DŮLEŽITÉ UPOZORNĚNÍ!
Policie České republiky se zajímá o IP-adresy osob, které komentují tento blog. Ve vlastním zájmu zde proto nic nepopírejte, nezpochybňujte, neschvalujte, neospravedlňujte, nikoho a nic nehanobte, nepodporujte a nepropagujte, a pokud se přesto rozhodnete komentář přidat, pak se, prosím, ničemu nedivte.
Aktuálně: Výnos sbírky pro Vlastimila Pechance dosáhl ke dni 6. 10. 2016 částky 59 416 Kč.
Výtěžek prvního benefičního koncertu, který se uskutečnil dne 12. 3. 2016, činil 13 500 Kč.

pondělí 14. července 2014

Data v cloudu

Obhajoba je zlo, míní sprostný lid, a soudce Městského soudu v Praze Stanislav Králík se jej hledí ve správnosti této premisy utvrdit: policie má mít neomezený přístup k datům klientů, která advokáti skladují v tzv. cloudu, tedy na vzdáleně spravovaném datovém serveru. Protože tento server není umístěn v sídle advokáta, nýbrž, jaksi z definice, v cloudu, nemá se na něj podle jmenovaného jurisprudenta vztahovat ochrana, která by těmto důvěrným, ochrany advokátního tajemství požívajícím informacím jinak příslušela.

O míře mimosnosti takového právního názoru asi netřeba místní přesvědčovat, co však stojí za poznámku, jsou konotace ukládání dat advokátní kanceláře na externích serverech, ať už velkých specialisovaných provozovatelů, nejčastěji zahraničních, jako Dropbox, nebo v tuzemsku u provozovatelů místních.

Předně je dlužno poznamenat, že uložení osobních údajů klientů na zahraničním serveru, který je potenciálně umístěn, případně zrcadlen i mimo Evropskou unii, podléhá režimu § 27 zákona o ochraně osobních údajů, a zásadně vyžaduje explicitní souhlas klienta a povolení Úřadu pro ochranu osobních údajů.

Dále je tu otázka, zda je vůbec v souladu s řádným plněním povinností advokáta, aby tato data byla do cloudu ukládána v nešifrované podobě. Sám doma provozuji malý, dvouterabytový NAS, a při představě, že bych na něm (anebo na kterémkoli jiném počítači nebo tabletu, které používám) měl cokoli uloženo bez řádného a bezpečného zašifrování s velmi dlouhým, více než dvacetiznakovým heslem, mi vstávají vlasy na hlavě hrůzou: tím spíš pak, pokud by data měla být vystavena právně i skutkově nejistému prostředí cloudu.

Dropbox patří mezi základní nástroje, se kterými pracuji, avšak používám ho výhradně pro přenos souborů, jejichž obsah není striktně důvěrný. Když je zcela výjimečně potřeba přenést něco citlivého, co by policie a BIS rozhodně neměly vidět, balím data do RARu a chráním je dostatečně dlouhým, šifrovaným e-mailem nebo jiným bezpečným kanálem zaslaným heslem.

Advokát, který klientská data ukládá bez další ochrany do cloudu, je přinejmenším odvážný, a jde-li o extremně citlivá data z trestního řízení, přímo nezodpovědný. Stačí jeden soudce třídy Králík, a jaká byla obhajoba?

Korolárem k celé problematice je pak otázka, jak by dopadl případný civilní spor, který by František Savov, jehož osobní údaje se nezodpovědností jeho obhájce mohou dostat do rukou státních orgánů, proti obhájci inicioval. Tuším, že pro zmíněného obhájce docela neslavně.

19 komentářů:

  1. Podivejte se, kolik advokatu ma e-mail @seznam.cz (apod.). Je potreba jeste neco dodavat?

    MH

    OdpovědětVymazat
    Odpovědi
    1. Přesně tak, advokáti zcela běžně používají schránky na free-mailech a nedají si vysvětlit, že to není dobrý nápad. Pak se přihlásí někde přes veřejný PC a po odchodu se ani neodhlásí, kdokoli si může číst korespondenci.
      Mnohem horší ovšem je, že řada advokátů posílá svým klientům dokumenty přes otevřené systémy typu Ulož.to apod.
      Myslím, že ČAK by měl elektronickou komunikaci školit a vymáhat určitá pravidla zabezpečení.

      Vymazat
  2. Nemělo by být ve smyslu zákona důležité to, kdo data do toho cloudového úložiště dává? Pokud je tam dala nějaká firemní sekretářka apod. (neadvokátní), tak chápu, že je soud chce. Pokud je tam ale má advokát pro potřeby obhajoby, tak by si měl soudce políbit p...l.
    Jinak mít vůbec nějaká data uložená mimo je v dnešní době chyba. Mít to maximálně na 2 počítačích (jeden jako záložní), bez připojení k internetu a s důsledným omezením, kdo vlastně s tím počítačem může pracovat.

    OdpovědětVymazat
    Odpovědi
    1. To by bylo krajně nepraktické. I ten NAS, o kterém se zmiňuji, mám přístupný po HTTPS, VPN, SSH atd.

      Vymazat
  3. Nerozhodnul soudce tak, jak rozhodnul, protože mu advokáti předložili padělané dokumenty, jak se psali novináři?

    OdpovědětVymazat
    Odpovědi
    1. To by přece nemohlo mít na ochranu důvěrných informací vliv.

      Vymazat
    2. Právní ne, ale fakticky ho to ovlivnit mohlo.

      Vymazat
    3. Proč důvěřovat tvrzení advokáta, že jde o informace podléhající mlčenlivosti, když předkládá padělané dokumenty?

      Vymazat
    4. Předložit vědomě padělaný dokument je delikt, minimálně kárné provinění, případně i trestný čin.

      Tvrzení, že dokumenty jsou důvěrné, postačuje, protože kdyby ho směly OČTŘ přezkoumávat, mohly by se dozvědět, co vědět nemají právo.

      Vymazat
    5. Je to jak u dětí, když běžně lžou, tak je těžké pak odhalit, kdy říkají pravdu. A to se nejspíše stalo těmto advokátům. Ostatně, my tady teoretizujeme a přitom nevím, jak soud své rozhodnutí odůvodnil.

      Vymazat
  4. Ono hlavně kdyby advokáti Savova nezkoušeli zcela školácky podstrčit soudci falešné policejní dokumenty, asi by rozhodl zcela jinak. Aneb základní poučka advokáta - nenaser si zbytečně soudce!:)

    OdpovědětVymazat
  5. "Cloud storage" je presne to co to znamena. Uschovna data ve virtualnim oblaku ktery provozuji dnes stovky ne li tisice dodavatelu. Ty vetsi jako Google, Microsoft, atd. Data je zasifrovana a vy mate klic. Co se bezpecnosti tyce, uschovna dat je bezpecna daleko vice nez Vase computerove heslo ktere Vam dobry hacker ukradne.

    Osobne preferuji svuj kapesni hard drive s 64 bit sifrovanym kodem. Problem je ze pokud stratim (zapomenu) klic tak je vse ztraceno.
    Co se privacy tyce, to jsou osobni udaje na ktere bez soudniho prikazu nikdo nema narok, a i v takovem pripade je moznost odmitnout vydat klic podle US ustavy, viz paty pridavek : clanek o sebe-inkriminaci. Tak ze u nas je to celkem bezpecne.

    Otazka je kdy soudce Mestske Soudu v Praze, pan Kralik odstoupi z duvodu neschopnosti?

    OdpovědětVymazat
    Odpovědi
    1. Osobne preferuji svuj kapesni hard drive s 64 bit sifrovanym kodem.

      Pokud si těch 64 bitů nepamatujete, musíte je mít někde uloženy a chráněny heslem. Takže jsme na tom oba stejně (ledaže byste měl klíč uložen bez hesla, a v takovém případě byste na tom byl ještě daleko hůř: policie by se k datům dostala zcela bez úsilí).

      Vymazat
    2. GB: Uchovávat citlivá data na "kapesním disku" je hazard z hlediska spolehlivosti. Existuje nezanedbatelná pravděpodobnost, že k datům se opravdu nikdo nedostane, ani Vy :-)

      TP: Předpokládám, že máte na NAS unixový OS a alespoň RAID1. Tedy jste na tom výrazně lépe, než naivní předřečník.

      Quido

      Vymazat
  6. Měl by vůbec nějaký zákon přikazovat tu elektronizaci vybraným profesím povinně? (Datové schránky, el.podpisy atd.) K čemu vám je urychlení komunikace na pár vteřin, když vám potom zdržují registraci sdružení několik let? A pak když si chcete data uložit jinde, tak vám je chtějí vzít...

    Honza

    OdpovědětVymazat
  7. Obecne je snahou statu po celem svete (specialne USA a Velka Britanie) tvrdit ze pristup tajnych a jinych sluzeb k datum mimo statni hranice je v poradku a zakony statu se na toto nevztahuji

    OdpovědětVymazat
  8. To je ale stupidní problém.... Prostě data uložená na nějakém elektronickém médiu nejsou v bezpečí nikdy...

    mne by ale v souvislostí s bezpečností zajímalo toto:
    http://zpravy.idnes.cz/soudy-cr-musi-urcit-zda-zaznam-z-kamery-sledoval-opravneny-zajem-ph8-/domaci.aspx?c=A140710_120542_zahranicni_zt

    lze takto kupř. napadnout i obecní kameru, která non stop sleduje ulici?

    Petr V

    OdpovědětVymazat
    Odpovědi
    1. A ono už bylo ze strany SDEU něco rozhodnuto? Dle článku chápu, že ne... Jinak se ale obávám, že dokud bude úřadu šéfovat mistr "situace je nadmíru výtečná", tak nám nepomůžou ani v Lucemburku, ani ve Štramberku, ani v Brně.

      Vymazat

Kursiva: <i>text</i>
Tučně (když už to musí být…): <b>text</b>
Odkaz: <a href = "http://adresa">název odkazu</a>, tedy <a href = ""></a>