Právní aspekty řízení provozu IT v podniku

Transkript

1 Bankovní institut vysoká škola Praha Katedra informačních technologií Právní aspekty řízení provozu IT v podniku Bakalářská práce Autor: Petr Misík informační technologie, správce informačních systémů Vedoucí práce: Ing. Lubomír Jankových, CSc. Odborný konzultant: JUDr. Jiří Matzner, Ph.D. Praha Červen, 2012

2 Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze, dne Petr Misík

3 Poděkování Na tomto místě bych rád poděkoval v první řadě Ing. Lubomíru Jankových, CSc. za cenné připomínky a odborné rady, kterými přispěl k vypracování této bakalářské práce. Dále děkuji JUDr. Jiří Matznerovi, Ph.D. za konzultaci a vyčerpávající právnickou podporu. V neposlední řadě bych rád poděkoval prof. Ing. Vladimíru Smejkalovi, CSc. LL.M. a JUDr. Lukáši Jansovi za pomoc při úpravě zadání tématu bakalářské práce.

4 Anotace Cílem této práce je vytvořit podklad pro úpravu existující metodiky řízení provozu podnikového IT vzhledem k platným právním předpisům. Klíčová slova: Právní aspekty řízení IT, metodika IT, IT bezpečnost, informační technologie Annotation The point of this bachelor thesis is to create a basis for the adjustment of existing methodology of enterprise IT management operations given the current legislation. Key words: Legal aspects of IT, IT metodology, IT security, information technology

5 Obsah 1 České právní předpisy upravující řízení provozu IT Členění právních norem Výčet právních norem majících vliv na řízení IT Předmět úpravy jednotlivých zákonů Vymezení pojmů z pohledu zákona Bezpečnost provozu podnikového IT v rámci českého právního řádu Bezpečnostní politika IT Bezpečnost informačního systému Řízení rizik Požadavky na bezpečnost IT Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Ochrana prostředků pro zpracování informací Ochrana duševního vlastnictví v podnikových IS Autorské dílo Počítačový program Databáze Právo k autorskému dílu Právo k počítačovému programu Právo k databázi Licence a licenční smlouva Licence výhradní Licence nevýhradní Licenční smlouva Smlouva o dílo Ochrana autorského práva Nároky autora Finanční důsledky porušení autorského zákona Oprávnění uživatele Ochrana osobních údajů Zpracování osobních údajů Práva a povinnosti při zpracování osobních údajů Povinnosti osob při zabezpečení osobních údajů Porušení práv a povinností při zpracování osobních údajů Trestněprávní ochrana IT Odpovědnost právnických osob Spáchání trestného činu právnickou osobou Trestný čin právnické osoby Druhy trestů a ochranných opatření Odpovědnost fyzických osob Podmínky trestní odpovědnosti Odpovědnosti zaměstnance a možné důsledky Trestné činy Neoprávněný přístup k počítačovému systému a nosiči informací Opatření a přechovávání přístupového zařízení a hesla k počítačovému systému a jiných takových dat Poškození záznamu v počítačovém systému a na nosiči informací a zásah do vybavení počítače z nedbalosti

6 4.3.4 Porušení autorského práva, práv souvisejících s právem autorským a práv k databázi Trestné činy s odpovědností fyzických osob Neoprávněné nakládání s osobními údaji Porušení předpisů o pravidlech hospodářské soutěže Porušení práv k ochranné známce a jiným označením Návrh na doplnění metodiky řízení provozu Obecná doporučení při tvorbě metodiky řízení provozu IT Stávající směrnice řízení provozu IT Doplnění jednotlivých kapitol stávající metodiky

7 Úvod Informační technologie zaznamenaly rychlý rozvoj a jsou neustále velmi dynamicky se vyvíjející oblastí, umožnily vznik informační společnosti. Pro informační společnost je charakteristické elektronické zpracovávání a uchovávání informací a jejich přenos v elektronické podobě elektronickými prostředky, tj. sítí elektronických komunikací, elektronickou poštou, za použití elektronických komunikačních zařízení a koncových telekomunikačních zařízení. Rozvoj informační společnosti a uplatnění informačních technologií téměř ve všech oblastech lidské činnosti s sebou přináší i řadu nových problémů a rizikových faktorů, vzniká nový druh kriminality. Dochází tak k potřebě a nutnosti reagovat úpravou legislativy na změny, které v informační společnosti nastávají. Vytváří se nová právní disciplína, nazývaná počítačovým právem neboli právem IT (informačních technologií). Právo je prostředkem regulace, je to systém pravidel, která vytváří a vynucuje stát. Chápeme jej jako soubor právních norem upravujících chování a vztahy daných subjektů. Platné právní normy tvoří právní řád státu. IT právo je soubor právních norem, které upravují využívání informačních technologií. Zajišťují ochranu autorských práv a duševního vlastnictví při tvorbě a poskytování počítačových programů, vztahují se k informačním a komunikačním systémům, k elektronickým komunikacím, k elektronickému podpisu, k ochraně osobních údajů, k ochraně utajovaných informací. Dále upravují vztahy mezi jednotlivými subjekty autorské, občanskoprávní, obchodní, pracovněprávní. Trestní zákoník stanovuje trestní odpovědnost neoprávněných přístupů, poškozování záznamů a vybavení, a porušování autorského práva. Z hlediska řízení provozu IT v podniku v souladu s platnou legislativou je nutno sledovat změny právních úprav v této oblasti. Účelem vytvoření podkladu pro úpravu metodiky řízení provozu podnikového IT je zachytit souhrn platných právních norem souvisejících s IT současně s vysvětlením jejich obsahu a tím zajištění jednotného postupu zaměstnanců konkrétního podniku v souladu s platnými právními normami. Má být přínosem pro IT odborníky bez právních znalostí. Aby mohl být vytvořen závazný podklad pro úpravu existující metodiky řízení provozu podnikového IT jsou nejprve uvedeny a vysvětleny právní normy, které se k tématu vztahují. Od nich se odvíjí vytvoření vlastního podkladu v poslední části práce. 7

8 Jelikož je podklad určen IT odborníkům, u nichž existuje předpoklad, že znají pojmy z oblasti IT nikoli však z oblasti práva, je tato práce zaměřena více na právní stránku. Pokud je dále v podkladu vysvětlen pojem z oblasti IT, je tak učiněno z pohledu práva. Cílem práce je úprava existující metodiky řízení provozu podnikového IT vzhledem k platným právním předpisům. 8

9 1 České právní předpisy upravující řízení provozu IT Z hlediska práva neexistuje jedna ucelená právní norma, která by pokrývala komplexně danou oblast. Je to dáno tím, že IT se vyvíjí rychleji než reaguje legislativa, a proto právní rámec tvoří řada vzájemně se překrývajících pramenů práva. K jejich vymezení je nezbytná znalost platného právního řádu i vědomosti z oboru IT. Následující kapitola přináší přehled ustanovení majících vliv na řízení IT v podniku. 1.1 Členění právních norem Právní normy členíme dle právní síly 1 právního předpisu na: a) originální původní právní předpisy (zákony), b) derivativní odvozený, prováděcí - jedná se o nařízení, kterými se provádí právní předpis vyšší právní síly (nařízení vlády, vyhlášky ministerstva). Mezi originální právní předpisy jsou řazeny i vyhlášky obcí nebo krajů, jelikož jsou vydávány v samostatné působnosti. Naopak nařízení obcí nebo krajů jsou vydávány v přenesené působnosti a jsou považovány za derivativní právní předpisy. Dle věcné působnosti právní normy členíme na 2 : a) obecné vztahují se na větší počet stejných případů, např. občanský zákoník, obchodní zákoník, trestní zákoník, zákoník práce, b) speciální upravují zvláštní otázky týkající se IS u všech subjektů práva, např. autorský zákon, zákon o ochraně osobních údajů, zákon o elektronickém podpisu, c) zvláštní upravují zvláštní povinnosti týkající se zacházení s informacemi u vybraných subjektů, např. zákon o České národní bance. Zákon speciální má přednost před zákonem obecným. 1 Teorii právní síly právního předpisu zavedl Adolf Julius Merkl. Právní síla právního předpisu určuje hierarchii právních předpisů. Na vrcholu hierarchie stojí Ústava. 2 SMEJKAL, Vladimír; RAIS, Karel. Řízení rizik ve firmách a jiných organizacích. Třetí, rozšířené a aktualizované vydání. Grada Publishing, a.s., str

10 1.2 Výčet právních norem majících vliv na řízení IT Zákony Zákon č. 40/1964 Sb., občanský zákoník Zákon č. 513/1991 Sb., obchodní zákoník Zákon č. 6/1993 Sb., o České národní bance Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Zákon č. 480/2004 Sb., o některých službách informační společnosti Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 441/2003 Sb., o ochranných známkách Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim Zákon č. 40/2009 Sb., trestní zákoník Zákon č. 262/2006 Sb., zákoník práce Prováděcí vyhlášky a nařízení vlády K zákonu č. 227/2000 Sb., o elektronickém podpisu: Vyhláška č. 496/2004 Sb., o elektronických podatelnách Nařízení vlády 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu) K zákonu č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích): Nález Ústavního soudu č. 94/2011 Sb., ze dne 22. března 2011 sp. zn. Pl. ÚS 24/10 ve věci návrhu na zrušení 97 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických 10

11 komunikacích), ve znění pozdějších předpisů, a na zrušení vyhlášky č. 485/2005 Sb., o rozsahu provozních a lokalizačních údajů, době jejich uchovávání a formě a způsobu jejich předávání orgánům oprávněným k jejich využívání K zákonu 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů: Vyhláška č. 193/2009 Sb., o stanovení podrobností provádění autorizované konverze dokumentů Vyhláška č. 194/2009 Sb., o stanovení podrobností užívání a provozování informačního systému datových schránek K zákonu č. 365/2000 Sb., o informačních systémech veřejné správy: Vyhláška č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy) Vyhláška č. 53/2007 Sb., o technických a funkčních náležitostech uskutečňování vazeb mezi informačními systémy veřejné správy prostřednictvím referenčního rozhraní (vyhláška o referenčním rozhraní) K zákonu č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti: Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací, ve znění vyhlášky č. 55/2008 Sb. Vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) Vyhláška č. 363/2011 Sb., o personální bezpečnosti a o bezpečnostní způsobilosti 11

12 Vyhláška č. 405/2011 Sb., o průmyslové bezpečnosti Vyhláška č. 432/2011 Sb., o zajištění kryptografické ochrany utajovaných informací 1.3 Předmět úpravy jednotlivých zákonů Zákon č. 40/1964 Sb., občanský zákoník upravuje majetkové vztahy fyzických a právnických osob, majetkové vztahy mezi těmito osobami a státem, vztahy vyplývající z práva na ochranu osob, pokud tyto občanskoprávní vztahy neupravují jiné zákony, z pohledu IT: uzavírání smluv, ochrana spotřebitele. Zákon č. 513/1991 Sb., obchodní zákoník upravuje postavení podnikatelů, obchodní závazkové vztahy, i některé jiné vztahy s podnikáním související, z pohledu IT: obchodní vztahy, obchodní tajemství, smlouva o dílo, nekalá soutěž, záruka za jakost, nároky z vad. Zákon č. 6/1993 Sb., o České národní bance upravuje cíle, povinnosti, organizaci, vztahy ČNB k vládě a dalším orgánům, činnost, pravomoc a hospodaření ČNB, z pohledu IT: koordinace rozvoje bankovního informačního systému v České republice, stanovit zásady bankovního informačního systému. Zákon č. 227/2000 Sb., o elektronickém podpisu upravuje používání elektronického podpisu, elektronické značky, poskytování certifikačních služeb a souvisejících služeb poskytovateli usazenými na území České republiky, z pohledu IT: elektronická komunikace. Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích) upravuje podmínky podnikání a výkon státní správy, včetně regulace trhu, v oblasti elektronických komunikací, 12

13 z pohledu IT: sítě elektronických komunikací. Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů upravuje elektronické úkony orgánů veřejné moci vůči fyzickým a právnickým osobám a naopak, a elektronické úkony mezi orgány veřejné moci navzájem prostřednictvím datových schránek, informační systém datových schránek, autorizovanou konverzi dokumentů, z pohledu IT: elektronická komunikace prostřednictvím datových schránek. Zákon č. 365/2000 Sb., o informačních systémech veřejné správy stanoví práva a povinnosti, které souvisejí s vytvářením, užíváním, provozem a rozvojem informačních systémů veřejné správy, z pohledu IT: práva a povinnosti správců IS veřejné správy. Zákon č. 480/2004 Sb. o některých službách informační společnosti upravuje odpovědnost a práva a povinnosti osob, které poskytují služby informační společnosti a šíří obchodní sdělení prostřednictvím elektronických prostředků, z pohledu IT: elektronické komunikace. Zákon č. 101/2000 Sb., o ochraně osobních údajů k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států, z pohledu IT: při využívání softwaru umístěném na hardwaru poskytovatele. Zákon č. 441/2003 Sb., o ochranných známkách upravuje právo užívat ochrannou známku ve spojení s výrobky nebo službami, pro něž je chráněna, z pohledu IT: ochrana loga a názvů softwaru. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti upravuje zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k nim a další požadavky na jejich ochranu, zásady pro stanovení citlivých činností a podmínky pro jejich výkon a s tím spojený výkon státní správy, 13

14 z pohledu IT: ochrana informací. Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) upravuje práva autora k jeho autorskému dílu, práva související s právem autorským, právo pořizovatele k jím pořízené databázi, ochranu práv podle tohoto zákona a kolektivní správu práv autorských a práv souvisejících s právem autorským, z pohledu IT : souvisí s tvorbou a poskytováním počítačových programů a s pořizováním databází. Zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim upravuje podmínky trestní odpovědnosti právnických osob, tresty a ochranná opatření, které lze za spáchání stanovených trestných činů právnickým osobám uložit, a postup v řízení proti právnickým osobám, z pohledu IT: neoprávněné přístupy, neoprávněná manipulace s daty, přechovávání prostředků použitelných k neoprávněnému přístupu, poškozování záznamů a vybavení, porušování autorských práv. Zákon č. 40/2009 Sb., trestní zákoník vymezuje trestné činy a stanoví trestní sankce, které lze za jejich spáchání uložit, z pohledu IT: neoprávněné přístupy, neoprávněná manipulace s daty, přechovávání prostředků použitelných k neoprávněnému přístupu, poškozování záznamů a vybavení, porušování autorských práv. Zákon č. 262/2006 Sb., zákoník práce upravuje právní vztahy vznikající při výkonu závislé práce mezi zaměstnanci a zaměstnavateli, některé právní vztahy před vznikem pracovněprávních vztahů a právní vztahy kolektivní povahy, které souvisejí s výkonem závislé práce, z pohledu IT: odpovědnost zaměstnance za škodu. 14

15 1.4 Vymezení pojmů z pohledu zákona Aktiva informačního systému - na základě analýzy rizik definovaný hardware, software, dokumentace informačního systému a utajované informace, které jsou v informačním systému uloženy. Analýza rizik - proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků. Auditní záznam - záznam informačního systému o události, která může ovlivnit bezpečnost informačního systému. Autentizace subjektu informačního systému - proces ověření jeho identity v informačním systému, splňující požadovanou míru záruky. Autor fyzická osoba, která dílo vytvořila. Autorizace subjektu informačního systému - udělení určitých práv pro vykonávání určených aktivit v informačním systému. Autorské dílo - dílo literární a jiné dílo umělecké a dílo vědecké, které je jedinečným výsledkem tvůrčí činnosti autora a je vyjádřeno v jakékoli objektivně vnímatelné podobě včetně podoby elektronické, trvale nebo dočasně, bez ohledu na jeho rozsah, účel nebo význam. Bezpečnostní správce informačního systému nebo komunikačního systému - pracovník správy informačního systému nebo komunikačního systému v roli vytvořené pro řízení a kontrolu bezpečnosti informačního systému nebo komunikačního systému a provádění stanovených činností pro zajištění bezpečnosti informačního systému nebo komunikačního systému. Databáze soubor nezávislých děl, údajů nebo jiných prvků, systematicky nebo metodicky uspořádaných. Datový prvek - jednotka dat, která je v daném kontextu dále považována za nedělitelnou a je jednoznačně definována. Elektronická pošta - textová, hlasová, zvuková nebo obrazová zpráva poslaná prostřednictvím veřejné sítě elektronických komunikací, která může být uložena v síti nebo v koncovém zařízení uživatele, dokud ji uživatel nevyzvedne. Elektronické prostředky - zejména síť elektronických komunikací, elektronická komunikační zařízení, automatické volací a komunikační systémy, telekomunikační koncová zařízení a elektronická pošta. 15

16 Fyzická bezpečnost informačního systému nebo komunikačního systému - opatření použitá k zajištění fyzické ochrany aktiv těchto systémů proti náhodným nebo úmyslným hrozbám. Identifikace subjektu informačního systému - proces zjištění jeho identity v informačním systému. Informace o správě práv k dílu - informace určená autorem, která identifikuje dílo, autora nebo jiného nositele práva, nebo informace o způsobech a podmínkách užití díla a jakákoli čísla nebo kódy, které takovou informaci představují. Informační činnost - získávání a poskytování informací, reprezentace informací daty, shromažďování, vyhodnocování a ukládání dat na hmotné nosiče a uchovávání, vyhledávání, úprava nebo pozměňování dat, jejich předávání, šíření, zpřístupňování, výměna, třídění nebo kombinování, blokování a likvidace dat ukládaných na hmotných nosičích. Je prováděna správci, provozovateli a uživateli informačních systémů prostřednictvím technických a programových prostředků. Informační systém - funkční celek nebo jeho část zabezpečující cílevědomou a systematickou informační činnost, zahrnuje data uspořádaná tak, aby bylo možné jejich zpracování a zpřístupnění, provozní údaje a dále nástroje umožňující výkon informačních činností. Integrita aktiva informačního systému nebo komunikačního systému - vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem informačního systému. Komunikační činnost - zajišťování sítí elektronických komunikací, poskytování služeb elektronických komunikací, provozování přístrojů. Licenční smlouva - autor poskytuje nabyvateli oprávnění k výkonu práva dílo užít (licenci) k jednotlivým způsobům nebo ke všem způsobům užití, v rozsahu omezeném nebo neomezeném. Ochranná známka - jakékoliv označení schopné grafického znázornění, zejména slova, včetně osobních jmen, barvy, kresby, písmena, číslice, tvar výrobku nebo jeho obal, pokud je toto označení způsobilé odlišit výrobky nebo služby jedné osoby od výrobků nebo služeb jiné osoby. Osobní údaj - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. 16

17 Počítačová bezpečnost - bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky. Produkt - souhrnný název pro technické vybavení, programové vybavení, dokumentaci informačních systémů nebo služby nebo jejich kombinaci. Prostředek výpočetní techniky souhrn technických a programových prostředků. Provozní dokumentace - dokumentace informačního systému veřejné správy, která popisuje funkční a technické vlastnosti informačního systému. Provozní informační systém - informační systém zajišťující informační činnosti nutné pro vnitřní provoz příslušného orgánu, například účetnictví, správu majetku, a nesouvisející bezprostředně s výkonem veřejné správy. Přístroj - zařízení, které je rádiovým zařízením nebo telekomunikačním koncovým zařízením anebo obojím. Riziko pro informační systém nebo komunikační systém - pravděpodobnost, že určitá hrozba využije zranitelných míst některého z těchto systémů. Role - souhrn určených činností a potřebných autorizací pro subjekt informačního systému působící v informačním systému nebo komunikačním systému. Shromažďování osobních údajů - systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. Služba - činnost informačního systému uspokojující dané požadavky oprávněného subjektu spojená s funkcí informačního systému. Služba informační společnosti - jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat. Správce informačního systému nebo komunikačního systému - pracovník správy informačního systému nebo komunikačního systému v roli vytvořené zejména pro zajištění požadované funkčnosti informačního systému nebo komunikačního systému a řízení provozu informačního systému nebo komunikačního systému. Subjekt údajů - fyzická osoba, k níž se osobní údaje vztahují. Uchovávání osobních údajů - udržování údajů v takové podobě, která je umožňuje dále zpracovávat. 17

18 Utajovaná informace informace, která je uvedena v seznamu utajovaných informací, a jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky. Uživatel informačního systému nebo komunikačního systému - fyzická osoba v roli vytvořené zejména pro nakládání s utajovanými informacemi v informačním systému nebo pro přenos utajovaných informací v komunikačním systému. Veřejný informační systém - informační systém vedený správci nebo jiný informační systém poskytující služby veřejnosti, který má vazby na informační systémy veřejné správy. Zpracování osobních údajů - jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. 18

19 2 Bezpečnost provozu podnikového IT v rámci českého právního řádu Pojem bezpečnost IT není v českém právním systému vymezena. Obecně lze pojem chápat jako počínat si takovým způsobem, aby nebyla způsobena škoda. Podniku může být způsobena škoda na majetku, který zahrnuje hmotné, osobní a nehmotné složky. Zdrojem úspěchu podniku je také informace či obchodní tajemství. Je tedy potřeba chránit hmotný i nehmotný majetek firmy. K jeho ohrožení může dojít jak vnějším, tak vnitřním vlivem. V souvislosti s IT znamená bezpečnost provozu ochranu informací podniku, ochranu osobních údajů a ochranu prostředků pro zpracování informací. Jelikož bezpečnost informací podniku není v právních normách stanovena, použijeme právní normy vztahující se k výkonu státní správy a nakládání s utajovanými informacemi. 2.1 Bezpečnostní politika IT Bezpečnostní politiku informačního systému tvoří dle 5 vyhlášky č. 523/2005 Sb., soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové bezpečnostní dokumentaci informačního systému a v provozní bezpečnostní dokumentaci informačního systému. V podniku, který nevyvíjí software uvažujeme o provozní bezpečnostní dokumentaci informačního systému, která stanoví činnost bezpečnostních správců, činnost správců a činnost uživatelů informačního systému Bezpečnost informačního systému Pojem bezpečnost informačního systému je pouze v 5 písm. e) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, definován bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému. 19

20 Bezpečnost informací je definována jako zachování důvěrnosti, integrity a dostupnosti informací. Důvěrnost znamená zajištění toho, že informace je přístupná jen těm, kteří jsou oprávněni k ní mít přístup. Integrita je zabezpečení přesnosti a kompletnosti informací a metod jejich zpracování. Dostupnost je zajištění toho, že jsou informace a s nimi spojená aktiva uživatelům přístupná v době, kdy je potřebují. Podklad pro úpravu existující metodiky řízení provozu podnikového IT bude vycházet z ustanovení zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, a z vyhlášky Národního bezpečnostního úřadu č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor Řízení rizik Rizikem se obecně rozumí nebezpečí vzniku škody, poškození, ztráty či zničení, jde o neurčitý nebo nežádoucí výsledek. Rizikem pro informační systém se rozumí pravděpodobnost, že určitá hrozba využije zranitelných míst tohoto systému. Hrozby mohou být jak vnější, tak vnitřní. Cílem podniku je rizikům předcházet, eliminovat nebezpečí vzniku rizik jejich řízením. Řízení rizik zahrnuje analýzu, způsob řešení a vypracování plánu pro řízení rizik. Aktivem informačního systému se rozumí definovaný hardware, software, dokumentace informačního systému a informace, které jsou v informačním systému uloženy. Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik. V rámci provedení analýzy rizik se vymezují aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému. Po stanovení hrozeb se vymezují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí. Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika. Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření. 2.2 Požadavky na bezpečnost IT Dle 3 vyhlášky 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci 20

21 stínicích komor, se bezpečností informačních systémů dosahuje uplatněním souboru opatření z oblasti: a) počítačové a komunikační bezpečnosti, b) kryptografické ochrany, c) ochrany proti úniku kompromitujícího elektromagnetického vyzařování, d) administrativní bezpečnosti a organizačních opatření, e) personální bezpečnosti a f) fyzické bezpečnosti informačního systému. Dle 5 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, je ochrana utajovaných informací zajišťována: a) personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana, b) průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem, c) administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi, d) fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat, e) bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a f) kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací Personální bezpečnost Zaměstnanec nakládající s daty citlivými pro podnik či s osobními údaji musí splňovat určité podmínky. Již v průběhu přijímacího řízeni musí být zaměstnavatelem u potencionálního 21

22 zaměstnance sledována jeho způsobilost k právním úkonům, bezúhonnost, osobnostní způsobilost a bezpečnostní spolehlivost. Dle 31 zákona č. 262/2006 Sb., zákoníku práce, před uzavřením pracovní smlouvy je zaměstnavatel povinen seznámit fyzickou osobu s právy a povinnostmi, které by pro ni z pracovní smlouvy, popřípadě ze jmenování na pracovní místo vyplynuly, a s pracovními podmínkami a podmínkami odměňování, za nichž má práci konat, a povinnostmi, které vyplývají ze zvláštních právních předpisů vztahujících se k práci, která má být předmětem pracovního poměru. Při přijetí do pracovního poměru musí být zaměstnanec seznámen s pracovním řádem a s veškerými směrnicemi, prováděcími a metodickými pokyny zaměstnavatele, které se vztahují k jeho výkonu práce. Tím podnik předejde sporům, ke kterým by mohlo v budoucnu dojít. Zaměstnavatelem by měly být sledovány cíle jako je zneužití pracovních prostředků, ochrana informací, zajištění legálnosti softwaru a ochrana autorských práv. Základním a zásadním dokumentem zakládajícím právní vztah mezi zaměstnancem a zaměstnavatelem je pracovní smlouva. Dle 34 zákoníku práce pracovní smlouva musí obsahovat náležitosti: a) druh práce, který má zaměstnanec pro zaměstnavatele vykonávat, b) místo nebo místa výkonu práce, ve kterých má být práce podle písmene a) vykonávána, c) den nástupu do práce. Dále je možno se zaměstnancem uzavřít smlouvu se zvýšenou odpovědností za výkon funkce. Rozdílně bude vymezen druh práce u uživatele, správce nebo bezpečnostního správce informačního systému. Dle druhu vykonávané práce je třeba zaměstnanci nastavit autorizované přístupy a oprávnění pouze v rozsahu nezbytném pro jemu určené aktivity v informačním systému v souladu s bezpečnostní dokumentací informačního systému. Zaměstnanci musí dodržovat předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému. Pokud bude využíván určitý identifikátor několika zaměstnanci, musí být určitelné, kdo jej v dané době využíval. Stejně tak musí být identifikovatelné narušení bezpečnosti informačního systému nebo pokusy o něj. Dle činností stanovených v bezpečnostní dokumentaci informačního systému role bezpečnostního správce informačního systému nebo jiné pověřené osoby obsahuje především výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, správě konfigurace 22

23 informačního systému, správě a vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, zajištění školení uživatelů v oblasti bezpečnosti informačního systému, kontroly dodržování bezpečnostních provozních směrnic. Autorizované přístupy a oprávnění zaměstnanců musí být udržovány v aktuálním stavu. Provozovatel informačního systému zajišťuje úvodní a další periodická školení zaměstnanců v dodržování opatření stanovených v bezpečnostní dokumentaci informačního systému a správném užívání informačního systému Fyzická bezpečnost a bezpečnost prostředí Fyzickou bezpečnost tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k aktivům informačního systému, popřípadě přístup nebo pokus o něj zaznamenat. Cílem zajištění fyzické bezpečnosti je předcházet neoprávněným přístupům, odcizení, zničení a poškození informačních aktiv. Aktiva informačního systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna. Dále aktiva informačního systému musí být umístěna tak, aby bylo nepovolané osobě zamezeno odezírat informace sloužící k identifikaci a autentizaci uživatele. Dle 27 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti, opatřeními fyzické bezpečnosti jsou: a) ostraha, b) režimová opatření, c) technické prostředky. Ostraha představuje zajištění ochrany fyzickou osobou proti vniknutí neoprávněných osob do objektů. Režimová opatření stanoví oprávnění osob a dopravních prostředků: pro vstup a vjezd do objektu, oprávnění osob pro vstup do zabezpečené oblasti a způsob kontroly těchto oprávnění a dále způsob manipulace s klíči a identifikačními prostředky, které se používají pro systémy zabezpečení vstupů, a způsob manipulace s technickými prostředky a jejich používání, při výstupu osob a výjezdu dopravních prostředků z objektu a pro jejich kontrolu, podmínky a způsob kontroly pohybu osob v objektu a zabezpečené oblasti a způsob kontroly a vynášení informací z objektu a zabezpečené oblasti. 23

24 Technickými prostředky dle 30 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti jsou zejména: a) mechanické zábranné prostředky, b) elektrická zámková zařízení a systémy pro kontrolu vstupů, c) zařízení elektrické zabezpečovací signalizace, d) speciální televizní systémy, e) tísňové systémy, f) zařízení elektrické požární signalizace, g) zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů, h) zařízení fyzického ničení nosičů informací, i) zařízení proti pasivnímu a aktivnímu odposlechu utajované informace Ochrana prostředků pro zpracování informací Dle 34 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti se informačním systémem nakládajícím s utajovanými informacemi rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací. Dle 35 zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti se komunikačním systémem nakládajícím s utajovanými informacemi rozumí systém zajišťující přenos těchto informací mezi koncovými uživateli a zahrnující koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy. Instalace, provoz a údržba informačního systému musí být prováděna oprávněnou osobou. Nesmí být ohrožena bezpečnost a oslabeny bezpečnostní funkce informačního systému. Bezpečnost informačního systému musí být průběžně prověřována a vyhodnocována. Programové vybavení a informace musí být chráněny před působením škodlivého kódu. Může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému. V informačním systému musí být prováděno zálohování programového vybavení a informací. Záloha musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti informací. 24

25 V informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému a chráněny před modifikací nebo zničením. V bezpečnostní dokumentaci informačního systému musí být dále uvedeno: opatření zaměřená na uvedení informačního systému do stavu odpovídajícímu bezpečnostní dokumentaci, základní typy krizových situací, které mohou podle analýzy rizik nastat a pro každou z nich specifikována činnost následující: a) bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace, b) po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly. Pro případ havárie softwarového nebo hardwarového vybavení musí být uveden v bezpečnostní dokumentaci informačního systému způsob: a) zálohování informačního systému a uložení záložních médií, b) zajišťování servisní činnosti, c) zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány, d) obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu. Před trvalým ukončením provozu informačního systému musí být provedeno vyjmutí nebo zničení nosičů informací, se kterými informační systém nakládal. 25

26 3 Ochrana duševního vlastnictví v podnikových IS Duševní vlastnictví je majetek nehmotné povahy, který je výsledkem procesu lidského myšlení. Za duševní vlastnictví je považováno dílo, které je jedinečným výsledkem tvůrčí činnosti autora. Pro účely ochrany duševního vlastnictví v podnikových IS uvažujeme o počítačovém programu a databázi. Nejprve je popsáno, co je autorským dílem a jaká práva z autorství vyplývají. 3.1 Autorské dílo K ochraně duševního vlastnictví se vztahuje zákon č. 121/2000 Sb., autorský zákon. Neobsahuje sice definici, ani jiné české právní předpisy, co je počítačový program nebo software (budeme těmto slovům přikládat stejný význam), ale pojem počítačový program je zde užit. K počítačovému programu se přistupuje jako k autorskému dílu Počítačový program Za autorské dílo se dle 2 odst. 2 zákona č. 121/2000 Sb., autorský zákon, považuje počítačový program, je-li původní v tom smyslu, že je autorovým vlastním duševním výtvorem. Dle 65 odst. 1 autorského zákona je počítačový program, bez ohledu na formu jeho vyjádření, včetně přípravných koncepčních materiálů, chráněn jako dílo literární. Avšak myšlenky a principy, na nichž je založen jakýkoli prvek počítačového programu, včetně těch, které jsou podkladem jeho propojení s jiným programem, nejsou dle 65 odst. 2 autorského zákona podle tohoto zákona chráněny. Je tedy rozhodné, co je jako počítačový program podle autorského zákona chráněno a co nikoliv. Dle předchozích ustanovení samotná myšlenka, na které je software založen, chráněna není, ale již přípravné koncepční materiály k vytvoření softwaru ano. Také jednotlivé vývojové fáze a části softwaru jsou autorským zákonem chráněny, jak vyplývá z 2 odst. 3 autorského zákona, kdy právo autorské se vztahuje na dílo dokončené, jeho jednotlivé vývojové fáze a části, pokud splňují podmínky původnosti autorova vlastního duševního výtvoru. 26

27 3.1.2 Databáze Dle autorského zákona je databáze chráněna právem autora k jeho autorskému dílu nebo právem pořizovatele k jím pořízené databázi, viz. 1 autorského zákona. Autorským dílem je dle 2 odst. 2 autorského zákona databáze, která je způsobem výběru nebo uspořádáním obsahu autorovým vlastním duševním výtvorem a jejíž součásti jsou systematicky nebo metodicky uspořádány a jednotlivě zpřístupněny elektronicky či jiným způsobem, databáze je dílem souborným. Přičemž dle 5 odst. 2 autorského zákona autorem díla souborného je fyzická osoba, která je tvůrčím způsobem vybrala nebo uspořádala; tím nejsou dotčena práva autorů děl do souboru zařazených. Databází se dle 88 autorského zákona rozumí soubor nezávislých děl, údajů nebo jiných prvků, systematicky nebo metodicky uspořádaných a individuálně přístupných elektronickými nebo jinými prostředky, bez ohledu na formu jejich vyjádření. Pořizovatelem databáze dle 89 autorského zákona může být fyzická nebo právnická osoba, která na svou odpovědnost pořídí databázi, nebo pro kterou tak z jejího podnětu učiní jiná osoba. 3.2 Právo k autorskému dílu Jelikož je software duševním výtvorem autora a dle 5 odst. 1 autorského zákona je autorem fyzická osoba, i v případě podniku zabývajícím se vývojem softwaru, zůstávají autorská práva zaměstnanci, který software vytvořil. Autorský zákon v 58 upravuje zaměstnanecké dílo. Pokud se na vývoji podílí více zaměstnanců, autorský zákon upravuje v 59 kolektivní dílo. Zaměstnavatel vykonává majetková práva k dílu vytvořenému zaměstnancem, které dle 58 autorského zákona autor vytvořil ke splnění svých povinností vyplývajících z pracovněprávního či služebního vztahu k zaměstnavateli. Podnik, pro který je tento podklad určen, se nezabývá vývojem softwaru, nebudeme se tedy autorskému právu z tohoto pohledu dále věnovat. V případě zaměstnavatele zabývajícího se vývojem softwaru by měly být kvalitně a dostatečně ošetřeny veškeré pracovněprávní dokumenty a nastaveny kontroly při jednotlivých fázích vývoje softwaru. V případě databáze autorský zákon upravuje v zvláštní právo pořizovatele databáze. 27

28 3.2.1 Právo k počítačovému programu Právo autorské k dílu dle 9 autorského zákona vzniká okamžikem, kdy je dílo vyjádřeno v jakékoli objektivně vnímatelné podobě. Právo autorské zahrnuje výlučná práva osobnostní dle 11 autorského zákona a výlučná práva majetková dle 12 autorského zákona. Osobnostních práv se dle 4 autorského zákona autor nemůže vzdát; tato práva jsou nepřevoditelná a smrtí autora zanikají. Ani majetkových práv se dle 26 autorského zákona autor nemůže vzdát; tato práva jsou nepřevoditelná. Majetková práva dle 27 autorského zákona trvají po dobu autorova života a 70 let po jeho smrti. Osobnostním právem je dle 11 autorského zákona právo autora rozhodnout o zveřejnění svého díla, právo osobovat si autorství a právo na nedotknutelnost svého díla, zejména právo udělit svolení k jakékoli změně nebo jinému zásahu do svého díla. Do majetkového práva patří právo dílo užít. Dle 12 odst. 4 autorského zákona právem dílo užít je a) právo na rozmnožování díla, b) právo na rozšiřování originálu nebo rozmnoženiny díla, c) právo na pronájem originálu nebo rozmnoženiny díla, d) právo na půjčování originálu nebo rozmnoženiny díla, e) právo na vystavování originálu nebo rozmnoženiny díla, f) právo na sdělování díla veřejnosti. Dle 12 má autor právo své dílo užít v původní nebo jiným zpracované či jinak změněné podobě, samostatně nebo v souboru anebo ve spojení s jiným dílem či prvky a udělit jiné osobě smlouvou oprávnění k výkonu tohoto práva. Poskytnutím oprávnění právo autorovi nezaniká, autorovi vzniká pouze povinnost strpět zásah do práva dílo užít jinou osobou v rozsahu vyplývajícím ze smlouvy. Autor poskytuje oprávnění k výkonu práva užít software prostřednictvím licenční smlouvy Právo k databázi Pokud databáze naplňuje znaky autorského díla, tzn. že je autorovým vlastním duševním výtvorem, vznikají k databázi práva osobnostní i majetková. Znaky autorského díla naplňuje především databáze, která je součástí softwaru. K databázi jako k autorskému dílu musí být udělena licence. Do autorského práva k databázi dle 36 autorského zákona nezasahuje oprávněný uživatel souborného díla, užívá-li takové dílo za účelem přístupu k jeho obsahu a pro běžné využívání jeho obsahu. 28

29 Pořizovatelem databáze se rozumí ten, kdo data uspořádal. Například při psané této práce je využíváno k nahlížení zákonů na webové stránce zakonyprolidi.cz, na které pořizovatel databáze zákony uspořádal, ale není autorem zákonů. 3 Tím pořizovateli databáze přísluší zvláštní práva k databázi, podle 88a autorského zákona, pokud pořízení, ověření nebo předvedení obsahu databáze představuje kvalitativně nebo kvantitativně podstatný vklad bez ohledu na to, zda databáze nebo její obsah jsou předmětem autorskoprávní nebo jiné ochrany. Zvláštní právo pořizovatele databáze dle 93 autorského zákona trvá 15 let od pořízení databáze. Je-li v této době databáze zpřístupněna, zaniká zvláštní právo pořizovatele databáze za 15 let od prvního takového zpřístupnění. Každý nový kvalitativně nebo kvantitativně podstatný vklad do databáze spočívající v doplnění, zkrácení či jiných úpravách má za následek nový běh trvání práva. Pořizovatel má dle 90 autorského zákona právo nakládat s databází, např. převést ji na jiný podklad nebo databázi zpřístupnit veřejnosti. Zpřístupněnou databázi lze užívat obvyklým způsobem. Dle 91 do práva pořizovatele databáze, která byla zpřístupněna jakýmkoli způsobem veřejnosti, nezasahuje oprávněný uživatel, pokud databázi užívá běžně a přiměřeně, nikoli systematicky či opakovaně, a bez újmy oprávněných zájmů pořizovatele databáze, a že nezpůsobuje újmu autorovi ani nositeli práv souvisejících s právem autorským k dílům nebo jiným předmětům ochrany obsaženým v databázi. 3.3 Licence a licenční smlouva Pro používání software jako autorského díla v souladu se zákonem musí být udělen souhlas autora. Pro tento souhlas je zaveden termín licence. Licence je poskytována licenční smlouvou. Dle 46 odst. 1, autorského zákona, licenční smlouvou autor poskytuje nabyvateli oprávnění k výkonu práva dílo užít (licenci) k jednotlivým způsobům nebo ke všem způsobům užití, v rozsahu omezeném nebo neomezeném. Pokud není ve smlouvě sjednáno jinak, je nabyvatel povinen licenci využít. Dle 46 odst. 4, autorského zákona, smlouva vyžaduje písemnou formu, poskytuje-li se licence jako výhradní. Pokud je ve smlouvě sjednáno, že lze oprávnění tvořící součást licence poskytnout zcela nebo zčásti třetí osobě, 3 Dle 3 písm. a) autorského zákona se ochrana podle práva autorského nevztahuje na úřední dílo, jímž je právní předpis. 29

30 jedná se o udělení podlicence ( 48 odst. 1). Pro podlicenci platí ustanovení obdobně jako pro licenční smlouvu. V případě databáze zpřístupněné pořizovatelem dle 92 autorského zákona existuje tzv. bezúplatná zákonná licence. Pokud není databáze součástí softwaru lze využít obsah databáze pro osobní potřebu nebo pro účely vědecké nebo vyučovací, je-li uveden pramen, v rozsahu odůvodněném sledovaným nevýdělečným účelem, a pro účely veřejné bezpečnosti nebo správního či soudního řízení Licence výhradní Výhradní licence je většinou sjednávána k softwaru vyvinutému na míru určitému zákazníkovi. Znamená, že stejný software nebude používat jiná, např. konkurenční firma. V případě výhradní licence, jak je uvedeno v 47 odst. 2, autorského zákona, autor nesmí poskytnout licenci třetí osobě a je povinen, není-li sjednáno jinak, se i sám zdržet výkonu práva užít dílo způsobem, ke kterému licenci udělil. Pokud by autor poskytl licenci třetí osobě v době trvání výhradní licence původního nabyvatele, pokud ten neudělí souhlas, je taková smlouva neplatná. Autor může dle 53 odst. 1 autorského zákona od smlouvy odstoupit, pokud nabyvatel licenci nevyužívá vůbec nebo ji využívá v nedostatečné míře, jsou-li tím značně nepříznivě dotčeny oprávněné zájmy autora Licence nevýhradní Pokud ze smlouvy nevyplývá jinak, má se za to, že jde o licenci nevýhradní. Tato licence se uděluje k softwaru, který může na základě licence používat více zákazníků. V případě nevýhradní licence je dle 47 odst. 3 autorského zákona autor nadále oprávněn k výkonu práva užít dílo způsobem, ke kterému licenci udělil, jakož i k poskytnutí licence třetím osobám Licenční smlouva Licenční smlouvu může uzavřít autor nebo zaměstnavatel autora, tedy vykonavatel majetkových práv k dílu, které zaměstnanec vytvořil ke splnění svých povinností vyplývajících z pracovněprávního či služebního vztahu k zaměstnavateli. 30