Jaká jsou úskalí NDA
NDA (Non-Disclosure Agreement) je bezpečnostní opatření mající podobu dohody o zachování mlčenlivosti mezi dvěma případně i více stranami.
Setkat se můžeme s jednostrannou (unilateralní), dvoustrannou (bilaterální) a vícestrannou (multiraterální) dohodou o mlčenlivosti.
Nejzajímavější je pak jednostranné NDA uzavírané mezi fyzickou, případně právnickou osobou a druhou právnickou osobou, kdy se jen jedna strana zavazuje, že nevyzradí, nezneužije důvěrné informace, se kterými přijde do styku, a pokud by k tomu přeci jen došlo, tak že za to ponese následky.
Z tohoto pohledu můžeme NDA zařadit mezi preventivní odstrašující organizační opatření, které by mělo primárně zabránit vyzrazení informací ze strany insidera z důvodu neznalosti nebo nedbalosti a tím jej odradit od jednání spočívajícím v porušení obchodního tajemství dle § 2985 Občanského zákoníku. Víc od něj ale asi nelze očekávat.
V NDA by pak organizace měla uvést, co přesně považuje za své obchodní tajemství, aby to bylo nad vší pochybnost jasné, protože je problematické po insiderovi požadovat, aby nikdy s nikým o ničem nemluvil. To by ani nemohl komunikovat s nikým v rámci organizace. Ostatně i proto se v Občanském zákoníku v § 504 uvádí, že:
„Obchodní tajemství tvoří konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti, které souvisejí se závodem a jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení. “
Podepsáním NDA pak příslušná osoba bere na vědomí, že bude s daným tajemstvím přicházet do styku a zavazuje se, že je bude odpovídajícím způsobem chránit a v případě, že dojde její vinou k jejich úniku, tak uhradí smluvní pokutu, zpravidla výrazně vyšší než 4,5 násobek mzdy. (Problematika stanovení výše škody je např. uvedena zde.)
A protože papír snese všechno, tak je někdy uvedená sankce zcela mimo realitu a jejím cílem je jen odstrašit osobu od nežádoucího jednání a je otázka, zda to už není v rozporu s dobrými mravy (§ 547 Občanského zákoníku). Obzvláště pokud organizace toto obchodní tajemství neuvádí ani ve svém účetnictví jako nehmotný majetek, oceňuje jej výrazně nižší částkou a neprojevila ani jinou vůli tyto informace chránit, např. zavedením dalších logických, fyzických a organizačních opatření.
Je otázka, zda-li by byla vůbec šance takovou částku po fyzické osobě vymáhat, a jestli by soud rozhodl, že daná osoba musí skutečně danou částku zaplatit (§ 580 a § 588 Občanského zákoníku). Nejspíš jen v případě, kdyby se nade vši pochybnost podařilo prokázat, že insider jednal úmyslně nebo pod vlivem omamné látky v opačném případě je nutné respektovat zásadu in dubio pro reo.
Zcela neúčinné pak bude takovéto opatření vůči osobě, která tzv. nemá co ztratit, tj. nemá žádný majetek, příjem ani peníze na účtu a tudíž nebude moci smluvní pokutu stejně nikdy uhradit a to i kdyby jí byl soudem vyměřen nějaký splátkový kalendář. Jinak samozřejmě bude toto opatření působit na osobu, který nějakým majetkem disponuje a která bude mít obavu, že by o něj mohla v případě, že by smlouvu porušila, přijít.
Rovněž neúčinné toto opatření bude vůči těm insiderům, kteří jednají zcela vědomě (dolus directus) a rozhodnou se určité informace ukrást, protože se např. dostali do zoufalé životní situace, anebo se jedná o agenty specializující se na průmyslovou špionáž anebo budou mít jiný motiv. Tam zpravidla ani vysoká sazba za porušení důvěrnosti informací nezabrání nezákonnému jednání.
Problematické může být rovněž prokázání, že k úniku informací došlo z nedodržení bezpečnostních opatření ze strany insidera. Jednak by se muselo prokázat, že insider dobře věděl, jaké opatření by měl k ochraně citlivých informací přijmout a přesto tak neučinil (culpa luxuria, culpa lata). Buď by se muselo jednat o bezpečnostního profesionála u kterého se bezpečné chování jaksi očekává anebo by organizace musela doložit, že byl insider prokazatelně seznámen s bezpečnostními požadavky.
V opačném případě může insider tvrdit, že neví, co je silné heslo, vícefaktorová autentizace anebo šifrování, a že ho s tímto požadavkem nikdo neseznámil a tudíž nevěděl, že má nějaké takovéhle opatření přijmout (culpa negligentia). A je povinností organizace doložit, pokud chce sankci za nesplnění NDA uplatnit, že k seznámení insidera s požadavky na ochranu informací prokazatelně došlo. Kromě klasického podpisu tím může být absolvování školení zakončeného testem nebo kliknutí na tlačítko „Seznámil jsem se s politikou“ (je rovněž bráno jako el. podpis).
Zde je třeba opět prokazatelně doložit, že to byla opravdu daná osoba, která školení absolvovala, nebo která klikla, a rovněž je třeba doložit, jaký byl obsah školení a politiky v dané době, a že od té doby nedošlo k její změně. Insider by totiž mohl tvrdit, že v době, kdy smlouvu podepsal, byl obsah politiky zcela jiný a až poté, co k úniku informací došlo, byla upravena.
Na přetřes se tak v této souvislosti dostává otázka retroaktivity, protože v okamžiku, kdy třeba organizace každý rok aktualizuje svou bezpečnostní politiku a zpřísňuje své požadavky, tak by musela s daným insiderem znovu podepsat NDA, protože nemůže jeho chování vyhodnocovat podle stávající politiky, ale pouze podle té, která platila v době podepsání smlouvy (v zásadě se uplatňuje lex retro non agit).
Kromě toho by mohla nastat i situace, kdy by byli insideři k podpisu NDA tlačeni ze strany organizace jen proto, že už organizace dopředu nějaký únik informací plánovala nebo k němu již dokonce došlo, a potřebovala se na někom zahojit. Případně by mohla použít NDA k vydírání anebo jako nástroj jak si vynutit poslušnost insidera. Pak by se mohlo dojít k závěru, že smlouva nebyla uzavřena v dobré víře ( ). Kdysi jsem o takovém případu četl, ale nemohu to teď dohledat.
V neposlední řadě je pak třeba prokázat, že za únikem informací skutečně stojí daný insider, protože zpravidla to není jen on, kdo má k daným informacím přístup. A rovněž je třeba vyloučit, že nebyl uveden v omyl (§ 583 Občanského zákoníku) a informace z něj někdo nevylákal podvodným způsobem. Třeba kolega ze stejného oddělení, který k daným informacím neměl přístup a žádné NDA s ním sepsáno nebylo.
Nestačí jen zjistit, že insider k informacím přistupoval, ale že s nimi skutečně naložil v rozporu s politikou. Zkopíroval si je na soukromé zařízení, uložil na úložiště, poslal e-mailem, vytiskl, ofotil, opsal či sdělil jiné osobě. Ale i tady může být prokázání, že se jednalo o trestný čin ve stádiu přípravy nebo pokusu obtížné.
I když budete mít důkaz, tak můžete přesto narazit. Insider může tvrdit, že jeho povinností je dle politiky data zálohovat a zaměstnavatel mu neřekl jak, a tak to udělal stejně jak to je zvyklý dělat se svými soukromými daty. Nahrál je jako zašifrovaný archiv na cloudové úložiště. Soud pak může dojít k závěru, že je to v dané organizaci věc obvyklá a že se nejednalo o pochybení ani záměr data ukrást.
Při ochraně důvěrných informací se nelze spoléhat jen na NDA, ale měli byste se vážně zamyslet i nad ostatními opatřeními k minimalizaci rizika úniku informací jako je především personální screening a budování dobrých vztahů s insidery. Ani striktní řízení přístupů, šifrování, watermarking, auditing nebo DLP osobě, která má k datům v rámci plnění pracovních povinností legitimní přístup, krádeži dat nikdy zcela nezabrání.
Závěr: Uzavřít NDA má smysl. Kromě samozřejmé identifikace obou smluvních stran, data uzavření a podpisu by NDA mělo obsahovat ustanovení, o kterých skutečnostech chce organizace zachovat mlčenlivost a zda navěky anebo jen po určitou dobu a rovněž s kým mohou být dané informace sdíleny a jaká bude smluvní pokuta v případě porušení této dohody.
K článku “Jaká jsou úskalí NDA” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.