První měsíce provozu datových schránek ukázaly přínosy tohoto systému, ale upozornily i na některá rizika, která se mohou objevit, pokud firmy nový systém podcení. Podívejme se tedy, na co by zejména firemní uživatelé datových schránek měli dávat pozor.

Datové schránky jistě přinesly a přinášejí velkou modernizaci i do oblasti, kde se stýká veřejná správa a soukromé firmy. Pro firmy znamenají přínos v podobě snadnější komunikace, ovšem v případě, pokud firmy podcení některá důležitá opatření, která by měla být s elektronickou komunikací nezbytně spjata, může systém datových schránek přinést i určitá právní rizika. Následující řádky přinášejí souhrn těchto právních rizik, kterým (nejen) firemní uživatelé čelili a čelí, a hlavně doporučení, jak se těmto rizikům vyhnout.

Riziko první: zpráva je po deseti dnech považována za doručenou

Uživatelé nesmí zapomínat, že podle příslušného zákona jim datová schránka byla aktivována automaticky nejpozději 1. listopadu 2009. Spoléhat se na to, že si její pracovníci nevyzvedli přístupové údaje, je tedy zcela bezpředmětné a na vlastní aktivaci to nemá vliv. Pokud nikdo z firmy do schránky nepřistupuje a nekontroluje její obsah, uplatní se tzv. fikce doručení, kdy po deseti dnech je dokument považován za doručený, s čímž je spojen například začátek běhu lhůty pro odvolání proti doručenému úřednímu rozhodnutí.

Řešení: Obranou proti uplatnění fikce doručení je nastavit i v menších firmách jasná pravidla, kdo a jak často bude datovou schránku kontrolovat, a také jasnou odpovědnost zaměstnanců za případné selhání v tomto směru. Část oficiálních dokumentů v poště je nyní pouze elektronická, a firma tak musí své interní směrnice inovovat a zvolit systém, který skloubí práci s papírovou poštou i datovými zprávami. V této souvislosti však nelze zapomínat na skutečnost, že zaměstnanci odpovídají za škodu způsobenou neúmyslně pouze omezeně, do čtyřapůlnásobku jeho průměrného měsíčního výdělku.

Riziko druhé: zneužití základních přístupových údajů se závažnými následky

Firmy si musí dát velký pozor na ochranu přihlašovacích údajů (jména a hesla) k datovým schránkám. Pomocí datových schránek lze totiž činit úkony firmy. Pokud se proto k přístupovým údajům někdo dostane například prostřednictvím počítačového viru, nebo je jednoduše najde poznamenané v bloku na stole ve veřejně přístupných prostorách firmy, může dovést firmu až do likvidace. Dále hrozí únik důvěrných informací, osobních údajů či zneužití schránky k šíření spamu nebo virů (zde je riziko sankce dosahující až dvacet milionů korun).

Řešení: Je nutné důsledně zabezpečit firemní počítače a nastavit přísná pravidla týkající se nakládání s přihlašovacími údaji do datových schránek.

Riziko třetí: datové zprávy po devadesáti dnech z datové schránky zmizí

Systém datových schránek nezahrnuje možnost archivovat datové zprávy po dobu delší než devadesát dnů. Pokud by některá z firem tuto možnost podcenila, může přijít o důležité dokumenty potřebné například pro právní či daňové účely. Datové schránky byly spuštěny v listopadu 2009, takže devadesát dní uplynulo na konci ledna 2010. Pokud si firmy nezajistily žádné řešení archivace zpráv, začaly tímto dnem jejich dokumenty z datových schránek nenávratně mizet.

Řešení: Pro možnost zálohování je třeba rozšířit příslušným způsobem vlastní informační systém či zvolit jiné nadstavbové softwarové řešení typu Datového trezoru České pošty. Co se týče informačních systémů obecně, platí po nástupu datových schránek více než kdy v minulosti, že se firmám nevyplatí šetřit na kvalitním IT zázemí. „Informační zranitelnost“ podnikatelů se navíc bude do budoucna ještě zvyšovat.

Přehled nadstavbových řešení pro datové schránky

Informační systém datových schránek, tedy základní aplikace pro obsluhu datové schránky, nabízí pouze primární funkce pro čtení a odesílání zpráv a dokumentů, ale prakticky žádné pro jejich další zpracování. Proto řada výrobců softwaru nabízí tzv. nadstavbová řešení pro datové schránky, která mají zajistit třídění a filtrování zpráv, archivaci veškerých zpráv a souvisejících dokumentů, plánování a zadávání úkolů zpracování nad datovými zprávami, možnost pracovat s více datovými schránkami atd. Přehled více než 26 nadstavbových řešení pro datové schránky se strukturovaným popisem a ukázkami najdete na našem webu www.SystemOnLine.cz/Datove-Schranky/.

Riziko čtvrté: spoléhání se na pouhé vytištění dokumentů z datové schránky

Většina korespondence z úřadů již v éře datových schránek není a nebude listinná. Někteří uživatelé datových schránek se však domnívají, že stačí si říslušné dokumenty z datové schránky vytisknout a v budoucnu je pak v případě potřeby použít jako platný listinný dokument. Tak tomu ale v žádném případě není.
Řešení: Pokud mají mít vytištěné dokumenty z datové schránky právní relevanci, je nutná tzv. autorizovaná konverze do listinné podoby, kdy platnost vytištěného dokumentu potvrzují kontaktní místa veřejné správy, tzv. CzechPointy.

Riziko páté: časově omezená platnost elektronického podpisu a časového razítka

Další otázkou, kterou musí firmy vyřešit, je platnost elektronických podpisů a časových razítek. Ta je totiž časově omezena, v případě elektronického podpisu bývá jeden rok, u časových razítek tři roky. Problém nastává u zpráv, které firma potřebuje schraňovat po delší dobu.

Řešení: Mimořádně důležité elektronické dokumenty si nechte potvrdit autorizovanou konverzí do listinné podoby (viz výše).

Riziko šesté: spolehnete se na datovou schránku a dokument přijde poštou

V praxi dochází k případům, kdy zpráva právnické osobě dorazila klasickou poštou, podle zákonných ustanovení však měla přijít do datové schránky. Vzniká otázka, zda lze takový dokument považovat za doručený a jak v takovém případě počítat lhůty běžící ode dne doručení. Pokud například odjede jednatel firmy pracovat mimo kancelář a spolehne se na doručování důležitých dokumentů do datové schránky, ovšem orgán veřejné správy mu klíčový dokument chybně pošle poštou, mohou firmě vzniknout problémy.

Řešení: V případech, kdy firmám chybným postupem orgánu veřejné správy (zaslání dokumentu poštou místo do datové schránky či naopak) vznikla škoda, je vhodné obrátit se na soud.

Riziko sedmé: problém zastupitelnosti u malých firem

Datové schránky přinesly určité dilema, které musí řešit hlavně malé firmy: statutární zástupce musí mít dokonalou kontrolu nad datovou schránkou a dokumenty z ní odesílanými, ale zároveň potřebuje řešit svou zastupitelnost v době dovolené či nemoci.

Řešení: Systém datových schránek nabízí možnost udělit různým osobám různá oprávnění při nakládání s datovou schránkou firmy. Statutární zástupce firmy může tedy v době své nepřítomnosti, kdy ví, že nebude mít možnost si datovou schránku odnikud vybrat, udělit právo čtení zpráv například své asistentce, aniž by ovšem zároveň získávala právo datové zprávy odesílat. Stejně tak existují například oprávnění pouze k odesílání datových zpráv, k pouhému zjišťování jejich existence či ke čtení všech zpráv s výjimkou těch, které byly doručeny do vlastních rukou. Všechna tato práva určuje „majitel“ datové schránky.

Riziko osmé: spamové zprávy a jejich zpoplatnění

Již od 1. ledna 2010 mohou prostřednictvím datových schránek mezi sebou komunikovat i soukromé subjekty. Do 1. července 2010 si mohou posílat jen elektronické faktury, od tohoto data pak jakékoliv zprávy. Odesílající subjekt za každou odeslanou zprávu zaplatí osmnáct korun České poště. Co když ale nastane „černý den“, kdy nějaký spamer zneužije datovou schránku vaší společnosti a jejím prostřednictvím (bez vašeho vědomí) rozešle několikrát spamovou zprávu všem držitelům datových schránek. To pak bude účet!

Řešení: Možná protiopatření jsou dvojí povahy a lze doporučit uplatnit obojí: za prvé lze na straně uživatelů využít komerční certifikáty České pošty (je to však další placená služba) nebo rovněž zpoplatněné monitorovací služby jiných poskytovatelů. A za druhé by Česká pošta měla zdarma monitorovat celý systém a v případě jakéhokoliv podezření na spamový útok (neobvykle zvýšená frekvence rozesílky zpráv) neprodleně příslušného uživatele datové schránky upozornit, v krajním případě tuto schránku dočasně znepřístupnit a nežádat po uživateli platbu za již rozeslané spamové zprávy.

Závěrem je třeba poznamenat, že některá z výše uvedených rizik nejsou specifická jen pro systém datových schránek, ale platí (a platila již dříve) pro jakoukoliv práci s důležitými elektronickými dokumenty. Zavedení datových schránek je tak jen dalším impulzem, který snad přiměje firemní uživatele, aby se důsledně zabývali všemi hledisky bezpečnosti při zpracování dat: ať jde třeba o zabezpečení přihlašovacích údajů a nastavení příslušných politik práce s nimi, nebo o zavedení informačních systémů, které pomáhají dodržovat jasné firemní procesy při zpracování důležitých dokumentů.

Autor článku, JUDr. Martin Maisner, působí v advokátní kanceláři Rowan Legal, která poskytuje právní podporu při budování informačních systémů, v rámci outsourcingových projektů i při ochraně práv souvisejících se softwarem, firemními daty či doménami.