Smlouvy o utajení vs výše pokut za únik informací

Za svou praxi jsem se setkal s mnoha smlouvami, které více, či méně řešily utajení obchodního tajemství, či rovnou nějaké unikátní myšlenky. Ochranu těchto informací pak řešila smlouva o utajení. Každou takovou smlouvu doprovází také pokuty. Bohužel občas je celý systém ochrany a zejména výše pokut špatně uchopen a autor takové smlouvy vymýšlí drakonické podmínky, které ve výsledku druhou stranu odradí od spolupráce.

 

Účel smlouvy o utajení (NDA, Non-Disclosure Agreement)

K čemu vlastně slouží smlouva o utajení informací, neboli NDA (Non-Disclosure Agreement)? Důvodů pro existenci a potřebu těchto smluv je několik:

  • Definice spolupráce s utajenými daty. Tato část smlouvy obvykle definuje základní pravidla spolupráce, včetně definice co to jsou utajená data, jejich značení. Pokud je to třeba, je definováno více klasifikací utajených dat.
  • Procesní ochrana utajených informací. Tato část smlouvy řeší jakým způsobem a kdo řeší přidělení přístupu k utajeným datům. Tento mechanizmus je v čistě organizační rovině.
  • Technická ochrana utajených informací. Tato část smlouvy řeší způsob zabezpečení na technické úrovni, včetně likvidace dat. Typicky se definuje, že je nutné používat šifrování všech datových úložišť, používání silných hesel a šifrování elektronické komunikace.
  • Prevence úniku utajených informací. Tato část smlouvy řeší prevenci ve formě postihů, pokud jedna ze stran způsobila únik dat. Obvykle tedy v této části smlouvy jsou definovány smluvní pokuty.

 

Podcenění technické stránky utajení informací

V praxi se většinou setkávám se situací, kdy zákazník si velmi cení svého know-how, chce definovat smluvní pokuty v řádech milionů, ne-li desítek milionů korun. A pak od něj dostanu jeho know-how v nešifrovaném emailu ze schránky na seznam.cz …

Další problém je v tom, že sice má zákazník firemní email, třeba na gmail.com, nebo dokonce v placené podobě G Suite (Google Workspace), ale všechny počítače a mobilní zařízení nepoužívají šifrování úložišť a dokonce jeho počítače nemají žádné heslo, nebo mobily nemají PIN.

Ve všech těchto případech, je sice moc krásné, že zákazník vymyslel úžasnou technologii, či produkt, a že si svého nápadu velmi cení. Ale sám pro zabezpečení svého nápadu nedělá na své straně vůbec nic.

Představte si, že by banky nepoužívaly trezory, ale měly peníze jen v příručních pokladničkách, neměly by ochranku a měly jen obyčejné dřevěné dveře. Taková banka by měla v noci zvýšenou návštěvnost a zloději by si tam chodili, jak se jim zlíbí.

A přesně takto se chovají zákazníci, kteří mají IT v takovém stavu, že bych mohl kdykoli ukradnout jejich data bez zvláštní námahy a dokonce by nikdo ani nepoznal, že jsem jim data ukradl. Kdybych chtěl. S takovým obchodním partnerem se vám pak asi nechce uzavírat spolupráce, pokud to nemyslí vážně ve všech ohledech spolupráce.

Nejhorší na této situaci obvykle je, že s takovouto úrovní zabezpečení zákazník porušuje nařízení GDPR.

 

 

Výše smluvních pokut

Nejčastějším problémem však není obvykle problém se zabezpečením IT zákazníka, ale s výší smluvních pokut. Nejčastějším problémem smluvních pokut jsou:

  • nereálná výše smluvní pokuty. výše částky je tak vysoká, že ani nereflektuje skutečnou hodnotu „tajemství“.
  • smluvní pokuty obvykle neřeší menší prohřešky. asistentka pošle jeden nepodstatný dokument, ale pokuta je ve výši 20 milionů.
  • smluvní pokuty obvykle neřeší různé typy utajení. výše smluvní pokuty obvykle nereflektuje různé stupně utajení.
  • smluvní pokuty nelze aplikovat na zaměstnance.

 

Příklady z „praxe“

Uvádím různé příklady z praxe, které popisují různé situace na základě nichž je jedna ze stran v silné nevýhodě, či je smysl dohody o utajení silně omezen.

  • Silně nadhodnocená pokuta. Vlastník know-how požaduje smluvní pokutu 20 mil. Pokud úmyslně ukradnu kompletní know-how, abych si vydělal domnělých 20 mil., musel bych se danému projektu věnovat cca 2-3 roky práce a investovat cca 3 mil., aby projekt začal být ziskový. V době kdy bych dosáhl dané částky, bych musel mít alespoň 10 zaměstnanců, vybavení apod. Z toho vyplývá, že v daném okamžiku nemá know-how hodnotu 20 mil., ale má třeba potenciál 5-8 mil.
  • Výše pokuty nereflektuje rozsah informací. Pokud by byla smluvní pokuta 20 mil. za každý případ a přitom, se „celá znalost“ skládala například z 15 dokumentů, je hodnota pokuty za jednotlivý případ neadekvátní. Hodnota výše smluvní pokuty by se měla stanovit nějak podle představované celkové ceny projektu a třeba počtu klíčových dokumentů, plus nějaké procento navíc, aby tam byl odstrašující/preventivní prvek. takže třeba 350000 Kč za únik jednoho dokumentu (příklad výše smluvní pokuty neřeší typy utajení).
  • Nemožnost pokutovat zaměstnance. Ohled na zaměstnance s omezeným přístupem k tajným informacím. Pokud sekretářka omylem pošle tajný dokument s rozpočtem (nebo něco jiného) dodavateli, jakou nám to způsobí škodu? Měla by platit 20 mil., protože dokument spadá do této kategorie? Neměla, protože zaměstnance nelze pokutovat. Pokud navíc takový zaměstnanec, či spolupracovník má omezený přístup k utajovaným znalostem, neměli bychom po něm požadovat podpis smlouvy NDA s výší pokuty 20 mil. Tato pokuta by stejně byla nevymahatelná.
  • Přehnaně vysoká částka pokuty odrazuje od spolupráce s výrobci/dodavateli. Mnoho dodavatelů odrazuje výše smluvních pokut:
    • Obecně z principu. Neví o jaké tajemství jde, ani je to nezajímá, zajímá je samotná zakázka (budou mít práci) a už by měli podepisovat smlouvu o utajení v milionech.
    • Podpisem vzniká nevyrovnaný vztah. V mnoha případech nemusí mít dodavatel znalosti v plném rozsahu a tím by se měla adekvátně snížit výše smluvní pokuty.
  • Cílené zneužití smluvních pokut. Zaslechl jsem o možnosti zneužití NDA, kdy některé společnosti vydělávají jen na smluvních pokutách a zneužívají naivity a neopatrnosti obvykle začínajících podnikatelů a firem.

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting