Již není možné, aby se firmy zbavovaly odpovědnosti formou různých „disclaimerů“ v patičkách e -mailů, říká právník Jiří Matzner, specialista na IT právo.
Nový občanský zákoník platí už více než čtvrt roku. Jak se promítá do informačních technologií?
Nejzásadnější změny přináší v nových pasážích, které definují práva a povinnosti, respektive závazky. Díky tomu se pro obor IT „vracejí do hry“ smlouvy o dílo, které byly do zavedení nového občanského zákoníku takřka nepoužitelné.
V praktické rovině se nový občanský zákoník projevuje především skrze korporátní agendu. Bylo potřeba změnit vzorové smlouvy, odkazy na odlišná nebo nová ustanovení občanského zákoníku. Například je nyní naprosto legální odkazovat na měnící se smluvní podmínky definované na webu. Zaznamenal jsem také už několik sporných trendů – například rozšiřující se princip smluvního vyvinění, omezené jednání jednotlivých smluvních stran, princip oznamování, která jednání či ustanovení občanského zákoníku vylučují a jakým způsobem je akceptují, a to formou rozšiřujících se všeobecných smluvních podmínek.
Z mého pohledu však takovéto jednání jde proti smyslu nového občanského zákoníku, jeho zásadám a pravidlům. Do určité míry to chápu jako způsob určité formální obrany před nežádoucími jevy, které může způsobit jednání některých zaměstnanců či partnerů. Samo o sobě to však celou situaci spíše komplikuje a znepřehledňuje.
V čem vidíte největší změny?
Pro IT je nejvýznamnější již zmiňovaná odpovědnost, která je postavena na objektivním principu, když se strana přihlásí k profesní zkušenosti či znalosti a současně i předsmluvním závazkům a zmiňovaným smluvním ujednáním.
Kde v korporátním prostředí vidíte nejčastější chyby při implementaci nového občanského zákoníku?
Společnosti budou obecně nejvíce chybovat právě při jeho implementaci, všeobecných obchodních podmínkách, záruce.
Zejména v případě obchodních podmínek a tzv. disclaimerů, které se objevují v korporátních dokumentech, obchodních nabídkách, ale například také v běžné e -mailové komunikaci.
Již nebude nadále možné, aby se jejich prostřednictvím firmy z přílišné opatrnosti zbavovaly povinností a odpovědnosti, jakkoliv to nyní vypadá přesně obráceně.
PRÁVO A NOVÉ TECHNOLOGIE
Jak se právo promítá do možnosti podnikání v nových technologiích – mám na mysli zejména cloud?
Hned na počátku je třeba uvést, že pojem cloud není dosud přesně vymezen a definován. Ve své praxi jsem se setkal s celou řadou výkladových potíží s určením, co vlastně cloud znamená. V podstatě jde o způsob IT řešení, dříve ve formě outsourcingu, dnes formou kombinující outsourcing, správu dat a provozování softwarové platformy nebo hardwaru. Na to se vztahují předpisy, které určují, jaká data mají firmy uchovávat, kde a za jakých podmínek.
Zásadní jsou především předpisy týkající se nakládání s osobními daty a jejich správou. Dále je třeba brát v potaz zákony regulující například podnikání na kapitálovém trhu, v oblasti bankovnictví nebo finančních služeb a samozřejmě telekomunikací. Každé z těchto odvětví má svoji regulaci a způsob nakládání s daty.
Jaké předpisy třeba určují a proč, jaká data mohou společnosti skladovat na úložištích mimo firmu, zemi nebo třeba region podnikání?
Předávání osobních dat do ciziny, ať už k jejich zpracování nebo k ukládání, reguluje zákon o ochraně osobních údajů.
To se týká přede vším informací, které se vztahují k jednotlivým osobám – ať už jde čistě o osobní data či citlivé údaje, které k těmto osobám firmy shromažďují. S tím souvisí i existence jakéhosi evropského prostoru, který je zastřešen směrnicemi evropského práva.
Jejich transpozice do práva národních zemí je však v současnosti poměrně slo žitá s ohledem na národní zákonodárství, což může přinášet při využívání úložišť v rámci států EU komplikace, ale určitě je to řešitelná věc.
Horší je to tedy s přenosem dat mimo Evropu?
Ano, zdaleka ne všechny země mají s EU podepsanou smlouvu o takzvaném Safe Harboru (bezpečný přístav), jako to má například USA. Problém může nastat tedy i v případě z pohledu IT důležitých zemí, jako jsou třeba Indie nebo Čína.
Problematika předávání dat mimo svá (firemní) úložiště se samozřejmě řeší již dnes. Nejklasičtějším příkladem jsou e -mailové hostingy – nejrozšířenější je Gmail od Googlu – které již dnes ukládají svá data mimo Evropskou unii.
S tím souvisí především míra zabezpečení a otázka obchodního tajemství, které každá firma chrání podle vlastního uvážení, odpovědnosti a věrohodnosti. Ne každá organizace je však ochotna nebo schopna do zabezpečení investovat odpovídající prostředky.
Není bez zajímavosti, že největší úniky dat nejsou způsobeny ukládáním dat mimo firmu nebo na zahraničních datových úložištích, ale zabezpečením přístupu k nim. K největším únikům především osobních dat dochází nejčastěji prostřednictvím samotných zaměstnanců společností.
Kontroluje pak někdo dodržování takových nařízení?
Ukládání především osobních dat, případně plnění bankovních či telekomunikačních zákonů je kontrolováno úřady k tomu povolanými – v České republice je to například Úřad pro ochranu osobních údajů, Český telekomunikační úřad či Česká národní banka.
Tato kontrola se uskutečňuje, řekněme, na poli veřejného práva. Na druhé straně můžeme na problematiku nahlížet také optikou trestního zákoníku.
Ochrana osobních dat je spíše součástí nějaké obchodní, celospolečenské dohody. Tyto principy fungují a my je nemíváme potřebu zpochybňovat, věříme, že ochrana je poskytována v rámci jakýchsi pravidel.
Realitou však je, že její kvalita je do značné míry ovlivněna renomé a velikostí daného poskytovatele. Tlak na vysokou míru zabezpečení tak vzniká spíše díky obavám z trestu a diskreditace v případě selhání.
Co firmám za porušení hrozí?
Pokud by se zjistilo, že data nebyla zabezpečena, byla poškozena či se ztratila nebo jiným způsobem byla znehodnocena, dochází ke ztrátě důvěry a v některých případech hrozí nejenom správní trestání v řádech desítek, stovek či dokonce milionů korun, ale také případné trestní řízení, a to nejen pro osobu, která se na takové činnosti podílela, ale i pro právnickou osobu, což může vést až k úplné likvidaci na trhu.
Stačí pro kontrolu plnění těchto podmínek jen prohlášení dodavatele cloudového řešení, že data jsou opravdu uložená třeba v Česku, nebo se to musí nějak jasně dokazovat?
V první řadě záleží na tom, o jaká data jde. Samotné prohlášení nemusí stačit v případech, že součástí dat jsou osobní údaje, protože takový poskytovatel, potažmo jeho správce dat či zpracovatel, musí mít k tomuto jednání, ať už v rámci ČR nebo v rámci EU, souhlas odpovědného veřejnoprávního subjektu. Tím je v tomto případě Úřad pro ochranu osobních dat.
Pokud nejde o osobní data, ale například o jiné citlivé informace, jako jsou finanční výsledky či výrobní údaje, pak k regulaci z hlediska veřejného práva nedochází. Míra bezpečnosti je tedy limitovaná pouze dohodou mezi zákazníkem a poskytovatelem.
V takovém případě by se měl klient seznámit s ověřitelnými informacemi – kde a jakým způsobem jsou data uložena, jakou regulací se daný poskytovatel řídí při správě a případně jak za ně odpovídá.
Je jasné, že zejména v českém prostředí nebude pouhé prohlášení zákazníkům stačit a budou požadovat minimálně smluvní záruky o zachování bezpečnosti, mlčenlivosti a utajení jejich dat.
Očekáváte nějaké uvolnění, nebo naopak zpřísnění těchto nařízení?
Popravdě řečeno, osobně bych si uvolnění těchto nařízení přál, zejména kvůli zvýšení flexi bility při nakládání s daty v IT segmentu. Na druhou stranu to neočekávám. Důvod je jedno duchý – současný on -line prostor není vyhra zen pouze komerčním subjektům, ale i státní správě, která v mnoha případech nakládá s mnohem větším množstvím osobních dat než soukromé subjekty.
Přesto se domnívám, že budoucnost IT je v cloudových řešeních v podobě služeb, které budou poskytovány tzv. volně, tedy odkudkoliv. V takovém případě nebudou data svázána současným prostorem.
ZAMĚSTNANCI A CLOUD
Pojďme se na to podívat z druhé strany. Co hrozí pracovníkům, kteří ukládají firemní data do veřejných cloudových úložišť jako Dropbox nebo Amazon, ač jim to zaměstnavatel nedovoluje?
Pokud je ve smluvním vztahu mezi zaměstnancem a zaměstnavatelem jasně definováno, že toto či ono zaměstnavatel nedovoluje, pak zde samozřejmě musí existovat i kontrola. Pokud k takovému jednání dojde, je možné ukončit pracovní poměr.
V případě, že je neoprávněné nakládání s daty prokazatelné, pak se může zaměstnavatel domáhat i náhrady škody. Za určitých okolností si navíc dovedu představit, že by mohlo jít dokonce o trestný čin. Všechny tyto aspekty by si měli zaměstnanci uvědomovat – prevence a dobrá informovanost v tomto případě hrají velkou roli.
Hodně populární je trend BYOD. Jsou tady nějaká právnická úskalí, na která by si firmy i zaměstnanci měli dát pozor?
Pochopitelně je to trend nesoucí s sebou velké potenciální riziko. Jde především o správné ošetření bezpečnosti dat, bezpečnosti přístupu k těmto datům díky mobilnímu zařízení, tedy i zabezpečení mobilního řešení.
Jde tedy o vyvážení atraktivní možnosti mít všechna data odkudkoli po ruce při splnění dostatečného zabezpečení.
Je třeba si uvědomit, že riziko roste především s odcizením nebo při ztrátě mobilu či notebooku. Toto riziko nese nejen osoba samostatná, která o takové zařízení přišla, ale také její zaměstnavatel, který musí více než předtím skutečně zvažovat, komu, jak a proč dává přístup, to vše za současného udržení očekávané flexibility, tedy vlastně mobility.
Pokud má být zodpovědnost za bezpečnost dat v rámci BYOD systémů delegována na zaměstnance, musí zaměstnavatel zajistit taková pravidla, aby bylo riziko zneužití dat co nejnižší.
Podle mého názoru je tento trend „mobility“ hudbou budoucnosti, souvisí s virtualizací, cloud řešeními ať již privátních či hybridních cloudů, která již jsou v hlavách mnoha manažerů a diskutují se stále častěji. Z mé zkušenosti je patrné, že je to pro firmy lákavé a může přinést další, tolik očekávaný rozvoj IT trhu a služeb.
HLÍDÁNÍ SMLUVNÍCH PODMÍNEK
Je běžné, že si firmy spravující veřejný nebo privátní cloud účtují příplatky za nejrůznější „nadstavbové“ funkce – umístění dat v určitém regionu, redundance dat, frekvence zálohování, rychlost obnovy dat zálohy… Co se ale stane, když zákazník zjistí, že jeho smluvní partner nedodržel to, za co si nechal platit, a pak se třeba v důsledku porušení podmínek může ocitnout před krachem?
Je velmi důležité vybírat důvěryhodného partnera, u kterého je riziko podobných postupů – a z mého pohledu obchodního selhání – velmi malé.
Svou roli skutečně hrají renomé a image na trhu, které jsou pro firmy natolik cenné, že udělají vše pro to, aby nedošlo k jejich poškození. To, že budou větší a menší hráči na trhu, že nebude jedno unifikované řešení, je nepochybně pravda.
Míra investovaného se bude promítat do míry ochoty dát jednoduchý a přehledný cenový plán, lze to připodobnit k bankám, které účtují nejrůznější poplatky, jež nestudujete dopodrobna, když jdete otevřít bankovní účet a následně ještě chcete hypotéku.
Pokud zákazník zjistí, že partner nedodržel něco, co bylo smluveno, je to jako v jiném smluvním vztahu i v IT otázka nejen reputační, ale i ekonomická, což vede k tomu, že lze uplatňovat náhradu škody, náhradu smluvních pokut. Ovšem v závislosti na schopnosti případného poskyto vatele uhradit škody, které mohou vést k likvidaci nejen daného zákazníka, ale i poskytovatele.
Příkladů, kdy IT firma zkrachuje účelově, vidět moc není, ale to proto, že trh je relativně malý a „každý o každém“ ví, a tato znalost opravdu hraje mnohem větší roli, než by se mohlo na první pohled zdát. Když by taková politováníhodná situace nastala, bude nutné analyzovat, čeho lze skutečně dosáhnout a jak minimalizovat škody na vlastní straně.
Jak se tedy nemilých překvapení vyvarovat?
Je nutné zvážit, koho si jako smluvního partnera klient vybere a s kým bude spolupracovat. IT obor se rozvíjí rychle, ale ve skutečnosti se na trhu všichni znají, tedy je to otázka dobré volby a přípravy. Jak někdy říkám, „prevence je mnohem účinnější než jakákoliv sankce“, ale vyloučit takovou situaci prostě s maximální jistotou nelze.
Vždy je třeba zvážit, jak veliká je firma, která něco nabízí, jak je flexibilní a stabilní. Mezi flexibilitou a stabilitou ovšem neexistuje přímá úměra, viděl jsem obrovsky schopné a flexibilní společnosti, které jsou založeny na know -how jediného člověka a s jeho odchodem končí i ony.
Jsou organizace naprosto neflexibilní, ale budou zde i za dvacet let.
Míra úvahy, co je lepší, je vždy závislá na tom, co a proč vlastně chceme, kolik jsme připraveni za to zaplatit a kolik obětovat například úpravou vlastních interních procesů a nastavení sebe pro systém či nastavení systému podle sebe.
JUDr. Jiří Matzner, Ph.D., LL.M.
Specialista na softwarové právo, implementačně-obchodní smlouvy, licenční smlouvy, trestní právo, občansko -právní vztahy, nájemní smlouvy, nákup a prodej nemovitostí. Podílel se na rekodifikaci občanského zákoníku, na přípravě několika odborných publikací, věnuje se také výuce na vysoké škole. Je i soudním znalcem
v oblasti autorského práva.O firmě Matzner et al
Advokátní kancelář Matzner et al aktivně působí v českém právním prostředí od roku 2003. Získala širokou klientskou základnu, které nabízí služby především v oblasti obchodního práva, ale i soudních sporů a odborných stanovisek. Advokátní kancelář poskytuje služby jak v otázkách české právní úpravy, tak práva Evropské unie.
Tento rozhovor si můžete přečíst také v časopise ComputerWorld, č. 8