V prvním dílu rozhovoru, uveřejněném včera, jsme narazili na pojmy outsourcing a cloud computing, mohl byste tyto IT pojmy z vašeho hlediska vysvětlit?
Jsou to do určité míry pojmy z oblasti marketingu. V podstatě označují jiný způsob, jak prodávat již existující služby či produkty. Nelze ale zastírat, že jejich zavedení v praxi má dopady i do jiných oblastí. Z ryze technického pohledu si lze outsourcing představit zhruba takto: společnost, která se věnuje například prodeji aut, má pět informatiků a potřebuje nový informační systém. Těch pět pracovníků převede k nějaké externí IT společnosti, která je zařadí do svého týmu, koupí hardware, software a začne naší firmě poskytovat informační systém formou externích IT služeb. To je typický model outsourcingu, který má spoustu výhod, ale i některá rizika. Je to jeden z nových modelů, který se využívá.
Cloud computing je obdoba outsourcingu, která je založena přibližně na tomto sloganu: nemusíte si pořizovat vlastní software ani hardware, jednoduše si „kupte“ potřebné funkce počítačových programů přes internet; přestane vás tak zajímat technická a technologická stránka, jediné, co pro vás bude důležité, je korektnost a dostupnost dat, s nimiž pracujete. Když například potřebujete ukládat data, nemusíte si kupovat vlastní harddisky a systém pro zálohování, prostě ukládáte data přes internet do tzv. cloudu. Toto je velmi laické a stručné představení těchto systémů. Samozřejmě to vyvolává spoustu právních otázek, jedna z nich je například ochrana osobních údajů, druhá může být problém s autorskými právy. Umožňuje vám například licence k počítačovému programu jeho přemístění k outsourcingovému partnerovi, aby ho provozoval pro vás? Neporušíte tím autorský zákon? Nedostanete se do konfliktu s dodavatelem softwaru? A tak dál – podobných otázek je zde řada, ať už na úrovni typické pro IT, tak i na úrovni obecné. Aby tedy zákazníci mohli čerpat z výhod podobných nových modelů, měli by se na každý podobný projekt důkladně připravit.
Na jaká rizika byste rád upozornil, která jsou největší? Na co by si lidé odpovědní za IT ve firmách měli dát pozor?
Jedna věc je ochrana dat. Identifikovat si, jaká data by měla být zpracovávána třetí stranou a jak je jejich využívání regulováno. Nemusí se jednat jenom o osobní údaje, může to být bankovní nebo jako v mém případě advokátní tajemství či tajemství obchodní. První věc, kterou by každý měl vědět, a platí to pro dodavatele i pro zákazníka, je, jaký typ dat budu předávat druhé straně a jakou ochranu musím zajistit, aby data byla ochráněna v souladu se zákonem a mými potřebami.
Druhá věc je jasná: určitá specifikace služeb a ceny za tyto služby. Pokud používáte nějaký odborný pojem, je potřeba ho opravdu vysvětlit. Někdy to působí až úsměvně, ale je lepší do smlouvy vyjasnit, že „reakční doba“ znamená okamžik od tohoto bodu k tomuto bodu, prostě do maximální míry specifikovat, jaká služba bude poskytována, za jakých podmínek a jak bude určována cena. Další věc je sledování kvality služby. Je potřeba jasně identifikovat, kdo sleduje kvalitu služby, co stane, když některá ze stran má za to, že služba byla poskytována v jiné kvalitě než požadovala druhá strana. Prostě nějaký mechanismus řešení těchto sporů předtím, než se přesunou k právníkům a soudům.
Absolutně zásadní je pak otázka ukončení smluvního vztahu. To je mnohem důležitější než u implementačních smluv, o nichž jsem hovořil v první části seriálu. Představte si, že byste dala do nějakého internetového systému svá data a následně vám přišlo oznámení, že druhá strana s vámi ukončuje spolupráci. Tak jste najednou bez dat. Někdy přitom ani nevíte, v jaké zemi se nacházejí, nebo kdo je reálně drží u sebe. Je potřeba mít pevně ukotveno, co se stane v případě ukončení smlouvy, a to právě ve vztahu k datům a zabezpečení služeb. U velkých projektů je dobré mít jasně stanovené, že v případě ukončení smlouvy dodavatel zajistí to, to a to. Zákazník, byť za nějakou cenu, by měl mít právo na určitou součinnost ze strany dodavatele, a to i při odstoupení od smlouvy. V jejím rámci by měl dodavatel například vrátit data ve stanoveném formátu nebo pomoci s předáním dat dodavateli novému. Je prostě nutné vyřešit moment, kdy jedna ze stran odstoupí od smlouvy, aby zákazník nezůstal zcela bezprizorný nebo v nejistotě. Tento tzv. exit plán je často velmi rozsáhlou součástí smlouvy. Musí definovat, co se stane, když smlouva skončí, a to i předčasně. Takový plán má přitom výhody nejen pro zákazníka, ale i pro dodavatele. Nejenže mu umožní po ukončení smlouvy prodávat aspoň krátkodobě další služby, ale znamená pro něj jistotu v tom, že svůj vztah se zákazníkem ukončí zcela korektně a nebudou mu hrozit nečekané žaloby či postihy. Pro zákazníka to znamená zabezpečení kontinuity jeho podnikání. Pro oba pak jde o vyřešení jednoho z velkých potenciálních sporů.
Nedávno došlo k napadení serveru úřadu vlády, je možné se takovým útokům vůbec bránit? Co se týče zneužití ostatních počítačů k tomuto útoku, lze mu nějak předcházet?
Obrana v podobných případech existuje, její úspěšnost ale závisí na mnoha faktorech. Jedním z nich je samotná technická vybavenost. Pokud je napadený subjekt vybaven kvalitním softwarem, který umí nejen chránit informační systém, ale například též sledovat aktivity v něm a zpětně stopovat případné útočníky, existuje šance, že bude útočník nalezen, nebo alespoň že bude odhalena bezpečnostní díra, a tím se omezí riziko dalšího útoku. Úspěšnost závisí též na profesionalitě útočníka. Dokáže-li se skrýt za řetěz zahraničních serverů, pak je jeho odhalení složité. Stejně tak jako jeho případné potrestání a vynucení si trestu, nemluvě o vynucení například náhrady škody. V principu to tedy znamená, že subjekt, který pracuje s citlivými údaji, by měl věnovat maximální úsilí zejména prevenci. Stejně tak by měl myslet na pravidelné zálohování, protože zásah do dat nemusí způsobit škodu jen tím, že se k nim dostal někdo další, ale často hlavně tím, že napadený svá data ztratil.
Které právní úpravy takovou situaci ošetřují?
Útok na data může naplnit skutkovou podstatu některých trestných činů. Nejtypičtěji může jít o trestný čin neoprávněného přístupu k počítačovému systému a nosiči informací. Dále pak závisí na tom, co konkrétně útočník v rámci své činnosti udělal. Způsobil-li škodu, lze se jí domáhat soudně. Mohou na něj dopadnout i další zvláštní předpisy, například porušil-li autorská práva, neoprávněně zasáhl do osobních údajů a podobně.
Ochrana dat…Jak je to s uchováváním osobních údajů o zaměstnancích a co se vlastně za takový údaj považuje?
To je poměrně složitá otázka. Jasná definice osobních údajů podle mě dosud neexistuje, ale v principu jimi jsou veškeré údaje, které samy o sobě nebo ve spojení s jinými mohou vést k identifikaci konkrétní fyzické osoby. K tomu však přistupuje mnoho doplňujících kritérií, souvisejících například s přiměřeností nákladů na identifikaci a podobně. Nakládání s osobními údaji upravuje v České republice zejména zákon o ochraně osobních údajů. Ten stanoví podmínky tzv. zpracování osobních údajů. A je nutné si uvědomit, že pojem „zpracování“ je naopak definován poměrně přesně a je velice široký. Zahrnuje nejen aktivní práci s údaji, ale například právě uchovávání, shromažďování, blokování, likvidaci údajů a podobně.
Pokud jde o samotné zpracovávání osobních údajů o zaměstnancích zaměstnavatelem, bude vždy záležet na tom, zda jde o data, (slovy zákona) jejichž zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů. V tomto případě smí zaměstnavatel zpracovávat osobní údaje i bez souhlasu zaměstnance. Zákon stanoví i další výjimky, ale obecně platí, že ke zpracování osobních údajů je potřebný souhlas subjektu údajů, a to souhlas konkrétní, prokazatelný, informovaný. Zaměstnavatel by měl kromě toho zaměstnance informovat o rozsahu a účelu zpracování osobních údajů. Využívá-li například služeb externích účetních firem, které pro něj vedou i mzdovou agendu apod., měl by zaměstnance informovat i o tom. Připomínám též, že až na výjimky podléhá zpracování osobních údajů i oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů. Kapitolou samou o sobě je pak ochrana soukromí, tj. otázka, zda nebo kdy smí zaměstnavatel zaměstnance nahrávat, sledovat jejich telefonní či e-mailovou komunikaci a podobně.
Jaká jsou rizika s uchováváním obchodních údajů o partnerech a zákaznících, na co si dát ve smlouvě pozor a k jakým situacím může někdy v krajních případech dojít?
Asi hlavním rizikem je únik těchto informací. Opominu-li některé možné dopady, jako je možnost porušení povinnosti mlčenlivosti, stanovené zákonem či smlouvou, jde zejména o riziko související s možností, že mé informace o partnerech či zákaznících zneužije konkurence. Podobné informace často představují skutečnou majetkovou hodnotu pro jejich držitele a jejich únik tak může být velice bolestný. Firmy by měly podobné údaje chránit jako své tzv. obchodní tajemství. Co je obchodním tajemstvím stanoví obchodní zákoník ve svém § 17, kde uvádí též podmínky, za nichž bude podobným informacím poskytnuta právní ochrana. Pro zaměstnavatele z tohoto ustanovení vyplývá zejména často podceňovaná povinnost odpovídajícím způsobem zajišťovat utajení obchodního tajemství. A to technicky, organizačně i smluvně. Ve vztahu k zaměstnancům by měla firma zejména identifikovat, co považuje za své obchodní tajemství, a stanovit pravidla jeho ochrany. Důležitou pomůckou mohou být například i školení týkající se ochrany dat zaměstnavatele, kde budou zaměstnanci seznamováni s tím, jak postupovat při ohrožení obchodního tajemství, o rozsahu a metodách jeho ochrany i o možných důsledcích neoprávněného nakládání s obchodním tajemstvím. Zde může dojít dokonce až k naplnění skutkové podstaty trestného činu porušení předpisů o pravidlech hospodářské soutěže.
Mám zkušenost s datovými schránkami, že neustále vyžadují použití nových a nových aplikací… Je to v pořádku? Může stát "nutit" tímto způsobem uživatele, aby si pořizovali nový software?
Elektronická komunikace má své nesporné výhody, ale i nástrahy. Výhodou je rychlost a pohodlí. Nástrahy mohou spočívat v nezkušenosti s tímto nástrojem na straně soukromých subjektů a někdy i orgánů veřejné moci. Pokud jde o to, že občané a v případě datových schránek zejména firmy musejí využívat určitý software k tomu, aby mohli elektronickou komunikaci užívat, jde o složitější otázku. Dokud s tímto užíváním nejsou spojeny žádné přímé náklady, je to spíš otázka, jakým způsobem došlo k výběru dodavatele systému. Tedy, zda státní prostředky byly využity hospodárně a zda byl dodavatel vybrán v souladu s právními předpisy. Osobně jsem příznivcem elektronické komunikace, ale musím se přiznat, že procesy jako je získání zaručeného elektronického podpisu nebo autorizovaná konverze dokumentu stále mají daleko od komfortu, který by moderní technologie měly poskytnout.
Tomáš Nielsen se dlouhodobě věnuje právu informačních technologií, telekomunikací, autorskému a mediálnímu právu. Specializuje se též na problematiku závazkových vztahů při rozsáhlých obchodních transakcích a na problematiku právních vztahů k nemovitostem a bytové právo. Absolvoval Právnickou fakultu Univerzity Karlovy v Praze. V minulosti působil jako šéfredaktor odborného časopisu Technologies & Prosperity, ředitel rozvoje podnikatelské sítě IT podnikatelů TUESDAY Business Network (dříve First Tuesday), dále též jako právník a následně partner mezinárodní advokátní kanceláře.
Nyní je společně s kolegyní Barbarou Meinl partnerem česko-slovenské advokátní kanceláře NIELSEN MEINL, přednáší právo ICT na Fakultě dopravní ČVUT, je též členem Konzultační rady Fakulty masmédií Bratislavské vysoké školy práva a předsedou mezinárodní sekce Slovenské společnosti pro systémovou integraci. V minulosti též zastával post prezidenta Sdružení uživatelů elektronických komunikací v ČR. Byl členem pracovní skupiny Ministerstva kultury SR pro novelu autorského zákona. Tomáš Nielsen je autorem či spoluautorem řady odborných článků a publikací, například Základy softwarového práva (Wolters Kluwer, 2011), Práva k duševnímu vlastnictví a jejich ochrana (European Commission - Enterprise and Industry, 2009), Company Formations (CorporateINTL, 2009,) apod. Účastní se konferencí, věnovaných softwarovému právu, informačním systémům, ochraně duševního vlastnictví apod.
Druhá část rozhovoru. První díl najdete zde
O právní problematice v oboru informačních technologií v souvislosti s byznysem a správou jsme na CFO Worldu přinesli rovněž rozhovory s Bohumírem Štědroněm a Martinem Maisnerem.
Ilustrační foto: © Sergej Khackimullin - Fotolia.com