Zamýšleli jste se někdy nad tím, jakým způsobem funguje obchodování s daty? Můžete data například koupit? Možná vás to překvapí, ale data ani informace nejsou z právního hlediska věcí. To znamená, že je nejde vlastnit, a tedy ani koupit nebo prodat. Dokonce, pokud nejsou chráněna některým ze zvláštních režimů, nemůžete v případě úniku dat efektivně vymáhat ani jejich vrácení nebo zákaz užívání.
Zejména v případech, kdy data nepodléhají zákonné ochraně, vám za účelem jejich ochrany nezbývá nic jiného, než upravit nakládání s daty smluvně. Smluvní režim ochrany, přestože může mít podobné důsledky jako zákonná ochrana. Je ale v jednom ohledu zásadně odlišný. Smluvně totiž můžete zavázat pouze ty osoby, se kterými smlouvu uzavřete. A i pokud se dohodnete na řetězení smluvní ochrany (například na podmínkách, za kterých může příjemce dat předat data dalším osobám), budete je moci efektivně vymáhat pouze vůči vašemu smluvnímu partnerovi.
Celý článek věnovaný předávání a přebírání dat byl publikován v časopise IT Systems: https://www.systemonline.cz/casopis-it-systems/obsah-it-systems-2021-11.htm.
Základním způsobem smluvní ochrany předávaných dat je dohoda o mlčenlivosti - NDA (non-disclosure agreement). Byť je NDA považováno za jednu z jednodušších smluv uzavíraných v IT, jedná se o tzv. nepojmenovanou smlouvu. To znamená, že tuto smlouvu zákon neupravuje. Pokud tedy v NDA zapomenete na některou podstatnou náležitost, neexistuje žádný paragraf, který by vás zachránil. Místo toho si musíte veškerá práva a povinnosti výslovně sjednat. Proto se na některá z nejdůležitějších částí NDA zaměříme níže.
Dejte si pozor na to, abyste jako důvěrná data nedefinovali úplně všechno. Taková dohoda by byla příliš široká, nešlo by z ní poznat, co vlastně chrání. V konečném důsledku by mohla vést k úplnému opaku, než co zamýšlíte. Pro svou širokost by totiž místo všeho nemusela pojmout nic a být právně nevymahatelná. Namísto toho doporučujeme definovat důvěrná data konkrétním pravidlem a demonstrativním výčtem. Například jako veškeré neveřejné údaje obchodní nebo technické povahy vztahující se k jedné smluvní straně. Prakticky vždy jsou důvěrné obchodní tajemství a know-how, u dalších dat záleží na vašich poměrech. Může jít o údaje o zaměstnancích, smluvních partnerech, hospodářské pozici, podrobnostech smlouvy nebo o data, která předáváte druhé straně za účelem plnění smlouvy.
Pouze ty informace, které v NDA označíte, budou podléhat jejímu režimu. Proto je vhodné v NDA uvést i určité záchranné ustanovení. To může stanovit, že za důvěrné mohou považovat i další informace, které označíte jako důvěrné, a údaje výslovně zde neuvedené, pokud druhá strana rozeznala nebo by při obvyklé pozornosti a péči rozeznat měla, že jde o důvěrné údaje. Byť se jedná o neurčitý pojem, který bude každá strana vykládat různě, i takovéto ustanovení vás může zachránit, pokud na některou informaci ve výčtu zapomenete.
Stejně jako není zákonem definována důvěrná informace, není definována ani povinnost mlčenlivosti. Proto je vhodné dohodnout se i na tom, co přesně dodržování mlčenlivosti znamená. Může jít o nesdělení a nezpřístupnění důvěrných informací třetím osobám. Také může jít o jejich nepoužití k jiným účelům než účelům nezbytným pro plnění smluvních povinností.
Právě vymezení povolených způsobů nakládání s daty může být zásadní. Z tohoto důvodu doporučujeme ve smlouvě uvádět účel a cíl, pro který jste se rozhodli data druhé straně zpřístupnit. Účel totiž může sloužit nejen jako vodítko při nejasnostech v interpretaci smlouvy. Pokud je dobře zakotven, může i limitovat způsoby nakládání s daty.
Dále se můžete dohodnout na povinnosti komunikovat data prostředky, které využívají end-to-end encryption, šifrovat data před tím, než je nahrajete na úložiště, nebo požadovat dvoufázové ověření osob, které s údaji budou nakládat. Můžete příjemce zavázat i k tomu, aby data po určité době smazal nebo aby vedl záznamy o každé manipulaci.
Pokud pro vás příjemce data určitým způsobem zpracovává (například na základě smlouvy o dílo), může dojít k situaci, kdy vytvoří nové autorské dílo nebo vklad do databáze ve smyslu práv jejího pořizovatele. Pro tyto případy se budete chtít ujistit, že práva k vzniklým předmětům ochrany vykonáváte vy jako autor nebo pořizovatel databáze. A pokud by tomu tak v konkrétním případě nebylo, budete si chtít k nově vzniklým předmětům ochrany postoupit vzniklá práva nebo alespoň udělit licenci. Za tímto účelem byste neměli ve smlouvě o dílo (nebo jiné smlouvě, na základě které jsou data zpracována) zapomenout na licenční ujednání. Ta by měla pamatovat zejména na rozsah poskytovaných užívacích práv a možnost dalších úprav.
Nakonec, pokud jsou vaše práva k užívání dat určitým způsobem omezena (například máte k jejich užití pouze omezenou licenci), budete se chtít vyhnout odpovědnosti. A to pro případ, že příjemce dat sjednaná omezení poruší. Za tímto účelem si budete chtít sjednat tzv. indemnifikační doložku.
Indemnifikace je koncept původem z angloamerického práva, který čím dál tím častěji proniká do českých smluv. Jedná se o závazek jedné smluvní strany (typicky poskytující data nebo software k užívání druhé straně, může být ale sjednán i opačně) nahradit druhé straně újmu způsobenou nároky uplatněnými třetími osobami. Konkrétně při předání dat chráněných licenčními ujednáními třetí strany budete chtít, aby vás příjemce dat odškodnil za škodu, kterou vám nebo třetí straně způsobí porušením těchto ujednání. Pokud se na závazku odškodnění dohodnete, nezapomeňte si správně stanovit okruh odškodněných nároků, proplacených nákladů a chráněných osob.
Může se stát, že příjemce dat bude pro jejich zpracování potřebovat zapojit subdodavatele. Pokud to příjemci dat povolíte, je na místě jej zavázat k tomu, aby počet takových subdodavatelů co nejvíce omezil, případně aby si od vás zapojení každého subdodavatele nechal písemně schválit. Pokud dojde k předání důvěrných dat dalším osobám, měl by být příjemce povinen zavázat je k dodržování povinnosti mlčenlivosti alespoň ve stejném rozsahu, jako k tomu zavazuje uzavřená dohoda samotného příjemce. A pro případ, že dojde k porušení mlčenlivosti ze strany těchto třetích osob, by měl být příjemce odpovědný za porušení z jejich strany, tak jako by mlčenlivost porušil sám.
Aby NDA nebyla bezzubým nástrojem, ale opravdu efektivně chránila vaše zájmy, můžete její dodržování zajistit smluvní pokutou. V takovém případě si ale dejte pozor nejen na nesmyslně vysoké smluvní pokuty (protože ty může soud snížit), ale i na pokuty nízké. Zákonný režim totiž stanovuje, že smluvní pokuta konzumuje právo na náhradu škody. To znamená, že pokud si sjednáte smluvní pokutu, nemůžete za porušení stejné povinnosti požadovat zároveň náhradu škody. Toto pravidlo je však dispozitivní, tedy je možné jej smluvně vyloučit. Toho dosáhnete jednoduchým ujednáním, dle kterého smluvní pokutou není dotčeno právo na náhradu škody v plném rozsahu.
Velmi důležité je uvést, co se s daty stane po ukončení spolupráce. Málokdy budete chtít, aby si váš smluvní partner data ponechal. Nejjednodušším řešením situace je povinnost příjemce data na žádost protokolárně vymazat. Mnohem důležitější ale mnohdy může být vydání dat, zejména pokud byla určitým způsobem zhodnocena a vy k nim nemáte přístup.
To se týká typicky cloudových služeb, které k datum často umožňují snadný užívací přístup, ale ne již tak snadný export na jiné úložiště. Pro případ exitu byste tak měli pamatovat nejen na práva k modifikovaným datům (viz výše), ale i na způsob a formát jejich předání.