Legislativní smršť, která se prohnala poslaneckou sněmovnou v roce 2012 (representovaná především zákonem č. 89/2012 Sb., občanským zákoníkem, dále jen NOZ), otřásla zásadně všemi aspekty podnikání. Změny v občanském, obchodním i korporátním právu jsou nyní v centru zájmu nejen odborné, ale i laické veřejnosti.
Nezaslouženě stranou pozornosti zůstává nová úprava ochrany obchodního tajemství. Přitom zejména aféra „Snowden“ i masivní útoky na zpravodajské a bankovní servery, upozornili důrazně na nutnost ochrany dat jak před vnějšími, tak před vnitřními útoky.
Při posuzování tuzemské judikatury i literatury lze však nabýt dojmu, že ochrana obchodního tajemství je v České republice stále toliko okrajovou záležitostí. Zatímco například v USA má právo na ochranu obchodního tajemství dlouhou tradici (prvním známým případem je věc Vickery v. Welch, ve které soud v Massachusetts již v roce 1837 přiznal ochranu obchodnímu tajemství, a to rozhodnutím, jímž uznal výlučné právo výrobce na utajování způsobu výroby čokolády a od té doby soudy USA produkují množství zajímavých rozhodnutí na téma ochrany obchodního tajemství), v České republice zpravidla podnikatel zjistí, že měl obchodní tajemství až ve chvíli, kdy mu ho někdo ukradne, zneužije, či zveřejní.
S ohledem na konstrukci ochrany obchodního tajemství jde v takové chvíli již o zjištění pozdní. Škoda byla napáchána a ochrana není možná. Proč?
Obchodní zákoník a teorie vůle
Také dle zrušeného obchodního zákoníku bylo předmětem práv náležejících k podniku (nyní závodu) i obchodní tajemství. Obchodním tajemstvím se rozuměly takové skutečnosti obchodní, výrobní či technické povahy související s podnikem, mající materiální či nemateriální hodnotu (a to buďto skutečnou nebo alespoň potenciální), které byly běžně nedostupné v příslušných obchodních kruzích.
Ochrana byla takovým skutečnostem poskytována tehdy, pokud měly být podle vůle podnikatele utajeny a podnikatel odpovídajícím způsobem jejich utajení zajišťoval.
O tom, zda je určitá skutečnost obchodním tajemstvím, rozhodovala především podnikatelova vůle k jejímu utajení, v právním řádu byla tedy zakotvena tzv. „teorie vůle“. Dle této teorie není pro poskytnutí ochrany podstatný případný objektivní zájem, který podnikatel na utajení konkrétních skutečností má nebo by mohl mít. Podnikatel současně musí tuto svoji vůli odpovídajícím způsobem projevit.
NOZ – teorie zájmu
S účinností od 1.1.2014 je ochrana obchodního tajemství zakotvena v novém občanském zákoníku, jehož ustanovení § 504 stanoví: „Obchodní tajemství tvoří konkurenčně významné, určitelné, ocenitelné a v příslušných obchodních kruzích běžně nedostupné skutečnosti, které souvisejí se závodem a jejichž vlastník zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení.“
Z dikce „zajišťuje ve svém zájmu odpovídajícím způsobem jejich utajení.“ lze mít za to, že NOZ opouští stávající teorii vůle a přiklání se k „teorii zájmu“.
Teorie zájmu vychází z myšlenky, že o skutečnostech podléhajících ochraně rozhoduje objektivní zájem podnikatele na jejich utajení. Stále je však na vlastníkovi obchodního tajemství, aby utajení takovýchto skutečností (ve svém zájmu) odpovídajícím způsobem zajišťoval. Díky tomuto pojetí by mělo být teoreticky možné chránit i takové podoby obchodního tajemství, které jsou předem těžko předvídatelné. I v tomto případě je však předmětem zkoumání konkrétní jednání podnikatele1).
1) Dle Hajna rozdíl mezi těmito pojetími není výrazný, když „Skutečnosti, které mají být utajeny, může podnikatel ve svém výslovném volním projevu vyjádřit ve velmi obecné poloze a učinit tak téměř nerozeznatelným rozdíl mezi teorií vůle a teorií zájmu.“ (in K ochraně informačního a dovednostního předstihu při podnikání. Časopis pro právní vědu a praxi. 2001, roč. 9, č. 3, str. 248.)
Podnikatel musí projevit vůli konkrétní skutečnost utajovat jednak dostatečně, jednak včas.
Kdy je ochrana včasná?
Pokud je při provozu závodu předvídatelné, že se mohou objevit nějaké potenciálně hodnotné skutečnosti, musí podnikatel učinit preventivní opatření k ochraně takovýchto skutečností. Při podnikání se však mohou objevit (a pravidelně také objevují) nepředvídatelné i nepředvídané skutečnosti, k jejichž utajení bude mít podnikatel vůli až poté, co zjistí jejich hodnotu. Pokud je vznik takovýchto skutečností nahodilý, může podnikatel svoji vůli projevit kdykoliv, kdy hodnotu takových skutečností zjistí.
Jaká ochrana je dostatečná?
Bohužel podnikatelé v drtivé většině nečiní opatření žádná a nezajišťují utajení obchodního tajemství vůbec. Především se v praxi ukazuje, že podnikatelé ani nevědí, že data tvořící obchodní tajemství mají a jeho cenu si proto neuvědomují. Informace nijak neklasifikují a následně nechrání.
Nestrukturovaná data tvoří obvykle až 80 % dat závodu, přičemž objem těchto dat se zpravidla zdvojnásobí každých 12–18 měsíců. Přístup k datům vyžaduje při chodu závodu neustálé změny, avšak přístupová oprávnění zůstávají většinou beze změny. Jednotliví uživatelé tak postupem času mohou nekontrolovatelně získávat čím dál větší oprávnění k přístupu. Podnikatelé nakonec nemají žádnou kontrolu nad tím, kdo přistupuje k datům a jaké provádí změny.
Jeden terabajt dat obsahuje přibližně 50 000 složek, z nichž mnohé mohou obsahovat obchodní tajemství. Pokud jsou tato data nestrukturovaná, pak podnikatelé nevědí, kde všude může být obchodní tajemství potenciálně zpřístupněno ostatním a kde je proto ohroženo.
Vyhledání
Podnikatel v prvé řadě musí zjistit, která data, která náleží jeho závodu, jsou obchodním tajemstvím, kde se nacházejí a kdo k nim má přístup. Jen tak může následně tato data efektivně chránit.
Prvním krokem by proto mělo být prohledat všechna úložiště dat (uložená na libovolných nosičích – listiny, CD, počítače atd.) podle stupně ohroženosti, oprávnění, četnosti aktivity a dalších parametrů a zajistit tak informace o tom, kde se citlivá data nacházejí.
Klasifikace
Následně je třeba klasifikovat jednotlivé skutečnosti dle míry potřeby jejich utajení. Shromážděné informace je třeba podrobit analýze, zjistit informace o stávajícím využívání dat a určit přístupová oprávnění podle potřeb podnikatele.
Je třeba odlišit informace, které lze zpřístupnit každému subjektu i mimo společnost (např. aktuální ceníky produktů), informace běžně dostupné jen v rámci společnosti (např. organizační řád), informace známé jen některým skupinám osob ve společnosti dle jejich pracovního zařazení na základě principu need to know (např. marketingové plány), a informace mimořádně citlivé, které jsou známé jen několika málo osobám ve společnosti (informace o plánované akvizici).
Ochrana
Jakmile se podaří najít ta data, která svojí povahou vyžadují ochranu coby obchodní tajemství, je nezbytné zjistit, kdo k těmto souborům má přístup a rozhodnout, kdo by tento přístup mít měl. Data je nezbytné vhodným způsobem fyzicky označit a dle jejich stupně utajenosti následně chránit proti neautorizovanému zpřístupnění. V případě mimořádně citlivých dat je vhodné, aby oprávnění s nakládáním s daty kontrolovaly a schvalovaly třetí strany (právníci, vedoucí pracovníci).
Zvolená míra ochrany musí být přiměřená jednak hodnotě obchodního tajemství, jednak úsilí, které muselo být na jeho vyvinutí vynaloženo. Odpovídat musí v každém případě konkrétnímu stupni utajenosti tak, jak byl popsán výše. Čím větší je hodnota obchodního tajemství, tím větší úsilí musí podnikatel vynakládat na jeho ochranu. Míra takového úsilí pak zpětně ovlivní posouzení významu takového tajemství pro podnikatele a tedy i objektivní míru ochrany, která takovému tajemství ze zákona náleží.
Kontrola
Nakonec je nezbytné, aby podnikatel prováděl průběžnou kontrolu dodržování nastavených postupů a přijímal odpovídající opatření v případě zjištění jejich porušení.
Závěr
Devadesátá léta minulého století byla výstižně popsána výrokem o tom, že „ekonomové předběhli právníky“, který poukazoval na velkou rychlost ekonomických změn ve srovnání s pomalým přijímáním nového právního rámce. Současnou situaci na poli ochrany obchodního tajemství lze charakterizovat tak, že právníky tentokrát předběhli informatici, a to ne o několik délek, ale o několik kol.
Rozvoj informačních technologií na straně jedné přinesl revoluční pokrok ve shromažďování, ukládání, sdílení a správě dat, na straně druhé jsou vyvinuty bezpečnostní aplikace umožňující shora specifikovanou klasifikaci a ochranu těchto dat. Právní rámec je však toliko kusý, nečetná judikatura ukazuje, že podnikatelé svá práva nechrání, kusá literatura se otázkami obchodního tajemství zabývá toliko okrajově a informovanost mezi podnikateli o obsahu a rozsahu jejich práv je minimální.
K zneužití utajovaných dat přitom dochází i v USA, ve kterém má ochrana obchodního tajemství dlouhou tradici. V již uváděném případě Snowden došlo minimálně ke dvěma zásadním chybám. V prvé řadě neproběhla shora naznačené prevence a Edward Snowden (podobně jako Bradley Manning v případě Wikileaks) měl přístup k obrovskému množství dat. Neproběhla však ani následná kontrola, která by měla odhalit narušení bezpečnosti v případě, kdy preventivní kontrola selže.
Tato pravidla však neplatí pouze u zaměstnanců tajných služeb. Měli by se jimi řídit všichni podnikatelé, kteří vlastní obchodní tajemství, to znamená: všichni.
V celosvětovém měřítku lze konstatovat, že pouze minimum případů zneužití obchodního tajemství má původ v získání informací ze strany třetích osob (hackerstvím, krádeží či špionáží). V drtivé většině mají únik informací na svědomí zaměstnanci nebo jiné spolupracující osoby, kterým dal podnikatel sám k těmto informacím přístup.
Jak soukromé společnosti, tak zaměstnavatelé z oblasti státní správy a samosprávy, by měli svým zaměstnancům poskytovat informace výhradně při respektování principu need to know a umožnit jim přístup pouze k těm datům, které potřebují pro plnění povinností spojených s vykonávanou prací. Současně musí zabezpečit, aby taková data nebyla osobami, které k nim mají přístup zneužita.
V právních vztazích by se pak podnikatelé neměli omezovat na vágní konstatování, že všechny předávané informace jsou obchodním tajemstvím (neboť tak tomu zpravidla není a takto široký popis negarantuje naopak ochranu žádnou). Naopak by měli dle principů popsaných shora konkrétní data řádně klasifikovat a jako důvěrná zřetelně označit.
O plánovaných či přijatých řešeních by se pak měli radit nejen s informatiky, ale také s právníky tak, aby měli jistotu, jejich tajemství jsou skutečně v bezpečí.
