon majetkových práv se souhlasem autora dle § 58 odst. 1 autorského zákona. Za porušení práva jiné osoby z průmyslového nebo jiného duševního vlastnictví v důsledku použití předmětu

32

díla zodpovídá dle § 559 obchodního zákoníku zhotovitel, pakliže o tom věděl v době uzavření smlouvy.

3.4 Ochrana autorského práva Dle § 43 odst. 2 autorského zákona do práva autorského neoprávněně zasahuje ten, kdo vyrábí, dováží, přijímá, rozšiřuje, prodává, pronajímá, propaguje prodej nebo pronájem nebo drží k obchodnímu účelu zařízení, výrobky nebo součástky nebo poskytuje služby, které a) jsou za účelem obcházení účinných technických prostředků nabízeny, propagovány nebo uváděny na trh, b) mají vedle obcházení účinných technických prostředků jen omezený obchodně významný účel nebo jiné užití, nebo c) jsou určeny, vyráběny, upravovány nebo prováděny především s cílem umožnit nebo usnadnit obcházení účinných technických prostředků. Přičemž dle § 43 odst. 3 autorského zákona se účinnými technickými prostředky rozumí jakákoli technologie, zařízení nebo součástka, která je při své obvyklé funkci určena k tomu, aby zabraňovala nebo omezovala takové úkony ve vztahu k dílům, ke kterým autor neudělil oprávnění, jestliže užití díla může autor kontrolovat uplatněním kontroly přístupu nebo ochranného procesu jako je šifrování, kódování nebo jiná úprava díla nebo uplatněním kontrolního mechanismu rozmnožování. Autor, který pro své dílo použil tyto technické prostředky, je pro zajištění běžného provozu softwaru (viz. dále v 3.4.3 Opatření v podniku) dle § 66 odst. 8 autorského zákona povinen zpřístupnit počítačový program oprávněnému uživateli a je povinen označit počítačový program chráněný technickými prostředky uvedením jména a adresy osoby, na kterou se má oprávněný uživatel za tím účelem obrátit. Porušením autorských práv je dle § 44 odst. 1 autorského zákona také bez svolení autora a) odstraňování nebo změna jakékoli elektronické informace o správě práv k dílu, nebo b) rozšiřování, dovážení nebo přijímání za účelem rozšiřování, nebo sdělování veřejnosti, díla, ze kterého byla informace o správě práv nedovoleně odstraněna nebo změněna. Neoprávněným zásahem do autorského práva je dle § 45 autorského zákona též použití názvu nebo vnější úpravy již použitých po právu jiným autorem pro dílo téhož druhu, jestliže by to mohlo vyvolat nebezpečí záměny obou děl. Nabyvatel licence dle § 51 nesmí upravit či jinak měnit dílo, jeho název nebo označení autora, ledaže bylo sjednáno jinak, nebo jde-li o takovou úpravu či jinou změnu díla nebo jeho názvu, u které lze spravedlivě očekávat, že by k ní autor vzhledem k okolnostem užití svolil; ani v 33

takovém případě nabyvatel nesmí dílo nebo jeho název změnit, pokud si autor svolení vyhradil i pro tyto změny a nabyvateli je taková výhrada známa. To platí obdobně i při spojení díla s jiným dílem, jakož i při zařazení díla do díla souborného.

3.4.1 Nároky autora Do autorských práv může být neoprávněně zasaženo nebo může neoprávněný zásah hrozit. V těchto případech se autor dle § 40 odst. 1 autorského zákona může domáhat a) určení svého autorství, b) zákazu ohrožení svého práva – v případě neoprávněné: výroby, prodeje, dovozu, vývozu, sdělování díla veřejnosti, propagace, c) sdělení údajů o způsobu a rozsahu neoprávněného užití, o původu neoprávněně zhotovené rozmnoženiny či napodobeniny díla, o způsobu a rozsahu jejího neoprávněného užití, o její ceně, o ceně služby, která s neoprávněným užitím díla souvisí, o osobách, které se neoprávněného užití díla účastní, včetně osob, kterým byly předmětné rozmnoženiny či napodobeniny díla určeny za účelem jejich poskytnutí třetí osobě. Práva na informace se autor může domáhat vůči osobě, která do jeho práva neoprávněně zasáhla nebo je neoprávněně ohrozila, a vůči osobě, která má nebo měla v držení neoprávněně zhotovenou rozmnoženinu či napodobeninu díla za účelem přímého nebo nepřímého hospodářského nebo obchodního prospěchu, využívá nebo využívala za účelem přímého nebo nepřímého hospodářského nebo obchodního prospěchu službu, která neoprávněně zasahuje nebo zasahovala do práva autora nebo je neoprávněně ohrožuje nebo ohrožovala, poskytuje nebo poskytovala za účelem přímého nebo nepřímého hospodářského nebo obchodního prospěchu službu užívanou při činnostech, které neoprávněně zasahují do práva autora nebo je neoprávněně ohrožují, anebo byla označena osobou uvedenou v bodě 1, 2 nebo 3 jako osoba, která se účastní pořízení, výroby nebo distribuce rozmnoženiny či napodobeniny díla anebo poskytování služeb, které neoprávněně zasahují do práva autora nebo je neoprávněně ohrožují, 34

d) odstranění následků zásahu do práva stažením neoprávněně zhotovené rozmnoženiny či napodobeniny z obchodování nebo jiného užití, stažením z obchodování a zničením neoprávněně zhotovené rozmnoženiny či napodobeniny díla, zničením neoprávněně zhotovené rozmnoženiny či napodobeniny díla zničením nebo odstraněním materiálů a nástrojů použitých výlučně nebo převážně k výrobě neoprávněně zhotovené rozmnoženiny či napodobeniny díla e) poskytnutí přiměřeného zadostiučinění za způsobenou nemajetkovou újmu omluvou, zadostiučiněním v penězích, pokud by se přiznání jiného zadostiučinění nejevilo postačujícím; f) zákazu poskytování služby, kterou využívají třetí osoby k porušování nebo ohrožování práva autora. Autorovi, jehož návrhu bylo vyhověno, může soud dle § 40 odst. 3 autorského zákona přiznat v rozsudku právo uveřejnit rozsudek na náklady účastníka, který ve sporu neuspěl, a podle okolností určit i rozsah, formu a způsob uveřejnění. Autor se dle § 40 odst. 4 autorského zákona může domáhat práva na náhradu škody a vydání bezdůvodného obohacení.

3.4.2 Finanční důsledky porušení autorského zákona Autor se dle § 40 odst. 4 autorského zákona může domáhat náhrady ušlého zisku ve výši odměny, která by byla obvyklá za získání licence v době neoprávněného nakládání s dílem. Výše bezdůvodného obohacení vzniklého na straně toho, kdo neoprávněně nakládal s dílem, aniž by k tomu získal potřebnou licenci, činí dvojnásobek odměny, která by byla za získání takové licence obvyklá v době neoprávněného nakládání s dílem. Fyzické osobě, která se dle § 105a autorského zákona dopustí přestupku tím, že neoprávněně užije autorské dílo nebo databázi, lze uložit pokutu do 150 000 Kč a pokud neoprávněně zasahuje do práva autorského způsoby uvedenými v části 3.4 Ochrana autorského práva, lze uložit pokutu do 100 000 Kč. Právnické nebo podnikající fyzické osobě, která se dle § 105b autorského zákona dopustí správního deliktu tím, že neoprávněně užije autorské dílo nebo databázi, se uloží pokuta do 150 000 Kč a pokud neoprávněně zasahuje do práva autorského způsoby uvedenými v části 3.4 Ochrana autorského práva, se uloží pokuta do 100 000 Kč. 35

Pokud dojde k porušení autorského zákona způsobem, který naplňuje znaky společenské škodlivosti dle zákona č. 40/2009 Sb., trestního zákoníku, lze uložit tresty uvedené v kapitole 4.

3.4.3 Oprávnění uživatele Kromě finančního postihu se podnik se může dostat do dalších nepříjemností spojených s porušováním autorského zákona. Může dojít k propadnutí majetku, propadnutí věci nebo jiné majetkové hodnoty, dokonce také k zákazu činnosti či ke zrušení právnické osoby. V podniku je nutno nastavit příslušná opatření, aby k takovému porušování nedocházelo. Nesmí docházet k porušování autorských práv osobnostních ani majetkových. Za tím účelem je třeba kontrolovat legálnost softwaru nainstalovaného na počítačích, uschovávat licenční smlouvy a smlouvy o dílo, certifikáty, doklady o zakoupení a instalační CD. Dále jsou uvedeny činnosti, které porušení autorského zákona neznamenají. Níže uvedené úkony může provádět pouze oprávněný uživatel rozmnoženiny, a to za účelem zajištění běžného provozu softwaru a dle § 29 odst. 1 autorského zákona pouze tehdy, pokud takové užití díla není v rozporu s běžným způsobem užití díla a ani jím nejsou nepřiměřeně dotčeny oprávněné zájmy autora. Oprávněným uživatelem rozmnoženiny počítačového programu se dle § 66 odst. 6 autorského zákona rozumí oprávněný nabyvatel rozmnoženiny počítačového programu, který má vlastnické či jiné právo k rozmnoženině počítačového programu, a to za účelem jejího využití, nikoli za účelem jejího dalšího převodu, dále oprávněný nabyvatel licence nebo jiná osoba oprávněná užívat rozmnoženinu počítačového programu. Dle § 66 odst. 1 autorského zákona do práva autorského nezasahuje oprávněný uživatel rozmnoženiny počítačového programu, jestliže a) rozmnožuje, překládá, zpracovává, upravuje či jinak mění počítačový program, je-li to nezbytné k využití oprávněně nabyté rozmnoženiny počítačového programu, činí-li tak při zavedení a provozu počítačového programu nebo opravuje-li chyby počítačového programu, b) jinak rozmnožuje, překládá, zpracovává, upravuje či jinak mění počítačový program, je-li to nezbytné k využití oprávněně nabyté rozmnoženiny počítačového programu v souladu s jeho určením, není-li dohodnuto jinak, c) zhotoví si záložní rozmnoženinu počítačového programu, je-li nezbytná pro jeho užívání, 36

d) zkoumá, studuje nebo zkouší sám nebo jím pověřená osoba funkčnost počítačového programu za účelem zjištění myšlenek a principů, na nichž je založen kterýkoli prvek počítačového programu, činí-li tak při takovém zavedení, uložení počítačového programu do paměti počítače nebo při jeho zobrazení, provozu či přenosu, k němuž je oprávněn, e) rozmnožuje kód nebo překládá jeho formu při rozmnožování počítačového programu nebo při jeho překladu či jiném zpracování, úpravě či jiné změně, je-li k ní oprávněn, a to samostatně nebo prostřednictvím jím pověřené osoby, jsou-li takové rozmnožování nebo překlad nezbytné k získání informací potřebných k dosažení vzájemného funkčního propojení nezávisle vytvořeného počítačového programu s jinými počítačovými programy, jestliže informace potřebné k dosažení vzájemného funkčního propojení nejsou pro takové osoby dříve jinak snadno a rychle dostupné a tato činnost se omezuje na ty části počítačového programu, které jsou potřebné k dosažení vzájemného funkčního propojení. Informace získané při činnosti podle odstavce 1 písm. e) nesmějí být poskytnuty jiným osobám, ledaže je to nezbytné k dosažení vzájemného funkčního propojení nezávisle vytvořeného počítačového programu, ani využity k jiným účelům než k dosažení vzájemného funkčního propojení nezávisle vytvořeného počítačového programu. Dále nesmějí být tyto informace využity ani k vývoji, zhotovení nebo k obchodnímu využití počítačového programu podobného tomuto počítačovému programu v jeho vyjádření nebo k jinému jednání ohrožujícímu nebo porušujícímu právo autorské. Ještě je nutno zmínit, že v autorském zákoně je ošetřeno použití nosiče softwaru. Dle § 9 autorského zákona, nabytím vlastnického práva nebo jiného věcného práva k věci, jejímž prostřednictvím je dílo vyjádřeno, nenabývá se oprávnění k výkonu práva dílo užít, není-li dohodnuto jinak. Nelze se tedy domnívat, že pokud je získán nosič, na kterém je uložen software, automaticky to znamená, že je získána i licence. A opačně, poskytnutím oprávnění k výkonu práva dílo užít jiné osobě zůstává nedotčeno vlastnické právo nebo jiná věcná práva k věci, jejímž prostřednictvím je dílo vyjádřeno.

3.5 Ochrana osobních údajů Osobním údajem se dle § 4 písm. a) zákona o ochraně osobních údajů rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na 37

základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. Zákon o ochraně osobních údajů se dle § 3 vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, přičemž ke zpracování může docházet automatizovaně nebo jinými prostředky. Správcem se dle § 4 písm. j) zákona o ochraně osobních údajů rozumí každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracovatelem se dle § 4 písm. k) rozumí každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.

3.5.1 Zpracování osobních údajů Zpracováním osobních údajů se dle § 4 písm. e) zákona o ochraně osobních údajů rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Shromažďováním osobních údajů je dle § 4 písm. f) zákona o ochraně osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Uchováváním osobních údajů je dle § 4 písm. g) zákona o ochraně osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat. Blokováním je dle § 4 písm. h) zákona o ochraně osobních údajů operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů. Likvidací osobních údajů se dle § 4 písm. i) zákona o ochraně osobních údajů rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.

3.5.2 Práva a povinnosti při zpracování osobních údajů Dle § 5 odst. 1 zákona o ochraně osobních údajů je správce povinen stanovit účel, k němuž mají být osobní údaje zpracovány, stanovit prostředky a způsob zpracování osobních údajů, zpracovat pouze přesné osobní údaje, shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu, uchovávat osobní 38

údaje pouze po dobu, která je nezbytná k účelu jejich zpracování a v souladu s účelem, k němuž byly shromážděny. Bez souhlasu subjektu údajů může dle § 5 odst. 2 písm. b) zákona o ochraně osobních údajů správce zpracovávat údaje jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů. Subjekt údajů musí být dle § 5 odst. 4 zákona o ochraně osobních údajů při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Dle § 5 odst. 5 zákona o ochraně osobních údajů správce nebo zpracovatel, pokud zpracovává osobní údaje za účelem nabízení obchodu nebo služeb subjektu údajů, může pro tento účel použít údaje, jako je jméno, příjmení a adresa subjektu údajů, které získal z veřejného seznamu nebo v souvislosti s jeho činností správce nebo zpracovatele. Správce nebo zpracovatel nesmí ale uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil písemný nesouhlas. Bez tohoto souhlasu nelze k uvedeným údajům přiřazovat další osobní údaje. Předat jinému správci lze osobní údaje pouze za podmínek uvedených v § 5 odst. 6 zákona o ochraně osobních údajů, a to: a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje, b) údaje budou využívány pouze za účelem nabízení obchodu a služeb, c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas. Pokud pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů, je správce nebo na základě jeho pokynu zpracovatel povinen dle § 20 odst. 1 zákona o ochraně osobních údajů provést likvidaci osobních údajů.

3.5.3 Povinnosti osob při zabezpečení osobních údajů V podniku nakládajícím s osobními údaji je třeba postupovat v souladu s ustanovením § 13 zákona o ochraně osobních údajů. Povinnosti správce a zpracovatele vyplývají z odstavců 1 až 4 a jedná se o: přijetí opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich 39

jinému neoprávněnému zpracování a k jinému zneužití osobních údajů (tato povinnost platí i po ukončení zpracování osobních údajů), zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy, v rámci přijatých opatření posuzovat rizika týkající se: a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány, při automatizovaném zpracování osobních údajů v rámci přijatých opatření: a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob,, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům. Dle § 15 odst. 1 zákona o ochraně osobních údajů platí pro zaměstnance a osoby přicházející do styku u správce nebo zpracovatele s osobními údaji povinnost zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

3.5.4 Porušení práv a povinností při zpracování osobních údajů Za porušení povinností vyplývajících ze zákona o ochraně osobních údajů hrozí jak fyzické, tak právnické osobě sankce uvedené v ustanoveních § 44 a § 45. Za přestupek porušení mlčenlivosti lze fyzické osobě uložit pokutu až do výše 100 000 Kč. Fyzické osobě lze uložit pokutu za přestupek až do výše 1 000 000 Kč a právnické osobě za spáchání správního deliktu až do výše 5 000 000 Kč, pokud při zpracování osobních údajů 40

nestanoví účel, prostředky nebo způsob zpracování, zpracovává nepřesné osobní údaje, shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu, uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování, zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů. Ohrožením většího počtu osob neoprávněným zasahováním do soukromého a osobního života lze fyzické osobě uložit pokutu až do výše 5 000 000 Kč a právnické osobě až do výše 10 000 000 Kč.

41

4 Trestněprávní ochrana IT Podmínky pro vznik trestněprávní odpovědnosti stanoví trestní zákoník a zákon o trestní odpovědnosti právnických osob a řízení proti nim, který z trestního zákoníku vychází. Dle § 22 odst. 1 zákona č. 40/2009 Sb., trestního zákoníku, pachatelem trestného činu je ten, kdo svým jednáním naplnil znaky skutkové podstaty trestného činu nebo jeho pokusu či přípravy, je-li trestná. Právnická osoba je pachatelem, pokud jí lze přičítat porušení nebo ohrožení zájmu chráněného trestním zákonem. Je v zájmu zaměstnanců i podniku, aby jeho zaměstnanci byli prokazatelně seznámeni s činy, které naplňují skutkovou podstatu trestného činu a s tresty z nich vyplývajících.

4.1 Odpovědnost právnických osob Dnem 1. 1. 2012 nabyl účinnosti zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Dle tohoto zákona trestným činem spáchaným právnickou osobou je protiprávní čin spáchaný jejím jménem nebo v jejím zájmu nebo v rámci její činnosti.

4.1.1 Spáchání trestného činu právnickou osobou Právnické osobě je dle § 8 cit. zákona trestný čin přičítán, jestliže byl spáchán a) jednáním orgánů právnické osoby nebo statutárního orgánu nebo člena statutárního orgánu, anebo jinou osobou, která je oprávněna jménem nebo za právnickou osobu jednat, nebo toho, kdo u této právnické osoby vykonává řídící nebo kontrolní činnost, nebo toho, kdo vykonává rozhodující vliv na řízení této právnické osoby, jestliže jeho jednání bylo alespoň jednou z podmínek vzniku následku zakládajícího trestní odpovědnost právnické osoby, nebo b) zaměstnancem nebo osobou v obdobném postavení při plnění pracovních úkolů. Odpovědnost právnické osobě za čin spáchaný zaměstnancem se dle § 8 odst. 2 písm. b) zákona č. 418/2011 Sb., přičítá, pokud tak zaměstnanec jednal na podkladě rozhodnutí, schválení nebo pokynu orgánů právnické osoby nebo dalších osob uvedených v písm. a) (viz. výše) anebo proto, že orgány právnické osoby nebo osoby uvedené v písm. a) (viz. výše) 42

neprovedly taková opatření, která měly provést podle jiného právního předpisu nebo která po nich lze spravedlivě požadovat, zejména neprovedly povinnou nebo potřebnou kontrolu nad činností zaměstnanců nebo jiných osob, jimž jsou nadřízeny, anebo neučinily nezbytná opatření k zamezení nebo odvrácení následků spáchaného trestného činu. Na základě tohoto ustanovení je třeba v podniku přijmout opatření, která znamenají pravidelná prověřování metodických pokynů podniku, prokazatelné seznámení zaměstnanců s aktuálními metodickými pokyny, pravidelné provádění kontroly přístupů a nainstalovaných aplikací na jednotlivých stanicích a důslednější kontrolu plnění pracovních úkolů a činností zaměstnanců. Dále zákon uvádí, že trestní odpovědností právnické osoby není dotčena trestní odpovědnost fyzických osob. To znamená, že za tentýž trestný čin lze stíhat právnickou i fyzickou osobu. V případě společného jednání každá osoba za trestný čin odpovídá jakoby jej spáchala sama. Pokud se nepodaří zjistit, která konkrétní fyzická osoba trestný čin spáchala, trestní odpovědnost právnické osoby nezaniká.

4.1.2 Trestný čin právnické osoby Trestným činem právnické osoby v souvislosti s IT se dle § 7 cit. zákona rozumí: neoprávněný přístup k počítačovému systému a nosiči informací (§ 230 trestního zákoníku), opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat (§ 231 trestního zákoníku), poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti (§ 232 trestního zákoníku), porušení autorského práva, práv souvisejících s právem autorským a práv k databázi (§ 270 trestního zákoníku).

4.1.3 Druhy trestů a ochranných opatření Za trestné činy spáchané právnickou osobou lze dle § 15 cit. zákona uložit pouze tyto tresty a) zrušení právnické osoby, b) propadnutí majetku, c) peněžitý trest, d) propadnutí věci nebo jiné majetkové hodnoty, e) zákaz činnosti, 43

f) zákaz plnění veřejných zakázek, účasti v koncesním řízení nebo ve veřejné soutěži, g) zákaz přijímání dotací a subvencí, h) uveřejnění rozsudku. Ochranným opatřením za trestné činy spáchané právnickou osobou je zabrání věci nebo jiné majetkové hodnoty. Právnické osobě lze uložit tresty a ochranná opatření samostatně nebo vedle sebe. Nelze ale uložit peněžitý trest současně s trestem propadnutí majetku a trest propadnutí věci nebo jiné majetkové hodnoty současně s ochranným opatřením zabrání téže věci nebo jiné majetkové hodnoty.

4.2 Odpovědnost fyzických osob V případě spáchání trestného činu fyzickou osobou je postupováno dle zákona č. 40/2009 Sb., trestního zákoníku, který stanoví co je trestným činem, podmínky trestní odpovědnosti a jaké trestní sankce lze za trestný čin uložit. Fyzickou osobou se rozumí konkrétní osoba např. řadový zaměstnanec, vedoucí oddělení IT, člen statutárního orgánu právnické osoby. Pokud je fyzická osoba zaměstnavatelem, jedná se také o konkrétní osobu. V případě trestněprávní odpovědnosti fyzické osoby je posuzováno jednání konkrétní osoby. Trestněprávně odpovědných za tentýž čin může být více fyzických osob, ať už jako spolupachatelé nebo účastníci.

4.2.1 Podmínky trestní odpovědnosti Čin je trestný, pokud je naplněna jeho skutková podstata. Dále musí být splněny podmínky trestní odpovědnosti vymezené v ustanoveních § 12 - § 27 například: fyzická osoba, v době spáchání trestného činu dovršila patnáctý rok svého věku, případ naplňuje znaky společenské škodlivosti, kdy nepostačuje uplatnění odpovědnosti podle jiného právního předpisu (vyhodnocují orgány činné v trestním řízení), je třeba úmyslného zavinění, nestanoví-li trestní zákon výslovně, že postačí zavinění z nedbalosti. Přičemž úmysl znamená, že pachatel chtěl nebo věděl, že svým jednáním může porušit nebo ohrozit zájem chráněný trestním zákonem. Nedbalost znamená, že pachatel věděl, že může porušit nebo ohrozit zájem chráněný trestním zákonem, ale spoléhal, že takové porušení nebo 44

ohrožení nezpůsobí, nebo nevěděl, že svým jednáním může takové porušení nebo ohrožení způsobit, ač to vědět měl a mohl. Hrubá nedbalost představuje zřejmou bezohlednost pachatele k zájmům chráněným trestním zákonem.

4.2.2 Odpovědnosti zaměstnance a možné důsledky Ke spáchání trestného činu zaměstnancem může dojít úmyslně nebo z nedbalosti. Musí být prokázáno, že ke spáchání trestného činu došlo na základě jednání zaměstnance, nikoliv na základě pokynu zaměstnavatele nebo z důvodu, že zaměstnavatelem nebyla provedena potřebná opatření. Zaměstnavatel dále musí prokázat, že učinil nezbytná opatření k zamezení nebo odvrácení následků spáchaného trestného činu. Zaměstnanec se může trestného činu dopustit: získáním neoprávněného přístupu prolomením ochrany, protiprávním nakládáním s informacemi, přechováváním prostředků použitelných k neoprávněnému přístupu, poškozením záznamu v počítači nebo na nosiči informací, porušením autorských práv. Z těchto důvodů je třeba definovat odpovědnost zaměstnance, tzn. v pracovní smlouvě vymezit druh práce, dále prokazatelně seznámit zaměstnance s vnitřními směrnicemi jako je pracovní řád, organizační řád, pracovní pokyny, metodické pokyny. Zaměstnavatelem mají být prováděna preventivní opatření a kontrola dodržování povinností zaměstnanců. Odpovědnost zaměstnance vůči zaměstnavateli vyplývá z ustanovení § 250 odst. 1 zákona č. 262/2006 Sb., zákoníku práce, kdy zaměstnanec odpovídá zaměstnavateli za škodu, kterou mu způsobil zaviněným porušením povinností při plnění pracovních úkolů nebo v přímé souvislosti s ním, dále dle § 257 odst. 1 zákoníku práce, je zaměstnanec povinen nahradit zaměstnavateli skutečnou škodu, a to v penězích, jestliže neodčiní škodu uvedením v předešlý stav a pokud se jedná o škodu způsobenou úmyslně, může zaměstnavatel dle § 257 odst. 3 cit. zákona požadovat i náhradu ušlého zisku. Zaměstnavatel je povinen prokázat zavinění zaměstnance. V neposlední řadě dle § 55 odst. 1zákoníku práce, může dojít se zaměstnancem k okamžitému zrušení pracovního poměru: a) byl-li zaměstnanec pravomocně odsouzen pro úmyslný trestný čin k nepodmíněnému trestu odnětí svobody na dobu delší než 1 rok, nebo byl-li pravomocně odsouzen pro 45

úmyslný trestný čin spáchaný při plnění pracovních úkolů nebo v přímé souvislosti s ním k nepodmíněnému trestu odnětí svobody na dobu nejméně 6 měsíců, b) porušil-li zaměstnanec povinnost vyplývající z právních předpisů vztahujících se k jím vykonávané práci zvlášť hrubým způsobem.

4.3 Trestné činy Trestné činy související s IT jsou pro fyzické osoby vymezeny v trestním zákoníku a pro právnické osoby v § 7 zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, na trestní zákoník odkazující. Jedná se tak o totožná ustanovení s tím rozdílem, že fyzické osobě může být uložen trest odnětí svobody.

4.3.1 Neoprávněný přístup k počítačovému systému a nosiči informací Ustanovení § 230 trestního zákoníku, o neoprávněném přístupu k počítačovému systému a nosiči informací, zahrnuje ochranu dat a je úmyslným trestným činem. Dle odst. 1, který stanoví, kdo překoná bezpečnostní opatření, a tím neoprávněně získá přístup k počítačovému systému nebo k jeho části, bude potrestán odnětím svobody až na jeden rok, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty, stačí k naplnění skutkové podstaty neoprávněné získání přístupu překonáním bezpečnostního opatření a nemusí dojít k samotnému zneužití dat. Odst. 2 se týká již samotné neoprávněné manipulace s daty, přičemž nemusí jít o osobu, která překonala bezpečnostní opatření a získala přístup neoprávněně. Trestný čin dle odst. 2 tedy může způsobit i zaměstnanec či osoba, která má oprávněný přístup. Odst. 2 stanoví: Kdo získá přístup k počítačovému systému nebo k nosiči informací a a) neoprávněně užije data uložená v počítačovém systému nebo na nosiči informací, b) data uložená v počítačovém systému nebo na nosiči informací neoprávněně vymaže nebo jinak zničí, poškodí, změní, potlačí, sníží jejich kvalitu nebo je učiní neupotřebitelnými, c) padělá nebo pozmění data uložená v počítačovém systému nebo na nosiči informací tak, aby byla považována za pravá nebo podle nich bylo jednáno tak, jako by to byla data pravá, bez ohledu na to, zda jsou tato data přímo čitelná a srozumitelná, nebo

46

d) neoprávněně vloží data do počítačového systému nebo na nosič informací nebo učiní jiný zásah do programového nebo technického vybavení počítače nebo jiného technického zařízení pro zpracování dat, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. Pokud bude trestný čin dle odst. 1 nebo 2 spáchán s úmyslem způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch, nebo v úmyslu neoprávněně omezit funkčnost počítačového systému nebo jiného technického zařízení pro zpracování dat, hrozí pachateli odnětí svobody na šest měsíců až tři léta, zákaz činnosti nebo propadnutí věci nebo jiné majetkové hodnoty. Z hlediska podniku lze také uvažovat o škodě uvedené v odst. 4, kdy pachatel způsobí takovým činem značnou škodu, nebo získá-li takovým činem pro sebe nebo pro jiného značný prospěch, nebo způsobí vážnou poruchu v činnosti právnické nebo fyzické osoby, která je podnikatelem. Pak může být potrestán odnětím svobody na jeden rok až pět let nebo peněžitým trestem. V případě, že způsobí škodu velkého rozsahu nebo získá-li takovým činem pro sebe nebo pro jiného prospěch velkého rozsahu, může být potrestán odnětím svobody na tři léta až osm let.

4.3.2 Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat Porušení ustanovení § 231 trestního zákoníku, o opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat, je úmyslným trestným činem. V případě tohoto ustanovení nemusí dojít k neoprávněnému užití dat dle § 230 trestního zákoníku. K naplnění skutkové podstaty § 231 trestního zákoníku postačuje již to, že osoba vyrobí, přechovává či distribuuje prostředky umožňující neoprávněný přístup k počítačovému systému s úmyslem spáchat trestný čin podle § 230 nebo podle § 182 - úmyslně porušit tajemství datové, textové, hlasové, zvukové či obrazové zprávy posílané prostřednictvím sítě elektronických komunikací a přiřaditelné k identifikovanému účastníku nebo uživateli, který zprávu přijímá, nebo úmyslně porušit tajemství neveřejného přenosu počítačových dat do počítačového systému, z něj nebo v jeho rámci, včetně elektromagnetického vyzařování z počítačového systému, přenášejícího taková počítačová data. Ustanovení § 231 odst. 1 trestního zákoníku stanoví:

47

Kdo v úmyslu spáchat trestný čin porušení tajemství dopravovaných zpráv podle § 182 odst. 1 písm. b), c) nebo trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací podle § 230 odst. 1, 2 vyrobí, uvede do oběhu, doveze, vyveze, proveze, nabízí, zprostředkuje, prodá nebo jinak zpřístupní, sobě nebo jinému opatří nebo přechovává a) zařízení nebo jeho součást, postup, nástroj nebo jakýkoli jiný prostředek, včetně počítačového programu, vytvořený nebo přizpůsobený k neoprávněnému přístupu do sítě elektronických komunikací, k počítačovému systému nebo k jeho části, nebo b) počítačové heslo, přístupový kód, data, postup nebo jakýkoli jiný podobný prostředek, pomocí něhož lze získat přístup k počítačovému systému nebo jeho části, bude potrestán odnětím svobody až na jeden rok, propadnutím věci nebo jiné majetkové hodnoty nebo zákazem činnosti. Pokud by byl výše uvedeným trestným činem získán značný prospěch, může být dle odst. 2 uložen trest odnětí svobody až na tři léta, zákaz činnosti nebo propadnutí věci nebo jiné majetkové hodnoty bude pachatel potrestán a dle odst. 3, pokud bude získán prospěch velkého rozsahu, hrozí odnětí svobody na šest měsíců až pět let.

4.3.3 Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti Ustanovení § 232 trestního zákoníku, o poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti, je trestným činem spáchaným z hrubé nedbalosti. Dle § 16 trestního zákoníku je trestný čin spáchán z hrubé nedbalosti, jestliže přístup pachatele k požadavku náležité opatrnosti svědčí o zřejmé bezohlednosti pachatele k zájmům chráněným trestním zákonem. V případě způsobení trestného činu z hrubé nedbalosti půjde tedy o posouzení, co je zřejmou bezohledností a požadavkem náležité opatrnosti. Je tedy v kompetenci podniku podmínky, jak nakládat s daty v počítači nebo na nosiči a jak zacházet s vybavením, aby nebyla způsobena škoda a prokazatelně s nimi seznámit zaměstnance. Dle § 232 odst. 1 trestního zákoníku, kdo z hrubé nedbalosti porušením povinnosti vyplývající ze zaměstnání, povolání, postavení nebo funkce nebo uložené podle zákona nebo smluvně převzaté a) data uložená v počítačovém systému nebo na nosiči informací zničí, poškodí, pozmění nebo učiní neupotřebitelnými, nebo

48

b) učiní zásah do technického nebo programového vybavení počítače nebo jiného technického zařízení pro zpracování dat, a tím způsobí na cizím majetku značnou škodu, bude potrestán odnětím svobody až na šest měsíců, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. Pokud bude způsobena škoda velkého rozsahu, může být pachatel potrestán dle odst. 2 odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty.

4.3.4 Porušení autorského práva, práv souvisejících s právem autorským a práv k databázi V případě porušení autorského práva, práv souvisejících s právem autorským a práv k databázi dle § 270 trestního zákoníku, musí jít o zásah nikoli nepatrný. To znamená, že méně závažná porušení, při nichž se autor nebo nabyvatel práv ze zákona domáhá práv plynoucích z autorského zákona, budou posuzována jako přestupek nebo v případě podnikající právnické nebo fyzické osoby jako správní delikt. Pokud se jedná o porušení závažné, platí ustanovení § 270 trestního zákoníku: 1. Kdo neoprávněně zasáhne nikoli nepatrně do zákonem chráněných práv k autorskému dílu,

uměleckému

výkonu,

zvukovému

či

zvukově

obrazovému

záznamu,

rozhlasovému nebo televiznímu vysílání nebo databázi, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. 2. Odnětím svobody na šest měsíců až pět let, peněžitým trestem nebo propadnutím věci nebo jiné majetkové hodnoty bude pachatel potrestán, a) vykazuje-li čin uvedený v odstavci 1 znaky obchodní činnosti nebo jiného podnikání, b) získá-li takovým činem pro sebe nebo pro jiného značný prospěch nebo způsobí-li tím jinému značnou škodu, nebo c) dopustí-li se takového činu ve značném rozsahu. 3. Odnětím svobody na tři léta až osm let bude pachatel potrestán, a) získá-li činem uvedeným v odstavci 1 pro sebe nebo pro jiného prospěch velkého rozsahu nebo způsobí-li tím jinému škodu velkého rozsahu, nebo b) dopustí-li se takového činu ve velkém rozsahu.

49

4.4 Trestné činy s odpovědností fyzických osob Následující ustanovení nejsou v zákoně o trestní odpovědnosti právnických osob a řízení proti nim vymezena jako trestný čin, který lze spáchat právnickou osobou, jsou tedy trestnými činy s odpovědností pouze fyzických osob, nikoli právnických. Za tyto trestné činy tak může být uložen trest fyzická osobě dle trestního zákoníku. Sice může dojít k porušení těchto ustanovení v jakémkoli podniku, ale nevztahují se přímo k provozu IT v podniku, ale k povinnosti mlčenlivosti. Z pohledu IT souvisí se způsobem získání informací, a to z informačního systému. Ve firmě, která se zabývá vývojem softwaru nabývají z pohledu IT většího významu.

4.4.1 Neoprávněné nakládání s osobními údaji Dle § 180 trestního zákoníku může být potrestán odnětím svobody až na tři léta nebo zákazem činnosti ten, kdo byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Pokud spáchá takový čin tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, nebo způsobí-li takovým činem značnou škodu, nebo spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch, může být potrestán odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti. Pokud bude způsobena škoda velkého rozsahu nebo spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu, může být pachatel potrestán odnětím svobody na tři léta až osm let.

4.4.2 Porušení předpisů o pravidlech hospodářské soutěže V souvislosti s IT přichází v úvahu použití ustanovení § 248 trestního zákoníku v podniku, který se zabývá vývojem software, kdy zaměstnanci, bývalí zaměstnanci, či osoby vykonávající činnost ve společnosti mohou zneužít obchodního tajemství podniku. Dle § 248 odst. 1 trestního zákoníku může být ten, kdo poruší jiný právní předpis o nekalé soutěži tím, že se při účasti v hospodářské soutěži dopustí porušování obchodního tajemství, a způsobí tím ve větším rozsahu újmu jiným soutěžitelům nebo spotřebitelům nebo opatří tím

50

sobě nebo jinému ve větším rozsahu neoprávněné výhody, být potrestán odnětím svobody až na tři léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. Obchodní tajemství je předmětem práv náležejících k podniku. Obchodní tajemství dle § 17 zákona č. 513/1991 Sb., obchodní zákoník, tvoří veškeré skutečnosti obchodní, výrobní či technické povahy související s podnikem, které mají skutečnou nebo alespoň potenciální materiální či nemateriální hodnotu, nejsou v příslušných obchodních kruzích běžně dostupné, mají být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťuje. Dle § 18 obchodního zákoníku podnikatel provozující podnik, na který se obchodní tajemství vztahuje, má výlučné právo tímto tajemstvím nakládat, zejména udělit svolení k jeho užití a stanovit podmínky takového užití. Přičemž porušením obchodního tajemství se dle § 51 obchodního zákoníku rozumí jednání, jímž jednající jiné osobě neoprávněně sdělí, zpřístupní, pro sebe nebo pro jiného využije obchodní tajemství, které může být využito v soutěži a o němž se dověděl: a) tím, že mu tajemství bylo svěřeno nebo jinak se stalo přístupným (např. z technických předloh, návodů, výkresů, modelů, vzorů) na základě jeho pracovního vztahu k soutěžiteli nebo na základě jiného vztahu k němu, popřípadě v rámci výkonu funkce, k níž byl soudem nebo jiným orgánem povolán, b) vlastním nebo cizím jednáním příčícím se zákonu. Podnik by měl stanovit, které skutečnosti jsou považovány za obchodní tajemství a jaké sankce hrozí za porušení obchodního tajemství.

4.4.3 Porušení práv k ochranné známce a jiným označením Porušení ustanovení § 268 trestního zákoníku, o porušení práv k ochranné známce a jiným označením, spočívá ve zneužití ochranné známky např. označením produktu a tím obohacení se na úkor jiného subjektu vyvoláním dojmu, že se jedná o zavedený a známý produkt. Ve znění § 268 odst. 1 trestního zákoníku, kdo uvede do oběhu výrobky nebo poskytuje služby neoprávněně označené ochrannou známkou, k níž přísluší výhradní právo jinému, nebo známkou s ní zaměnitelnou nebo pro tento účel sobě nebo jinému takové výrobky nabízí, zprostředkuje, vyrobí, doveze, vyveze nebo jinak opatří nebo přechovává, anebo takovou službu nabídne nebo zprostředkuje, bude potrestán odnětím svobody až na dvě léta, zákazem činnosti nebo propadnutím věci nebo jiné majetkové hodnoty. Stejně dle odst. 2 bude potrestán, kdo pro dosažení hospodářského prospěchu neoprávněně užívá obchodní firmu nebo jakékoliv označení s ní zaměnitelné nebo uvede do oběhu výrobky nebo služby 51

neoprávněně opatřené označením původu nebo zeměpisným označením anebo takovým označením s ním zaměnitelným nebo pro tento účel sobě nebo jinému takové výrobky nebo služby nabídne, zprostředkuje, vyrobí, doveze, vyveze nebo jinak opatří nebo přechovává. Pokud bude získán značný prospěch nebo dopustí-li se takového činu ve značném rozsahu, dle odst. 3 pachatel může být potrestán odnětím svobody na šest měsíců až pět let, peněžitým trestem nebo propadnutím věci nebo jiné majetkové hodnoty. Pokud bude získán prospěch velkého rozsahu nebo dopustí-li se takového činu ve velkém rozsahu, může být pachatel potrestán odnětím svobody na tři léta až osm let.

52

5 Návrh na doplnění metodiky řízení provozu Za účelem doplnění stávající metodiky řízení provozu IT v podniku byly v této práci v kapitolách 1 až 4 uvedeny právní normy, které se vztahují k řízení provozu IT. Tyto kapitoly lze chápat jako teoretickou právní příručku. V kapitole 1 byl uveden přehled zákonů majících vliv na řízení provozu IT v podniku. Některé z těchto zákonů se týkají pouze výkonu státní správy a pro podnik je lze využít jako doporučení. Pro podnik mají doporučující charakter zákony týkající se bezpečnosti uvedené v kapitole 2. Z této kapitoly je pro podnik závazný pouze zákon č. 262/2006 Sb., zákoník práce. Zákony závazné pro podnik jsou uvedeny v kapitolách 3 a 4. Jedná se o zákon č. 40/1964 Sb., občanský zákoník, zákon č. 513/1991 Sb., obchodní zákoník, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, zákon č. 441/2003 Sb., o ochranných známkách, zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim, zákon č. 40/2009 Sb., trestní zákoník. Na základě doporučení prof. Ing. Vladimíra Smejkala, CSc. LL.M. nebyla předmětem této práce elektronická komunikace.

5.1 Obecná doporučení při tvorbě metodiky řízení provozu IT Při tvorbě metodiky řízení provozu IT je možné pro oblast zajišťování bezpečnosti provozu IT využít členění dle kontrolních cílů normy ISO/IEC 27002:2005. Tato norma je mezinárodně uznávaným standardem osvědčených postupů pro zabezpečení informací, skládá se z několika částí. Část 0: Úvod V úvodu je vysvětleno, co je myšleno informační bezpečností a jak tuto normu využít. Část 1: Oblast působnosti Norma poskytuje doporučení řízení bezpečnosti informací pro ty, kteří jsou odpovědní za iniciování, zavedení a udržování bezpečnosti. Část 2: Termíny a definice V této části jsou definovány související pojmy.

53

Část 3: Struktura normy V této části jsou vysvětleny kontrolní cíle a doporučení pro kontrolu těchto cílů. Část 4 až 15 zahrnuje základní kontrolní cíle normy. Obrázek 1 Myšlenková mapa hlavních částí normy ISO/IEC 27002:2005

Zdroj: http://www.iso27001security.com/html/27002.html Základními kontrolními cíly dle normy ISO/IEC 27002:2005 jsou: - Řízení rizik - Bezpečnostní politika - Organizace bezpečnosti informací - Správa informačních aktiv - Personální bezpečnost - Fyzická bezpečnost a bezpečnost prostředí - Řízení komunikace a řízení provozu - Kontrola přístupu - Vývoj a údržba informačních systémů - Bezpečnostní incident - Řízení kontinuity činností - Dodržování 54

5.2 Stávající směrnice řízení provozu IT V našem případě směrnice řízení provozu IT slouží pro potřeby podniku zaměstnávajícího cca 400 zaměstnanců a obsahuje tyto kapitoly: 1 Účel 2 Zkratky & Termíny 3 Procesní diagram 4 Popis procesu 4.1 Internet a E-mail 4.2 Výměna dat s cizími osobami 4.3 Stahování 4.4 Programové licence 4.5 Ochrana dat 5 Fyzické zabezpečení 5.1 Oblasti zabezpečení 5.2 Kontrola přístupu 5.3 Preventivní opatření 5.4 Externí systémy 5.5 Externí nosiče dat 5.6 Ochrana proti odcizení 6 Logické zabezpečení 6.1 Uživatelská oprávnění 6.2 Identifikace uživatelů 6.3 Přihlášení do systému 6.4 Správa hesel 6.5 Sdílená oprávnění 6.6 Instalace 7 Provozní kontrola 7.1 Vývoj systémů 7.2 Změny systému 7.3 E-mail 7.4 Ochrana před viry 7.5 Internet 55

7.6 Intranet 7.7 Vzdálený přístup 7.8 Monitoring nepovoleného přístupu 7.9 Bezdrátová LAN 7.10 Šetřiče obrazovky 7.11 Restartování počítačů 8 Administrativní kontrola 8.1 Totožnost uživatelů 8.2 Správa prostředků 8.3 Správa uživatelů 8.4 Likvidace nosičů 9 Prevence nouzových situací 9.1 Analýza rizik 9.2 Zálohování 9.3 Havarijní plán 10 Kontrola a dodržování směrnice 11 Klíčové řídící ukazatele 12 Odpovědnost za dodržování této směrnice 13 Dokumentace 14 Změnový management 15 Distribuční list 16 Další použité dokumenty 17 Přílohy Současná směrnice řízení provozu IT je směrnicí operační, přesné metodické postupy neobsahuje. Cílem této práce je metodiku v souladu s platnými právními předpisy a s potřebami podniku do této směrnice zahrnout. Směrnice je konstruována velice jednoduše, obsahuje základní pojmy, postrádá provázanost s platnými právními úpravami, nejsou v ní stanoveny odpovědnosti a zahrnuty sankce, které z jednotlivých porušení vyplývají. Doplnění spočívá hlavně v jasném stanovení, které úkony nejsou dle zákona dovoleny a jaké sankce způsobené porušením postupů stanovených ve směrnici, ať už podnikem jako právnickou osobou či zaměstnancem jako osobou fyzickou,

56

z ní vyplývají. Tyto oblasti jsou velice často opomíjeny, zaměstnanci si neuvědomují, jakých porušení a případně i trestných činů se mohou dopustit. Nyní bude pouze zpracován návrh na doplnění směrnice, v budoucnu by však mohlo být uvažováno o jejím kompletním přepracování. V případě vytvoření zcela nové směrnice navrhuji použít jako osnovu normu ISO/IEC 27002:2005 a vložit pasáže ze směrnice stávající. Do současné směrnice řízení provozu IT budou doplněna závazná ustanovení zákona uvedená v kapitole 3 a 4 a zákoník práce, doporučující ustanovení uvedená v kapitola 2 a bude vytvořena podkapitola s názvem Porušení a podkapitola Sankce za porušení, která bude do stávající směrnice vložena do kapitoly 10 Kontrola a dodržování směrnice.

5.3 Doplnění jednotlivých kapitol stávající metodiky V této části je uveden návrh na doplnění ustanovení zákona do jednotlivých kapitol existující metodiky řízení provozu IT v podniku. Pro přehlednou orientaci zákonů doplňujících jednotlivé části stávající směrnice je použita následující matice:

Kapitola metodiky Název zákona občanský zákoník

4.1 4.2 4.3 4.4 4.5 6.1 6.2 6.4 6.5 6.6 7.2 7.4 7.6 7.10 8.2 8.3 8.4 9.1 9.2 9.3 10 x

obchodní zákoník zákon o ochraně osobních údajů

x x

x

zákon o ochranných známkách zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti autorský zákon

x

x

x

x

x

x x

x

x

x

x

x

x

x

x

x

zákon o trestní odpovědnosti právnických osob a řízení proti nim

x

trestní zákoník

x

zákoník práce

x

1 Účel Tato kapitola nepotřebuje doplnění.

57

2 Zkratky & Termíny Tato kapitola nepotřebuje rozsáhlé doplnění. Termíny použité v této kapitole jsou z oblasti IT. Do této směrnice nyní nebudou doplňovány pojmy z právní oblasti. 3 Procesní diagram Tato kapitola nepotřebuje doplnění. Procesní diagram není součástí pouze této přílohy z důvodu ochrany informačních aktiv podniku. 4 Popis procesu 4.1 Internet a E-mail Občanský zákoník Přidělený e-mail zaměstnanci nadále zůstává majetkem společnosti a společnost si vyhrazuje právo na jeho kontrolu. 4.2 Výměna dat s cizími osobami Zákon o ochraně osobních údajů Data obsahující osobní údaje nelze jakýmkoliv způsobem zpřístupňovat, nebo poskytovat třetím osobám. 4.3 Stahování Autorský zákon Sdílení, stahování a jakákoli podobná manipulace se soubory chráněnými autorským právem bez příslušného povolení jsou z důvodu dodržování autorského práva a licenčních požadavků zakázány. V případě jakéhokoli porušení mohou nastat sankce. 4.4 Programové licence Obchodní zákoník Musí být dodržen účel použití softwaru, který je stanoven ve smlouvě o dílo. 4.5 Ochrana dat Zákon o ochraně osobních údajů Je nutné postupovat tak aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování a k jinému zneužití osobních údajů (tato povinnost platí i po ukončení zpracování osobních údajů).

58

5 Fyzické zabezpečení 5.1 Oblasti zabezpečení Tato podkapitola nepotřebuje doplnění. 5.2 Kontrola přístupu Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Přístup do zabezpečených prostor a jiných citlivých zařízení, např. výpočetní střediska, prostory pro server nebo archivy dat podléhá schválení a kontrole pověřených osob. Za tímto účelem jsou tyto místa zabezpečena speciálními FAB zámky a klíči, které mají pracovníci IT oddělení a správa budovy (uloženo v kapse s plombou) pro případ havárie. 5.3 Preventivní opatření Tato podkapitola nepotřebuje doplnění. 5.4 Externí systémy Tato podkapitola nepotřebuje doplnění. 5.5 Externí nosiče dat Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti S externími nosiči dat musí být nakládáno tak, aby nemohlo dojít k jejich poškození nebo ke zničení anebo zneužití pro narušení důvěrnosti informací. 5.6 Ochrana proti odcizení Tato podkapitola nepotřebuje doplnění. 6 Logické zabezpečení 6.1 Uživatelská oprávnění Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Dle druhu vykonávané práce je třeba zaměstnanci nastavit autorizované přístupy a oprávnění pouze v rozsahu nezbytném pro jemu určené aktivity v informačním systému

v souladu

s bezpečnostní

dokumentací

informačního

systému.

Zaměstnanec nesmí zpřístupnit svůj identifikátor třetí osobě. 6.2 Identifikace uživatelů Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Zaměstnanec je identifikován na základě autentizační a autorizační informace. 6.3 Přihlášení do systému Tato podkapitola nepotřebuje doplnění. 59

6.4 Správa hesel Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Bezpečnostní správce informačního systému, nebo jiná pověřená osoba přiděluje přístupová práva a spravuje autentizační a autorizační informace. Zaměstnanci je zakázáno jakýmkoliv způsobem se snažit o překonání bezpečnostního opatření. 6.5 Sdílená oprávnění Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Pokud bude využíván určitý identifikátor několika zaměstnanci, musí být určitelné, kdo jej v dané době využíval. 6.6 Instalace Autorský zákon Uživatel má výslovně zakázáno instalovat jakýkoliv software. V případě potřeby instalace softwaru je nutné kontaktovat IT oddělení, které případnou instalaci softwaru provede po ověření legálnosti a vlastnictví licence na provozování příslušného programového vybavení. 7 Provozní kontrola 7.1 Vývoj systémů Tato podkapitola nepotřebuje doplnění. 7.2 Změny systému Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Instalace, provoz a údržba informačního systému musí být prováděna oprávněnou osobou. Nesmí být ohrožena bezpečnost a oslabeny bezpečnostní funkce informačního systému. 7.3 E-mail Tato podkapitola nepotřebuje doplnění. 7.4 Ochrana před viry Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Bezpečnost

informačního

systému

musí

být

průběžně

prověřována

a

vyhodnocována. Programové vybavení a informace musí být chráněny před působením škodlivého kódu. Může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému.

60

7.5 Internet Tato podkapitola nepotřebuje doplnění. 7.6 Intranet Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Přístup do Intranetu společnosti je podmíněn přidělením uživatelského práva IT oddělením na základě požadavku nadřízeného a schválení administrátora. 7.7 Vzdálený přístup Tato podkapitola nepotřebuje doplnění. 7.8 Monitoring nepovoleného přístupu Tato podkapitola nepotřebuje doplnění. 7.9 Bezdrátová LAN Tato podkapitola nepotřebuje doplnění. 7.10 Šetřiče obrazovky Autorský zákon Zaměstnanec je povinen používat jen schválený spořič obrazovky. Je výslovně zakázáno používat vlastní spořič obrazovky na který se vztahují autorská práva. 7.11 Restartování počítačů Tato podkapitola nepotřebuje doplnění. 8 Administrativní kontrola 8.1 Totožnost uživatelů Tato podkapitola nepotřebuje doplnění. 8.2 Správa prostředků Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Instalace, provoz a údržba informačního systému musí být prováděna oprávněnou osobou. Nesmí být ohrožena bezpečnost a oslabeny bezpečnostní funkce informačního systému. Bezpečnost informačního systému musí být průběžně prověřována a vyhodnocována. Programové vybavení a informace musí být chráněny před působením škodlivého kódu. Může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému. V informačním systému musí být prováděno zálohování programového vybavení a informací

61

8.3 Správa uživatelů Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Autorizované přístupy a oprávnění zaměstnanců musí být udržovány v aktuálním stavu. 8.4 Likvidace nosičů Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Před trvalým ukončením provozu informačního systému musí být provedeno vyjmutí nebo zničení nosičů informací, se kterými informační systém nakládal. 9 Prevence nouzových situací 9.1 Analýza rizik Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti V rámci provedení analýzy rizik musí být vymezena aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému. Po stanovení hrozeb musí být vymezena zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí. Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika. Na základě provedené analýzy rizik musí být proveden výběr vhodných protiopatření. 9.2 Zálohování Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Záloha musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti informací. 9.3 Havarijní plán Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti Pro případ havárie softwarového nebo hardwarového vybavení musí být uveden v bezpečnostní dokumentaci informačního systému způsob: a) zálohování informačního systému a uložení záložních médií, b) zajišťování servisní činnosti, c) zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány, 62

d) obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu. 10 Kontrola a dodržování směrnice 10.2 Porušení Všichni zaměstnanci jsou povinni tuto směrnici dodržovat. Pokud dojde k porušení některého z bodů této směrnice, je zaměstnanec odpovědný zaměstnavateli za škodu, kterou mu způsobil zaviněným porušením povinností při plnění pracovních úkolů nebo v přímé souvislosti s ním. Trestného činu se může zaměstnanec dopustit: získáním neoprávněného přístupu prolomením ochrany, protiprávním nakládáním s informacemi, přechováváním prostředků použitelných k neoprávněnému přístupu, poškozením záznamu v počítači nebo na nosiči informací, porušením autorských práv. 10.3 Sankce za porušení Za porušení některého z bodů této směrnice může být dle závažnosti porušení uložena sankce. Zaměstnanec je povinen nahradit zaměstnavateli skutečnou škodu, a to v penězích, jestliže neodčiní škodu uvedením v předešlý stav a pokud se jedná o škodu způsobenou úmyslně, může zaměstnavatel požadovat i náhradu ušlého zisku. Za porušení povinnost vyplývající z právních předpisů vztahujících se k jím vykonávané práci zvlášť hrubým způsobem se považuje spáchání trestného činu uvedeného v podkapitole 10.2. Za toto porušení může dojít k okamžitému zrušení pracovního poměru se zaměstnancem. 11 Klíčové řídící ukazatele Tato kapitola nepotřebuje doplnění. 12 Odpovědnost za dodržování této směrnice Tato kapitola nepotřebuje doplnění.

63

13 Dokumentace Tato kapitola nepotřebuje doplnění. 14 Změnový management Tato kapitola nepotřebuje doplnění. 15 Distribuční list Tato kapitola nepotřebuje doplnění. 16 Další použité dokumenty Tato kapitola nepotřebuje doplnění. 17 Přílohy Tato kapitola nepotřebuje doplnění.

64

Závěr Tato práce měla být přínosem pro IT odborníky, kteří nemají potřebné znalosti z právní oblasti. První část práce byla vytvořena jako teoretická právní příručka, která měla shrnout a osvětlit problematiku práva, které souvisí s oblastí IT. Do první části byly zahrnuty a přehledně uspořádány ustanovení zákona a doplněny o vlastní text. IT odborníkům by tato část měla usnadnit orientaci v zákonech souvisejících s IT. Jelikož sám nejsem právníkem, při tvorbě této práce jsem zjistil, že byť i jen uspořádat přehledně zákony a zahrnout vše tak, aby se zakládalo na pravdě, je věc velmi složitá. Zákony musejí být nastudovány kompletně, neboť až po pročtení celého zákona jsem se dobral skutečnosti. V zákonech existuje mnoho odkazů na předchozí ustanovení, a proto orientace v nich je velmi zdlouhavá. K rychlému studiu nepřispívá ani to, že oblast IT je pokryta několika různými zákony. Věřím, že touto prací bylo dosaženo účelu, pro který byla napsána, a že IT odborníkům skutečně ušetří čas. Vzhledem k tomu, že náš právní systém nereaguje tak pružně při definování povinností IT oddělení soukromého podniku tak, jako tomu je u institucí státní správy nebo bankovního sektoru, doplnění některých částí metodiky je spíše doporučením v zájmu podniku.

65

Seznam použité literatury Tištěné monografie [1] JANSA, Lukáš; OTEVŘEL, Petr. Softwarové právo Praktický průvodce právní problematikou v IT. Vydání první. Computer Press, a. s., 2011. ISBN 978-80-251-3458-0. [2] SMEJKAL, Vladimír; RAIS, Karel. Řízení rizik ve firmách a jiných organizacích. Třetí, rozšířené a aktualizované vydání. Grada Publishing, a.s., 2010. ISBN 978-80-247-3051-6. Elektronické monografie, webovská sídla, databáze a počítačový program [3] http://www.iso27001security.com/html/27002.html [4] http://www.zakonyprolidi.cz

66

Přílohy 1) 701_001_SOP_Provozovani_rizeni_IT_2011CZ.docx

67