Když jdou data mimo firmu

Tomáš Nielsen, časopis IT Systems

Každá firma, která začne ukládat svá data v digitální podobě, poměrně rychle začíná řešit otázku jejich bezpečnosti. Dvojnásob to platí, pokud firma neuchovává data na svých počítačích, ale využije externích služeb ve formě outsourcingu. Jak k takové spolupráci se správci firemních dat přistupovat?

Hrozba ztráty dat je všudypřítomná. I proto se již řadu let daří odvětví IT průmyslu spočívajícímu v outsourcingu datových skladů, v rámci něhož firmy ukládají svá data do (snad) lépe chráněných úložišť profesionálních firem. Přesun vlastních informací k dodavateli je však spojen zejména s psychologickými bariérami (Budou má data mimo "dům" v bezpečí?). Firmy by si však měly uvědomit, že vedle těchto bariér mohou existovat i překážky právní. I na ty je vhodné se řádně připravit.

Vzdát se absolutní kontroly nad vlastními daty, ať už formou vzdáleného pronájmu datového skladu nebo například užíváním vzdálených informačních systémů, při nichž jsou firemní data ukládána do databází spravovaných mimo vlastní servery, je krokem, který by měl být vždy předem dobře zvážen. Ve prospěch takového kroku hovoří řada argumentů. Od těch spíše obchodně-marketingových, typu "přenechejte ochranu dat profesionálům a věnujte se svému core businessu", přes technické (firmy, které se živí ochranou dat, většinou nabízejí cenově přijatelná sofistikovanější řešení preventivní i následné forenzní ochrany informací) až po argumenty právní.

Tím nejpodstatnějším je přesun odpovědnosti za ztrátu dat z režimu pracovněprávního do režimu obchodněprávního. Pokud nemá firma skutečně smůlu a nestane se terčem profesionálního útoku na svá data, pak jí hrozí zejména únik způsobený nedbalostí některého pracovníka. Jde-li o vlastního zaměstnance, pak má firma s ohledem na zákonné omezení odpovědnosti zaměstnanců za škody způsobené nedbalostí možnost domoci se náhrady škody ve výši maximálně 4,5-násobku mzdy příslušného zaměstnance. Pokud ale k pochybení došlo u externí firmy, odpovědnost závisí výhradně na uzavřené smlouvě. A vedle náhrady škody si lze pro tyto případy sjednat i smluvní pokutu, která má jednu velmi příjemnou výhodu (z hlediska oprávněné strany) - není nutné dokazovat výši škody. Prokázat výši škody způsobené ztrátou nebo zveřejněním dat není vůbec jednoduché.

Předtím, než firma převede svá data do správy třetí osoby, je vhodné zanalyzovat, která data mají být takto přenesena jinam, případně jakou úroveň ochrany vyžadují. V případě vlastních dat typu know-how firmy a podobně je to otázka, kterou musí posoudit výhradně vedení společnosti. Know-how, obchodní postupy a další obvykle nejsou chráněny jinak, než jako tak zvané obchodní tajemství dané společnosti. Aby jako takové požívalo ochrany, musí splňovat podmínky stanovené v § 17 obchodního zákoníku. Často podceňovanou a přitom klíčovou je podmínka uvedená na konci tohoto zákonného ustanovení, že za obchodní tajemství lze považovat jen takové skutečnosti, které "mají být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťuje". Znamená to, že statutární zástupci společností by měli věnovat odbornou péči výběru osoby, které předají firemní data, a současně zajistit (zejména smluvně) ochranu těchto dat, aby udrželi jejich status obchodního tajemství. Zanedbání této povinnosti přitom může v extrémním případě vést až k odpovědnosti členů statutárních orgánů za škody způsobené společnosti zveřejněním obchodního tajemství či k odpovědnosti trestněprávní (s ohledem na to, že členové statutárních orgánů spravují cizí majetek).

Specifické ochraně podléhají osobní údaje. Pokud jsou předmětem zpracování (ukládání) osobní data, je nutné, aby firma měla přehled o tom, kde budou data zpracovávána. Pokud je zpracovatel umístěn v členském státě Evropské unie, problém v zásadě nenastane. Jediné, na co si společnost musí v takovém případě dát pozor, je, že umístěním dat v zahraničí na ni může dopadnout právní úprava příslušného státu. Předpisy o ochraně osobních údajů totiž často vztahují svou působnost nejen na firmy registrované v dané zemi, ale též na data zpracovávaná v systémech v těchto zemích umístněných. Proto by firmy měly věnovat pozornost místní právní úpravě a zajistit, aby se, byť nevědomě, nedopouštěly správních či jiných deliktů. Mají-li být data uložena mimo EU, pak je nutné mít na paměti úpravu založenou zejména směrnicí Evropského parlamentu a Rady 95/46/EC. Ta ukládá členským státům zabránit, aby byly osobní údaje zpracovávány v zemích, kde není zabezpečena jejich ochrana na srovnatelné úrovni, jako je tomu v Evropské unii. Komise EU dokonce vydává seznamy nečlenských států, v nichž shledala úpravu ochrany osobních údajů za srovnatelnou. V praxi lze doporučit, aby si firma, která chce umístit data do jiného státu, vyžádala stanovisko Komise v případě, že se cílová země nenachází v seznamu ověřených států.

Existují i další typy dat, které podléhají zvláštní ochraně, například v oblasti bankovnictví, advokacie, energetiky, elektronických komunikací a podobně. Firmy, které hodlají využít nástrojů moderních technologií pro jejich zpracování, by vždy měly předem jasně identifikovat typ dat, která chtějí přenést jinam, a zanalyzovat právní dopady takového přenosu. Na tuto potřebu by měli reagovat i poskytovatelé služeb v oblasti IT, pokud nabízejí obchodní modely jako outsourcing, SaaS či dnes stále častěji zmiňovaný Cloud Computing, a přicházet za svými zákazníky se skutečně maximálně transparentními nabídkami. Navíc lze jen pevně věřit, že i Evropská unie postupně akceptuje nové business modely v IT a svou dosud poměrně striktní a rozsáhlou regulaci přizpůsobí novým podmínkám na trhu.