zákon č. 150/2021 Sb.

Poznámka k obecné části: V souladu s čl. 9 odst. 3 Legislativních pravidel vlády jsou dále uvedené kapitoly I. až III. a V. až IX. obsahově rozpracovány v Závěrečné zprávě z hodnocení dopadů regulace k návrhu zákona, následující text je proto nutné vnímat jako základní informaci o vztahu přípravy a stavu předkládaného normativního textu o oblastech, jež jsou označeny názvy příslušných kapitol obecné části důvodové zprávy; tyto kapitoly jsou tedy shrnutím zpracovatelského přístupu a obecným odůvodnění návrhu zákona, kterým se mění zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a některé další zákony (dále jen „návrh zákona“).

I. Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

I. 1 Zhodnocení východisek pro předložení návrhu zákona

Vláda České republiky svým usnesením ze dne 25. května 2015 č. 382 schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020. Jedná se o strategii státu pro zajišťování kybernetické bezpečnosti, v rámci které byl Vojenskému zpravodajství jako součásti Ministerstva obrany uložen úkol připravit návrh normativního řešení vytvoření podmínek kybernetické obrany České republiky

Strategie přisuzuje odpovědnost za plnění Vojenskému zpravodajství v případě 8 úkolů (na dalších 20 se spolupodílí). Základní úkol spočíval ve vytvoření Národního centra kybernetických operací (NCKO) – původní název byl Národní centrum kybernetických sil, které má provádět široké spektrum operací v kyberprostoru a aktivity nutné pro zajištění kybernetické obrany ČR. Stěžejní úkol pro Vojenské zpravodajství však spočívá v plném zajišťování kybernetické obrany skrze kooperaci NCKO s Národním úřadem pro kybernetickou

1)

a informační bezpečnost (NÚKIB), který vykonává i roli vládního CERT, národním CERT a ostatními pracovišti typu CERT/CSIRT. Pro potřeby plné funkčnosti NCKO byl pro Vojenské zpravodajství stanoven i úkol připravit návrh nutných legislativních změn.

Před stanovením těchto úkolů se důkladně vyhodnotil stávající i žádoucí právní a skutkový stav. Těchto jednání se účastnili představitelé NBÚ (dnešního NÚKIB), zpravodajských služeb a ostatních relevantních institucí. Výsledkem byla koncepce systému kybernetické bezpečnosti ČR v gesci nově vzniklého NÚKIB a jako nejvhodnější institucí pro zajišťování kybernetické obrany bylo určeno právě Vojenské zpravodajství.

Na plnění jednotlivých úkolů začalo Vojenské zpravodajství pracovat již v průběhu roku 2015 vytvořením studie proveditelnosti vybudování NCKO (samotné centrum následně vzniklo v roce 2016) a prvním návrhem nutných legislativních a organizačních změn.

Výsledný legislativní návrh Ministerstva obrany byl v roce 2016 připraven ve spolupráci s MV, NBÚ, ÚZSI, BIS a ČTÚ. Prošel připomínkovým řízením a vláda jej schválila na svém jednání dne 5. října 2016 usnesením č. 870. V rámci Poslanecké sněmovny byl tento návrh ve

1) Computer Emergency Response Team – „Skupina pro reakci na počítačový stav nouze“.

druhém čtení výbory pro obranu i bezpečnost navržen ke schválení (ve znění pozměňovacích návrhů). Z důvodu předčasného rozpuštění sněmovny však nebyl zákon přijat.

Legislativní proces k návrhu doprovázela široká diskuze, neboť vyvstaly otázky ohledně dostatečných záruk pro ochranu soukromí a osobních údajů fyzických osob. Jako problémový pak byl shledán rovněž způsob řešení svěření provádění kybernetické obrany do výlučné působnosti Vojenskému zpravodajství mimo rámec jemu svěřené působnosti zpravodajské služby, tedy mimo rámec činností prováděných podle § 2 zákona č. 153/1994 Sb., o zpravodajských službách České republiky, jímž je stanoveno, že zpravodajské služby jsou státní orgány pro „získávání, shromažďování a vyhodnocování informací důležitých pro ochranu ústavního zřízení, významných ekonomických zájmů, bezpečnost a obranu České republiky“.

Stávající návrh zákona je proto v zájmu splnění úkolu uloženého Ministerstvu obrany usnesením vlády České republiky ze dne 25. května 2015 č. 382, ale především k naplnění vládou stanovené koncepce zajišťování obrany České republiky v kybernetickém prostoru, za níž nese odpovědnost, předkládán opakovaně, avšak významně přepracován; rovněž na tomto vypracování znění předkládaného návrhu zákona se podílely všechny zpravodajské služby, NÚKIB a NBÚ.

V souvislosti s přípravou návrhu zákona byla velká pozornost věnována také ochraně základních lidských práv a svobod a možnostem provedení krátkodobých a přiměřených zásahů do nich v případě zabezpečování obrany České republiky v kybernetickém prostoru, resp. pro případy provádění cílené detekce jevů nasvědčujících existenci kybernetického útoku nebo hrozby, jejich identifikace a vyhodnocování. Návrh zákona zohledňuje požadavky na ochranu ústavně garantovaných práv na ochranu soukromí a informačního sebeurčení, stejně jako na ochranu před neoprávněnými zásahy do osobních údajů. V tomto smyslu byly návrhem zákona vytvořeny potřebné záruky fyzickým osobám tak, aby možnost případného zásahu do této sféry vždy odpovídala ústavně aprobovanému veřejnému zájmu na zajišťování obrany České republiky, kterému koneckonců odpovídá také jedna ze základních povinností státu (k tomu viz čl. 1 ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky - „Zajištění svrchovanosti a územní celistvosti České republiky, ochrana jejích demokratických základů a ochrana životů, zdraví a majetkových hodnot je základní povinností státu.“). Ve spolupráci s Ministerstvem spravedlnosti byl návrh zákona podroben pečlivému vyhodnocení jeho souladu s existující judikaturou Evropského soudu pro lidská práva v této oblasti, stejně jako byla zohledněna judikatura, jejímž zdrojem jsou soudy české a pro danou oblast zejména pak soud ústavní.

Vypracovaný návrh v nutném rozsahu doplňuje systém obecné (kybernetické) bezpečnosti a obecné obrany státu takovým způsobem, že se jedná o řešení navazující na limity působnosti ostatních státních orgánů, především NÚKIB, armády, zpravodajských služeb a Policie ČR. To vše bez nutnosti vyhlášení mimořádných stavů či omezení běžného života občanů.

Pro zhodnocení východisek pro potřeby předložení navrhovaného zákona je vhodné zdůraznit, že kybernetická bezpečnost představuje aktivitu státu, kterou chrání informační a komunikační systémy (sítě, systémy, počítače, databáze, datová centra atd.) napříč nejrůznějšími odvětvími společnosti. V tomto smyslu je koncept kybernetické bezpečnosti obecného charakteru a zahrnuje velké množství preventivních, proaktivních a reaktivních činností, které provádí především gestor kybernetické bezpečnosti v ČR – NÚKIB.

V některých případech však může docházet k tak závažným kybernetickým incidentům, resp. útokům (např. sofistikované útoky ze zahraničí cíleně určené k poškození státu), že na ně nemůže NÚKIB adekvátně reagovat. V takových případech je mnohdy potřeba aktivovat prvky obrany, potažmo nasazení aktivních kybernetických kapacit i vojenského charakteru, které NÚKIB, jakožto ústřednímu správnímu úřadu nepřísluší.

NÚKIB a jeho specializované pracoviště vládní CERT má v těchto krizových situacích odlišnou roli, analogickou se zdravotnickými zařízeními v dobách válečného konfliktu. Vládní CERT se zaměřuje na oběti kybernetických útoků a incidentů v České republice a snaží se jim v dobách krize pomáhat a podporovat je v opětovném zabezpečení svých informačních a komunikačních systémů. Při boji s kybernetickými hrozbami se tedy nezaměřuje přímo na útočníka. Působí proti němu především pomocí přijímání bezpečnostních opatření u subjektů, které chrání.

Činnosti, které by mělo NCKO vykonávat oproti tomu budou značně rozdílné od nastavování bezpečnostních standardů, kontrolního dozoru, ale i administrativně-právního vynucování jejich dodržování. Obrana státu v kybernetickém prostoru musí být komplexním systémem opatření, která umožňují, aby stát byl schopen aktivně odvrátit nejzávažnější kybernetické útoky ohrožující jeho základní fungování a podstatu. Zásadní roli zde hrají schopnosti umožňující aktivně zasáhnout proti kybernetickému útoku, přičemž za současného stavu žádná státní instituce pro to nedisponuje adekvátními oprávněními. Bylo proto nutné připravit legislativní podmínky umožňující odhalit, identifikovat a vyhodnotit kybernetický útok a v případě nutnosti aktivně odvrátit ty nejzávažnější z nich.

I. 2 Zhodnocení platného právního stavu

Cílem návrhu zákona je i v tomto případě umožnit splnění úkolu C. 9.01 uvedeného Akčního plánu, tedy zajistit podmínky výkonu kybernetické obrany, kterou doposud ve svém důsledku žádný státní orgán nevykonává, což bylo vyhodnoceno jako systémový nedostatek, a vybudování Národního centra kybernetických sil v rámci Vojenského zpravodajství.

Po vyhodnocení právního a skutkového stavu možností implementace sledovaného cíle do právního řádu České republiky bylo konstatováno, že normativní řešení vládou České republiky představuje promítnutí předmětného zadání do těchto právních předpisů:  zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, a  zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.  zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů.

Při přípravě návrhu zákona bylo nutné zejména uspokojivě vyřešit postavení Vojenského zpravodajství jako jedné ze zpravodajských služeb České republiky, jemuž vláda České republiky přiznala roli při zajišťování obrany České republiky, přestože nepatří mezi ozbrojené síly České republiky.

Podle § 5 odst. 4 zákona č. 153/1994 Sb. sice zpravodajské služby mohou plnit také další úkoly, pokud tak stanoví zvláštní zákon nebo mezinárodní smlouva, jíž je Česká republika vázána, je však zřejmé, že i takto ukládané úkoly nemohou překročit zákonný rámec účelu, k němuž jsou zpravodajské služby České republiky zřizovány (viz § 2 zákona č. 153/1994 Sb.).

Tento stav však neznamená, že úkol zadaný vládou České republiky je neřešitelný a že – aniž by byly porušeny požadavky na dodržení ústavnosti právního řádu – by bylo nemožné předpokládanou zákonnou úpravu zpracovat a předložit ji k posouzení do legislativního procesu.

K tomu, aby bylo možné při dodržení ústavnosti realizovat vládou České republiky uložené úkoly, je nutné detailně vyhodnotit existující právní rámec zajišťování obrany České republiky jako jedné ze základních funkcí státu a určení subjektů, které jsou k výkonu souvisejících činností zmocněny.

Základní – a pro řešení zcela rozhodující – je úprava podmínek zajišťování bezpečnosti České republiky, provedená ústavním zákonem č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. 300/2000 Sb. Podle čl. I tohoto ústavního zákona je „zajištění svrchovanosti a územní celistvosti České republiky, ochrana jejích demokratických základů a ochrana životů, zdraví a majetkových hodnot základní povinností státu“. Podle čl. 3 odst. 1 citovaného ústavního zákona jsou výkonem této povinnosti státu pověřeny ozbrojené síly, ozbrojené bezpečnostní sbory, záchranné sbory a havarijní služby, čímž je provedena limitace postavení Vojenského zpravodajství pro zajišťování „kybernetické obrany“, neboť ustanovení § 3 odst. 1 a 2 zákona č. 219/1999 Sb., o ozbrojených silách České republiky, stanoví, že „k zajišťování své bezpečnosti vytváří Česká republika ozbrojené síly, které se člení na armádu, Vojenskou kancelář prezidenta republiky a Hradní stráž“.

Pro předkládanou úpravu pak bylo důležité vyhodnotit také to, že „kybernetická obrana“ v rámci zajišťování obrany (tedy vnější bezpečnosti) České republiky není specifická, souběžně působící struktura nad standardní obranou státu, ale její nedílná součást, byť vlivem rozvoje moderních komunikačních technologií a služeb součást novější a specificky technologicky vybavená a zejména působící v nestandardním prostředí sítí a služeb elektronických komunikací. I přes tato specifika je však na kybernetickou obranu nutno pohlížet jako na standardní součást obrany státu ve smyslu § 2 odst. 1 zákona č. 222/1999 Sb., o zajišťování obrany České republiky, tedy jako na součást „souhrnu opatření k zajištění svrchovanosti, územní celistvosti, principů demokracie a právního státu, ochrany života obyvatel a jejich majetku před vnějším napadením“. Obrana státu zahrnuje výstavbu účinného systému obrany státu, přípravu a použití odpovídajících sil a prostředků a účast v kolektivním obranném systému a v tomto smyslu rovněž kybernetická obrana musí podléhat jednotnému koncepčnímu řízení, plánování a strategii, stejně jako platí, že v uvedeném smyslu za její přípravu a zajišťování odpovídá vláda České republiky (§ 4 zákona č. 222/1999 Sb.).

Současný právní řád však umožňuje, aby se Vojenské zpravodajství na zajišťování „obrany státu v kybernetickém prostoru“ podílelo, navzdory tomu, že není ozbrojenou silou a že rámec účelu zřízení zpravodajských služeb jako státních orgánů pro „získávání, shromažďování a vyhodnocování informací důležitých pro ochranu ústavního zřízení, významných ekonomických zájmů, bezpečnost a obranu České republiky“ by mohl sám o sobě aktivní podíl na zajišťování obrany České republiky vylučovat. Nositelem této možnosti je ustanovení čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb., které stanoví, že „státní orgány, orgány územních samosprávných celků a právnické a fyzické osoby jsou povinny se podílet na zajišťování bezpečnosti České republiky; rozsah povinností a další podrobnosti stanoví zákon.“.

Navrhovaná právní úprava tedy není ničím jiným, než provedením již platné zákonné úpravy tím, že stanoví rozsah povinností Vojenského zpravodajství, kterými se do budoucna bude podílet na zajišťování obrany státu, a to s konkrétním vymezením tohoto podílu vzhledem k zajišťování obrany státu v kybernetickém prostoru. Stejně tak jsou

návrhem zákona stanovovány podrobnosti, jimiž se upřesňují podmínky výkonu takto Vojenskému zpravodajství ukládaných povinností, a to včetně stanovení vnějších vazeb garantujících začlenění kybernetické obrany do celého kontextu zajišťování obrany a bezpečnosti České republiky, stanovení garancí pro ochranu soukromí a osobních údajů pro oblast detekování a vyhodnocování definovaných jevů v oblasti veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací a kontrolních mechanismů poskytujících záruky proti zneužití takto Vojenskému zpravodajství svěřených pravomocí nebo případnému zabránění svévolného jednání tam, kde je nutné důsledně zvažovat proporcionalitu mezi prosazením bytostného zájmu státu a mezi ústavně garantovanými základními právy a svobodami fyzických osob.

Pokud tedy bylo zajištěno právní řešení předpokladů pro to, aby Vojenské zpravodajství bylo plně legitimováno pro výkon činností, jimiž se podílí na zajišťování obrany České republiky v kybernetickém prostoru, je zřejmé, že veškeré další legislativní práce jsou směřovány nikoliv využitím analogií s postupy Vojenského zpravodajství jako zpravodajské služby, ale jsou přímo určeny „zmocněním“ pro stanovení podmínek, jimiž se má příslušný státní orgán podílet na zajišťování obrany České republiky, obsaženém v čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb. v tomto znění: „Státní orgány, orgány územních samosprávných celků a právnické a fyzické osoby jsou povinny se podílet na zajišťování bezpečnosti České republiky. Rozsah povinností a další podrobnosti stanoví zákon.“.

I. 3 Zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti

mužů a žen

Právní úprava podmínek zajišťování jedné ze základních povinností státu při zajištění svrchovanosti a územní celistvosti České republiky, ochrany jejích demokratických základů a ochrany životů, zdraví a majetkových hodnot je v současné době upravena systémem právních předpisů souhrnně označovaných jako tzv. „systém branné legislativy“, který byl pro každou ze svých součástí, ale i jako celek, podroben důkladné analýze, zda jím nastavované instituty a procesy odpovídají zásadám vyloučení diskriminace a zachování principů rovnosti žen a mužů. To se týká podmínek zajišťování obrany státu s tím, že ve vztahu k Vojenskému zpravodajství platí nepochybně to samé, avšak pro existující právní úpravu, která se zabývá regulací činnosti Vojenského zpravodajství jako zpravodajské služby, nikoliv jako státního orgánu, který se podílí na zajišťování obrany státu - v této oblasti se navrhuje právní úprava zcela nová, která však princip nediskriminace důsledně dodržuje, přičemž je třeba konstatovat, že nebyly zjištěny důvody, které by objektivně ospravedlňovaly porušení této zásady.

II. Odůvodnění hlavních principů navrhované úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Základním zpracovatelským principem pro tento návrh je vytvořit právní úpravu zcela odpovídající zásadám demokratického právního státu, tedy při dosažení sledovaného účelu stanovení rozsahu činností Vojenského zpravodajství, jimiž se bude podílet na zajišťování obrany České republiky v kybernetickém prostoru, a to při zachování záruk ochrany jednotlivce před projevy libovůle ze strany veřejné moci tak, jak je uvedeno v kapitole I. 2 části I. obecné důvodové zprávy. Návrhem zákona je tak předkládána právní úprava zcela ústavně slučitelná, jednoznačná a pro uživatele předvídatelná, která vytváří jak potřebné podmínky významné podpory zajišťování kybernetické obrany České republiky a potřebné vazby mezi státními orgány tam, kde detekované a identifikované jevy v kybernetickém prostoru budou vypovídat o přesahu oblasti obrany České republiky a oblasti zajišťování její vnitřní bezpečnosti, ale také dostatečné záruky pro stanovení povinností a ochranu práv třetích osob. V této oblasti je v potřebném rozsahu a při využití vhodných a nejméně invazivních prostředků právní úprava navržena tak, aby respektovala práva a právem chráněné zájmy jak provozovatelů veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací, tak ochrany základních práv a svobod fyzických osob pro oblast ochrany soukromí a osobních údajů, a to při zachování základního účelu navrhované regulace, tedy vytvořit pro stát dostatečně efektivní podmínky, jejichž prostřednictví naplňuje svoji základní povinnost, tedy zajišťování obrany České republiky.

Návrh zákona se přitom významně odklonil od koncepce návrhu zákona, který projednala a schválila vláda České republiky dne 5. října 2016 usnesením č. 870, a to především v postavení Vojenského zpravodajství při výkonu činností, k nimž bylo pověřeno za účelem zajišťování obrany České republiky v kybernetickém prostoru. Návrh zákona již nestaví Vojenské zpravodajství do role „nestandardní součásti“ systému zajišťování obrany státu, když plně respektuje zákonnou úpravu provedenou zákonem č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, která jeho ustanovením § 3 odst. 1 stanoví, že „k zajišťování své bezpečnosti (v daném kontextu vnější bezpečnosti, tedy obrany) vytváří Česká republika ozbrojené síly“; v odstavci 2 téhož ustanovení je pak uvedeno, že „ozbrojené síly České republiky se člení na armádu, Vojenskou kancelář prezidenta republiky a Hradní stráž“. Návrh zákona svou koncepcí vylučuje, že by mohl být považován za nepřímou novelizaci zákona č. 219/1999 Sb., když jednoznačně určuje, jaké je postavení Vojenského zpravodajství v rámci zajišťování obrany České republiky v kybernetickém prostoru.

V této souvislosti bylo nutné se vypořádat s tím, že provádění kybernetické obrany svou povahou přesahuje obecně vymezené úkoly Vojenského zpravodajství jako zpravodajské služby, neboť provádění kybernetické obrany by alespoň v určitém rozsahu bylo aktivní činností přesahující rámec zabezpečování informací. Zákon o zpravodajských službách sice těmto službám umožňuje výkon dalších činností, pokud je ukládá jiný zákon, avšak tyto činnosti nesmí překročit rámec činností zpravodajských obecně vymezených v zákoně o zpravodajských službách, tedy rámec „získávání, shromažďování a vyhodnocování informací důležitých pro ochranu ústavního zřízení, významných ekonomických zájmů, bezpečnost a obranu České republiky“. K tomu je využito čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb. tak, jak je uvedeno v kapitole I. Toto řešení postavení Vojenského zpravodajství koresponduje s účelem zadání vyplývajícím z usnesení vlády České republiky ze dne 25. května 2015 č. 382, kterým vláda schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 a současně uložila Ministerstvu obrany úkol předložit návrh normativního řešení vytvoření podmínek kybernetické obrany České republiky.

S uvedenou úpravou je pak nedílně spojená úprava začlenění zajišťování obrany státu v kybernetickém prostoru do celkového systému obrany a bezpečnosti České republiky, a to jednak v rámci plánování obrany státu Ministerstvem obrany, jednak v nastavení vazeb vůči dalším nositelům povinností při zajišťování obrany a bezpečnosti státu tak, aby byla zajištěna komplexní ochrana kybernetického prostoru ve všech sledovaných aspektech a za tímto účelem využito synergického účinku společného působení sil a prostředků Armády České republiky a Národního úřadu pro kybernetickou a informační bezpečnost.

Navrhovaná úprava pak v sobě při zajištění věcných aspektů kybernetické obrany současně vychází z nezbytnosti zajistit proporcionalitu mezi svěřenými nástroji a opatřeními jejího výkonu a dostatečnými zárukami proti jejich zneužití (pro jiné účely nebo proti nežádoucímu osobnímu nebo časovému rozsahu jejich účinků). Připravovaný právní rámec proto poskytuje záruky bránící jejímu zneužití, a to jednak v rámci jejího začlenění do podmínek a systému zajišťování obrany České republiky, jednak jednoznačným a předvídatelným nastavením rozsahu a podmínek detekování a vyhodnocování definovaných jevů v kybernetickém prostoru, pro které platí přísnější mantinely a právní limity, než je tomu u zpravodajské činnosti.

Navrhovaná úprava s vědomím toho, že se jedná o oblast mimořádně citlivou z hlediska nastavení vztahů mezi státem a provozovateli sítí a služeb elektronických komunikací, ale především z hlediska případných zásahů do soukromí nebo práva na ochranu osobních údajů, řeší jednoznačným, předvídatelným způsobem také pravidla pro ukládání povinností uvedeným podnikatelům i zásady, jimiž musí být zajištěna garance uvedených lidských práv, popřípadě na jejichž základě mohou být tato práva prolomena v zájmu zajištění plnění základních povinností státu s přihlédnutím k proporcionalitě těchto zájmů a ochraně demokratických principů a vyloučení svévole užití svěřených oprávnění nad stanovený zákonný rámec.

Návrhem zákona je prováděna úprava, jejímž účelem není přímo zasahovat do základních lidských práv a svobod, ale v kontextu závěrů Evropské soudu pro lidská práva skýtá potenciál pro to, že by se tak v některých případech mohlo stát (k tomu viz výše – omezení základních lidských práv a svobod v zájmu zajišťování obrany státu). Návrh zákona proto pro tyto případy jednoznačně respektuje nároky, které jak judikatura Ústavního soudu České republiky, tak judikatura Evropského soudu pro lidská práva klade na zpracování právních předpisů, u kterých se předpokládá nebo lze dovodit případný zásah do základních lidských práv a svobod. Navrhovaná legislativní opatření omezující rozsah ochrany základních lidských práv a svobod, v daném případě práva na soukromí a informační sebeurčení a práva na ochranu osobních údajů, vychází ze skutečnosti, že toto omezení je objektivně nezbytné, přiměřené a úměrné opatření pro zajištění obrany České republiky, přičemž je vždy využito v nejnižší možné míře.

Navrhovaná úprava proto striktně pro tato omezení sleduje vládou České republiky zadaný účel zajišťování obrany České republiky v kybernetickém prostoru a vymezuje rozsah opatření, a to včetně doby jejich působení, přezkumu skutečností vedoucích k zásahu do základních práv a stanovením několikastupňové kontroly na úrovni vládních institucí, ale i na nich nezávislého subjektu.

III. Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku

Formálním důvodem zpracování návrhu zákona je – jak je již uvedeno v kapitole I. – usnesení vlády České republiky ze dne 25. května 2015 č. 382, kterým vláda schválila Akční plán k Národní strategii kybernetické bezpečnosti České republiky na období let 2015 až 2020 a současně uložila Ministerstvu obrany úkol předložit návrh normativního řešení vytvoření podmínek kybernetické obrany České republiky. Tento úkol i přes ukončený legislativní proces k původnímu návrhu zákona trvá, a to s akcentací veřejného zájmu na zajištění kompletní bezpečnosti kybernetického prostoru, v němž spolu s dynamickým nárůstem technologií vzrůstá jednak rozsah služeb a nabídek uživatelského prostředí, ale současně také rizika jeho zneužití. Vláda České republiky svým usnesením současně do jisté míry určila jednoho z hlavních nositelů zajišťování kybernetické obrany, i když je jí beze sporu stále nutné vnímat jako součást obrany státu jako takové, včetně uplatnění zásad odpovědnosti za její přípravu a zajišťování (podle § 4 zákona č. 222/1999 Sb. je jejím nositelem vláda České republiky) nebo její plánování [podle § 6 odst. 1 písm. b) a c) zákona č. 222/1999 Sb. je jejím nositelem Ministerstvo obrany, které „odpovídá za proces plánování obrany státu a koordinuje jeho přípravu a za plánování a zabezpečení operační přípravy státního území, doplňování ozbrojených sil a mobilizaci ozbrojených sil“].

Právním důvodem pro zcela nevyhnutelné zajištění účelu sledovaného usnesení vlády České republiky ze dne 25. května 2015 č. 382 formou přijetí zákona je provedená věcná a právní analýza možností řešení dané věci tak, jak je nastíněna v kapitole I., která prokázala, že pro splnění všech věcných a organizačních nároků na splnění vládou České republiky zadaného úkolu je naprosto nevyhnutelné zohlednit také veškeré aspekty legitimity výkonu předpokládaných činností, a to včetně mantinelů možností omezení základních práv a svobod, což nelze provést jinak, než provedením zákonné úpravy (k tomu viz čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb. a § 53 odst. 6 zákona č. 222/1999 Sb.). Nezbytnost přijetí právní úpravy je tedy vyvolána požadavkem na její provedení vyplývající z jiných právních předpisů, v daném případě ústavním zákonem č. 110/1998 Sb. a zákonem č. 222/1999 Sb., a to s využitím možnosti „pověření“ Vojenského zpravodajství jako státního orgánu s postavením jednotné ozbrojené zpravodajské služby České republiky podílením se na zajišťování obrany České republiky výlučně za podmínek stanovených v čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb.; návrhem zákona jsou tedy ukládány související povinnosti a stanovován jejich rozsah, stejně jako podrobnosti jejich výkonu, a rovněž jsou stanovována opatření k zajištění ochrany základních lidských práv a svobod.

IV. Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky

Potřeba navrhované úpravy vyplývá ze skutečností uvedených v kapitole I., když je zřejmé, že návrh zákona je zákonem vydávaným za účelem sledovaným v čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb. a formálně sleduje i zmocnění pro naplnění tohoto účelu stanovené týmž ustanovením. Soulad s právními předpisy souboru tzv. branné legislativy byl zajištěn analýzou vztahu návrhu zákona k zákonu č. 222/1999 Sb. a k zákonu č. 219/1999 Sb.

Při zpracování návrhu byla rovněž důsledně respektována zásada, že státní moc lze uplatňovat jen v případech, v mezích a způsoby, které stanoví zákon.

Je nicméně nezbytné, aby samotný výkon takové obrany, tedy výkon státní moci, byl normován zákonem, a to zejména v případech, kdy by při výkonu takové obrany bylo zasahováno do základních lidských práv a svobod. Ústava České republiky vyžaduje, aby působnost správních úřadů, a obecně vzato i jiných státních orgánů, byla stanovena zákonem. Z tohoto důvodu jsou návrhem zákona Vojenskému zpravodajství pro činnosti vykonávané ve prospěch zajišťování kybernetické obrany stanovovány meze, které garantují vyloučení svévole při užití svěřených pravomocí; navrhovanou úpravu je také nutné vnímat v kontextu důsledného oddělení výkonu zpravodajské činnosti a činností, jimiž se Vojenské zpravodajství bude podílet na zajišťování obrany České republiky v kybernetickém prostoru, s jediným překryvem využíváním informací, které díky své zpravodajské činnosti získá a které vypovídají o skutečnostech ohrožujících důležité zájmy státu.

V zájmu zajištění jednoznačných a odpovídajících předpokladů pro provádění detekce a identifikace vytipovaných jevů v rámci provozování veřejných sítí elektronických komunikací nebo poskytování veřejně dostupných služeb elektronických komunikací jsou návrhem zákona stanovena pravidla, která umožní Ministerstvu obrany na návrh Vojenského zpravodajství ukládat povinnosti provozovatelům veřejných komunikačních sítí nebo poskytovatelům veřejně dostupných služeb elektronických komunikací; takto ukládaná povinnost je však provázaná s předcházející analytickou činností Vojenského zpravodajství, ale také komunikací s příslušnou podnikající fyzickou nebo právnickou osobou provozující veřejnou síť elektronických komunikací nebo poskytující veřejně dostupnou službu elektronických komunikací tak, aby ukládaná povinnost byla v co nejmenší kolizi s právy a povinnostmi těchto osob.

I v tomto případě je úprava provedena tak, aby respektovala ústavní zásady, v daném případě zásadu, „že nikdo nesmí být nucen činit, co zákon neukládá“; proto je zákonem upraveno, jaké povinnosti budou právnickým a fyzickým osobám v souvislosti s plněním úkolů kybernetické obrany uloženy a pravidla pro stanovení, za jakých podmínek a v jaké lhůtě má být povinnost splněna, stejně jako časové období, ve kterém je povinna činnost Vojenského zpravodajství, jíž se bude podílet na zajišťování obrany České republiky, strpět. Formálně má uložení povinnosti podobu rozhodnutí vydaného ve správním řízení a uvedené skutečnosti jsou stanoveny jako nedílné součásti jeho obsahu.

Navrhovaný zákon nemá umožnit Vojenskému zpravodajství zasáhnout do základních

práv a svobod a soukromé sféry osob ve větší míře, než je to nezbytné pro plnění funkce státu zajistit jeho obranu, a to navíc s přihlédnutím k tomu, že pro tyto případy nebude vykonávat působnost zpravodajské služby. Vojenské zpravodajství nově vystupuje v roli státního orgánu podílejícího se na zajišťování obrany České republiky v kybernetickém prostoru. V kontextu uvedeného je třeba vnímat návrhem zákona konstituované činnosti Vojenského zpravodajství jako nedílnou součást zajišťování obrany České republiky, a tedy režimově podřízené zákonu č. 222/1999 Sb. se stanovením úpravy specifické úpravy tam, kde se jedná o zcela mimořádné podmínky zajišťování obrany České republiky vzhledem ke zvláštnostem kybernetického prostoru.

Návrh zákona primárně nepřepokládá trvalé ani průběžné zasahování do základních lidských práv a svobod, chráněných zejména ustanoveními čl. 7 a čl. 10 odst. 2 a 3 Listiny základních práv a svobod, čl. 8 Evropské úmluvy o ochraně lidských práv a základních svobod a čl. 17 Mezinárodního protokolu o občanských a politických právech, i když ve smyslu dynamicky se vyvíjející judikatury Evropského soudu pro lidská práva nelze potenciální možnost takového zásahu spolehlivě vyloučit (viz zejména Benedik proti Slovinsku, č. 62357/14, rozsudek ze dne 24. dubna 2018, kde ESLP dovodil, že také informace spjaté s IP adresou obsahují řadu informací o osobě, která ji využívá, a proto spadají pod široký pojem soukromého života ve smyslu čl. 8 Evropské úmluvy).

Evropský soud pro lidská práva však současně připustil, že jím stanovené přísné standardy, které se uplatňují v případech tajného sledování osob prostřednictvím telefonních odposlechů (viz zejména Lambert proti Francii, č. 23618/94, rozsudek ze dne 24. srpna 1998; Amann proti Švýcarsku, č. 27798/95, rozsudek ze dne 16. února 2000; Malone proti Spojenému království, č. 8691/79, rozsudek ze dne 2. srpna 1984; Huvig proti Francii, č. 11105/84, rozsudek ze dne 24. dubna 1990; Pruteanu proti Rumunsku, č. 30181/05 a další, rozsudek ze dne 3. února 2015), prostorové odposlechy (Khan proti Spojenému království, č. 35394/97, rozsudek ze dne 12. května 2000; Bykov proti Rusku, č. 4378/02, rozsudek velkého senátu ze dne 10. března 2009; Savovi proti Bulharsku, č. 7222/05, rozsudek ze dne 27. listopadu 2012; P.G. a J.H. proti Spojenému království, č. 44789/98, rozsudek ze dne 25. září 2001) či prolamováním listovního tajemství a zásahy do elektronické korespondence (Klass a další proti Německu, č. 5029/71, rozsudek pléna ze dne 6. září 1978; Copland proti Spojenému království, č. 62617/00, rozsudek ze dne 3. dubna 2007; Kennedy proti Spojenému království, č. 26839/05, rozsudek ze dne 18. května 2010) se neuplatní se stejnou tvrdostí na jiné techniky sledování, které svou povahou zasahují do soukromého života dotčených osob v nesrovnatelně nižší intenzitě (viz zejména Uzun proti Německu, č. 35623/05, rozsudek ze dne 2. září 2010, § 66, kde se ESLP zabýval sledováním vozidla prostřednictvím GPS). V těchto případech bude proto zpravidla postačovat, pokud právní úprava stanoví nižší úroveň záruk proti svévoli (srov. a contrario Szabó a Vissy proti Maďarsku, č. 37138/14, rozsudek ze dne 12. ledna 2016; Roman Zakharov proti Rusku, č. 47143/06, rozsudek velkého senátu ze dne 4. prosince 2015).

Cílem detekce a identifikace definovaných jevů v kybernetickém prostoru v žádném případě není narušovat soukromí nebo tajemství zpráv a – to je třeba zdůraznit – rozhodně neopravňují Vojenské zpravodajství sledovat obsah komunikace konkrétních osob (pro tento typ jednání nadále a výhradně platí pravidla pro použití zpravodajské techniky), ale pouze signalizovat určité přesně definované negativní jevy související s kybernetickým prostorem (k nástrojům detekce blíže viz zvláštní část důvodové zprávy). Ve smyslu shora citované judikatury ESLP proto právní úprava detekce a identifikace definovaných jevů v kybernetickém prostoru nemusí splňovat všechny přísné požadavky, na nichž by bylo třeba bezvýhradně trvat v případě jiných skutečně invazivních prostředků tajného sledování. Bylo-li by na základě těchto signálů nutné zaměřit se na konkrétní osoby a jejich chování v kybernetickém prostoru, bude tak činěno v rozsahu povolení na zpravodajskou techniku tak jako dosud. Platná právní úprava přitom skýtá záruky proti svévoli, které lze ve světle citované judikatury považovat za dostatečné. Provádění detekce a identifikace definovaných jevů je přitom zásadní pro zajišťování činností, jimiž se Vojenské zpravodajství má podílet na zajišťování obrany České republiky v kybernetickém prostoru, protože není jiná možnost včas a v potřebném rozsahu identifikovat určité jevy, jež mohou nasvědčovat přípravě kybernetického útoku či dokonce již jeho průběhu.

Pro každý zásah do základních práv a svobod platí obecná zásada, že k němu může dojít pouze za podmínky, že ochrany tohoto jiného zájmu nelze dosáhnout šetrnějším způsobem. Omezení, resp. zásah do těchto práv může být připuštěn pouze za účelem ochrany jiného zájmu, který bude shledán v konkrétní věci důležitějším. Evropská úmluva dovoluje zásahy do práva na respektování soukromého a rodinného života, obydlí a korespondence v případech, kdy je to v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných.

Ústavní soud České republiky používá k poměření těchto zájmů tzv. test proporcionality (viz např. nález Ústavního soudu České republiky Pl. ÚS 24/10 ze dne 23. března 2011 nebo Pl. ÚS 45/17 ze dne 22. května 2019). Při něm jsou postupně posuzována tři kritéria. Prvním je

kritérium vhodnosti, tj. odpověď na otázku, zdali institut, omezující určité základní právo,

umožňuje dosáhnout sledovaný cíl (ochranu jiného základního práva). Zde je potřeba si uvědomit, že návrh zákona tak, jak je formulován, nepochybně povede ke zvýšení míry bezpečnosti České republiky a jejích občanů, a to při deklarování jednoznačných, předvídatelných a vymahatelných pravidel v souvislosti s tím vytvářeného systému ochrany základních lidských práv a svobod, včetně stanovených mantinelů pro případy, kdy tato

2)

nedistributivnípráva a mezinárodní závazky České republiky mohou být omezeny.

2) Srov. oponentní posudek Pavla Holländera k nálezu pléna Ústavního soudu ze dne 3.4.1996, č.j. Pl.ÚS 32/95, 112/1996 Sb., N 26/5 SbNU 215, dostupný z: www.nalus.usoud.cz: „Ústavní úprava postavení jedince ve společnosti obsahuje ochranu individuálních práv a svobod, jakož i ochranu veřejných statků (public goods, Dosavadní zkušenosti ukazují, že kybernetické útoky se stávají stále závažnější hrozbou, přičemž je nezbytné, aby stát byl pokud možno připraven jim čelit, což lze v případě nejzávažnějších kybernetických útoků zajistit jen předběžným budováním kapacit schopných se s takovými útoky vypořádat. Návrh zákona vychází z aktuálního vývoje v oblasti budování orgánů pro zabezpečování kybernetické obrany a vybírá tak ty nejefektivnější nástroje obrany kybernetického prostoru při zachování minimální zátěže směrem k osobám soukromého práva. Lze proto konstatovat, že určení jednoho státního orgánu odpovědným za zajišťování kybernetické obrany a jeho vybavení nezbytnými prostředky pro plnění tohoto úkolu, při poměrně malém omezení základních práv a svobod výměnou za ochranu jiných, významných práv a svobod, je vhodné řešení.

Druhým kritériem poměřování základních práv a svobod je kritérium potřebnosti,

spočívající v porovnávání legislativního prostředku, omezujícího základní právo resp. svobodu, s jinými opatřeními, umožňujícími dosáhnout stejného cíle, avšak nedotýkajícími se základních práv a svobod. Návrh zákona bude omezovat, byť ne více než dosud, právo vlastnit majetek a právo na soukromí, to ale v zájmu zajištění výkonu práva na informační sebeurčení a práva na osobní bezpečnost. V tomto případě má návrh zákona jasně vymezený účel, který spočívá v zabezpečení kybernetického prostoru, tj. v zabezpečení fungování služeb informační společnosti, ať soukromých nebo veřejných. Právě prostřednictvím těchto služeb, tj. jejich dostupnosti, spolehlivosti a bezpečnosti, lze v době rostoucího významu informační společnosti svobodně realizovat právo na informační sebeurčení. Obecným cílem zákona pak je zajistit prostřednictvím obrany kybernetického prostoru fungování státu ve všech jeho aspektech a jeho bezpečnost, což je povinností státu a což samozřejmě umožňuje občanům faktický výkon jejich práva na informační sebeurčení, ale i dalších práv a svobod. Jelikož je nezpochybnitelné, že kybernetické útoky se stávají stále závažnější hrozbou, je potřebnost opatření kybernetické obrany a tím zajištění fungování státu i jeho občanů v kybernetickém prostoru zřejmá. Vedle závazků České republiky plynoucích z členství v mezivládních organizacích představuje zásadní důvod k úpravě kybernetické bezpečnosti (to i včetně shora uvedeného omezení vlastnického práva) základní princip mezinárodního práva, tj. povinnost bdělosti (due diligence). Je v tomto směru jen otázkou času, kdy začne Mezinárodní soudní dvůr řešit odpovědnost státu za jednání, kterého se sice stát sám neúčastní, ale které je mu přičitatelné, neboť má původ v jeho suverénní doméně. Typicky tak může dojít k situaci, kdy budou zneužity počítače na území České republiky k útoku na cizí stát (takové případy se u rozsáhlých útoků vyskytují běžně) – Česká republika, přestože útok neorganizuje ani se na něm nepodílí, může být pohnána k odpovědnosti za to, že takovému útoku, byť k tomu měla prostředky (nebo je měla mít), účinně nezabránila.

Třetím kritériem je porovnání závažnosti obou v kolizi stojících základních práv.

V posuzovaném případě jedním z nich je právo na soukromí a na tajemství dopravovaných zpráv, na druhé straně pak právo na informační sebeurčení a na bezpečnost. Ke střetu obdobných práv se vyjádřil Ústavní soud v nálezu sp. zn. Pl. ÚS 11/2000 takto: „Ústavní soud zastává názor, že při střetu uvedených dvou hodnot nelze přirozeně abstrahovat

kolektive Gütter). Rozdíl mezi nimi spočívá v jejich distributivnosti. Pro veřejné statky je typické, že prospěch z nich je nedělitelný a lidé nemohou být vyloučeni z jeho požívání. Příklady veřejných statků jsou národní bezpečnost, veřejný pořádek, zdravé životní prostředí. Veřejným statkem se tudíž určitý aspekt lidské existence stává za podmínky, kdy není možno jej pojmově, věcně i právně rozložit na části a tyto přiřadit jednotlivcům jako podíly. (-) Pro základní práva a svobody je, na rozdíl veřejných statků, typická jejich distributivnost. Aspekty lidské existence, jakými jsou např. osobní svoboda, svoboda projevu, účast v politickém dění a s tím spjaté volební právo, právo zastávat veřejné funkce, právo sdružovat se v politických stranách atd., lze pojmově, věcně i právně členit na části a tyto přiřadit jednotlivcům.“.

od bezpečnostních zájmů státu, které je třeba respektovat. Je totiž zřejmé, že výše definovaný státní zájem představuje zájem existenční, který legitimizuje určité omezení privátní sféry jedince; ostatně ve svém důsledku je to stát, jenž postavení jedince chrání. Jestliže Ústavní soud judikoval, že ústava moderního demokratického právního státu představuje společenskou smlouvu, založenou na minimálním hodnotovém a institucionálním konsensu (srov. nález sp. zn. Pl. ÚS 33/97, in: Ústavní soud ČR: Sbírka nálezů a usnesení, sv. 9, str. 407), lze pod tímto pojmem mimo jiné chápat jak zájem státu, tak i jím chráněných osob na jeho vlastní bezpečné existenci; k ochraně tohoto zájmu musí stát disponovat příslušnými nástroji. Jedním z nich je i oblast ochrany utajovaných skutečností.“. Nález se týkal ochrany utajovaných informací, ale lze jej použít i při obdobném střetu v předmětné oblasti zajišťování kybernetické obrany. I zde může docházet k obdobnému střetu práva jedince s právem státu a jeho občanů. Stát musí mít možnost disponovat též nástroji k zajištění své obrany.

Navrhovaná úprava bezprostředně nezasahuje negativně do práva na informační sebeurčení člověka, neboť primárně nezasahuje do obsahové stránky komunikace a nezakládá ani přímé pravomoci státu direktivně zasahovat do běžného života informační společnosti

– návrh zákona tedy nepředpokládá žádný státní zásah do soukromí uživatelů při zajišťování kybernetické obrany a v zásadě ani do jejich možností komunikovat prostřednictvím služeb informační společnosti. Právo na informační sebeurčení člověka je naopak návrhem zákona zpracováno jako hodnota, k jejíž ochraně návrh zákona primárně směřuje.

Výše zmíněný zásah do vlastnického práva soukromoprávních subjektů je ve struktuře proporcionality odůvodněn z hlediska vhodnosti, a to jako jediné možné řešení kybernetické obrany, dané nutností umístění nástrojů detekce na určených bodech veřejných sítí elektronických komunikací. Toto řešení je však spojeno jednak se stanovením doby působení zásahu, možnostmi dovolat se přezkoumání takového zásahu, refundací souvisejících vynaložených nákladů, ale také právním nárokem na náhradu škody způsobené činností Vojenského zpravodajství, jíž se podílí na zajišťování obrany České republiky, nebo v souvislosti s ní, a to ve zvláštním procesním režimu, který poskytuje záruky jeho věcné i časové efektivnosti. Pokud jde o potřebnost, provedenými studiemi a konzultacemi nebylo zjištěno alternativní řešení, které by mohlo naplnit základní cíl záměru, tj. obranu kybernetického prostoru. Byť je většina provozovatelů veřejných sítí elektronických komunikací a poskytovatelů veřejně dostupných služeb elektronických komunikací nepochybně sama vedena zájmem na existenci opatření, díky nimž je garantována bezpečnost České republiky, včetně zabezpečení její obrany v kybernetickém prostoru, tedy bezpečnost „jejich podnikatelského prostředí“. Návrh zákona provozovatele veřejných sítí elektronických komunikací a poskytovatele veřejně dostupných služeb elektronických komunikací dále k nezbytné součinnosti motivuje ekonomickými stimuly (jen fungující síť může generovat ekonomický efekt), a to včetně finanční úhrady vynaložených nákladů.

Zásah do vlastnického práva je tedy co do své intenzity ve zřejmém nepoměru s rizikem zásahu do distributivních i nedistributivních práv, k jejichž ochraně zákon vzniká. Povinnost umožnit nasazení nástrojů detekce, nad to za náhradu, tak zdaleka nedosahuje intenzity rizik ekonomických ztrát, společenských otřesů nebo ztráty mezinárodní důvěryhodnosti České republiky, ani hrozby případného narušení např. právě práva na informační sebeurčení osob. Povinnosti zamýšlené tímto zákonem jsou tedy plně odůvodněny chráněnými zájmy a omezují své adresáty jen v naprosto nezbytně nutné míře. Lze tedy konstatovat, že navrhovaná úprava je vyvážená.

Vzhledem k tomu, že návrh zákona, jak je uvedeno shora, přináší jen minimum povinností osobám soukromého práva, nezatěžuje jejich právo na informační sebeurčení (tj. předkládaný návrh nedává státním orgánům nové právo zasahovat do soukromí ani do aktivní komunikace uživatelů služeb informační společnosti) a naopak zvyšuje míru ochrany základních práv (včetně práva na informační sebeurčení) a nedistributivních veřejných statků (např. kybernetické bezpečnosti), lze konstatovat, že vyhovuje požadavkům ústavní proporcionality, a je tedy ústavně konformní.

Právní úprava je navrhována tak, aby byla v souladu se zásadami zákonnosti, legitimity cílů a přiměřenosti zásahu do základních práv a svobod. Předkládaný návrh zákona směřuje k tomu, aby stát zajistil informace o činnostech, které ohrožují jeho bezpečnost, aby byl připraven detekovat aktivity, jež ohrožují jeho bezpečnost, a v rámci možností byl schopen se jim bránit nebo alespoň minimalizovat následky.

Lze tedy konstatovat, že navrhovaná právní úprava je v souladu s ústavním pořádkem České republiky.

V. Zhodnocení slučitelnosti navrhované právní úpravy s právem Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie

Poznámka ke kapitole V.: V zájmu komplexnosti posuzování návrhu zákona z hlediska účelu této

kapitoly obecné části důvodové zprávy a postižení potřebných souvislostí je dále provedeno vyhodnocení také ve vztahu k judikatuře ESLP, které věcně náleží pod obsah kapitoly VI. Z hlediska komplexnosti vyhodnocení a posouzení dané problematiky je proto nutné vnímat kapitoly V. a VI. obecné části důvodové zprávy jako zpracovatelsky propojené.

Základní právním aktem EU regulujícím kyberprostor je směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii, která je plně transponovaná do vnitrostátního právního řádu, a to zejména prostřednictvím zákona č. 181/2014 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů.

Cíle předloženého návrhu zákona se však týkají oblasti zajišťování obrany České republiky, a to jak v rámci stanovení jednoho z opatření definičně tvořících pojem „obrana České republiky“, tak, jak je stanoven v § 2 odst. 1 zákona č. 222/1999 Sb. Toto opatření je pak účelem zaměřeno na kybernetický prostor, v němž – i přes jeho specifičnost – musí být na stejné úrovni jako v ostatních případech – zajištěna svrchovanost, územní celistvost a demokratické základy České republiky, tedy její obrana (viz § 16a odst. 1 návrhu zákona). Tuto oblast je nutné podřadit pod pojem národní bezpečnosti, jak ho zná právo EU. Klíčovým ustanovením je čl. 4 odst. 2 Smlouvy o Evropské unii, který stanoví, že Unie respektuje základní funkce státu, zejména ty, které souvisejí se zajištěním územní celistvosti, udržením veřejného pořádku a ochranou národní bezpečnosti. Zejména národní bezpečnost zůstává výhradní odpovědností každého členského státu.

Uvedený koncept odpovědnosti členského státu za oblast národní bezpečnosti nachází svůj odraz také v sekundárním právu EU. Z oblasti ochrany údajů lze zmínit například nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které se nevztahuje na národní bezpečnost, jak stanoví bod 16. preambule a čl. 2 odst. 2 písm. a) nařízení. Obdobně směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002 o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (směrnice o soukromí a elektronických komunikacích), v konsolidovaném znění, v bodě 11. preambule a v čl. 1 odst. 3 vylučuje použitelnost na oblast národní bezpečnosti (zde „bezpečnosti státu“). Pro návrh zákona proto pro případy zpracovávání osobních údajů plně dopadá hlava IV - OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZAJIŠŤOVÁNÍ OBRANNÝCH A BEZPEČNOSTNÍCH ZÁJMŮ ČESKÉ REPUBLIKY - zákona č. 110/2019 Sb., o zpracování osobních údajů, když návrh zákona je pro tyto účely doplněn pouze o výslovné stanovení nemožnosti slučovat zpracovávané údaje pro jiné účely, než je zajišťování činností, jimiž se Vojenské zpravodajství podílí na zajišťování obrany České republiky v kybernetickém prostoru.

Jak je již uvedeno v předcházejících částech obecné části důvodové zprávy k návrhu zákona, návrh zákona nepředpokládá pro zajišťování předmětných činností Vojenských zpravodajstvím průběžné zpracovávání osobních údajů, taková situace by však mohla vzniknout v souvislosti s vyhodnocováním sledovaných jevů v kybernetickém prostoru. Doba uchovávání takových údajů je pak přesně určena účelem jejich zpracování a ten je zase určen ochranou veřejného zájmu na zajištění obrany státu, v daném případě v kybernetickém prostoru. I na tento omezený rozsah zpracování lze uplatnit pravidla, jež lze dovodit na úrovni EU ze směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených a zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, jimiž je poskytovatelům veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí uloženo uchovávat údaje – provozní a lokalizační údaje o právnických a fyzických osobách – s cílem zajistit jejich dostupnost pro účely vyšetřování, odhalování a stíhání závažných trestných činů.

Byť činnosti Vojenského zpravodajství, jimiž se budou podílet na zajišťování obrany České republiky v kybernetickém prostoru, nemají stejný účel, jako uložená povinnost uchovávat provozní a lokalizační údaje, neboť jsou určeny k přímému, aktivnímu vyhodnocení předem deklarovaného jedinečného účelu, kterým je zajišťování obrany České republiky, bylo nutné při zpracování jednotlivých ustanovení návrhu zákona pozorně přihlížet také k tomu, že uvedená směrnice byla Soudním dvorem EU v rozsudku ze dne 8. dubna 2014 ve věcech C- 293/12 a C-594/12 Digital Rights Ireland Ltd shledána neplatnou pro rozpor s čl. 7 a 8 Listiny základních práv EU. Uvedený rozsudek upozorňuje na limity úpravy uchovávání provozních a lokalizačních údajů, jak vyplývají z Listiny základních práv EU, a z Evropské úmluvy o ochraně lidských práv. Uvedený rozsudek poukazuje například na vyhodnocení odůvodněnosti zásahu do zaručených práv (zejména do práva na ochranu osobních údajů a do práva na respektování soukromého života), nezbytnosti a přiměřenosti zásahu, na potřebu jasných a přesných pravidel pro rozsah a použití dotčeného opatření s cílem poskytnout dostatečné záruky umožňující účinně se chránit proti zneužití údajů a protiprávnímu přistupování a využívání, rozporuje globální osobní rozsah působnosti opatření a jeho bezvýjimečnost, neomezení počtu osob, které mají oprávnění k přístupu a využití uchovávaných údajů či absenci povinnosti uchovávat údaje na území Unie (k tomu viz vyhodnocení provedené v kapitole I. 2 části I. obecné části důvodové zprávy).

Navrhovaná úprava z hlediska práva Evropské unie spadá pod pojem tzv. národní bezpečnosti, o němž Smlouva o Evropské unii výslovně stanoví v čl. 4 odst. 2 větě poslední, že „zejména národní bezpečnost zůstává výhradní odpovědností každého členského státu“. Pojem národní bezpečnosti se dotýká ochrany samotných základů státu, tedy ochrany před činnostmi ohrožujícími nebo narušujícími takové hodnoty jako jsou ústavní zřízení, významné ekonomické zájmy, bezpečnost a obrana státu. Tento pojem je třeba považovat za zvláštní vůči obecnému pojmu bezpečnosti, který je součástí prostoru svobody, bezpečnosti a práva a který se týká předcházení trestným činům nebo správním deliktům, jejich odhalování a objasňování (srov. hlavu V Smlouvy o fungování Evropské unie – Prostor svobody, bezpečnosti a práva) – v této oblasti Evropská unie naopak s členskými státy část pravomocí sdílí [čl. 4 odst. 2 písm.

j) Smlouvy o fungování Evropské unie].

Smlouva o EU se obrany členských států dotýká v čl. 42 a následujících, týkajících se společné bezpečnostní a obranné politiky. Příprava členských států k obraně, včetně obrany v kybernetickém prostoru, bude-li v souladu se společnou obrannou a bezpečnostní politikou EU, nemůže v takovém případě být v rozporu s právem EU. V tomto smyslu lze o návrhu zákona učinit první dílčí závěr, že návrh je s právem EU slučitelný.

Současně je však třeba zkoumat, zda navrhovaná úprava poskytuje dostatečné jistoty pro to, aby mohla být označena za plně slučitelnou s čl. 7 (respektování soukromého a rodinného života) a čl. 8 (ochrana osobních údajů) Listiny základních práv EU. Soudní dvůr Evropské unie rozsudkem Digital Rights Ireland Ltd ze dne 8. 4. 2014 prohlásil v případě stanovení směrnice o data retention za neplatnou, že „samotná efektivní úprava cíle sledovaného ve veřejném zájmu (v případě směrnice harmonizace úpravy data retention na poli boje proti závažné trestné činnosti), ani takový cíl sám o sobě nemůže odůvodnit, aby opatření týkající se všech prostředků elektronické komunikace a spočívající v uchovávání údajů téměř celé evropské populace bylo považováno za nezbytné. Soudní dvůr Evropské unie vyslovil požadavek cílené souvislosti mezi uchovávanými údaji a ohrožením veřejné bezpečnosti (údaje vztahující se k určitému časovému období, určité zeměpisné oblasti nebo okruhu určitých osob, jež mohou být jakýmkoli způsobem zapojeny do závažné trestné činnosti, anebo k osobám, které by prostřednictvím uchovávání jejich údajů mohly z jiných důvodů přispívat k boji proti závažné trestné činnosti). Návrh zákona v tomto smyslu požadavek Soudního dvora Evropské unie respektuje, když vylučuje plošné uchovávání údajů nijak nevymezeného okruhu fyzických osob. Návrh zákona naopak nepředpokládá, že by detekcí a identifikací kybernetického prostoru byly sledovány údaje o fyzických osobách, popřípadě obsahy jejich zpráv, nýbrž stanoví, že detekovány budou jevy, které nasvědčují ohrožení důležitých zájmů státu, tedy výlučně jen zadané charakteristiky sledovaných jevů. V případě, že by tyto charakteristiky vedly ve svých souvislostech ke konkrétní fyzické osobě, pak by Vojenské zpravodajství přestalo působit jako státní orgán, který se podílí na zajišťování obrany státu, ale pro shromažďování informací by plnilo standardní úkoly zpravodajské služby, a to s využitím standardních postupů a techniky, tedy s nutným přivolením soudu k takovému shromažďování údajů na základě existující právní úpravy.

Při posuzování slučitelnosti navrhované právní úpravy s právem Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie pak byl využit také rozsudek Soudního dvora Evropské unie ve věci Tele2 Sverige AB ze dne 21. 12. 2016, jímž byly zodpovězeny předběžné otázky Velké Británie a Švédska ohledně výkladu čl. 15 odst. 1 e-privacy směrnice v souvislosti se zneplatněním směrnice o data retention a z toho plynoucích důsledků pro vnitrostátní právní úpravy členských států. Podle čl. 15 odst. 1 e-privacy směrnice členské státy mohou přijmout legislativní opatření omezující rozsah ochrany osobních údajů ve smyslu směrnice, představuje-li omezení v demokratické společnosti nezbytné, přiměřené a úměrné opatření pro zajištění národní bezpečnosti (tj. bezpečnosti státu), obrany, veřejné bezpečnosti a pro prevenci, vyšetřování, odhalování a stíhání trestných činů nebo prevenci neoprávněného použití elektronického komunikačního systému. Soudní dvůr Evropské unie uvedl, že citované ustanovení, umožňující členským státům výjimku z pravidla poskytování ochrany osobním údajům, je třeba vykládat restriktivně, tedy nelze akceptovat stav, kdy se z výjimky stane pravidlo, jako je tomu v případě plošného a nevýběrového uchovávání velkého množství dat. Vnitrostátní právní úprava musí podle

SDEU účinně vymezovat vztah mezi údaji, které mají být uchovávány, a sledovaným účelem, tj. musí umožňovat účinné vymezení rozsahu opatření (okruh osob z řad veřejnosti,

jejichž údaje mohou vykázat minimálně nepřímou souvislost se závažnou trestnou činností, nebo mohou přispívat k boji proti ní a k předcházení závažného ohrožení veřejné bezpečnosti). Pro tyto případy je návrh zákona koncipován zcela jednoznačně, a to způsobem provádění detekce a identifikace s využitím nástroje detekce, jehož funkčnost je limitována ukazateli útoků a hrozeb; účel – tedy zajišťování kybernetické obrany České republiky pak při poměřování veřejného zájmu na plnění základní funkce státu vymezuje ty případy, kdy by mohlo dojít také ke zpracování předmětných údajů, nikoliv však jako „bezbřehá“ činnost, ale jako výsledek vyhodnocení detekovaných a identifikovaných jevů s charakteristikami zadání ukazatelů hrozeb nebo útoku.

Při přípravě návrhu zákona bylo ve světle shora uvedeného a v souladu s nálezem Ústavního soudu České republiky Pl.ÚS 45/217 ze dne 22. května 2019 nutné posoudit, zda a jakým způsobem bude probíhat detekce a identifikace jevů ohrožujících důležité zájmy státu v kybernetickém prostoru. Návrh zákona předpokládá kontinuální detekci uvedených jevů z nástrojů detekce umístěných na vybraných veřejných sítích elektronických komunikací; přitom se nejedná o preventivní vyhodnocování těchto jevů, ale o vyhodnocování v aktuálním čase s cílem včas a v potřebném rozsahu reagovat na vyhodnocený útok nebo hrozbu. Vzhledem k tomu, že jevy ohrožující důležité zájmy státu v kybernetickém prostoru nelze detekovat jiným způsobem, návrh zákona pouze kodifikuje tento způsob v rámci stanovení „podmínek pro provádění činností, jimiž se má Vojenské zpravodajství podílet na zajišťování obrany České republiky v kybernetickém prostoru“ (viz čl. 3 odst. 2 ústavního zákona č. 110/1998 Sb.). Zákonnost detekce je tedy zřejmá s tím, že po omezenou dobu lze připustit pouze uchovávání dat a informací, které jsou určeny k vyhodnocení a stanovení opatření k odvrácení kybernetického útoku nebo hrozby.

K právu na soukromí v podobě práva na informační sebeurčení podle čl. 10 odst. 3

Listiny základních práv a svobod našel návrh zákona inspiraci v rozhodnutí Spolkového ústavního soudu SRN ze dne 15. 12. 1983, BVerfGE 65, 1 (Volkszählungsurteil) nebo ze dne 4. 4. 2006, BVerfGE 115, 320 (Rasterfahndungurteil II)], ve kterém se uvádí, že v moderní společnosti, charakterizované i obrovským nárůstem informací a dat, musí být ochrana jednotlivce před neomezeným sběrem, uchováváním, užitím a zveřejňováním dat o její/jeho osobě a soukromí poskytována v rámci obecnějšího, ústavně garantovaného práva jednotlivce na soukromí. Pokud jednotlivci nebude garantována možnost hlídat a kontrolovat obsah i rozsah osobních dat a informací jím poskytnutých, jež mají být zveřejněny, uchovány nebo použity k jiným než původním účelům, nebude-li mít možnost rozpoznat a zhodnotit důvěryhodnost svého potenciálního komunikačního partnera a případně tomu uzpůsobit i své jednání, pak nutně dochází k omezení až potlačování jeho práv a svobod, a nelze tak již nadále hovořit o svobodné a demokratické společnosti. Právo na informační sebeurčení je tak nezbytnou podmínkou nejen pro svobodný rozvoj a seberealizaci jednotlivce ve společnosti,

nýbrž i pro ustavení svobodného a demokratického komunikačního řádu. Zjednodušeně řečeno, v podmínkách vševědoucího a všudypřítomného státu a veřejné moci se svoboda projevu, právo na soukromí a právo svobodné volby chování a konání stávají prakticky neexistujícími a iluzorními.

Judikatura ESLP [zejména rozhodnutí ve věci Malone proti Spojenému království

(č. 8691/79, rozsudek ze dne 2. 8. 1984)], z čl. 8 Úmluvy, garantujícího právo na respektování soukromého a rodinného života, jakož i obydlí a korespondence, dovozuje i právo na informační sebeurčení. Zdůrazňuje, že sběr a uchovávání údajů týkajících se soukromého života jednotlivce spadají pod rozsah čl. 8 Úmluvy, neboť výraz „soukromý život“ je širokým pojmem, který nesnese vyčerpávající definici. Tato fazeta práva na soukromí tak konzumuje i právo na ochranu před sledováním, hlídáním a pronásledováním ze strany veřejné moci, a to i ve veřejném prostoru či na veřejně přístupných místech. Navíc žádný zásadní důvod neumožňuje vyloučit z pojmu soukromého života aktivity profesní, obchodní či sociální [srov. rozhodnutí ve věci Niemietz proti Německu (no. 13710/88) ze dne 16. 12. 1992]. Jak uvedl ESLP, tato extenzivní interpretace pojmu „soukromý život“ je ve shodě s Úmluvou o ochraně osob se zřetelem na automatizované zpracování osobních dat (vypracovanou Radou Evropy k 28. 1. 1981, v České republice v platnosti od 1. 11. 2001, publ. pod č. 115/2001 Sb. m. s.), jejímž cílem je „zaručit na území každé smluvní strany každé fyzické osobě (...) respektování jejích práv a základních svobod, a zejména jejího práva na soukromý život, v souvislosti s automatizovaným zpracováním údajů osobního charakteru, které se jí týkají (čl. 1), přičemž ty jsou definovány jako jakékoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby (čl. 2).“ [rozhodnutí ve věci Amann proti Švýcarsku (č. 27798/95) ze dne 16. 2. 2000 a tam citovaná judikatura].

Jak je uvedeno v nálezu Ústavního soudu České republiky Pl. US 45/17 ze dne 22. května 2019 ESLP ve své judikatuře k právu na respekt k soukromému životu podle čl. 8 Úmluvy označil za zásahy do soukromí jednotlivců mimo jiné i zásahy v podobě kontroly dat, obsahu pošty a odposlechu telefonních hovorů [srov. rozsudek pléna ve věci Klass a další proti Německu (č. 5029/71) ze dne 6. 9. 1978, rozsudek ve věci Leander proti Švédsku (č. 9248/81) ze dne 26. 3. 1987, rozsudek ve věci Kruslin proti Francii (č.11801/85) ze dne 24. 4. 1990 či rozsudek ve věci Kopp proti Švýcarsku (č. 23224/94) ze dne 25. 3. 1998], zjišťování telefonních čísel telefonujících osob [srov. rozsudek ve věci P. G. a J. H. proti UK (č. 44787/98) ze dne 25. 9. 2001], zjišťování údajů o telefonním spojení (srov. citovaný rozsudek ve věci Amann proti Švýcarsku) nebo uchovávání údajů o DNA jednotlivců v databázích obviněných [srov. rozsudek ve věci S. a Marper proti UK (č. 30562/04 a 30566/04) ze dne 4. 12. 2008]. V rozsudku ve věci Rotaru proti Rumunsku (č. 28341/95) ze dne 4. 5. 2000 ESLP dovodil z práva na soukromý život projevujícího se v podobě práva na informační sebeurčení i pozitivní povinnost státu zlikvidovat data, která o osobě z její soukromé sféry stát shromáždil a zpracoval.

Z judikatury ESLP dále plynou i četné požadavky na kvalitu právní úpravy, jež orgánům výkonné moci přiznává pravomoc uchýlit se k prostředkům tajného sledování obyvatelstva, a to nejen v kontextu trestního řízení, nýbrž podobně i za zpravodajskými a obdobnými účely (viz zejména Szabó a Vissy proti Maďarsku, č. 37138/14, rozsudek ze dne 12. ledna 2016; Roman

Zakharov proti Rusku, č. 47143/06, rozsudek velkého senátu ze dne 4. prosince 2015). V tomto ohledu je proto podstatné, že navrhovaná právní úprava nezakládá oprávnění Vojenského zpravodajství zasahovat prostřednictvím nástrojů detekce do soukromého života dotčených osob ani obsahu jejich korespondence. Proto se na ni citovaná rozhodovací praxe ESLP bez dalšího nevztahuje.

I přesto návrh zákona zřizuje funkci inspektora pro kybernetickou obranu, k němuž se může dovolat každá fyzická osoba, která se cítí být dotčena na svých základních právech činnostmi Vojenského zpravodajství, jimiž se podílí na zajišťování obrany České republiky v kybernetickém prostoru. Bližší podrobnosti k úpravě funkce inspektora pro kybernetickou obranu jsou uvedeny ve zvláštní části důvodové zprávy (jmenování inspektora pro kybernetickou obranu, jeho pravomoci a oprávnění ve vztahu k Vojenskému zpravodajství a návaznost na ostatní kontrolní mechanizmy).

V rámci zkoumání slučitelnosti návrhu zákona s právem Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie, byla

dále posuzována „vhodnost vymezení okruhu orgánů oprávněných k přístupu ke shromažďovaným údajům ve vazbě na stanovení legitimních cílů, jejichž naplnění mají detekované jevy sloužit, včetně stanovení zákonných podmínek a záruk ochrany pro minimalizaci zásahu do základních práv jednotlivců“. Vzhledem k tomu, že návrh zákona

řeší podmínky zajišťování obrany České republiky v kybernetickém prostoru, je zřejmé, že je na tuto úpravu nutné pohlížet v celkovém rámci dalších právních předpisů upravujících postavení ozbrojených sil České republiky, ale především zajišťování obrany České republiky a další. Vymezení okruhu orgánů, které jsou návrhem zákona určeny ke spolupráci nebo součinnosti při zajišťování kybernetické obrany, je proto především nastaveno těmito „jinými právními předpisy“.

Návrh zákona v úpravě jednotlivých práv a povinností vždy důsledně sleduje silný veřejný zájem (plnění základní povinnosti České republiky při zajišťování její obrany, ochrana důležitých zájmů státu ve smyslu § 2 odst. 1 zákona č. 222/1999 Sb.) a jako takové je lze označit za legitimní. Data a informace, jimiž jsou prezentovány vyhodnocované detekované a identifikované jevy v kybernetickém prostoru, nelze získat jiným způsobem, než v kybernetickém prostoru, přičemž návrh zákona nevyužívá jejich plošný monitoring, ale výlučně výběrovou, jednoznačně definovanou detekci. Tato data a informace jako jedině možné mají potřebnou vypovídací hodnotu pro vyhodnocování kybernetických útoků a hrozeb, a tedy umožňují realizaci návrhem zákona stanoveného cíle.

Z hlediska nezbytnosti omezování práva na soukromí ve vztahu ke sledovanému cíli je možné se odkázat na skutečnosti uvedené shora s tím, že pro návrh zákona bylo zvažováno užití prostředků, které pro splnění daného cíle představují nejmenší invazivní zásah, a to právě pro užití nástroje detekce s funkčně omezenými parametry podle zadaných ukazatelů útoků a hrozeb. Z tohoto hlediska je třeba si uvědomit, že v právním řádu České republiky doposud neexistuje úprava, se kterou by bylo možné návrh porovnávat co do využití prostředků detekce a odvracení kybernetických útoků a hrozeb. Důležitou skutečností pak je, že Vojenské zpravodajství jako státní orgán, který se podílí na zajišťování obrany České republiky v kybernetickém prostoru, vyhodnocuje data a informace aktuálně detekované, nikoliv „minulé“ (z povahy věci je zřejmé, že pro zajišťování kybernetické obrany takové data a informace nemají velkou hodnotu).

Předkladatelé návrhu zákona se nemohli vyhnout provedení poměřování dopadů omezení základního práva na soukromí a informační sebeurčení a sledovaných cílů, naplňujících veřejný zájem, v užším slova smyslu. Test proporcionality pro tyto účely klade otázku, zda je dotčený veřejný zájem natolik důležitý, aby ospravedlnil rozsah omezení práva na soukromí a informační sebeurčení potenciální možností rozšíření funkce nástroje detekce, zda nemohla právní úprava omezit zásah do práva na soukromí a informačního sebeurčení více, tedy zda je zákonné nastavení podmínek dostačující, a zda poskytuje dostatek záruk proti zneužití tohoto významného nástroje, aby omezení vyvážila. Oproti standardním právním úpravám je třeba zdůraznit, že vyhodnocována je potenciální možnost takového zásahu, nikoliv běžná činnost Vojenského zpravodajství při zajišťování obrany České republiky v kybernetickém prostoru. Vyvolání této možnosti by bylo nutné spojit s přímým kybernetickým útokem nebo hrozbou a potřebou odvrátit jejich důsledky vysoké intenzity.

Převažující veřejný zájem je tedy zcela zřejmý, když fyzická osoba je současně chráněna nastavenými mechanismy zpětné kontroly; fyzická osoba je tak vůči případné svévoli orgánu veřejné moci nadána účinným prostředkem své obrany.

Součástí návrhu zákona je rovněž úprava ukládání povinnosti právnickým a podnikajícím fyzickým osobám provozujícím veřejné sítě elektronických komunikací nebo poskytujících veřejně dostupnou službu elektronických komunikací zřídit rozhraní pro umístění nástroje detekce v těchto sítích. I v daném případě je úprava provedena jednoznačně, předvídatelně a aplikačně v rozsahu šetřícím práva a právem chráněné zájmy těchto osob, neboť povinnost je ukládána formou rozhodnutí vydaného ve správním řízení, ve kterém je stanovena doba takového zásahu (6 měsíců s možností jejího prodloužení), stejně jako lhůta, ve které má být rozhraní zpřístupněno.

Návrh zákona na základě provedeného vyhodnocení naplňuje požadavky kladené na zajištění souladu s právem EU, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie a lze ho aplikovat ústavně konformním způsobem, tedy tak, aby byla maximálně šetřena práva jednotlivců, garantovaná články 10 a 13 Listiny.

VI. Zhodnocení souladu navrhované úpravy s mezinárodními smlouvami, jimiž je Česká republika vázána

Poznámka ke kapitole VI.: Kapitola VI. obecné části důvodové zprávy je zpracována jako obsahový

dodatek ke kapitole V., ve které je zapracována judikatura ESLP, byť by jinak náležela pod tuto kapitolu věnovanou slučitelnosti s mezinárodními závazky České republiky.

Navrhovaná úprava není v rozporu s mezinárodními smlouvami, jimiž je Česká republika vázána. Zároveň je ovšem třeba poznamenat, že tyto mezinárodní smlouvy se vzhledem k datu svého vzniku eo ipso ani problematikou kybernetické obrany (ani kybernetické bezpečnosti) zabývat nemohou. Toto ovšem neznamená, že není možné dohledat ustanovení, která mohou být potencionálně aplikována i na tuto oblast.

Soulad s Úmluvou o ochraně lidských práv a základních svobod a Mezinárodním paktem o občanských a politických právech byl posouzen výše v části I. a II. obecné části důvodové zprávy.

Do otázek týkajících se práva na sebeobranu státu, tedy rovněž na sebeobranu v kybernetickém prostoru, zasahuje zejména Charta Spojených národů, která státům výslovně přiznává v čl. 51 právo na sebeobranu. Dále se bude jednat o prameny mezinárodního humanitárního práva. Jelikož však návrh zákona nijak nespecifikuje způsob provádění této (kybernetické) sebeobrany, sám o sobě není a nemůže být s Chartou ani dalšími prameny mezinárodního práva v rozporu. Konkrétní akce a opatření, jež budou při výkonu kybernetické obrany konány, budou schvalovány ad hoc, a to vždy po důkladném posouzení, že jsou jak v souladu s pravidly stanovenými Chartou, tak v souladu s ostatním mezinárodním právem, přičemž posuzován bude též soulad jak s ius ad bellum tak i ius in bello. Jako jeden z inspiračních zdrojů jak pro zpracování návrhu zákona, tak následně pro vytváření vlastních podmínek výkonu kybernetické obrany - alespoň do doby, než dojde k dalšímu vývoji v této oblasti mezinárodního práva – bude využit tzv. Tallinský manuál, který vyjadřuje expertní názory na aplikaci mezinárodního humanitárního práva ve sféře kybernetického prostoru.

VII. Předpokládaný hospodářský a finanční dopad navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí České republiky, dále sociální dopady, včetně dopadů na rodiny a dopadů na specifické skupiny obyvatel, zejména osoby sociálně slabé, osoby se zdravotním postižením a národnostní menšiny, a dopady na životní prostředí

Nově stanovené povinnosti Vojenskému zpravodajství, resp. zejména nezbytnost zajistit nové komplexní věcné, organizační a personální podmínky jejich výkonu, nepochybně vyvolají

nároky na státní rozpočet, avšak s předpokladem jejich zajištění v rámci existující rozpočtové kapitoly Ministerstva obrany.

Návrh zákona nepředstavuje vzhledem k předmětu úpravy a nositeli působnosti pro výkon kybernetické obrany žádné nároky na rozpočty krajů a obcí.

Dopad na podnikatelské prostředí bude spočívat pouze v tom, že vybraným podnikatelům v oblasti sítí a služeb elektronických komunikací vznikne povinnost součinnosti při vytvoření rozhraní na jimi provozovaných sítích pro umístění nástrojů detekce.

Sociální dopady, dopad na rodiny ani na specifické skupiny obyvatel návrh zákona vzhledem k předmětu jeho úpravy nemá.

Návrh zákona rovněž není způsobilý vzhledem k povaze jím prováděné úpravy vyvolat dopady do životního prostředí.

VIII. Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních

údajů

Zhodnocení této oblasti je již součástí části I. a V. obecné části důvodové zprávy k návrhu zákona.

Nezbývá tedy, než shrnout, že na ochranu osobních údajů se v plném rozsahu použije hlava IV zákona č. 110/2019 Sb., o zpracování osobních údajů.

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), se nevztahuje na národní bezpečnost, jak stanoví bod 16. preambule a čl. 2 odst. 2 písm. a) nařízení.

Rovněž oblast dopadů návrhu zákona do soukromí jedince je již zpracována v předcházejících částech obecné části důvodové zprávy k návrhu zákona s tím, že návrh zákona plně respektuje právo k soukromému životu a vytváří potřebný prostor pro rozvoj a seberealizaci individuální osobnosti. Právo na soukromí garantuje rovněž právo jednotlivce rozhodnout podle vlastního uvážení, zda, popř. v jakém rozsahu, jakým způsobem a za jakých okolností mají být skutečnosti a informace z jeho osobního soukromí zpřístupněny jiným subjektům, avšak zakotvení tohoto práva připouští jeho omezení sledující veřejný zájem tak, jako je tomu u návrhu zákona. V případě, že by byl žádoucí rovnovážný stav narušen, je vždy nutné pro každý individuální případ takového narušení provést test proporcionality a určit, který z daných principů je v daném okamžiku hoden větší ochrany, resp. kdy zabránění důsledkům narušení jednoho principu je tak důležité pro zachování funkcí státu, že je možné po omezený čas v omezené míře zasáhnout do principu druhého (v rámci vyhodnocování detekovaných jevů a stanovování účinných opatření proti zjištěným kybernetickým útokům a hrozbám). Proporcionalita mezi zájmem na zajišťování obrany České republiky a zájmem na zajišťování práva na soukromí je návrhem zákona zohledněna, a tedy obava, že by útok v kybernetickém prostoru mohl být automaticky vždy obecně kvalifikován jako „menší (nebo naopak větší) hrozba, než obava z neomezeného a nekontrolovaného průniku výkonné moci do soukromé sféry lidí“ není na místě díky jednoznačné, předvídatelné právní úpravě (k tomu viz také rozsudek ESD ze dne 12. ledna 2016 ve věci 37138/14 – Szabó a Vissy proti Maďarsku, který uvádí: „Mohou-li být dotčena základní práva a svobody, je však v demokratickém právním státě nepřípustné, aby byla diskrece svěřena orgánům moci výkonné v oblasti národní bezpečnosti bezbřehá. Právo tedy musí stanovit jasné meze pro její výkon tak, aby byli jednotlivci chráněni před svévolnými zásahy do svých práv.“).

IX. Zhodnocení korupčních rizik

Navržená zákonná úprava je pojata tak, aby zásahy do pokojného stavu byly co nejmenší a aby rozhodování o těchto zásazích bylo vždy víceúrovňové a nekoncentrovalo se v jedné osobě. Tyto kroky jsou pak základní pojistkou vedoucí k minimalizaci korupčních rizik.

Návrh zákona kompetence Vojenského zpravodajství rozšiřuje jen v nezbytné míře, která mu umožní plnit úkoly nově právně zakotvených činností v rámci kybernetické obrany, přičemž jeho korupční potenciál je velice nízký. Teoreticky je možné si představit snahy některých provozovatelů zajišťujících sítě elektronických komunikací nebo poskytujících službu elektronických komunikací ovlivnit – ať už pozitivně nebo negativně – své zařazení mezi subjekty, jimž bude ukládána povinnost pro zřízení rozhraní, na které bude připojován nástroj detekce. Vzhledem k tomu, že taková povinnost bude ukládána formou rozhodnutí vydávaného ve správním řízení a že jeho vydání bude nezbytně nutně předcházet vyhodnocení účinnosti umístění nástroje detekce, lze toto riziko označit za velmi nízké.

Ryze jako teoretickou úvahu lze posoudit riziko možnosti ovlivnit výši náhrady nákladů spojených se zřízením rozhraní pro připojení nástroje detekce. Pojistka vyloučení vzniku tohoto rizika je totiž obsažena v samotném návrhu zákona, a to ve zmocnění pro stanovení výše a podmínek poskytování náhrad vyhláškou Ministerstva obrany, jež by měla garantovat dostatečnou ochranu před možným korupčním rizikem.

X. Zhodnocení dopadů na bezpečnost a obranu státu

Návrh zákona má přímý dopad na obranu a bezpečnost státu, neboť určuje nový subjekt, jemuž se stanovují povinnosti při zajišťování obrany České republiky, a to obrany v kybernetickém prostoru. Obrana České republiky je tak posilována v oblasti zcela specifických hrozeb, a to nejenom z pohledu technologického, ale také z pohledu prostorového umístění hrozeb, jejich vzniku, možností likvidace i případných účinků. Současně je tato specifická část obrany České republiky důsledně začleňována do celkové koncepce obrany České republiky, jejího plánování, přípravy a zajišťování.

Návrh zákona nemá dopady na aktiva zpravodajských služeb ani bezpečnostních sborů ani na jejich příslušníky. Podrobnosti obsahuje závěrečná zpráva RIA.