Je řada cest, jakými mohou být pro trestní řízení získány důkazy v případech počítačové kriminality. Cílem autora je na tuto problematiku pohlédnout komplexněji a věnovat se takovým otázkám, jako je rozsah použitelnosti a vzájemné vztahy procesních nástrojů užívaných v této souvislosti. Tento první z plánované série článků takto rozebírá instituty dožádání (§ 8 odst. 1 TrŘ), předchozího souhlasu soudce (§ 8 odst. 5 TrŘ), vydání a odnětí věci (§ 78 až 79 TrŘ) a prohlídek (§ 82 až 85b TrŘ) a upozorňuje též na novou úpravu „zmrazování“ dat (§ 7b TrŘ). Diskutuje se i o nedávném judikátu ESLP Benedik proti Slovinsku.

V oblasti počítačové kriminality může být vhodné provedení dočasného „zmrazení“ dat, zejména jako předstupeň dalšího procesního postupu k jejich zajištění. Existenci takového nástroje v národní úpravě požaduje ostatně čl. 16 Úmluvy o počítačové kriminalitě.¹ Literatura dříve dovozovala, že toto zmrazení je možné nařídit dožádáním podle § 8 odst. 1 TrŘ.² Zákonodárce nicméně nyní přistupuje k vytvoření samostatné úpravy.

Podle jejího odstavce 1 je možné osobám, jež drží či mají pod kontrolou data, nařídit, aby je uchovaly v nezměněné podobě po dobu uvedenou v příkazu; ta může být stanovena nejvýše na 90 dnů. Předpokladem je, že tato data jsou důležitá pro trestní řízení a je potřeba zabránit jejich ztrátě, zničení nebo pozměnění. Současně lze nařídit, aby povinná osoba učinila potřebná opatření, aby nedošlo ke zpřístupnění informace o tom, že bylo toto uchování nařízeno.

Odstavec 2 pak umožňuje nařídit znepřístupnění dat. Předpokladem je, že je to zapotřebí k zabránění pokračování nebo opakování trestné činnosti.

Příkaz je u obou variant oprávněn vydat v přípravném řízení státní zástupce nebo policejní orgán (ten však jen s předchozím souhlasem státního zástupce, ledaže jej nelze dosáhnout a věc nesnese odkladu) a v dalších fázích trestního procesu soudce.

Zakotvení úpravy popsané v odstavci 2 již nebylo zmíněným čl. 16 Úmluvy vyžadováno, a jde tak nad její rámec. Naopak navrhovaná česká úprava překvapivě oproti Úmluvě neklade nijak důraz na to, že k uchování má dojít urychleně, ač se jedná v případě elektronických materiálů jistě o kritický faktor.

Tento institut je vhodné rozebrat dříve než jiné, neboť je spjat rovnou s několika dalšími. Podle trestního řádu: „Nestanoví-li zvláštní zákon podmínky, za nichž lze pro účely trestního řízení sdělovat informace, které jsou podle takového zákona utajovány, nebo na něž se vztahuje povinnost mlčenlivosti, lze tyto informace pro trestní řízení vyžadovat po předchozím souhlasu soudce. Tím není dotčena povinnost mlčenlivosti advokáta podle zákona o advokacii.“ Ustanovení je užitelné na případy, kdy důkaz spadá pod nějaké státem stanovené či uznané utajení či mlčenlivost, jež subjekt mající důkaz poskytnout váže, nedošlo nijak k jejich zproštění, avšak trestní řád zproštěním užití určitého institutu podmiňuje (§ 8 odst․ 1 ve spojení s odst. 5, § 78 odst. 2, § 99 odst. 1, 2 TrŘ), vázanost subjektu není prolomena ani nějakou výjimkou (viz úprava v § 99 odst. 3 TrŘ související s povinností oznamovat trestnou činnost vymezenou § 368 TrZ) a zároveň absentuje zvláštní právní úprava, podle které by se mělo v tomto směru postupovat. Pokud přitom ustanovení zvláštního předpisu sice obsahuje určitou možnost zproštění mlčenlivosti, nikoliv však specificky ve vztahu k trestnímu řízení (totiž nestanoví podmínky, za nichž lze pro účely trestního řízení sdělovat předmětné skutečnosti), je postup podle § 8 odst. 5 TrŘ možný (srov.^{3, 4}.

Nejde o samostatný institut, takovýto souhlas bude využitelný ve spojení s dožádáním podle § 8 odst. 1 TrŘ, vydáním a odnětím věci podle § 78 až 79 TrŘ a u výpovědi svědka (čímž bude překonán zákaz jeho výslechu podle § 99 TrŘ).⁵

Co se rozumí utajováním, je nutné chápat ve smyslu příslušného zákona o ochraně utajovaných informací;⁶ utajované informace klasifikované pouze stupněm utajení Důvěrné nebo Vyhrazené nejsou v těchto souvislostech chráněny (§ 99 odst. 3 TrŘ). Složitější je situace ohledně mlčenlivosti. Mlčenlivost je zakládána nespočtem různých předpisů, což ji činí poněkud nepřehlednou. Obecně se za mlčenlivost považuje mlčenlivost uložená státem a mlčenlivost státem uznaná (takovou je typicky zpovědní tajemství); mlčenlivost se nevztahuje na obchodní tajemství, neboť to není vymezováno žádným zákonem, nýbrž jen daným podnikatelem.

Mlčenlivost, která bude v oblasti počítačové kriminality zřejmě zejména relevantní, je zakotvena v čl. 13 Listiny základních práv a svobod. Podle ní s výjimkou případů stanovených zákony nikdo nesmí porušit: listovní tajemství ani tajemství jiných písemností a záznamů, uchovávaných v soukromí, nebo zasílaných poštou anebo jiným způsobem, jakož i zpráv podávaných telefonem, telegrafem nebo jiným podobným zařízením. Chráněny mlčenlivostí jsou tedy různé materiály při svém přenosu a při uchovávání v soukromí. Uchováváním v soukromí se rozumí uchovávání v určitém místě (zřejmě i virtuálním), jež má osoba ve své moci se záměrem mít tam svůj soukromý prostor.⁷ Dnes populární osobní vzdálená úložiště (Dropbox apod.) budou typicky, při nastavení omezeného zabezpečeného přístupu (heslo atd.), mít charakter takového soukromého prostoru.

Mlčenlivost je určitým způsobem konstruována i předpisy na ochranu osobních údajů (k datu psaní tohoto textu viz zejména § 45 návrhu zákona o zpracování osobních údajů projednávaného ve Sněmovně). Tuto mlčenlivost je však zřejmě namístě interpretovat tak, že nebude vést k požadavkům na předchozí souhlas soudce podle § 8 odst. 5 TrŘ, neboť její úprava již sama o sobě nebrání poskytování údajů pro účely trestního řízení. V souvislosti s podmínkami zákonnosti zpracování osobních údajů podle čl. 6 odst. 1 GDPR⁸ lze totiž podotknout, že poskytnutí důkazního materiálu je v podstatě ukládáno povinnému subjektu jako právní povinnost [srov. písmeno c)], a zároveň je zpravidla i nezbytné pro účely oprávněných zájmů poškozeného, jenž má ústavně zaručené právo na účinné vyšetřování [srov. písmeno f)], přičemž návazné zpracování údajů OČTŘ je dokonce zcela vyňato z režimu GDPR [srov. čl. 2 odst. 2 písm. d)]. Vzhledem k tomu, že s určitou nadsázkou je dnes osobním údajem „téměř cokoliv“, se takovýto výklad jeví vhodný. Nebylo by totiž jistě přiměřené, aby OČTŘ potřebovaly souhlas soudce prakticky i k nejzákladnějším věcem.

Mlčenlivost určitého subjektu existuje vždy jen v zájmu subjektu jiného. Pokud nějaká osoba uchovává v soukromí své vlastní záznamy nebo záznamy o své osobě (byť vytvořené někým jiným) a ona bude tím, po kom je žádáno jejich vydání, nepůjde o situaci, na kterou by bylo možné ani potřebné užít předchozí souhlas soudce podle § 8 odst. 5 TrŘ (v případě, že by se řízení vedlo proti této osobě, nelze samozřejmě s ohledem na zákaz nucení k sebeobviňování případné nerespektování výzev sankcionovat pokutou, ale to již nesouvisí s problematikou mlčenlivosti). V této souvislosti se domnívám, že smyslem § 8 odst. 5 TrŘ není (respektive není pouze) chránit mlčenlivost samotnou, ale do značné míry vytvořit jasné podmínky zbavení této mlčenlivosti pro osobu, která je mlčenlivostí vázána, aby se poskytnutím daných informací a materiálů nemohla dopustit protiprávního jednání, či dokonce trestného činu. Proto také zákaz výslechu v § 99 a § 78 odst. 2 TrŘ nemá svoji obdobu dopadající třeba na získávání informací z důkazních pramenů, které si policie obstará jinak než interakcí s nějakou osobou a rovnou je ohledá (například nalezne telefon odhozený pachatelem na veřejném prostranství).

S tím souvisí i to, že mlčenlivost je třeba prolamovat jen při získávání informací a materiálů od subjektů, které jsou jí vázány. Řekněme, že by nějaký pachatel neoprávněným přístupem k počítačovému systému získal soubor s něčí zdravotnickou dokumentací vypovídající o utajované nemoci určité osoby a tento soubor následně rozeslal známým oné osoby ve snaze ji očernit. Při vyžadování informací a kopie dokumentu od těchto známých nebude nutný předchozí souhlas soudce, neboť tito známí nejsou zdravotnickými pracovníky vázanými příslušnou mlčenlivostí. Nemělo by nicméně být připuštěno tímto způsobem obcházet jinak existující nezbytnost předchozího souhlasu soudce; například situace, kdy by bylo možné zajišťovat obdobně jak od subjektu vázaného mlčenlivostí i subjektu nevázaného, by mohla svědčit o nepřípustnosti postupu bez jeho získání.

Judikatura zároveň naznačuje, že mlčenlivosti je při opatřování důkazních materiálů přiznávána relevance, pouze pokud jsou informace a materiály chráněné mlčenlivostí tím hlavním, co je získáváno, respektive k čemu úkon směřuje. Pouhý jejich náhodný či vedlejší výskyt spolu se zajišťovaným lze pominout. Ústavní soud judikoval v případu advokátní mlčenlivosti, která nebyla zákonným způsobem prolomena (v daném případě by samozřejmě nešel ani užít § 8 odst. 5 TrŘ, ale to zde není podstatné), že „lze jako věci důležité pro trestní řízení zajistit i výpočetní techniku a záznamová média, případně jejich kopie, i když existuje možnost, že zajištěné nosiče informací obsahují vedle záznamů o skutečnostech důležitých pro trestní řízení i informace o skutečnostech, které se netýkají probíhajícího trestního řízení a ke kterým se váže státem uložená nebo uznaná povinnost mlčenlivosti“. Je-li úkon prováděn „s cílem nalézt a zajistit předměty, které se mohou stát věcnými důkazy ve smyslu § 112 odst. 1 TrŘ, a je-li tohoto cíle dosahováno postupem podle příslušných ustanovení trestního řádu, nelze považovat za nedovolené porušení povinnosti mlčenlivosti skutečnost, že nosiče informací obsahují i údaje pro probíhající trestní řízení nepodstatné a nepoužitelné, neboť tento cíl nebyl provedením prohlídky sledován, jedná se pouze o vedlejší produkt prohlídky, kterému nebylo možno zabránit, a nikoliv o záměrné získávání údajů chráněných povinností mlčenlivosti způsobem, který by byl v rozporu s předpisy upravujícími prolomení povinnosti mlčenlivosti“.⁹ Tento přístup je zřejmě souladný i s judikaturou ESLP, která obecně akceptuje možnost státních orgánů takříkajíc „zkopírovat vše potencionální, roztřídit později“.¹⁰

Dožádání podle § 8 TrŘ (neplést s dožádáním podle § 53 TrŘ) je upraveno tak, že „Státní orgány, právnické a fyzické osoby jsou povinny bez zbytečného odkladu (…) vyhovovat dožádáním orgánů činných v trestním řízení při plnění jejich úkolů.“ Obsahem dožádání může být žádost o poskytnutí určité informace či o poskytnutí součinnosti (podle komentáře například zapůjčení určitých specifických, běžně nedostupných předmětů, zapůjčení vysoce specializovaného přístroje, který OČTŘ nemá k disposici, ale v konkrétním trestním řízení jej potřebuje, umožnění provedení úkonu v prostorách dožádané osoby, nemůže-li jej OČTŘ provést jinde, atd.).¹¹

Literatura ani judikatura se překvapivě příliš nevěnuje otazkám použitelnosti a limitů tohoto ustanovení. V každém případě tento institut nelze využít tam, kde právní úprava předepisuje instituty jiné, které jsou formulované speciálněji pro dané situace, zejména pak pokud stanoví přísnější podmínky pro své užití (takovým je především nařízení vydání údajů o telekomunikačním provozu podle § 88a TrŘ). Za podmínky dodržení právě uvedeného půjde v případě počítačové kriminality dožadovat typicky informace o určitých službách (weby, chaty, sociální sítě apod.) a jejich uživatelích, jako jsou údaje, které uvedli při registraci ke službě, údaje o užívání služby (době, způsobu…), o jejich IP adresách apod.

Variantou dožádání je dožádání učiněné za prolomení utajení či mlčenlivosti se souhlasem soudce podle výše popsaného § 8 odst. 5 TrŘ. Zákon přitom obsahuje výjimku pro dožádání od osoby, která je oznamovatelem trestného činu (§ 8 odst. 4 TrŘ); od ní lze dožadovat v rozsahu, jako by souhlas soudce byl dán.

Dožádání bez souhlasu soudce bude v každém případě použitelné přinejmenším na zjišťování obecnějších informací neposkytujících údaje o konkrétních osobách. Lze jej využít například ke zjištění způsobu fungování internetových služeb užitých ke spáchání trestné činnosti, a ověřit tak, zda se skutkový děj mohl odehrát určitým způsobem. Rovněž bezpochyby nebude problém s požadováním údajů, které se sice týkají určité osoby, ale daná osoba je nijak neutajuje, například jsou součástí jejího profilu zobrazovanému komukoliv na internetu. Kromě toho by mělo být využitelné i na získání jiných informací týkajících se konkrétních osob, pokud jejich dožádání nebrání problém utajování či mlčenlivosti dožadovaného ani nutnost postupu podle přísnějšího institutu (§ 88a TrŘ). Naproti tomu dožádání za souhlasu soudce bude namístě tehdy, pokud jsou dožadované informace chráněny utajováním či zákonnou mlčenlivostí (viz rozbor problematiky utajování a mlčenlivosti provedený výše v souvislosti s § 8 odst. 5 TrŘ).

Právě učiněný závěr, totiž možnost vystačit si pro získávání údajů o uživatelích začasté jen prostým dožádáním bez rozhodnutí soudu, se nicméně může jevit sporným ve světle rozsudku Evropského soudu pro lidská práva Benedik proti Slovinsku.¹² V něm se soud vyslovil k situaci, kdy slovinská policie v rámci vyšetřování šíření dětské pornografie peer-to-peer sítí eMule, zjištěného při jejím předchozím monitorování státními orgány, požádala poskytovatele internetového připojení o data týkající se uživatele určité (byť jen dynamické) IP adresy. Poskytovatel předal policii jméno a adresu stěžovatelova otce, který byl předplatitelem daného připojení. Po pozdější, příslušným soudem povolené, domovní prohlídce byl z trestné činnosti obviněn a za ni odsouzen stěžovatel. ESLP shledal nesporným, že údaje o předplatiteli představovaly osobní údaje, jež nebyly veřejné (musel je dohledat poskytovatel připojení k internetu, nešlo o nějakou obdobu veřejného telefonního seznamu) a měly identifikovat konkrétní osobu stojící za sdílením předmětných dat. Podle soudu nelze odmítnout nutnou ochranu informacím, které mohou odhalit nemálo o online aktivitách jednotlivce, včetně detailů o jeho zájmech, názorech a intimním životě. Údaje o předplatiteli připojení obsahující adresu dovolily policii identifikovat obydlí, ze kterého bylo přistupováno v daných případech k internetu, a identifikovat stěžovatele jako podezřelého z účasti na sdílení dětské pornografie. Podle soudu stěžovatelovy online aktivity spadají pod pojem „soukromý život“, jenž má být ve smyslu čl. 8 Úmluvy o ochraně lidských práv a základních svobod respektován, a v tomto směru je relevantní stěžovatelův zájem na ochraně jeho totožnosti při těchto aktivitách. Přesto však policie mohla identifikovat podezřelého pouhým dotazem na poskytovatele připojení. Soud tak konstatoval absenci dostatečných záruk proti zásahům do práva na soukromí a podanou stížnost shledal důvodnou.

Právě uvedená argumentace se jeví vyznívat v tom směru, že ESLP je v těchto souvislostech velmi přísný a i pouhé získání údajů o uživateli je s ohledem na právo na soukromí problematické ponechávat na rozhodnutí toliko samotné policie. Ve vztahu k české právní úpravě se tak nabízí otázka, zda údaje o uživateli určité digitální služby umožňující jeho identifikaci není nutné řešit, jako by byly chráněné mlčenlivostí (postupovat podle § 8 odst. 1, 5 TrŘ) či měly charakter údajů o telekomunikačním provozu (postupovat podle § 88a TrŘ). Dovozovat takto široký a obecný závěr z tohoto judikátu je nicméně ošidné. Je třeba si povšimnout, že ESLP jej vydal u poměrně specifické situace sdílení souborů v P2P síti, při kterém dovodil, že uživatel komunikaci v síti považoval za soukromou, avšak policie ji naproti tomu zaznamenávala bez jakéhokoliv povolení soudu, protože se domnívala, že jej nepotřebuje, když sdílené soubory byly k dispozici otevřeně všem uživatelům dané sítě. Nelze tak z něj zřejmě dovodit, že kdyby sledování této sítě bylo povoleno soudem (což bude v praxi často namístě), že by bylo stále třeba i (další samostatné) povolení k požádání o ztotožnění IP adresy. Nabízí se tak judikát Benedik implementovat spíše než nutností mít k žádosti o jakékoliv informace o uživateli souhlas soudu, přísnějším chápáním okruhu dat v kyberprostoru, jaká již nelze považovat za veřejná, a která tedy budou vyžadovat souhlas soudu s jejich monitorováním a zajištěním. To by lépe odpovídalo citlivosti dotčeného druhu dat, kdy jádro zásahu do soukromí spočívá jistě mnohem více v zachycení sdílených a přenášených dat, a ne až v následném zjišťování, komu patří určitá IP adresa. Posledně uvedená informace totiž sice není začasté snadno zjistitelná pro veřejnost, nicméně jistě nejde o nějaký obzvláště soukromý údaj. Připodobnit tento proces lze svojí citlivostí například ke zjišťování v registrech, komu patří SPZ nějakého vozidla; i když registry vozidel nejsou veřejně přístupné, není obecně považováno za protiústavní, že do nich policie může přistupovat bez souhlasu soudu (v českém prostředí podle § 66 odst. 2 zákona o policii¹³). Těžko zodpověditelnou otázkou, dosti relevantní ovšem pro posouzení šíře významu judikátu, pak je, jak by ESLP rozhodl u jiné situace než sdílení v P2P sítích (je u užívání různých druhů elektronických služeb legitimní očekávání soukromí různé?).

V každém případě lze podotknout, že i když by případně z uvedeného judikátu ESLP bylo namístě dovodit určité zpřísnění podmínek pro užívání dožádání v trestním procesu, je de lege ferenda otázkou, zda by nepostačovaly záruky slabší než předchozí soudní příkaz. Možným kompromisem by snad mohl být příkaz státního zástupce, podobně jako jej připouští návrh nařízení o evropských předávacích a uchovávacích příkazech. Případně by pro ESLP mohly být zřejmě akceptovatelné i nějaké jiné mechanismy, například že k dožádání by sice policie mohla přistupovat samostatně, nicméně existoval by nějaký systém dodatečné kontroly. Lze si povšimnout, že ve svých rozsudcích ve věcech Szabó a Vissy proti Maďarsku, č. 37138/14, a Kennedy proti Spojenému království, č. 26839/05, se vyslovil v tom směru, že povolování tajného sledování jiným než soudním orgánem je v zásadě možné, pokud se jedná o orgán dostatečně nezávislý na moci výkonné. V oblastech, kde dochází k rozsáhlým zásahům do práv jednotlivců a v nichž je velké riziko zneužití, které ohrožuje demokracii jako takovou, by pak podle ESLP měla být účinná kontrola nad výkonem pravomocí výkonné moci zásadně prováděna, a to alespoň v konečné instanci, nezávislými a nestrannými soudy, které jsou v nejlepším postavení k tomu, aby posoudily striktní nezbytnost zásahu. Není ovšem přitom nutné, aby se jednalo o povolování ex ante, protože i následný soudní dohled může zhojit předchozí nedostatky povolení.¹⁴ Jestliže ESLP akceptuje v případě Spojeného království odposlechy bez předchozího povolení soudu, byť odposlech je institutem jistě nesrovnatelně více zasahujícím do sféry osob než pouhé dožádání nějaké informace, jež se týká dané osoby, pak je namístě rozsudek Benedik proti Slovinsku zřejmě interpretovat tak, že určité další záruky by zřejmě bylo vhodné de lege ferenda pro užívání dožádání implementovat, nemusely by však být až tak zásadního charakteru, bezpochyby ne nutně v podobě bezpodmínečného předchozího souhlasu soudce.

Kdo má u sebe věc důležitou pro trestní řízení, je povinen ji na vyzvání předložit OČTŘ; je-li ji nutné pro účely trestního řízení zajistit, je povinen věc na vyzvání těmto orgánům vydat. Nebude-li vydána, může dojít k uložení pokuty podle § 66 TrŘ (nikoliv ovšem osobě, proti které se řízení vede) nebo odnětí věci. Policejní orgán potřebuje k vydání příkazu k odnětí věci předchozí souhlas státního zástupce, ledaže jej nelze dosáhnout a věc nesnese odkladu.

V rámci počítačové kriminality lze takto bezpochyby zajišťovat osobní počítače, servery, mobilní telefony, tablety, datová úložiště, switche, routery, tiskárny, harddisky, flash disky, SIM karty apod.

Byť to není z textu zákona zřejmé na první pohled, věcí zde budou i elektronické materiály a bude možné vyžadovat přenos dat.¹⁵ Opačný výklad by byl neudržitelný, neboť OČTŘ by v podstatě neměl řádný jiný nástroj, jak data získat, než že vždy odejme fyzický nosič, na kterém se nacházejí, což by jednak ani nebylo vždy technicky možné, jednak by to vedlo k větším zásahům do práv osob, které musejí úkon strpět, než je nutné. Překlenout negativa takového výkladu by přitom nebylo možné ani tím, že bychom institut dožádání podle § 8 odst. 1 TrŘ extenzivně vyložili jako použitelný k takovýmto žádostem, neboť tak by sice bylo možné učinit výzvu a ukládat pokuty, ale stále by chyběla možnost přistoupit při nevyhovění výzvě k odnětí dat.

Bez zajímavosti nebude rozlišení použitelnosti institutů podle § 78 až 79 TrŘ oproti dožádání podle § 8 odst. 1 TrŘ. Jak již naznačeno, § 8 odst. 1 TrŘ obsahuje pouze možnost něco vyžadovat, nikoliv však oprávnění v případě nevyhovění výzvě přistoupit k fyzickému odebrání. V každém případě tedy pokud je vyžadováno něco, u čeho následně při nevyhovění výzvě připadá v úvahu fyzické odnětí, mělo by být postupováno podle § 79 TrŘ, nikoliv dožádáním. Dožádání se jeví přiléhavějším používat tehdy, pokud jde o získání určité informace (ať již je uložena kdekoliv a jakkoliv), či pokud je třeba teprve požadované údaje vyhledat (předávaný datový soubor bude teprve vytvářen). Postup podle § 78 až 79 TrŘ bude naproti tomu namístě spíše, pokud mají být žádány nějak vymezené již existující datové soubory, dokumenty.

Podobně jako bylo popsáno u dožádání, existuje u postupu podle § 78 TrŘ varianta výzvy za prolomení utajení či mlčenlivosti souhlasem soudce podle § 8 odst. 5 TrŘ a bez ní (§ 78 odst. 2 TrŘ sice vyznívá, jako by se zde problematika mlčenlivosti týkala pouze hmotných nosičů, různý režim mlčenlivosti pro nehmotná data by však nedával jakýkoliv smysl). Na rozdíl od dožádání zde trestní řád kupodivu neposkytuje výjimku pro získávání věcí od osoby, která je oznamovatelem trestného činu (nějakou obdobu § 8 odst. 4 TrŘ); takovou výjimku zřejmě nebude možné konstruovat ani užitím analogie, neboť analogie v trestním právu procesním je nepřípustná v případech, kdy dochází k zásahu do ústavně zaručených práv a svobod.¹⁶ V ostatním lze v souvislosti s utajením, mlčenlivostí a souhlasem soudce dále odkázat na to, co k ní již bylo řečeno výše v souvislosti s § 8 odst. 1 a 5 TrŘ, neboť se to zde uplatní obdobně.

Nevyhovění dožádání podle § 8 odst. 1 TrŘ nebo výzvě k vydání věci podle § 78 TrŘ může být trestáno pokutou. Ta může být uložena do částky 50 000 Kč. Takováto maximální výše pokuty se jeví pro některé případy jako hrubě nedostatečná. Je pozoruhodné, že pokud by nějaká z velkých společností porušila ustanovení GDPR o ochraně osobních údajů, může být podle tohoto nařízení pokutována do výše 20 000 000 eur. Naproti tomu pokud by kupříkladu stejné porušení osobních údajů bylo šetřeno OČTŘ jako trestná činnost, mohou si tyto vynucovat součinnost třebas po stejně velké společnosti jen pokutou do výše cca jedné desetitisíciny této částky. Byť jde samozřejmě do jisté míry o srovnání hrušek s jablky (v jednom případě jde o konečný trest, ve druhém o nespolupráci při šetření), uvedený nepoměr je zjevně nepřiměřený. V případech počítačové kriminality je otázka dostatečnosti sankce dosti relevantní, neboť v oblasti informačních technologií a uchovávání dat působí řada obrovských nadnárodních společností. Ty navíc nejsou ke spolupráci se státními orgány příliš nakloněny, ba přistupují k žádostem se značnou libovůlí a s diskriminačním přístupem k jednotlivým státům.¹⁷

Pokutu nelze uložit osobě, proti které se trestní řízení vede, s cílem přinutit ji k nějakému aktivnímu jednání. Jednalo by se totiž o donucování k poskytnutí důkazů proti sobě samotnému, zakázané čl. 37 odst. 1 a čl. 40 odst. 4 Listiny.¹⁸ V českém právním prostředí je tak zcela nemyslitelné nutit podezřelého například ke spolupráci na dešifrování dat, která mu byla zajištěna.

Domovní prohlídka je prohlídkou v bytě nebo v jiné prostoře sloužící k bydlení nebo v prostorách k nim náležejících (obydlí); může být nařízena jen soudcem. Prohlídka jiných prostor a pozemků je prohlídkou prostor nesloužících k bydlení (jiných prostor) a pozemků, pokud nejsou veřejně přístupné. Na rozdíl od domovní prohlídky může být provedena i bez předchozího nařízení soudce, pokud vydání příkazu nelze předem dosáhnout a věc nesnese odkladu (zde je však nutné souhlas soudce získat dodatečně, jinak by byl výsledek prohlídky nepoužitelný), nebo pokud uživatel dotčených prostor s ní písemně vysloví souhlas. Osobní prohlídku může v přípravném řízení nařídit státní zástupce nebo s jeho souhlasem policejní orgán, v dalších fázích trestního procesu soudce, popřípadě ji lze provést i bez takového příkazu či souhlasu, pokud jich nelze dosáhnout a věc nesnese odkladu, anebo jestliže jde o osobu přistiženou při činu nebo o osobu, na kterou byl vydán příkaz k zatčení, a dále u osoby zadržené, zatčené či vzaté do vazby též tehdy, je-li tu podezření, že má u sebe zbraň nebo jinou věc, jíž by mohla ohrozit život nebo zdraví vlastní nebo cizí.

Příkazy k prohlídkám v sobě automaticky zahrnují jak výzvu k vydání věci doličné, tak i příkaz k jejímu odnětí; žádný další příkaz soudce v těchto souvislostech, například k prolomení mlčenlivosti, již není nezbytný. Výjimkou je pouze případ možného výskytu dokumentů obsahujících skutečnosti, na něž se vztahuje advokátní mlčenlivost, pro který platí speciální úprava podle § 85b TrŘ zahrnující možnost rozhodnutí soudce vyššího soudu.

Dané prohlídky lze samozřejmě využít k hledání důkazních pramenů o počítačové kriminalitě, jako jsou datové nosiče, počítače, mobilní telefony atd. V zájmu přiměřenosti míry zásahu do práv subjektů dotčených prohlídkami by při nich mělo být preferováno stažení dat před zabavením celých zařízení. Opačný přístup by mohl vést až k naprostému ochromení jejich fungování a následně k požadavkům na náhradu škody vůči státu.

Zajímavou otázkou je, zda OČTŘ mohou při prohlídce zajistit i data ze vzdálených úložišť (tzv. cloudu), která najdou připojená v prostoru prohlídky. Autoři Hlaváčová a Chorvát se domnívají, že nikoliv. Argumentují, že cloudové úložiště fungující na oddělených serverech samo o sobě tvoří další počítačový systém. Výklad, podle kterého je součástí jednoho počítačového systému další propojený počítačový systém, by prý vedl k nepřijatelným důsledkům, kdy ad absurdum by měl policista z jednoho legálně zajištěného počítačového systému pachatele přístup do všech dalších propojených počítačových systémů jednotlivců, ba ke všem počítačům zapojeným do globální sítě internet. Uvádějí, že v neprospěch extenzivního výkladu hovoří čl. 19 dost. 2 Úmluvy o počítačové kriminalitě, stanovující povinnost zakotvit pro OČTŘ, které prohledávají nebo podobným způsobem získávají přístup k počítačovému systému a mají důvod k přesvědčení, že hledaná data jsou uložena v jiném počítačovém systému na území státu a legálně přístupná z původního systému, možnost urychleně rozšířit prohlídku (či jiný přístup) i na tento druhý systém. Cloud a původní počítač tak totiž podle Úmluvy netvoří jeden počítačový systém. Jelikož cloudové úložiště je samostatným počítačovým systémem, podle uvedených autorů přístup OČTŘ k němu vyžaduje oddělený zajišťovací úkon.¹⁹

Uvedená argumentace se však jeví jako velmi nepřesvědčivá. Určitá míra samostatnosti cloudového úložiště zde přeci není nijak klíčovou vlastností, když stejně dobře, ba lépe, lze poukazovat na jeho současnou integrovanost. Stěží lze pominout, že základním rysem diskutovaného cloudového úložiště je právě naopak jeho připojenost do prostoru prohlídky. V dané věci ve skutečnosti není vůbec podstatné, zda cloudové úložiště budeme chápat jako do určité míry samostatný počítačový systém či nikoliv. Při prohlídkách může být nalezena celá řada zařízení, z nich každé může být vůči dalším samostatné a prohlídka se jich bude týkat. Není příliš jasné, co mají autoři na mysli tím, že při opačném výkladu by měl policista přístup ke všem počítačům na internetu; přístup bude mít jednoduše jen k tomu cloudovému úložišti, jež je připojené do prostoru podléhajícího prohlídce. Pokud snad poukazovali na možnost policistů na prohlížených počítačích surfovat po internetu, tento aspekt je bezpředmětný, neboť u veřejných dat k jejich prohlížení ani policisté žádné povolení nepotřebují. Výklady argumentem ad absurdum bývají mimochodem ošidné, neboť předkládají situaci, která ve skutečnosti není předmětem posouzení. Poukaz autorů na čl. 19 odst. 2 Úmluvy o počítačové kriminalitě je pak až bizarní, nebo jde přesně proti smyslu daného ustanovení. Možnost urychleného rozšíření prohlídky předepsaná Úmluvou přeci právě svědčí o tom, že při jejím provádění by mělo být možné ji rozšířit i na cloudové úložiště bez nějakých dalších formalit. Celá Úmluva byla vypracována a formulována za tím účelem, aby postih trestné činnosti umožnila a zefektivnila, nikoliv naopak. Interpretace, že pokud při provádění prohlídky bude nalezen přístup ke vzdálenému úložišti, bude nutné sepsat návrh na soud a vyčkat jeho rozhodnutí, je přesně tím, čemu se snaží čl. 19 odst. 2 Úmluvy zabránit a jak by praxe neměla vypadat; je nasnadě, že obsah vzdáleného úložiště by po vzniklé časové prodlevě byl začasté již zcela znehodnocen. Navíc i kdyby čl. 19 odst. 2 o možnosti přístupu ke vzdálenému úložišti bez samostatného příkazu nesvědčil, v každém případě by nemohl svědčit o opaku, neboť, jak zdůrazňováno i důvodovou zprávou k Úmluvě,²⁰ pokud strany Úmluvy půjdou v usnadnění stíhání počítačové kriminality nad její rámec, Úmluva to nezapovídá, nýbrž se k tomu nijak nevyjadřuje (čl. 39 odst. 3). Též si možno povšimnout, že český trestní řád obecně nepreferuje řetězení příkazů k zajišťovacím institutům, nýbrž naopak to, že v jednom příkazu bývá implicitně zahrnut i příkaz navazující; to je zřejmé již ze zmíněné obecně přijímané skutečnosti, že příkazy k prohlídkám implicitně zahrnují jak výzvu k vydání věci doličné, tak i příkaz k jejímu odnětí, byť to trestní řád nijak výslovně nestanoví. Odkázat lze i na mezinárodní srovnání – úpravu v čl. 57-1 francouzského Code de procédure pénale, která přístup ke vzdáleným úložištím z prostor prohlídky umožňuje zcela výslovně.

Co je ve skutečnosti relevantní, je formulace příkazu k samotné prohlídce; z jeho textu je třeba dovozovat jeho šíři. V tomto směru by pro předejití pochybnostem bylo zřejmě vhodnější v něm v případě potřeby výslovně uvést, že se prohlídka vztahuje právě i na vzdálená úložiště. Obecně však lze uzavřít, že stažení dat z cloudu přístupného z prostoru prohlídky oddělený zajišťovací úkon nevyžaduje, snad s výhradou určitých pochybností při existenci mezinárodního prvku, které se však nacházejí již mimo rozsah tohoto příspěvku.

Pokračování příště