Článek
Tento akt, často založený na vzájemné důvěře, však s sebou přináší zásadní právní implikace, které si uvědomuje málokdo. Tento článek se nezabývá právní ani morální stránkou pořízení konsensuální nahrávky. Zaměřuje se výhradně na právní odpovědnost osoby, která takovou nahrávku pořídila nebo ji s vědomím druhé strany uchovává, za její následné nezabezpečení a únik.
Osoba, která takový záznam drží – ať už na telefonu, v počítači nebo na cloudovém úložišti – se z právního hlediska stává „strážcem“ dat extrémně citlivé povahy. Tento status není pouze morální, ale i právní. Pokud tento „strážce“ selže a data uniknou, může nést plnou odpovědnost za devastující následky, a to i v případě, že k úniku došlo „jen“ z nedbalosti.
Analýza této odpovědnosti stojí na třech klíčových pilířích:
- Občanskoprávní odpovědnost (Občanský zákoník), kde leží skutečné a největší riziko.
- Odpovědnost dle GDPR, která je v této oblasti často mylně interpretována.
- Trestněprávní odpovědnost (Trestní zákoník), zejména ve vztahu k uživatelem poptávanému "nedbalostnímu trestnému činu".
Cílem tohoto textu je vyvrátit běžné mýty a na základě věcné právní argumentace ukázat, kde leží skutečná, vysoce riziková právní odpovědnost za nedostatečnou ochranu soukromých intimních dat.
Právní povaha intimní nahrávky: Data nejvyšší citlivosti
Intimní nahrávka není v očích práva jen soubor s koncovkou “.mp4". Jde o komplexní záznam chráněných osobnostních práv. Český právní řád poskytuje těmto atributům mimořádně silnou ochranu, a to primárně skrze Občanský zákoník (zákon č. 89/2012 Sb.).
Podle § 81 odst. 1 Občanského zákoníku je chráněna osobnost člověka včetně všech jeho přirozených práv. Tato ochrana se dále specifikuje:
- Ochrana podoby a soukromí: Paragraf 84 OZ výslovně stanoví, že zachytit jakýmkoli způsobem podobu člověka tak, aby ji bylo možné rozeznat, a tento záznam použít, je možné jen s jeho svolením.
- Projevy osobní povahy: Paragraf 86 OZ navíc chrání projevy osobní povahy, ať už jde o písemnosti, podobizny nebo zvukové či obrazové záznamy, které se týkají soukromého života člověka.
Zde je nutné zdůraznit klíčovou právní nuanci: Souhlas s pořízením nahrávky v žádném případě neznamená souhlas s jejím dalším šířením nebo nedbalým uchováváním. Jsou to dva zcela oddělené právní akty. Souhlas se záznamem nelze zaměňovat se vzdáním se práva na soukromí; přirozených práv spojených s osobností člověka se navíc nelze platně vzdát.
Únik intimní nahrávky je proto jedním z nejzávažnějších možných zásahů do práva na soukromí, lidskou důstojnost, čest a vážnost. Soudy k takovému zásahu přistupují s mimořádnou vážností, srovnatelnou se zásahem do zdraví.
Mýtus č. 1: „Jsem jednotlivec, GDPR se na mě nevztahuje.“
Obecné nařízení o ochraně osobních údajů (GDPR) je často prvním předpisem, který v souvislosti s únikem dat vytane na mysli. Intimní nahrávka nepochybně je osobním údajem, a co víc, spadá do „zvláštní kategorie“ osobních údajů, jelikož se týká sexuálního života fyzické osoby.
Přesto je aplikace GDPR na soukromou osobu uchovávající intimní nahrávku velmi nepravděpodobná. Důvodem je klíčová výjimka, tzv. „household exemption“.
Článek 2 odst. 2 písm. c) GDPR výslovně stanoví, že toto nařízení se nevztahuje na zpracování osobních údajů prováděné fyzickou osobou v průběhu „výlučně osobních či domácích činností“.
Analýza „domácí výjimky“
Pořízení nahrávky pro soukromou potřebu a její uložení na osobním, zabezpečeném zařízení (telefon, počítač) jasně spadá pod tuto výjimku.
Tato výjimka má však hranice. Judikatura Soudního dvora EU, citovaná v pokynech Evropského sboru pro ochranu osobních údajů (EDPB), stanoví, že tato výjimka musí být vykládána „úzce“. Padá v momentě, kdy data zpřístupníte „neomezenému počtu osob“, typicky jejich zveřejněním na internetu.
Sporným bodem může být uložení na soukromý cloud (např. Google Drive, iCloud). Nahrání souboru na soukromý, zaheslovaný cloudový účet pro účely osobní archivace však není totéž co „zveřejnění na internetu“. Ačkoliv poskytovatel cloudu je technicky „zpracovatel“, vztah jednotlivce k GDPR by se tím měnit neměl. Dokud data nejsou veřejně sdílena, stále se jedná o výlučně osobní činnost.
Závěr je tedy takový, že GDPR v tomto případě neposkytuje poškozenému nástroj ochrany a pro „strážce“ dat nepředstavuje hlavní právní riziko. Skutečná odpovědnost leží jinde.
Mýtus č. 2: „Za nedbalost mě přece nezavřou.“
Pátrání po odpovědnosti za nedbalostní únik dat často směřuje k trestnímu právu. Uživatelé se správně domnívají, že existuje trestný čin postihující únik osobních údajů, a to i z nedbalosti. Jedná se o § 180 Trestního zákoníku (zákon č. 40/2009 Sb.) - „Neoprávněné nakládání s osobními údaji“.
Při detailním právním rozboru znění tohoto paragrafu však zjistíme, že se na soukromé osoby v tomto kontextu nevztahuje.
Detailní právní rozbor § 180 TZ
Tento paragraf postihuje nedbalostní jednání pouze ve dvou specifických případech:
- Odstavec 1 (§ 180/1 TZ): Postihuje toho, kdo "byť i z nedbalosti... zpracovává... osobní údaje, které byly... shromážděné v souvislosti s výkonem veřejné moci...".
- Aplikace: To se na soukromou nahrávku pořízenou dvěma partnery nevztahuje. Tento odstavec míří na úředníky, policisty a jiné osoby nakládající s daty, které o nás shromáždil stát.
- Odstavec 2 (§ 180/2 TZ): Postihuje toho, kdo "byť i z nedbalosti... poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že... zpřístupní... osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce...".
- Aplikace: To se na běžného občana a jeho soukromé nahrávky rovněž nevztahuje. Tento odstavec míří na lékaře, advokáty, bankéře, psychology a další profesionály, kteří mají zákonnou povinnost mlčenlivosti o datech svých klientů.
Nedbalostní únik soukromé intimní nahrávky osobou, která ji pořídila v rámci svého soukromého života, tedy není trestným činem podle § 180 Trestního zákoníku. Trestní odpovědnost by mohla nastat až při úmyslném jednání (např. šíření nahrávky za účelem pomluvy dle § 184, vydírání atd.), což je však mimo téma nedbalostního úniku.
Skutečná hrozba: Občanský zákoník a likvidační náhrada újmy
Skutečná a velmi vysoká právní odpovědnost neleží v GDPR ani v Trestním zákoníku, ale v Občanském zákoníku. Je založena na dvou silných pilířích.
Pilíř č. 1: Generální prevenční povinnost (§ 2900 OZ)
Jádro odpovědnosti za nedbalost je zakotveno v § 2900 Občanského zákoníku:
„Vyžadují-li to okolnosti případu nebo zvyklosti soukromého života, je každý povinen počínat si při svém konání tak, aby nedošlo k nedůvodné újmě na svobodě, životě, zdraví nebo vlastnictví jiného.“
Právní argumentace je zde naprosto přímá. Tím, že osoba pořídí a uloží extrémně citlivou nahrávku, se „okolnosti případu“ dramaticky mění. Vzniká jí zvýšená povinnost opatrnosti. Uchovávání takové nahrávky je z právního hlediska riziková činnost, která vyžaduje adekvátní bezpečnostní opatření.
Nedbalost je v civilním právu chápána právě jako porušení této povinné péče (prevence dle § 2900 OZ). Uložení intimní nahrávky na nezaheslovaný počítač, používání hesla „12345“ na cloudu, nezapnutí dvoufaktorového ověření (2FA) nebo ponechání telefonu s nahrávkou bez dozoru v cizím prostředí je jasným porušením § 2900 OZ.
Takovové jednání by soud very pravděpodobně kvalifikoval nejen jako prostou nedbalost, ale jako hrubou nedbalost, která je definována jako „zřejmá bezohlednost“ k právům druhého.
Pilíř č. 2: Náhrada nemajetkové újmy (§ 2956 OZ)
Porušení prevenční povinnosti (§ 2900 OZ), které vede k úniku nahrávky, má přímý následek definovaný v § 2956 OZ:
„Škůdce, který zasáhl do přirozeného práva poškozeného… nahradí nemajetkovou újmu…“
Únik nahrávky je přímým zásahem do práva na soukromí, důstojnost a čest. Poškozená osoba (na nahrávce) má proto plné právo domáhat se peněžitého zadostiučinění.
Jak vysoká je hrozba? Kvantifikace újmy
Judikatura Ústavního soudu zdůrazňuje, že náhrada nemajetkové újmy plní nejen funkci satisfakční (odškodnění), ale také funkci preventivně-sankční. Nejde jen o „bolestné“, ale o citelný finanční postih, který má odradit původce zásahu i ostatní ve společnosti od podobného jednání.
České soudy se při stanovování výše náhrady za porušení práva na soukromí (chráněného i Článkem 8 Evropské úmluvy o lidských právech) inspirují judikaturou Evropského soudu pro lidská práva (ESLP).
- V případu Volodina v. Russia (No. 2) (2021) přiznal ESLP žadatelce 20 000 EUR (v přepočtu cca 500 000 Kč) jako náhradu nemajetkové újmy za selhání státu ochránit ji před online násilím, včetně zveřejnění jejích soukromých fotografií.
- V případu Buturugă v. Romania (2020) přiznal ESLP 10 000 EUR (v přepočtu cca 250 000 Kč) v případě kyberšikany a narušení soukromí pachatelem, který získal přístup k jejím datům.
Tyto případy definují online sdílení intimních materiálů jako závažnou formu násilí a porušení soukromí. Lze věcně argumentovat, že pokud ESLP přiznává takové částky za nečinnost státu, český soud v civilním řízení nebude váhat přiznat podobně vysokou (nebo i vyšší) částku přímo pachateli, který svou nedbalostí (§ 2900 OZ) únik dat způsobil. Hrozba náhrady škody v řádu stovek tisíc korun je tedy naprosto reálná.
Jak nebýt nedbalý: Právní prevence v technické praxi
Porušení § 2900 OZ (generální prevence) je klíčem k odpovědnosti. Jak tedy právní povinnost „předcházet újmě“ prakticky naplnit? Co soud uzná jako „dostatečné“ zabezpečení, a co již bude považovat za "hrubou nedbalost"?
Praktický překlad právní teorie ukazuje následující rozdíly: Pokud osoba prokáže, že aplikovala „odpovědná jednání“, může se v případném soudním sporu z odpovědnosti za nedbalost vyvinit. Prokázala by, že své povinnosti dle § 2900 OZ dostála. Bez těchto opatření je obrana téměř nemožná.
Uložiště (Lokální): Nedbalým jednáním (porušením § 2900 OZ) je uložení na ploše, ve složce „Stažené“ na nešifrovaném disku. Odpovědným jednáním (naplněním § 2900 OZ) je naopak použití šifrování celého disku (např. BitLocker ve Windows, FileVault na Macu) nebo vytvoření šifrovaného kontejneru (např. VeraCrypt).
Uložiště (Cloud): Za nedbalé se považuje nahrání do běžné složky na cloudu se slabým heslem. Odpovědným přístupem je použití specializovaných „trezorů“ (např. Osobní trezor na OneDrive, šifrované cloudy třetích stran) s odděleným ověřením.
Přístup (Hesla): Nedbalostí je slabé heslo ("heslo123", jméno partnera) nebo používání stejného hesla pro více služeb. Odpovědné jednání představuje silné, unikátní heslo nebo heslová fráze (doporučení NÚKIB pro data s vysokým rizikem je 17+ znaků) a ideálně použití správce hesel.
Přístup (Ověření): Nedbalé je spoléhat se pouze na heslo. Odpovědným jednáním je zapnutí dvoufaktorového ověření (2FA) u všech účtů, kde jsou data uložena (zejména e-mail a cloudový účet).
Sdílení zařízení: Nedbalé je ponechání odemčeného telefonu/PC partnerovi, přátelům, nebo sdílení přístupů k účtům. Odpovědný přístup vyžaduje striktní oddělení uživatelských účtů, důsledné zamykání zařízení a nikdy nesdílet zařízení obsahující tato data.
Životní cyklus dat: Nedbalostí je ponechání nahrávek na zařízení i po ukončení vztahu nebo jejich „zapomenutí“ na starých zálohách. Odpovědné jednání zahrnuje dohodu na bezpečném smazání dat po určité době a provedení bezpečného vymazání (nejen „delete“, ale přepsání dat), v souladu se zásadou minimalizace dat.
Závěr: Právní odpovědnost jako součást digitální gramotnosti
Analýza právního rámce odhaluje zásadní skutečnosti, které jsou v rozporu s běžnými mýty.
- Intimní nahrávka je jedním z nejcitlivějších právně chráněných statků (Ochrana osobnosti dle Občanského zákoníku).
- Na nedbalostní únik soukromou osobou se s největší pravděpodobností nevztahuje GDPR (kvůli "household exemption") ani § 180 Trestního zákoníku (ten se týká dat od státu nebo z výkonu povolání).
- Skutečná a nejvyšší odpovědnost je občanskoprávní. Je založena na porušení generální prevenční povinnosti (§ 2900 OZ).
- Nezabezpečení takto citlivých dat (slabé heslo, absence šifrování, absence 2FA) je jasným naplněním skutkové podstaty právní nedbalosti, potenciálně i hrubé nedbalosti.
- Následkem je povinnost uhradit poškozenému náhradu nemajetkové újmy (§ 2956 OZ). Tato náhrada má dle české judikatury i preventivně-sankční charakter a dle srovnatelné judikatury ESLP může dosahovat statisícových částek.
Zabezpečení intimních nahrávek není jen „dobrý nápad“ nebo technická libůstka. Je to přímá právní povinnost vůči partnerovi, jejíž zanedbání může mít vážné, a především velmi drahé finanční i osobní následky.
