Právní aspekty používání keyloggerů
Autor: Mgr. Petr Mališ | Vloženo: 9. 12. 2008 09:38 | Přečteno: 9643XKeyloggery jsou v dnešní době útlumu klasických virových hrozeb jedním z nejnebezpečnějších a nejzákeřnějších způsobů narušení soukromí uživatelů PC. Mezi všemi současnými aktuálními spyware hrozbami, jako adware, cookies, phishers dalšími vynikají právě keyloggery svou schopností zaznamenat sebevíc citlivá data, zadávaná přes klávesnici nebo i jiné periferie. Jejich použití nemusí být vždy v rozporu se zákonem a se zájmem jednotlivce na ochraně svého soukromí, nicméně podmínky pro jejich používání v mezích zákona jsou přísné.
Keylogger - hlídač i zloděj dat
Keylogger je hardwarové zařízení nebo softwarová aplikace, sloužící k sledování činnosti uživatele na počítači. Rozlišujeme keyloggery hardwarové a softwarové - hardwarový funguje jako komponenta, která se připojuje mezi klávesnici a vstup do počítače (případně může být integrován přímo do klávesnice nebo do skříně počítače), zatímco softwarový keylogger je program, nainstalovaný způsobem, aby nebyl při běžném používání počítače odhalitelný. Výhodou použití HW keyloggeru je jeho nezávislost na operačním systému, nevýhodou však nutnost jeho fyzické instalace, snadná odhalitelnost, a možnost snadno jej obejít za pomocí softwarové klávesnice. Výhodou SW keyloggerů (které jsou právě jedním z druhů nebezpečného spyware) je pak zejména to, že umožňují sledování více faktorů, nikoliv pouze stisknutých kláves - například zaznamenávají a ukládají aktuální stav obrazovky, pohyb a kliknutí myší, navštěvované webové stránky apod. Oba druhy mají společné své základní určení - sledovat činnost uživatele, zaznamenávat data, která do počítače zadává nebo která jsou na monitoru zobrazována, a informovat o nich jinou osobu.
S legálním použitím keyloggerů se lze setkat například v rámci ochrany vlastního počítače před neoprávněným užitím jinou osobou, sledování činnosti dětí na počítači po dobu nepřítomnosti rodičů, při zálohování dat, anebo při monitoringu činnosti zaměstnanců na počítačích zaměstnavatele. Legálně využívané keyloggery však představují pouhý zlomek jejich celkového použití, mnohem častěji se s nimi setkáváme jako se spyware, který se má nainstalovat do počítače bez vědomí uživatele a poskytovat jeho důvěrná data (zejména přístupová hesla) třetím osobám. Samotné vytvoření keyloggeru ještě nijak v rozporu se zákonem není, tím je až jeho použití k neoprávněnému získávání informací a následné užití takto získaných informací. V každém případě se použití keyloggeru bez vědomí uživatele počítače dotýká práv, chráněných hned několika právními předpisy.
Zásah do Ústavních i zákonných práv
Dle čl. 10 odst. 2 Listiny základních práv a svobod má každý právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. V každém případě je nutno jakékoli utajené sledování činnosti uživatele na počítači, s nímž tento uživatel neprojevil souhlas, nebo které nemá podklad v zákoně, považovat za odporující tomuto ustanovení Listiny. Dále Listina v čl. 13 stanoví nedotknutelnost listovního tajemství a tajemství jiných písemností nebo záznamů, uchovávaných v soukromí nebo zasílaných poštou nebo jiným způsobem (s výjimkou případů, stanovených zákonem). Listovní tajemství se dle tohoto článku vztahuje i na zprávy podávané telefonem nebo jiným podobným zařízením - v případě, že je pomocí keyloggeru sledována e-mailová nebo jakákoli jiná komunikace, jde o současné porušení práva na soukromí i listovního tajemství.
Určitým promítnutím Ústavních zásad do zákonných norem je ustanovení § 11 občanského zákoníku o ochraně osobnosti - fyzická osoba má právo na ochranu své osobnosti, mimo jiné i soukromí. Ochranou soukromí se rozumí i respektování telekomunikačního tajemství. které je pochopitelně použitím keyloggeru bez vědomí uživatele počítače porušováno více než razantně. Jako obranu osobnostních práv, a tedy i práva na soukromí, nabízí občanský zákoník žalobu na ochranu osobnosti, v rámci níž se lze domáhat upuštění od neoprávněných zásahů do práva na ochranu osobnosti, odstranění následků těchto zásahů, a přiměřeného zadostiučinění (i v penězích).
Vedle osobnostních práv zasahuje neoprávněné použití keyloggeru i do práva od osobnostních práv odvozeného - práva na ochranu osobních údajů. Osobním údajem je podle zákona č. 101/2000 Sb. jakákoliv informace týkající se určitého subjektu údajů, podle níž lze tento subjekt spolehlivě identifikovat (plné znění definice osobního údaje viz. § 4 písm. a) zák. na ochranu osobních údajů). Osobním údajem tedy ještě není pouhé jméno a příjmení, je jím však jméno, příjmení a telefonní číslo, jméno, příjmení a datum narození, e-mailová adresa (nikoliv z domény veřejného poskytovatele, ale např. z domény zaměstnavatele), apod. Osobním údajem par excellence je rodné číslo - dvě různé osoby nemohou mít za žádných okolností stejné rodné číslo. Subjekt, který s osobními údaji nakládá, je považován za správce osobních údajů. Správce, který zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně, a neplní zákonnou oznamovací povinnost, se dopouští přestupku na poli ochrany osobních údajů, za který mu může být Úřadem pro ochranu osobních údajů udělena pokuta až 1.000.000,- Kč. Je však pravdou, že vzhledem k povaze ostatních možností nápravy je postup z titulu ochrany osobních údajů pro poškozeného značně neefektivní (Úřad na ochranu osobních údajů je správním orgánem, který může udělovat pokuty v rámci zákona o ochraně osobních údajů, nicméně kvůli stanovení dalších povinností nebo sankcí za porušení osobnostních práv je třeba zahájit řízení před soudem).
Trestněprávní odpovědnost
Neoprávněné užívání keyloggeru samozřejmě může být za určitých okolností kvalifikováno jako trestný čin. V trestním zákoně lze nalézt dvě skutkové podstaty, jichž se takové jednání může dotýkat - trestný čin „Poškození a zneužití záznamu na nosiči informací“ dle § 257a tr. zákona, a „Porušování tajemství dopravovaných zpráv“ dle § 239 tr. zákona. Prvně jmenovaná skutková podstata dopadá na situaci, kdy pachatel získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo získat pro sebe nebo třetí osobu neoprávněným prospěch tyto informace neoprávněně zneužije (odst. 1 písm. a), nebo učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení (odst. 1 písm. c). Základním předpokladem této skutkové podstaty je získání přístupu k nosiči informací (záleží na tom, jak široce soud tento pojem vyloží), a úmysl orientovaný ke způsobení škody jinému nebo k získání neoprávněného prospěchu.
Ustanovení o porušování tajemství dopravovaných zpráv je možno aplikovat vždy, když je s pomocí keyloggeru monitorována elektronická komunikace uživatele kontrolovaného počítače s jinou osobou. Vzhledem k tomu, že keylogger může velice snadno posloužit k získání přístupových hesel např. do internetového bankovnictví, této problematiky se snadno mohou dotýkat i trestné činy krádeže dle ust. § 247 tr. zákona, případně podvodu dle ust. § 250 tr. zákona.
Zákoník práce a kontrola zaměstnanců
Asi nejaktuálnějším problémem, řešeným v souvislosti s keyloggery (vedle keyloggerů jako spyware) je jejich použití na pracovišti ke kontrole zaměstnanců. Zaměstnavatelé se v zájmu kontroly řádného výkonu práce zaměstnanců na svěřených počítačích i v zájmu ochrany obchodního tajemství uchylují k nejrůznějším formám této kontroly, které mohou sahat od obyčejného procházení historie v prohlížeči přes kontrolu uložených dat až po instalaci speciálních kontrolních programů, včetně keyloggerů. Pracovní prostředí má z tohoto hlediska mimo jiné i tu výhodu, že na své počítače může zaměstnavatel snadno instalovat jak HW, tak i SW keylogger, a málokterý zaměstnanec instalaci odhalí.
Zaměstnavatel má na určitou míru kontroly právo ze zákona. Toto právo vychází z ust. § 301 zákoníku práce, podle něhož zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování tohoto zákazu je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. Kontrolní právo zaměstnavatele potvrdil svými rozhodnutími i Nejvyšší soud ČR (např. rozsudek č.j. 21 Cdo 2172/2002).
Toto kontrolní právo je však v neustálém protikladu k opačnému zájmu zaměstnance na respektování jeho soukromí a ochranu osobních údajů. Podle § 316 odst. 2 zákoníku práce „nesmí zaměstnavatel bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci“. Na základě četné judikatury (zejména zahraniční) bylo zaujato stanovisko, podle něhož má zaměstnavatel právo přiměřeným způsobem kontrolovat způsob, jakým zaměstnavatel využívá pracovní dobu, tedy dobu strávenou na internetu a navštívené stránky, obsah paměti počítače, četnost a odesílatele e-mailů, došlých do přidělené e-mailové schránky zaměstnance, nebo skutečnost, že zaměstnanec využívá instant messenger. Toto právo kontroly vyplývá ze zákona, a zaměstnavatel nemá povinnost o ní zaměstnance informovat. Pokud by tedy zaměstnavatel nainstaloval keylogger do počítače, využívaného zaměstnancem, a využíval tento keylogger skutečně pouze ke sledování výše uvedených aspektů činnosti zaměstnance, byl by tento způsob využití keyloggeru možný, dokonce i bez souhlasu zaměstnance.
Zakázanou formou kontroly je však sledování obsahu jakékoli komunikace soukromého charakteru, kterou zaměstnanec za pomocí svěřeného počítače provádí. Zákoník práce umožňuje takový zásah do základních práv zaměstnance pouze v případech, kdy jsou dány závažné důvody, spočívající ve zvláštní povaze činnosti zaměstnavatele. Takovými zaměstnavateli jsou např. banky, různá call centra nebo pracoviště. na nichž zaměstnanci přicházejí do styku s velkými finančními částkami. V těchto případech je vždy účelem kontroly ochrana majetku zaměstnavatele, a nikoliv samotné sledování zaměstnance. O těchto závažnějších způsobech kontroly je zaměstnavatel povinen zaměstnance informovat, stejně jako o rozsahu kontroly.
Jiným zaměstnavatelům není sledování obsahu komunikace a podobné způsoby narušování soukromí zaměstnanců umožněno - právo na ochranu soukromí má v tomto případě přednost před právem zaměstnavatele na kontrolu řádného výkonu pracovních povinností. Použití keyloggeru je tedy teoreticky možné v případě, že by zaznamenával výhradně údaje, k jejichž sledování zaměstnavatel nepotřebuje svolení zaměstnance. Z povahy keyloggeru však plyne, že těžko budou jím zaznamenávaná data omezena pouze na tyto údaje, když mohou zaznamenávat každou stisknutou klávesu a přesný stav obrazovky (např. v situaci, kdy je na ní zobrazen soukromý e-mail zaměstnance). Proto je jeho použití v pracovněprávních vztazích krajně složité, a zaměstnavatel by se vystavoval poměrně značnému riziku. Navíc riziku zbytečnému, když v dnešní době existují inteligentnější programy na monitorování činnosti zaměstnanců na počítačích, při jejichž použití konflikt se zájmem zaměstnance na ochranu svého soukromí nehrozí. K dalším možnostem kontroly zaměstnanců zaměstnavatelem viz. např. články Kontrola zaměstnance při výkonu práce s počítačem, Způsoby kontroly zaměstnanců dle nového zákoníku práce, nebo Okamžité zrušení pracovního poměru pro surfování na internetu - nyní v ČR.
Závěr
Možnosti ochrany před keyloggery v podobě spyware jsou omezeny účinností antikeyloggerů a uživatel musí spoléhat zejména na celkové dodržování zásad internetové bezpečnosti. Pokud již keylogger na svém počítači zjistí, je nepochybné, že jeho instalací a užíváním dochází k porušení práv uživatele, zmíněných v tomto článku. Neplatí absolutní zákaz použití keyloggerů, nicméně toto použití musí mít vždy podklad v zákonném oprávnění.
Autor:
Autor působí v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři v.o.s., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami (vedoucí sekce www.trademarks.cz ) a rovněž obchodním a pracovním právem.