Business Guide to Compliance

Průvodce
p o d n i k at e l e dodržo v á n í m p ř e d p i s ů
Plánujte řízení
elektronických dat dnes
&
Vyhnetese právnímproblémům’
zítřka
Napsala Cynthia L. Jacksonová
Cynthia L. Jacksonová
Partner společnosti Baker & McKenzie LLP
Cynthia L. Jacksonová je partnerkou v kalifornské
kanceláři společnosti Baker & McKenzie v Palo Alto.
Baker & McKenzie je největší advokátní kancelář na
světě s pobočkami v 38 zemích. Paní Jacksonová je
autorkou brožurky „Průvodce podnikatele dodržováním
předpisů“, jejímž cílem je poskytnout představitelům
podniků všeobecné poučení o otázkách dodržování
předpisů, o vládních nařízeních a o požadavcích na
povinnou archivaci. Její poděkování patří partnerovi
z Chicagské pobočky naší společnosti Johnu
Raudabaughovi za příspěvky do částí věnovaných
sledování zaměstnanosti, které byly převzaty z jeho
zprávy amicus curiae publikované v The Guard
Publishing Company and Eugene Newspaper Guild,,
jež byla předložena úřadu NLRB (Národní úřad pro
pracovněprávní vztahy) 9. února, 2007.
Paní Jacksonová zastupuje společnosti v soudních
sporech a poskytuje poradenství v otázkách domácího
i mezinárodního pracovního práva, včetně žalob pro
diskriminaci a sexuální obtěžování, dále v otázkách
firemních směrnic pro zaměstnance a jejich zavádění,
pracovních smluv a jejich ukončování, propouštění
zaměstnanců, pravidel chování, ochrany soukromí,
společenské odpovědnosti firem, ochrany důvěrných
informací a obchodních tajemství či dopadů fúzí a
akvizicí na zaměstnance.
Paní Jacksonová byla vybrána jako jedna z „nejlepších
právníků v Americe“ a opakovaně jí byla udělena cena
„Superprávník severní Kalifornie“. Paní Jacksonová
absolvovala s vyznamenáním Stanford University i
University of Texas School of Law.
Cynthia L. Jacksonová, právní zástupkyně
Baker & McKenzie LLP
660 Hansen Way, Palo Alto, Kalifornie 94304, USA
Tel +1 650-856-5572 Fax +1 650-856-9299
[email protected]
Obsah
7
Proč tolik povyku?
13
Koho to zajímá nebo koho by to mělo zajímat?
17
Zákonné požadavky na uchovávání elektronických záznamů
27
Pracovní prostředí, které není nepřátelské
31
Ochrana duševního vlastnictví je základním předpokladem úspěšného podnikání
33
Ochrana osobních údajů: kdy je příliš mnoho informací na škodu
37
Šifrování
41
Mezinárodní otázky: střety předpisů pro nakládání s daty
45
Tipy pro nejlepší praxi
Proč tolik povyku?
Ve světě, kde je využívání elektronických dat na
rychlém vzestupu, jsou firmy nuceny hledat cesty,
jak informace spravovat takovým způsobem, který
jim umožní účinně kontrolovat rizika spojená s
dodržováním předpisů. Šíření elektronických dat je
udivující a zároveň nezadržitelné. Vezmeme-li v úvahu
kapacitu paměti průměrného dnešního počítače, mají i
nejskromnější rodinné podniky kapacitu pro ukládání
elektronických dokumentů rovnající se 2000 skříněk
o čtyřech zásuvkách.1 Správu elektronických dat dále
komplikuje skutečnost, že data již nemají podobu
hmatatelných listů papíru, nýbrž bajtů informací, které
jsou neustále upravovány, měněny a aktualizovány
různými lidmi a z různých zdrojů. Správná archivace,
uchovávání, sledování, filtrování a šifrování
elektronických dat se staly nutností.
Správná archivace,
uchovávání,
monitorování,
filtrování a šifrování
elektronických dat se
staly nutností.
Systémy elektronických dat kontrolují a řídí stroje,
zpracovávají finanční údaje, spravují majetek, provádějí
objednávky a přenášejí obrázky i dokumenty. Nezměrně
zvýšily rychlost mluvené i psané komunikace. E-mail
je nejběžnější formou elektronické komunikace, ta však
dále zahrnuje online denníky („web logy“ či „blogy“),
zasílání okamžitých zpráv (instant messaging - IM)
(kde uživatelé „chatují“ v reálném čase online),
videokonference prostřednictvím webkamer, přenosy
dokumentů a videozáznamů a širokopásmové hlasové
služby. Tyto systémy však také často bývají zneužívány,
což může firmy poškozovat. Lidé mohou zaměstnancům,
manažerům i třetím osobám zasílat obtěžující či
Jason Krause, E-Discovery Gets Real, ABA JOURNAL, únor 2007; poznámka George L. Paul & Bruce H. Nearon, The Discovery Revolution: A Guide to the E-Discovery Amendments to the Federal Rules of Civil Procedure, ABA SECTION OF SCI & TECH. LAW.
1
7
V roce 2005 bylo
24 % společností
obesláno soudy ve věci
elektronické pošty a
15 % z nich se muselo
dostavit k soudu v
případech, jejichž
příčinou byly pouze
e-maily zaměstnanců.
zastrašující zprávy, mohou od společností nebo třetích
osob stahovat („zcizovat“) výtvory chráněné autorskými
právy, znevažovat společnost, její produkty a služby,
zákazníky či konkurenci nebo mohou tajně přenášet
zcizená data na vzdálená místa či je ukládat v paměti
poskytované společností. Uživatelé mohou zobrazovat
či šířit materiály, které jsou soudy považovány za
obtěžující a nezákonné, vytvářet a zveřejňovat na
internetových stránkách nebo v blozích hanlivé materiály
nebo plánovat či dokonce uskutečňovat trestné činy, a
to vše ze svého pracoviště a za tajného použití firemního
vybavení.2
Není proto příliš překvapující, že 86 % firemních
právníků považuje podle průzkumu provedeného
Asociací podnikových právníků (ACC) za svou hlavní
starost „sledování aktivit společnosti, které by mohly mít
právní následky“.3 V roce 2005 dosáhl počet společností,
které obdržely v souvislosti s e-mailem soudní
obsílky, 24 % a 15 % muselo předstoupit před soud
v případech vyvolaných čistě e-maily zaměstnanců.
Podle stejného průzkumu měl obsah 10 % e-mailů
na pracovišti sexuální, romantický či pornografický
charakter.4 Ještě předtím, než dne 1. prosince 2006
nabyly účinnosti předpisy o archivaci elektronických
dat, které jsou součástí federálního občanského
zákoníku (FRCP) byla v roce 2004 v rámci soudního
řízení nebo vládního vyšetřování obeslána v souvislosti
2 Electronic
Workplace: Is Your Company’s Work Blogging Down? FEDERAL EMPLOYMENT LAW INSIDER, září 2006 in 2; Michael R.
Phillips, Inappropriate Use of Email by Employees and System Configuration Management Weaknesses Are Creating Security Risks, Treasury
Inspector General for Tax Administration, 31. července 2006.
3 ACC & SERENGETI, MANAGING OUTSIDE COUNSEL SURVEY REPORT, 23. října 2006.
4 2006 Workplace E-mail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-mail, IM & Blog Violators, AMA, 11. července
2006, http://www.amanet.org/press/amanews/2006/blogs_2006.htm.
5 AMA/ePolicyInstitute Research, 2004 Workplace E-mail and Instant Messaging Survey Summary, at 1.
8
s elektronickou poštou každá pátá společnost.5 Toto číslo
je více než dvojnásobné oproti údajům z roku 2001.6
Americké firmy utratily ve skutečnosti v roce 2005 1,2
miliardy dolarů za externí služby v oblasti archivace
elektronických dat.7 Odhadovaná částka za rok 2006 činí
1,9 miliardy dolarů.8 Po začlenění předpisů o archivaci
elektronických dat do FRCP bylo možné očekávat, že
tyto statistiky budou v krátké době zcela zastíněny.
Překvapivě však v průzkumu provedeném pouhé dva
měsíce předtím, než dodatky FRCP nabyly účinnosti, jen
7 % podnikových právníků uvedlo, že jejich společnosti
jsou na novelu zákona připraveny, a 54 % z nich
dokonce ani nevědělo, že dodatky začnou platit již od
prosince 2006.9
Americké firmy
vydaly 1,2 miliardy
dolarů za externí
služby archivování
elektronických dat jen
za rok 2005. Pro rok
2006 se tato částka
odhaduje na 1,9
miliardy dolarů.
Společnosti také musejí dodržovat stále se zvyšující
počet dalších zákonů, které upravují elektronickou
komunikaci, a navržených právních úprav je nespočet.10
Řada předpisů se týká ochrany citlivých osobních údajů,
např., zákon o ochraně osobních údajů v elektronické
komunikaci (Electronic Communications Privacy
Act) z roku 198611, zákon o přenosu a zpracování
informací ve zdravotním pojištění (Health Insurance
Portability and Accountability Act) z roku 199612, zákon
o ochraně osobních údajů dětí na internetu (Children’s
Online Privacy Protection Act) z roku 199813 zákon o
modernizaci finančních služeb (Gramm-Leach-Bliley
Act) z roku 199914, zákon omezující šíření nevyžádaných
Id.
Sacha Consulting, Ramon Nunez, Metal INCS, Gregory McCurdy, Microsoft Corp, ABA Digital Evidence Project, The National Law
Journal/www. NLJ.com, 19 září 2005.
8 Id.
9 Lexis Nexis® Applied Discovery® průzkum provedený na výročním zasedání asociace ACC 2006 v říjnu 2006.
10 Data Security: Federal and State Laws, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 3. února 2006; Data
Security: Federal Legislative Approaches, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 9. února 2006; Obscenity and Indecency: Constitutional Principles and Federal Statutes, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS,
25. června 2003.
11 18 U.S.C. § 101 et seq.
12 42 U.S.C. § 201 et seq.
13 15 U.S.C. § 6501 et seq.
14 15 U.S.C. §§ 6801-6809.
15 15 U.S.C. §§ 7701-7713.
16 Cal. S.B. 1386 (2002) (Občanského zákoníku Státu Kalifornie§§ 1798.82 a části 1798.29).
17 Občanský zákoník státu Kalifornie § 1798.81.5 (Cal. A.B. 1950 (2004)).
18 Allan Holmes, The Global State of Information Security 2006, CIO MAGAZINE, 15 září 2006.
6
7
9
Nevyžádané zprávy
tvoří 93 % veškerých
příchozích e-mailů.
pornografických a marketingových materiálů
(Controlling the Assault of Non-Solicited Pornography)
z roku 200315, kalifornský zákon o oznamování porušení
zabezpečení (California Security Breach Notification Act)
z roku 200216, kalifornský zákon o zabezpečení osobních
údajů (California Securityof Personal Information Act)
z roku 200417 a četné další zákony a předpisy platné
v USA či jiných zemích.18
Kromě zákonů, které upravují likvidaci a uchovávání
dokumentů, musí společnosti dávat čím dál větší pozor
také na útoky hackerů a úniky cenného duševního
vlastnictví prostřednictvím elektronických médií.19 Na
internetu mohou být nejcennější zdroje společnosti
vystaveny třetím osobám. V roce 2004 tvořily
nevyžádané e-maily 73 % veškeré příchozí elektronické
pošty. V roce 2006 stoupl tento počet na 93 %.20
Většinou jde pouze o nepříjemnou ztrátu času, nicméně
škodlivý software, škodlivé logické funkce jako
například viry, červy, programy pro stahování, trojské
koně, spamy, odkazové spamy, phishing a pharming
mohou ohrožovat firemní síť a obchodní informace
i duševní vlastnictví společnosti.21 Osoby z vnějšku
mohou proniknout do obchodních tajemství a důvěrných
informací, ukrást hesla nebo uživatele přesměrovat na
stahování stránek. 33 % těchto útoků údajně generují
interní uživatelé.22
Internet: An Overview of Key Technology Policy Issues Affecting Its Use and Growth, CRS REPORT FOR CONGRESS, 13. dubna 2005.
Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004); Wireless Privacy and Spam: Issues for Congress, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 22. prosince 2004; ‘Junk E-mail’: An Overview of Issues and Legislation Concerning Unsolicited Commercial Electronic Mail (“Spam”), CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS,
15. dubna 2003; Cybercrooks Deliver Trouble, WASHINGTON POST, 27. prosince 2006, D1.
21 Pharming, WEBSENSE, INC. (2006); The Economic Impact of Cyber-Attacks, CONGRESSIONAL RESEARCH SERVICE REPORT FOR
CONGRESS, 1. dubna 2004.
22 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15. září 2005
23 CA/NCSA Social Networking Study Report, RUSSELLRESEARCH.COM, at 4, http://staysafeonline.org/features/SocialNetworkingReport.ppt.
19
20 AMA/ePolicy
10
Čtyřicet procent lidí uvedlo v nedávném průzkumu,
který uskutečnila agentura National Center for
Supercomputing Applications (NCSA), že v práci
navštěvují stránky společenských sítí. Sítě svých
zaměstnavatelů tak vystavují útokům hackerů.23 (68
% dotazovaných společností uvedlo, že se v roce
2004 setkaly s elektronickými trestnými činy; z toho
43 % společností zaznamenalo neoprávněný přístup
k informacím, systémům nebo sítím a 14 % zaznamenalo
zcizení IP adresy).24 Z nedávno uveřejněné soudní
dokumentace dokonce vyplývá, že vysoce postavený
vědecký pracovník společnosti DuPont stáhl v průběhu
méně než pěti měsíců 22 000 důvěrných dokumentů a
180 dokumentů této společnosti, které se týkaly „hlavních
technologií a produktových řad a dále i nových a
nastupujících technologií ve fázi výzkumu a vývoje “
společnosti DuPont, v hodnotě až 400 milionů dolarů
uložil do přenosného počítače a posléze je předal svému
novému zaměstnavateli.25
2005 E-Crime Watch Survey—Survey Results, CSO MAGAZINE, U.S. SECRET SERVICE, CERT COORDINATION CENTER.,
http://www.csoonline.com/info/ecrimesurvey05.pdf.
25 David Kauffman, How Safe Is Your Data?, HR HERO LINE, 9. března 2007.
26 AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004).
27 Id.
28 Id.
24
11
I zákonné či „nevinné“ aktivity mohou být velmi drahé a
lákadlo takových „nevinných“ činností je nesmírně silné.
V průzkumu z roku 2004, který byl proveden mezi 840
americkými společnostmi, uvedlo 66 % respondentů,
že zaměstnanci každý den využívají firemní systém
pro soukromé účely dvě hodiny nebo méně, 24 %
jej takto využívá po dvě až tři hodiny a dalších 10 %
tímto způsobem tráví více než čtyři hodiny.26 Stejný
průzkum ukázal, že 75 % zaměstnanců odesílá nebo
přijímá 10 nebo méně soukromých e-mailů denně.27
Devadesát procent zaměstnanců tráví každý den až
90 minut soukromým chatováním s využitím služeb
instant messaging, 19 % z z nich připojuje k textovým
zprávám přílohy, 16 % šíří vtipy, pomluvy nebo hanlivé
poznámky, 9 % odesílá důvěrné informace a 6 % šíří ve
svých zprávách sexuální, romantické nebo pornografické
texty.28
V rámci zákonných povinností, ale i dobrovolně
přijatých opatření, která jsou součástí nejlepší praxe
zabezpečení, musí společnosti provádět plánování,
implementaci i školení dříve, než dojde ke střetu se
zákony. Jen málo společností bude mít příležitost
rozmyslet se a začít tyto problémy řešit teprve ve
chvíli, kdy je podána žaloba, duševní vlastnictví bylo
„vyfouknuto“,” soukromé informace zveřejněny, nebo
bylo vytvořeno nepřátelské pracovní prostředí. Pro
organizace je životně důležité plánovat dopředu. První,
co musí společnosti plánovat, je uchování, archivace, a
sledování komunikace. Za druhé musí vytvořit procesy
pro šifrování a vhodné omezení přístupu. Za třetí
potřebují průběžné školení a audity svých procesů a
zásad.
12
Koho to zajímá nebo koho by to mělo
zajímat?
Správa elektronických dat se týká téměř každého ve firmě:
oddělení podnikového právníka, pracovníky, kteří mají na
starosti dodržování předpisů, interní auditory, finanční
oddělení, manažery IT, zaměstnance personálního a
mzdového oddělení, zaměstnance, kteří mají na starosti
duševní vlastnictví a licence, manažery dodavatelských
řetězců, oddělení řízení vývozu, prodejní i obchodní
oddělení.
Také společnosti, které
vedou spor před federálním
soudem, nebo kterým
takový spor i jen „hrozí“,
musí být připraveny
postarat se o uchování
příslušných elektronicky
uložených dat.
V USA například ukládá zákon Sarbanes-Oxley (SOX)
veřejně obchodovaným společnostem řadu povinností
v oblasti hlášení, auditů a transparentnosti a zákon
proti podplácení zahraničních představitelů (Foreign
Corrupt Practices Act) zase povinnosti v oblasti vedení
záznamů a účetnictví. Také společnosti, které vedou
spor před federálním soudem, nebo kterým takový
spor i jen „hrozí“, musí být připraveny postarat se
o uchování příslušných elektronicky uložených dat.
Společnosti z oborů bankovnictví a finančních služeb či
zdravotnictví podléhají podrobných právním úpravám
a předpisům, které upravují shromažďování a využití
informací, přístup k nim a jejich šíření. Společnosti,
které svou činnost provozují v mezinárodním měřítku,
případně vyvážejí hardware nebo software jsou povinny
provádět řízení dat, včetně šifrování, složitými a někdy i
neslučitelnými způsoby.
13
Žádná firma není
imunní. Menší
a středně velké
společnosti by také
měly myslet dopředu
a již nyní pracovat na
zavádění systémů.
29
Ale dokonce i společnosti, které nejsou veřejně
obchodované, neúčastní se soudního sporu ani jim
takový spor nehrozí, nepodnikají ve specificky
regulovaném odvětví ani neobchodují na mezinárodním
trhu, staví věk elektronických dat před výzvy. Studie
prokázaly, že jednu třetina úniků dat mají na svědomí
současní zaměstnanci a že převládající většina obvinění
z žalovatelných pomluv, diskriminace a obtěžování
pochází od pověřených uživatelů z řad zaměstnanců.29
Žádná firma není imunní. Menší a středně velké
společnosti by také měly myslet dopředu a již nyní
zavádět systémy, které by chránily jejich duševní
vlastnictví před „krádežemi“ zabránily zaměstnancům
v podávání žalob pro nepřátelské pracovní prostředí,
případně zamezí likvidaci dokumentů v případě
hrozícího soudního sporu .
Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 září 2005.
14
Paradoxně právě ty technologie, které jsou zdrojem
starostí způsobovaných šířením dat, mohou být zároveň i
řešením, jestliže využijeme dobře navržené a udržované
systémy pro řízení elektronických dat, které jsou
vytvořeny tak, aby vyhovovaly zákonným požadavkům
příslušných právních předpisů a jurisdikcí. Takové
elektronické systémy by měly zahrnovat softwarové
systémy s funkcemi uchovávání dokumentů a archivace,
předcházení likvidaci dokumentů, podle potřeby
omezení přístupu k šifrování a dále monitorování a
filtrování webových stránek, je-li povoleno. Kromě
instalace takového systému je nutno identifikovat
příslušné zákonné parametry, a dříve než nastane případ
právní nouze, vyškolit zaměstnance, aby chápali, jak
s takovými daty zacházet v běžném obchodním styku
tak, aby v případě právní nutnosti bylo možné tato data
snadno zachytit a ošetřit. Výběr a implementace systému
řízení elektronických dat, vytvoření pravidel a jejich
zavedení do praxe i průběžné školení zaměstnanců
a audity, které zjistí, zda sytém skutečně funguje,
dříve než nastanou právní problémy, to vše vyžaduje
součinnost a promyšlenou spolupráci zaměstnanců
společnosti z právního, personálního či jiných oddělení.
Výběr a implementace
systému řízení
elektronických dat,
vytvoření pravidel
a jejich zavedení
do praxe i průběžné
školení zaměstnanců
a audity, které zjistí,
zda sytém skutečně
funguje, dříve než
nastanou právní
problémy, to vše
vyžaduje součinnost
a promyšlenou
spolupráci zaměstnanců
společnosti.
15
Zákonné požadavky na uchovávání
elektronických záznamů
Mimo „situace soudního sporu“ neexistuje žádná obecně
platná povinnost uchovávat data uložená v elektronické
podobě (či jiné záznamy), i když uchovávání určitých
typů záznamů, například daňových, pracovněprávních či
firemních mohou ukládat různé federální zákony nebo
zákony jednotlivých států. “Situace právního sporu“
však na druhou stranu nastolí povinnosti uchovávat
informace a společnost bude nucena pozastavit
běžné postupy likvidace dokumentů. Nové dodatky
k občanskému zákoníku FRCP uzákoňují „podržení
v případě soudního sporu“ pro dokumenty, o nichž se
společnost přiměřeně domnívá, že by mohly v soudním
sporu sloužit jako důkazní materiál. Tato povinnost
„podržení v případě soudního sporu“ může vzniknout
dlouho před tím, než skutečně dojde k podání žaloby,
například pokud společnost obdrží interní stížnost
adresovanou „zástupci vedení“, dopis od potenciálního
účastníka hrozícího soudního sporu či advokáta, kterým
je požádáno o uchování informací, korespondenci
předcházející soudnímu sporu, oznámení o vyšetřování
od vládního úřadu, obsílku či úřední žádost o informace,
případně pokud bylo zahájeno správní řízení. Jakmile
nastane „situace soudního sporu“, má společnost
dle aktuálního znění zákona povinnost podniknout
vstřícné kroky k pozastavení veškeré běžně prováděné
likvidace dokumentů a uchovávat veškeré záznamy
včetně elektronických dat a případně i v nich obsažených
metadat, o kterých ví nebo by přiměřeně měla vědět,
že budou v daném případě relevantní, nebo o nich
Neznalost nového
znění Federálního
občanského zákoníku
může být drahá.
17
Společnosti bylo
nařízeno, aby uhradila
náklady na obhájce
žalující strany,
vzhledem k tomu, že
nepozastavila postupy
likvidace e-mailů a dat
a neuchovala příslušné
dokumenty z doby,
kdy její zaměstnanec
podal stížnost ohledně
sexuálně obtěžujícího
chování.
lze přiměřeně předpokládat, že povedou k odhalení
možných důkazů.
I v období před schválením nedávných dodatků
občanského zákoníku FRCP měly soudy jen málo
trpělivosti s společnostmi, které neukládaly data, ačkoli
věděly či měly vědět o hrozícím právním sporu. V
případu Broccoli v. Echostar Communications Corp,
229 F.R.D. 506 (D.C. Md. 2005) soud rozhodl, že
zaměstnavatel měl povinnost ukládat elektronické
dokumenty 11 měsíců před ukončením pracovního
poměru žalobce/zaměstnance. Tato povinnost vznikla s
ohledem na zaměstnancovy ústní a e-mailové stížnosti
na domnělé sexuálně obtěžující chování. Společnosti bylo
nařízeno, aby uhradila náklady na obhájce žalující strany,
vzhledem k tomu, že nepozastavila postupy likvidace
e-mailů a dat a neuchovala příslušné dokumenty z doby,
kdy její zaměstnanec podal stížnost ohledně sexuálně
obtěžujícího chování.
V sérii případů Zubulake v. UBS Warburg LLS, 220
FRD 212 (S.D. N.Y. 2004), 229 F.R.D. 422 (S.D. N.Y.
20. července 2004 Zubulake II), and 231 FRD 159
(S.D.N.Y. 3. února 2005 Zubulake III) rozhodl soud,
že společnost měla povinnost uchovávat elektronické
dokumenty dokonce čtyři měsíce před tím, než žalobkyně
podala žalobu pro diskriminaci (a 10 měsíců před
tím, než podala žalobu k federálnímu soudu), protože
společnost věděla nebo měla vědět, že postupy, které
uplatňuje při likvidaci dokumentace, povedou ke zničení
významných dokumentů. V případu Zubulake, soud
shledal, že záložní záznamové pásky žalovaného mohly
být pravděpodobným zdrojem závažných důkazů, avšak
zaměstnanci mimo právní oddělení o své vůli příslušné
18
dokumenty odstranili. Žalovanému se je posléze velmi
nákladně podařilo obnovit z metadat.
V případu Wiginton v. CB Richard Ellis, 229 F.R.D.
568 (N.D. Ill. 2003) soud rozhodl, že společnost byla
upozorněna na hrozící „kolektivní žalobu“ pouhým
dopisem od právního poradce žalující strany, v němž
byly uvedeny dokumenty a více osob podezřelých z
obtěžování několik dní po podání žaloby. Konkrétně
soud došel k názoru, že společnost byla povinna
uchovávat počítačové pevné disky, e-mailové účty
a internetové záznamy každého, kdo byl obviněn ze
sexuálního obtěžování nebo se jej případ jinak dotýkal.
Soud dále povolil žalující straně obnovit návrh na
postih za neuchování elektronických dat týkajících se
žalujícího a deseti osob podezřelých z obtěžování, pokud
by příslušné chybějící elektronické dokumenty byly
nalezeny na záložních páskách společnosti. V případu
Consolidated Aluminum Corp v. Alcoa, Inc., 2006 U.S.
Dist. LEXIS 66642 at *18 (M.D.La. 2006) nařídil soud
společnosti Alcoa uhradit náklady na opětovné výpovědi
„klíčových osob“ a náklady a poplatky na uplatnění
návrhu a vyšetření nedostatečné archivace, protože
společnosti Alcoa trvalo dva a půl roku od okamžiku,
kdy odeslala vlastní dopis s požadavky společnosti
Consolidated Aluminium, než pozastavila vlastní běžné
postupy likvidace dokumentů. V případu Samsung Elecs.
Co. v. Rambus, Inc., 2006 U.S. Dist. LEXIS 50007
(E.D.Va. 2006) žalovaná společnost Rambus, která
zároveň podala protižalobu, zvažovala soudní spor, když
určila nejpravděpodobnější cíle soudního řízení, své
případné právní teorie a příslušné dokumenty určené
jak k uchování tak k likvidaci a posléze vše, co uznala
19
za vhodné zničila. Soud shledal, že společnost Rambus
nepatřičně zlikvidovala relevantní údaje, a naznačil,
že bude uvalen postih za nedostatečnou archivaci.
Společnost Rambus následně svou protižalobu stáhla
dřív, než soud stačil o postizích rozhodnout.
Následky nepozastavení systémů likvidace informací
a uplatnit „podržení pro případ soudního sporu“ bývají
enormní. V případu Zubulake soud nejenže nařídil
žalovanému náhradu nákladů na archivaci, ale navíc
dokonce vyslovil pro porotu stanovisko o nespolupráci
žalovaného, která pravděpodobně zakrývá pro něj
nepříznivé skutečnosti. Konkrétně soud rozhodl, že
porota se může domnívat, že zničené dokumenty by
podpořily tvrzení žalující strany o diskriminaci, protože
dokumenty nebyly uchovány poté, co byla podána
stížnost ke komisi pro rovné příležitosti, což bylo
deset měsíců před podáním žaloby. Porota následně
vynesla rozsudek, podle kterého měl žalovaný zaplatit
29 milionů dolarů. V případu United States v. Philip
Morris USA Inc., 327 F. Supp. 2d 21 (D.D.C. 2004)
soud uvalil na společnost Phillip Morris postihy ve výši
2.75 milionů dolarů v podobě sankcí ve výši 250 000
dolarů násobených počtem jedenácti manažerů, kteří
nedodrželi pravidla společnosti o uchovávání záznamů.
Soud navíc ani jednomu z jedenácti manažerům, kteří
pravidla o uchování informací porušili, nedovolil
vypovídat u přelíčení a proti žalobě se bránit. V případu
Krumwiede v. Brighton Associates LLC, 2006 U.S. Dist.
LEXIS 31669 (N.D. Ill. 2006) vynesl soud kontumační
rozsudek poté, co žalovaný/protižalobce neuplatnil
20
podržení v případě soudního sporu u notebooku a před
jeho odevzdáním soudnímu vyšetřovateli v něm i nadále
mazal, měnil, upravoval soubory a přistupoval k nim,
protože metadata byla v důsledku pokračujícího užívání
změněna, i když nebyla zcela odstraněna. V případu
Dempsey v. Pfizer, 813 S.W. 2d 205 (1991) se soud státu
Texas odmítl zabývat žalobou o 42 000 000 dolarů jako
postih za likvidaci dokumentů.30
Kromě finančních postihů a přesvědčení, že žalovaný
zakrývá nepříznivé skutečnosti, které dokládají výše
uvedené případy, soudy také rozhodly o občanskoprávní
odpovědnosti obviněných za úmyslné zničení důkazů a
o trestních postizích. Franku Quattroneovi, bývalému
bankéři, který se zabýval investicemi do vyspělých
technologií v bance Credit Suisse First Boston, byla
trvale zakázána účast při obchodování s cennými
papíry a musel zaplatit pokutu 30 000 USD Národní
asociaci obchodníků s cennými papíry NASD. Předtím
byl usvědčen z maření spravedlnosti a odsouzen k 18
měsícům vězení za to, že v průběhu vyšetřování komise
SEC ostatním členům své skupiny odeslal e-mail o
„pročištění souborů“.
Kromě finančních
postihů soudy
také rozhodly o
občanskoprávní
odpovědnosti
obviněných za úmyslné
zničení důkazů a o
trestních postizích.
Jak ukazují výše uvedené případy, občanský zákoník
FRCP uzákoňuje pravidla, která mnohé federální soudy31
i soudy některých uplatňují při rozhodování již několik
let. Avšak dodatky FRCP ovlivňují účastníky soudních
sporů ještě minimálně dalšími dvěma zásadními
způsoby: 1) výslovně upravují archivaci elektronických
dat a ukládají stranám a jejich advokátům, aby
případy, všechny rozhodnuté před uzákoněním dodatků FRCP, nebyly výjimečné. V případu In Re Quintus Corp. v. Avaya, Inc. 2006
Bank.LEXIS 2912 (Bank. D. De. 2006) vynesl soud rozsudek ve výši 1,88 milionů dolarů na základě nálezu o úmyslném a předpojatém
zničení důkazů, které byl žalovaný dle předpisů a v očekávání soudního sporu povinen uchovat. V případu In 3M Innovation Properties
C. v. Tomar Electronics, Inc., 2006 U.S. Dist. LEXIS 80571 (D. Minn 2006) vyslovil soud stanovisko o nespolupráci žalovaného, která
pravděpodobně zakrývá pro něj nepříznivé skutečnosti, protože neuplatnil „uchování pro případ soudního sporu“. V případu In Re Napster,
462 F.Supp.2d 1060, 1077-78 (N.D. Cal. 2006) nařídil soud z důvodu neuplatnění „uchování pro případ soudního sporu“ stanovisko o
nespolupráci žalovaného, která pravděpodobně zakrývá pro něj nepříznivé skutečnosti. V případu In Re NTL, Inc. Sec. Litig. 2007 U.S.
Dist LEXIS 9110 (S.D.N.Y. 2007) soud shledal, že podnik nově vytvořený po bankrotu neuchoval dokumenty, a v důsledku toho vyslovil
stanovisko o nespolupráci žalovaného, která pravděpodobně zakrývá pro něj nepříznivé skutečnosti, a uvalil finanční postihy. V prosinci 2006
obvinila Národní asociace obchodníků s cennými papíry (NASD) Morgana Stanleyho, že nepravdivě vypovídal o ztrátě milionů e-mailů při
útocích na World Trade Center 11.září. Tento případ stále není ukončen.
30 A tyto
21
Občanský zákoník
FRCP výslovně ukládá
protistranám, aby o
elektronických datech
jednaly a vzájemně
spolupracovaly od
začátku soudního řízení
a v celém jeho průběhu.
zkoumali, uchovávali a předkládali elektronická data
a ve spojitost s nimi vypovídali, a neponechávají
teda již otevřenou otázku, zda jsou elektronická data
postižitelná; a 2) výslovně ukládá protistranám, aby
spolu jednaly a navzájem spolupracovaly v záležitostech
elektronických dat od začátku soudního sporu a v jeho
celém průběhu. Strany budou obecně v průběhu prvních
několika měsíců soudního sporu povinny se „setkávat
a konat porady“ o uchování informací, které mohou být
významné, o podobě, v níž budou elektronické informace
předloženy (např. PDF, Tagged Image File Format
(TIFF), ve „vlastním“ formátu, na papíře apod.), o tom,
zda některá strana prohlásí data za „nepřístupná“, jak
se vypořádají s očekávanou „nepřiměřeně nákladnou
či zatěžující“ obnovou dat nebo s neúmyslným
předložením informací ve vztahu právního zástupce a
jeho klienta, obchodního tajemství či jiných výhradních
či chráněních informací, které mohou být ukryty mezi
elektronickými či klasickými dokumenty předloženými
dle Pravidla 16 (b) a 26. Jestliže firma nezavede pravidla
a postupy pro uchovávání dokumentů a dobře jim
nerozumí ještě před tím, než je podána žaloba, mohla by
se při povinném „setkávání a konání porad“ ocitnout ve
znatelné nevýhodě oproti stranám, které byly připraveny
a tudíž také vědí, jaké návrhy jsou pro ně nejvýhodnější.
Aktualizované znění zákoníku také výslovně upravuje
úlohu elektronických dat, jestliže je stranám nařízeno
odpovědět na písemné otázky (soudní dotazníky) či
předložit dokumenty ve fyzické podobě. Kupříkladu
ustanovení FRCP 33 (d) dovoluje odpovídající
straně uvést, že odpovídající informace jsou součástí
„obchodních záznamů včetně informací uložených
V srpnu 2006 byly na konferenci státních soudců schváleny „Pokyny pro státní soudy ohledně archivace informací uložených v elektronické
podobě“. Tyto pokyny však nejsou závazné, pokud a dokud je nepřijmou státy. V současné době zvažují přijetí pokynů státy Massachusetts
a Severní Karolína. V září 2006 naopak stát New Jersey přijal státní pravidla pro archivaci elektronických dat, jejichž vzorem byl občanský
zákoník FRCP. Také Arizona, Florida, Idaho, Maryland a New Hampshire zvažují přijetí pravidel podobných FRCP. Skutečnost, že se
v jednotlivých státech objevují podobná, ale přesto odlišná pravidla pro elektronickou archivaci, ještě více vyzdvihuje nutnost, aby systémy
pro řízení elektronických dat byly natolik pohotové, aby dokázaly reagovat jak na všeobecně rozšířená pravidla elektronické archivace, tak i
na jejich drobné odlišnosti.
31
22
v elektronické podobě“, jestliže (i) z těchto záznamů
lze odpověď zjistit, (ii) zjištění takových informací
klade v podstatě stejné nároky na obě strany a (iii) jsou
záznamy specifikovány. Aktualizované znění ustanovení
FRCP 34 nyní výslovně umožňuje straně specifikovat
formu, v jaké budou elektronické informace předloženy,
(na papíře či elektronicky), s výhradou nedosažení
dohody či soudního nařízení, kdy se předpokládá, že
data uloženáv elektronické podobě budou předložena
ve formě, v níž jsou „obvykle uchovávána“, nebo
v přiměřené použitelné podobě.
Lze předpokládat,
že předkládání dat v
elektronické podobě se
stane ohniskem sporů
a bude jím ještě po
mnoho dalších let.
Lze předpokládat, že předkládání dat v elektronické
podobě se stane ohniskem sporů a bude jím ještě po
mnoho dalších let. Někteří tvrdí, že „podoba, v níž
jsou obvykle uchovávány“ bude vyžadovat předkládání
ve „vlastním formátu dat“. Jiní proti tomu protestují
s poukazem na to, že „vlastní formát“ neumožňuje
snadné odstranění výhradních či chráněných informací
nebo kontrolu počtu předkládaných dokumentů. Některé
soudy a strany jsou toho názoru, že dokumenty musí být
předkládány s veškerými metadaty. Williams v. Sprint/
United Management Company, 230 FRD 640 (D. Kan.
2005); D.E. Tech v. Dell Inc., 2006 U.S. Dist. LEXIS
87902 (W.D. Va. 2006); Nova Measuring Instruments v.
Nanometrics Inc. 2006 U.S. Dist. LEXIS 49156 (N.D.
Cal. 2006); In Re Payment Card Interchange Fee and
Merchant Discount Antitrust Litigation, 2007 U.S. Dist.
LEXIS 2650 (E.D. N.Y. 2007). Stále častěji jsou však
soudy a strany toho názoru, že očekáváno by mělo být
předkládání informací bez metadat. Kentucky Speedway
v. National Association of Stock Car Auto Racing Inc.,
2006 U.S. Dist. LEXIS 92028 (E.D. Ky. 2006); Wyeth v.
23
Impax Laboratories Inc., 2006 U.S. Dist. LEXIS 79761
(D. Del. 2006); The Ponka Tribe of Indians of Oklahoma
v. Continental Carbon Co., 2006 U.S. Dist. LEXIS
74225 (W.D. Okla. 2006). Americká advokátní komora
ABA dokonce vydala v roce 2006 úřední stanovisko
č 06-442, jímž advokátovi, který odesílá potenciálně
chráněná metadata, aby je „očistil“ nebo odeslal jinou
verzi dokumentu bez metadat. Cílem tohoto opatření
je předcházet neúmyslnému předkládání výhradních
či jinak chráněných metadat. Advokátní komory států
Florida a Maryland uložily právním poradcům podobnou
povinnost „očistit“ před předložením chráněná metadata.
Ať už však soudy a advokátní komory jednotlivých
států rozřeší debatu o metadatech jakkoli, jedna věc
je jasná: Společnosti a jejich právníci musí rozumět
tomu, jak jsou jejich elektronické informace ukládány
a jaká případná metadata jsou součástí předkládaných
dokumentů, a je velmi radno, aby byli připraveni se
takovými otázkami zabývat dříve, než jim federální soud
nařídí povinné „setkávání a konání porad“.
Aktualizované znění Pravidla č 37 také povoluje
omezený „azyl“ před postihy za nedostatečnou archivaci
a nepředložení dat ukládaných v elektronické podobě,
jsou-li tato data ztracena v důsledku běžné činnosti
informačního systému a tato činnost byla provedena
v dobré víře. Jak však bylo poznamenáno výše, soud
pravděpodobně neuvěří v dobré úmysly, jestliže
společnost neuplatní včas „podržení v případě soudního
sporu“. Otázky uchování informací se netýkají jen
běžných počítačů, ale vztahují se i na záložní pásky,
pevné disky, notebooky a další elektronické archivy.
Takové věci nejsou ani zdaleka tak jednoznačné,
24
jak se mohou na první pohled jevit. Používá vaše
společnost PDA, například BlackBerry? Jsou některé
e-maily uloženy pouze na nich a nikoli na serverech
společnosti? Tisknou a ukládají zaměstnanci papírové
kopie dokumentů, i když jejich elektronické verze jsou
pravidelně čištěny? A víte, kde se tyto kopie nacházejí?
Navštěvují někteří zaměstnanci v práci veřejné nástěnky,
chatovaní programy nebo soukromé e-mailové schránky,
jejichž kopie by mohla být uložena v elektronickém
systému spravovaném vaší společností? Sleduje vaše
společnost, jak často ničí či přepisuje elektronická
data, a mohou být tyto systémy pro konkrétní typy
dat pozastaveny na základě vyhledávacích výrazů
(například jména potenciálního žalobce, názvu pozice
či zakoupeného produktu)? Má vaše společnost jasně
stanovená pravidla ohledně toho, které e-maily se
ukládají v počítačích společnosti do osobních složek, a
dodržují zaměstnanci běžně tato pravidla? Ví společnost,
jaká metadata jsou v jejích počítačích?
Účinný systém pro
řízení elektronických
dat se musí věnovat
každé z těchto
otázek s dostatečným
předstihem před
soudním sporem,
aby bylo zajištěno,
že ve chvíli, kdy
„situace soudního
sporu“ nastane, bude
společnost moci
okamžitě identifikovat
a ukládat veškerá
relevantní data
v jakékoli podobě.
Účinný systém pro řízení elektronických dat se musí
věnovat každé z těchto otázek mnohem dříve, než dojde
k soudnímu sporu, aby bylo zajištěno, že nastane-li
„situace soudního sporu“, dokáže společnost okamžitě
identifikovat a uchovat veškerá relevantní data
v jakékoli podobě.32 Podržení pro případ soudního sporu
by se nemělo týkat jen dokumentů vytvořených osobou,
na kterou by se potenciální spor zjevně soustředil, ale
také na veškeré dokumenty určené této osobě a o ní,
a v případě možné přímé diskriminace či skupinové
žaloby by se mělo týkat i jakýchkoli osob v podobné
situaci.
32 Allen
Smith, Amended Federal Rules Define Duty to Preserve Work E-mails, HR NEWS, 1. prosince 2006.
25
Pracovní prostředí, které není
nepřátelské
Ve Spojených státech33 se stalo již téměř samozřejmostí,
že správné filtrování a monitorování zaměstnanců patří
k nejlepší praxi při předcházení žalobám z důvodu
nepřátelského pracovního prostředí. „Domněnka, že
filtry jsou nutné pro vyloučení odpovědnosti, se jak se
zdá potvrdila a stala se pravidlem.“34 „Řadě případů
obtěžování prostřednictvím e-mailu by bylo možné
použitím filtrů předejít, protože by tyto e-maily nebyly
odeslány.“35
Řadě případů
obtěžování
prostřednictvím
e-mailu bylo možné
předejít využitím filtrů,
protože tyto e-maily by
nebyly odeslány.
Jak naznačují statistiky a jak dokládá i nejzběžnější
pohled na případy obvinění z nepřátelského pracovního
prostředí, staly se elektronické poštovní systémy zdrojem
nesčetných stížností na diskriminaci a obtěžování. EEOC
v. Freddie Mac, Civ. No. 97-1157-A, at 3-4 (E.D. Va.
24. července 1997) (byla podána žaloba pro hanlivé
elektronické zprávy o „černošské angličtině“, které
kolovaly na pracovišti. Zaměstnavatel byl povinen
„podniknout rychlé a účinné kroky k nápravě a takové
zprávy vymýtit“.) Olivant v. Dept. of Environmental
Protection, 1999 WL 430770 (N.J. Admin. 12.
dubna) (šíření sexistického „humoru“ elektronickými
poštovními systémy představuje sexuální obtěžování.);
Trout v. City of Akron (Stížnost č. CV-97-115879 (podaná
17. listopadu 1997); rozsudek č. (15. prosince 1998));
rozsudek ve výši 260 000 USD v neprospěch města
na základě skutečnosti, že si spolupracovníci na
svých počítačích prohlíželi pornografické materiály.
Naproti tomu v případu Delfino v. Agilent, 145 Cal.
App.4th 790 (6th Dist., 2006), soud neshledal, že by
Na mezinárodní úrovni podléhá monitorování různým omezením a zákazům. Tato studie je postavena především na amerických postupech,
i když jak poznamenáváme níže v Části VIII, má-li být zajištěno dodržování předpisů ve více jurisdikcích mimo USA, je zapotřebí ještě
sofistikovanější správy dat.
34 Eugene Volokh, professor práv na UCLA, Freedom of Speech, Cyberspace: Harassment Law and the Clinton Administration, 63 LAW &
CONTEMP. PROBS. 299 (2000).
35 Wendy R. Leibowitz, Avoiding E-mail Horror Stories: Policies and Filters the Best Defense, N.Y. L.J., 15. prosince 1998, at 5.
33
27
společnost byla jakkoli odpovědná za zaměstnance, kteří
využívali počítačový systém zaměstnavatele k odesílání
výhružných zpráv po internetu, protože společnost
okamžitě po odhalení tohoto nepatřičného chování
zakročila. Federální zákony dále ošetřují dětskou
pornografii, kterou považují za „kontraband“, a nakládání
s takovým materiálem, jeho držení, šíření atd. je tedy
nezákonné podle ustanovení 18 USC 2251 et al. Firma
má dokonce ze zákona povinnost okamžitě ohlásit
jakékoli takové užívání těchto materiálů, o kterém ví,
FBI. V opačném případě riskuje, že bude sama nařčena
z porušování zákonů o dětské pornografii.
Americké firmy čím dál častěji v zájmu ochrany
před zneužitím využívají screeningová zařízení či
filtry. Jestliže zaměstnavatel v USA nemonitoruje
elektronickou komunikaci, která opouští a vstupuje
do jeho zařízení, vystavuje se značným následkům.
Proto by zaměstnavatelé v USA měli informovat
své zaměstnance o tom, že počítače jsou majetkem
zaměstnavatele, že jsou určeny pro obchodní účely,
komunikace může být kdykoli monitorována a že
zaměstnanci by neměli očekávat při užívání pracovních
počítačů jakékoli soukromí.36
Soudy dále stále raději vidí filtrování jako ten nejmenší
prostředek ochrany osob před urážlivým obsahem na
internetu. Kupříkladu 22. března 2007 rozhodl obvodní
soud v Pensylvánii, že zákon na ochranu dětí na
internetu (Child Online Protection Act)37 je částečně
neústavní, protože filtry představují méně restriktivní
prostředích ochrany dětí před přístupem k urážlivému
internetovému obsahu, než vyžadují stanovy Kongresu.38
36 Monitoring
37 47
Employee E-mail: Efficient Workplaces vs. Employee Privacy, 2001 DUKE L. & TECH. REV. 0026 (2001).
U.S.C. § 231.
v. Gonzales, No. 98-5591 (E.D. Pa. 22. března 2007).
38 ACLU
39
Id.
28
Soud shledal, že filtry „obecně blokují přibližně 95 %
sexuálně explicitních materiálů“.39 Jsou také „plně
přizpůsobitelné a lze je nastavit pro různý věk a pro
různé kategorie mluvy nebo je zcela vypnout…“40
S ohledem na narůstající množství právních úprav,
soudních sporů i rostoucí náklady spojené s chybami,
kterým bylo možné předejít, zavádějí společnosti na
pracovištích kromě technologií také pravidla, která
mají řídit produktivitu, chránit zdroje a motivovat
zaměstnance k dodržování předpisů. Více než 80
% amerických firem údajně informuje pracovníky
o tom, že monitorují obsah, úhozy na klávesnici a
čas strávený u klávesnice, 76 % monitoruje aktivity
zaměstnanců na internetu; 65 % blokuje připojení
k nevhodným webovým stránkám, 82 % dává najevo, že
společnost ukládá a kontroluje počítačové soubory, 86 %
upozorňuje zaměstnance na monitorování e-mailů a 89
% upozorňuje zaměstnance, že je sledováno používání
internetu.41 V roce 2005 údajně 84 % amerických firem
zavedlo pravidla pro soukromé využití e-mailu, 81 %
mělo pravidla pro užívání internetu, 42 % uplatňovalo
pravidla pro soukromé užívání chatových služeb, 34 %
ošetřilo provoz osobních webových stránek v pracovní
době, 23 % mělo pravidla pro soukromé příspěvky
do podnikových blogů a 20 % mělo firemní pravidla
omezující správu soukromých blogů v pracovní době.42
Ve stejném roce 26 % zaměstnavatelů uvedlo, že
propustili zaměstnance pro zneužívání internetu a 25 %
z nich ukončilo pracovní smlouvy z důvodu zneužívání
e-mailu.43
S ohledem na
narůstající množství
právních úprav,
soudních sporů i
rostoucí náklady
spojené s chybami,
kterým bylo možné
předejít, zavádějí
společnosti na
pracovištích kromě
technologií také
pravidla, která mají
řídit produktivitu,
chránit zdroje a
motivovat zaměstnance
k dodržování předpisů.
40 Id.
41 AMA/ePolicy
Institute Research, 2005 Electronic Monitoring & Surveillance Survey, (2005).
42 Id.
43 Id.
29
Ochrana duševního vlastnictví je
základním předpokladem úspěšného
podnikání úspěšného podnikán
Objem elektronické pošty narůstá o 30 % ročně a
obsahuje až 80 % firemního duševního vlastnictví.44
Pohromy již nejsou jen teoretickou možností. V
případu Sonoco Products v. Johnson, 23 P.3d 1287
(Co. App. 2001) bylo společnosti přiznáno téměř 7
milionů USD v případě zneužití obchodního tajemství,
kdy bývalý zaměstnanec v součinnosti se svým novým
zaměstnavatelem využili patentované informace
společnosti Sonoco v elektronické i fyzické podobě,
které zaměstnanec ukradl.45
Objem elektronické
pošty narůstá o 30 %
ročně a obsahuje
až 80 % firemního
duševního vlastnictví.
Soudy shledaly vinným nejen zaměstnance, který utekl
s elektronickými daty, ale vinu podle nich nesl i nový
zaměstnavatel. V případu Shurgard Storage v. Safeguard
Self-Storage, 119 F. Supp. 2d 1121 (W.D. Wash.
2000) vznesla žalující strana stížnost na následujícího
zaměstnavatele podle zákona o počítačových podvodech
a jiném zneužívání počítačů (Computer Fraud and
Abuse Act), když bývalý zaměstnanec žalujícího využil
jeho počítače k odeslání patentovaných informací
žalujícího e-mailem do firmy, která posléze žalovaného
zaměstnala. V případu Charles Schwab v. Carter,
2005 U.S. LEXIS 21348, no. 04-C-7071 (N.D. Ill. 27.
září 2005) soud rozhodl, že žalobce má podle teorie
zprostředkované odpovědnosti nárok na soudní stíhání
nového zaměstnavatele svého bývalého zaměstnance
podle zákona o počítačových podvodech a jiném
zneužívání počítačů (Fraud and Abuse Act). V době,
kdy zaměstnanec pracoval pro žalující společnost
Frank Chambers, EDD Tips for Email from the Front Line, LAW TECHNOLOGY TODAY, březen 2007.
také Sawyer v. Dept. of Air Force, MSPB 1986, 31 MSPR 193; US v. Middleton, 35 F. Supp. 2d 1189 (N.D. Cal. 1999); EF Cultural
Travel BV v. Explorica Inc., 274 F.3d 577 (1st Cir. 2001); Pacific Aerospace Electronics Inv. v. Taylor, 295 F. Supp. 2d 1188 (E.D. Wa. 2003).
44
45 Viz
31
Schwab, odeslal e-mailem její patentované informace
svému budoucímu zaměstnavateli, společnosti Acorn.
Společnost Schwab tvrdila, že Acorn na zaměstnance
naléhal, aby vstupoval do počítačového systému
společnosti Schwab na rámec svého oprávnění.
V případu Lowry’s Reports v. Legg Mason, 271 F. Supp.
2d 737 (D. Md. 2003) zaměstnanec na pracovišti šířil a
opakovaně tiskl materiály chráněné autorskými právy.
Soud rozhodl, že není podstatné, že zaměstnavatel
nevěděl o tom, že zaměstnanec pokračoval v nečestném
jednání (poté, co jej zaměstnavatel požádal, aby s
rozšiřováním materiálů chráněných autorskými právy
přestal). Porota vynesla rozsudek ve výši 20 milionů
USD.46
Každý z těchto případů ukazuje, že kdyby tyto americké
společnosti/oběti monitorovaly odchozí patentované
informace a zachytily nebo filtrovaly neoprávněné
odesílání takových informací, mohly předejít nejen
léta trvajícím sporům, ale především také ztrátě svých
patentovaných informací. Koneckonců pláč nad rozlitým
mlékem málokdy přináší úspěch, ať už je výrok soudu
jakýkoli.
na obnovu řízení a vynesení nového rozsudku byl jako právní otázka zamítnut při projednávání případu Lowry’s Reports, Inc. v. Legg
Mason, Inc., 302 F. Supp. 2d 455, 461 (D. Md. 2004).
46 Návrh
32
Ochrana osobních údajů: K dy je příliš
mnoho informací na škodu47
Na rozdíl od Evropské unie (EU) či dalších částí
světa se v USA neuplatňuje jednotný postup při
ochraně osobních údajů. V USA se spíše projevuje
tendence k úpravě otázek ochrany osobních údajů
podle jednotlivých oborů či odvětví, pro která existují
samostatné zákony upravující vytváření, uchovávání
a užívání soukromých údajů a přístup k nim. Na
rozdíl od důrazu, který klade občanský zákoník FRCP
na uchovávání záznamů, či od poučení, které plyne
z případů nepřátelského pracovního prostředí a případů
podle zákona o počítačových podvodech a jiném
zneužívání počítačů (Computer Fraud and Abuse Act),
zákony na ochranu osobních údajů rozsah informací,
které smí firmy shromažďovat, zpracovávat, převádět,
uchovávat, užívat či šířit, regulují a omezují. Proto je
pro účinné systémy pro správu informací důležité, aby
dokázaly nejen v případě potřeby uchovávat a archivovat
data a v rámci USA je podle možností i monitorovat,
ale aby tyto systémy také dokázaly omezit a vymezit
užívání osobních údajů a přístup k nim, který společnost
získala jen pro omezené, výslovně určené účely.
Kupříkladu zákon Gramm-Leach-Bliley upravuje
podmínky pro finanční instituce, včetně podniků
zabývajících se bankovními službami, pojištěním,
akciemi a obligacemi, finančním poradenstvím a
investováním. Zajišťuje omezenou ochranu proti
prodeji soukromých finančních informací, uzákoňuje
ochranu proti vylákání informací o osobních financích
Další informace týkající se nikoli pouze amerického, ale celosvětového zabezpečení dat najdete v příručce společnosti Baker & McKenzie
Global Privacy Handbook (International Association of Privacy Professionals) ©2006.
47
33
Zákon HIPAA
se zabývá
shromažďováním,
využíváním
a přístupem
k informacím
souvisejícím se
zdravím pro „skryté
subjekty“, které jsou
definovány jako
zdravotní programy,
zdravotní zúčtovací
banky či poskytovatelé
zdravotních služeb
a které převádějí
informace o zdravotním
stavu.
pod falešnými záminkami a uděluje spotřebitelům právo
vystoupit z účasti na omezením sdílení „neveřejných
osobních informací“. Od finančních institucí také
požaduje, aby provozovaly programy zabezpečení
informací, které splňují určitá kritéria stanovená
příslušným regulačním úřadem, například Standardy pro
ochranu informací o spotřebitelích Federální obchodní
komise.
Zákon Fair Credit Reporting Act (a řada dalších
podobných zákonů jednotlivých států) upravuje
především užívání a zveřejňování informací ve
„spotřebitelských zprávách“ vytvářených „agenturami
pro spotřebitelské zprávy“, které jsou definovány velmi
široce. Obsahuje omezení v oblasti shromažďování,
užívání a zveřejňování zdravotních, finančních a soudních
jednání a dále omezení vztahující se k krádežím
identity, spotřebitelským zprávám pro pracovněprávní
účely a „investigativním spotřebitelským zprávám“
s účastí třetích stran. Zákon obsahuje četné požadavky
kladené na agentury, které se zabývají spotřebitelskými
zprávami, i na uživatele těchto zpráv a ukládá jim
zabezpečit neporušenost a přesnost shromažďovaných
a zveřejňovaných údajů a dále také internetový přístup
k informacím získaným ze spotřebitelských zpráv, jejich
využití a bezpečné odstranění.
Zákon o přenosu a zpracování informací ve
zdravotním pojištění (Health Insurance Portability
and Accountability Act - HIPAA) se zabývá
shromažďováním, využíváním a přístupem
k informacím souvisejícím se zdravím pro „skryté
subjekty“, které jsou definovány jako zdravotní
34
programy, zdravotní zúčtovací banky či poskytovatelé
zdravotních služeb a které převádějí informace o
zdravotním stavu. Ustanovení zákona HIPAA upravují
mezi jiným také užívání a zveřejňování chráněných
informací o zdravotním stavu, které jsou uchovávány
v jakémkoli formátu. Skrytý subjekt musí ustanovit
zaměstnance, který má na starosti správu dat a obecně
nese odpovědnost za uplatňování a vymáhání pravidel
a praxe podle požadavků zákona HIPAA. Jeho úkolem
je uchovávání záznamů po dobu šesti let. Skryté
subjekty se rovněž musí řídit zvláštními Bezpečnostními
normami pro ochranu elektronických chráněných
zdravotních informací, 45 CFR 160 and 164. V lednu
2007 americké ministerstvo spravedlnosti ohlásilo
první žalobu, která byla podána podle zákona HIPAA
ve věci stíhání za krádež zdravotní identity včetně
1,130 elektronických záznamů z kliniky v Clevelandu.
Zaměstnanec kliniky údajně pomocí počítačového
systému kliniky shromáždil a prodal záznamy pacientů
skupině organizovaného zločinu, která pak záznamy
pacientů využila k podvodnému vyúčtování 7 milionů
dolarů společnosti Medicare. Informace ve zdravotnictví
také upravují a řídí různé zákony jednotlivých států,
například kalifornský zákon o důvěrnosti informací ve
zdravotnictví (Confidentiality of Medical Information
Act).48
HIPAA upravují mezi
jiným také užívání
a zveřejňování
chráněných informací
o zdravotním stavu,
které jsou uchovávány
v jakémkoli formátu.
Četné státy mají také směrnice, které výslovně upravují
ochranu důvěrnosti čísel sociálního pojištění. Například
paragraf 1798.85 občanského zákoníku státu Kalifornie
zakazuje mezi jiným požadovat od osob , aby předávaly
číslo svého sociálního pojištění prostřednictvím
internetu, pokud se nejedná o zabezpečené připojení
V nedávném průzkumu uvedlo 98,5 % respondentů, že za zabezpečení lékařských záznamů pacientů nesou odpovědnost zdravotní instituce,
ale méně než 40 % si bylo jisto, že jejich poskytovatelé lékařské péče opravdu údaje o jejich zdravotním stavu zabezpečují. Prakticky
všichni účastníci průzkumu se domnívali, že zdravotní instituce jsou ze zákona povinny upozornit pacienty, pokud někdo získal přístup
k jejich lékařským záznamům bez souhlasu pacienty, a přesto 7 z 10 nebylo přesvědčeno o tom, že poskytovatelé zdravotní péče pacienty o
podezřeních z porušení zabezpečení náležitě informují. www.epictide.com.
49 NY CLS Gen. Bus. §399-h (2007).
48
35
Porušení zákonů USA
či jednotlivých států
na ochranu soukromí
s sebou často kromě
trestních postihů nese
také zpochybnění
bezúhonnosti
podnikání společnosti
a její značky. Opět je
mnohem lepší myslet
dopředu a porušení
zákona se vyhnout než
se prostě jen snažit
dodatečně napravit
škody.
36
nebo číslo sociálního pojištění není šifrováno.
Paragraf 1798.81.5 občanského zákoníku státu
Kalifornie požaduje, aby firmy uplatňovaly přiměřené
zabezpečovací postupy na ochranu širokého spektra
osobních informací, a to včetně čísla sociálního pojištění,
čísla kreditní karty a bankovního účtu, čísla řidičského
průkazu a dalších. Stát New York má podobný zákon,
který upravuje likvidaci dokumentů obsahujících osobní
informace jako například číslo sociálního pojištění.49
Firmy musí systémy pro řízení elektronických dat
pečlivě vybírat tak, aby vyhověly rychle se rozšiřujícím
režimům pro ochranu osobních údajů. Lékař i bankéř
potřebují funkce pro šifrování, aby zajistili ochranu
důvěrných informací, ať už se jedná o diagnózy nebo
finanční údaje, před neúmyslným zveřejněním. Brány
firewall a omezený přístup musí být instalovány za
účelem zamezení neoprávněnému nebo příliš širokému
šíření. Musí existovat monitorovací funkce, aby
v případě zjištění porušení zabezpečení mohlo být
okamžitě vysláno upozornění a podniknuta opatření
k nápravě. Porušení zákonů USA či jednotlivých států
na ochranu soukromí s sebou často kromě trestních
postihů nesou také zpochybnění bezúhonnosti podnikání
společnosti a její značky. Opět je mnohem lepší myslet
dopředu a porušení zákona se vyhnout než se prostě jen
snažit dodatečně napravit škody.
Šifrování
Šifrování má zásadní význam. Přesto však příliš často
zůstává nedostatečně využívanou technologií. „Šifrování
dat je definováno jako proces zakódování přenášených
či uložených informací tak, aby byly nesrozumitelné až
do okamžiku, kdy je dekóduje zamýšlený příjemce.“50
Je prakticky nezbytné pro ochranu obchodních tajemství
a důvěrných informací, které mohou být odesílány po
internetu.
Bez možnosti šifrování firma svá tajemství nechává
odkrytá. „Ve světě bezpečnosti bude rok 2005
zaznamenán jako rok, kdy se úniky dat dostaly na
přední stránky, a to zejména díky novým americkým
zákonům ukládajícím povinnost veřejného oznámení
ztráty či zcizení dat.“51 Ještě hrozivější však je, že pro
zaměstnance s přístupem k důvěrným údajům svých
zaměstnavatelů buď není zabezpečení dat prioritou nebo
nevědí, jak jej používat. V klíčovém článku s názvem
„Proč Johnny neumí šifrovat“52 dva badatelé z Carnegie
Mellon University odhalili, že průměrný, vzdělaný
uživatel dobře obeznámený s fungováním elektronické
pošty neví, jak využívat šifrovací technologii.
Následující studie pojmenovaná „Proč Johnny pořád
ještě neumí šifrovat“53 odhalila jen nevelká zlepšení.
Firmy se musí aktivně zasadit o to, aby získaly šifrovací
systémy s jednoduchou obsluhou, které vyhovují
jejich bezpečnostním potřebám, a následně vyškolit
zaměstnance v jejich užívání.
Fred Moore, Preparing for Encryption: New Threats, Legal Requirements Boost Need for Encrypted Data, COMPUTER TECHNOLOGY
REVIEW, srpen - září 2005.
51 Kevin Murphy, Email Security Uncovered, COMPUTER BUSINESS REVIEW ONLINE, 1. listopadu 2005 (cituje Alexe Hernandeze,
ředitele pokročilého vývoje produktů ve společnosti CipherTrust).
52 Alma Whitten & J.D. Tygar, Why Johnny Can’t Encrypt: A Usability Evaluation of PGP 5.0, dostupné na adrese http://www.gaudior.net/
alma/johnny.pdf.
53 Steve Sheng et al, Why Johnny Still Can’t Encrypt: Evaluating the Usability of Email Encryption Software, dostupné na adrese http://cups.
cs.cmu.edu/soups/2006/posters/sheng-poster_abstract.pdf.
50
37
Hackeři vědí,
že středně velké
společnosti obecně
vynakládají na
zabezpečení a šifrování
méně prostředků, a
odhaduje se, že více
než 4,000 středně
velkých společností
může být obzvlášť
zranitelných takovými
útoky, pokud nebudou
předem myslet na
ochranu svých dat.
Systémy archivace dat, v nichž jsou uloženy nešifrované
informace, vystavují společnosti riziku, že informace
zákazníků budou ukradeny hackery, což může
potenciálně vést ke špatným vztahům s veřejností, ztrátě
zákazníků a nákladným soudním procesům. V lednu 2007
například společnost TJX, společnost zastřešující firmy
T.J. Maxx, Marshalls, Home Goods, Bob’s Stores a další
obchodní řetězce, oznámila, že její počítačový systém
byl v letech 2005-2006 napaden hackery, a v důsledku
toho došlo ke zcizení informací týkajících se 45,7
milionu jednotlivých kreditních karet užívaných v letech
2002-2004, a to včetně jmen osob a čísel kreditních a
debetních karet.54 Společnost Radioshack v březnu 2007
zjistila, že 20 krabic vyhozených záznamů obsahovalo
účtenky s čísly kreditních karet zákazníků. Hlavní státní
zástupce státu Texas inicioval donucovací akci. V březnu
2007 společnost Group Heath Cooperative Healthcare
System ztratila dva firemní notebooky obsahující jména,
adresy, čísla sociálního pojištění a interní identifikační
čísla místních pacientů a zaměstnanců.
Každému z těchto případů bylo víceméně možné
předejít pomocí šifrování. K takovým útokům mohou
být náchylné zejména středně velké společnosti.
Hackery už neláká sláva, které dosáhnou celosvětovým
rozšířením viru. Lákají je peníze. Hackeři vědí, že
středně velké společnosti obecně vynakládají na
zabezpečení a šifrování méně prostředků, a odhaduje se,
že více než 4 000 středně velkých společností může být
obzvlášť zranitelných takovými útoky, pokud nebudou
předem myslet na ochranu svých dat.55
TJX, Často kladené dotazy, www.tjx.com/tjx_faq.htm.
Holmes, Many Mid-Market Enterprises Say They Have Neither the Time, Money nor Resources to Spend on Security. Which May Be
Why the Crooks Are Targeting Them and Turning the Mid-Market into a Bad Neighborhood, CIO, 1. března 2007.
54
55 Allan
38
Jak je uvedeno výše, šifrování je také aktivní ochranou
před náhodným zveřejněním osobních údajů, alespoň
podle kalifornského zákona o důvěrnosti čísla
sociálního pojištění (Confidentiality of Social Security
Number Act).56 Různé další šifrovací standardy musí být
užívány u vládních zakázek týkajících nezpravodajských
služeb.57 Kromě toho je šifrování prostě chytrým
způsobem, jak zabránit zveřejnění patentovaných
informací. Oddělení IT musí spolu s právními odděleními
koordinovat firemní potřeby v oblasti šifrovacích služeb
a rozhodnout, zda je stávající systém dostatečně ochrání
v případě napadení hackery, krádeže nebo soudního
sporu.
CAL. CIV. CODE §1798.29 (část zákona známá take pod názvem SB 1386).
National Institute of Standards and Technology (NIST), Data Encryption Standard Fact Sheet, na adrese http://csrc.nist.gov/cryptval/des/
des.txt.
56
57
39
Mezinárodní otázky: střety předpisů
pronakládání s daty
Pravidla pro shromažďování, zpracovávání, uchovávání,
užívání, monitorování a likvidaci dat a pro přístup k nim
se nejen významně liší v různých jurisdikcích mimo
USA, ale v některých případech jsou dokonce se zákony
platnými v USA v přímém rozporu. Pro společnosti,
které provozují svou činnost v mezinárodním měřítku, je
nezbytně nutné, aby rozuměly jak místním předpisům,
tak i přeshraničním pravidlům, která se vztahují na
elektronická data.
Pro společnosti, které
provozují svou činnost
v mezinárodním
měřítku, je nezbytně
nutné, aby rozuměly
jak místním předpisům,
tak i přeshraničním
pravidlům, která se
vztahují na elektronická
data.
Kupříkladu v rámci EU zavedla každá země v souladu
se směrnicí EU o ochraně soukromí zákony, které
upravují shromažďování, zaznamenávání, třídění,
ukládání, úpravy, změny, vyhledávání, blokování,
monitorování, užívání, zveřejňování, přenosy, převody
a likvidaci „informací identifikujících osoby“ ” a
v některých případech ještě i další ochranná opatření pro
„citlivé osobní“ informace. Narozdíl od USA definuje
Evropská unie „informace identifikující osoby“ široce a
obvykle se neomezuje jen na určité odvětví nebo sektor,
ale chrání před neoprávněným zpracováním či přenosem
osobních informací, jakými jsou například jméno,
adresa, výše mzdy, odměny a finanční údaje, a také
„citlivějších“ údajů, například informací o zdravotním
stavu, rasovém či etnickém původu, politické
příslušnosti, členství v odborech nebo rodinném stavu.
Tyto zákony se vztahují nejen na zaměstnance, ale i na
spotřebitele. Itálie, Rakousko a několik dalších zemí
zachází ještě dále a rozšiřuje ochranu důvěrných údajů
kromě osob i na firmy.
41
Společnosti musí být
obeznámeny nejen
s tím, jaké údaje
smí shromažďovat,
zpracovávat a přenášet
mezi zeměmi, ale musí
také zápasit se zákony,
které si čas od času
konkurují a někdy si i
protiřečí.
Protože USA nejsou v EU obecně považovány za
„bezpečnou“ jurisdikci, nemohou být tyto informace
zákonným způsobem, ať už elektronicky či jinak,
převedeny do USA nebo jiných „nebezpečných
jurisdikcí“, aniž by byly použity určité záruky, jako
například účast v dohodě mezi USA a EU Safe Harbor
Agreement, přijetí modelových ustanovení EU nebo
přijetí schválených pravidel pro ochranu osobních
údajů. Dokonce ani při uplatnění takových záruk
nemusí převod informací identifikujících osoby do USA
garantovat možnost „dalších převodů“ takových dat na
procesory nespecifikovaných třetích stran či do dalších
zemí, například na služby pro záznamy dat v Indii. A
země EU nejsou samy: Kanada, Argentina, Japonsko,
Austrálie a mnohé další země rovněž uplatňují různý
stupeň ochrany osobních údajů.
Společnosti musí být obeznámeny nejen s tím, jaké
údaje smí shromažďovat, zpracovávat a přenášet
mezi zeměmi, ale musí také zápasit se zákony, které
si čas od času konkurují a někdy si i protiřečí. Zákon
SO X kupříkladu ukládá veřejně obchodovatelným
společnostem zřízení anonymní telefonní linky pro
hlášení podezření z nezákonného chování, na kterých lze
ohlásit podezření z porušení finančních a bezpečnostních
předpisů. V pozadí zákona SOX stojí myšlenka, že
anonymní telefonní linky poskytnou zaměstnancům
jistotu, že jejich identita nebude prozrazena, a zbaví je
strachu z odvety. EU se obvykle na anonymní telefonní
linky netváří příliš přívětivě, považuje je za zásah do
práv na ochranu soukromí a anonymní hlášení potírá.
Protichůdné priority transparentnosti v zákoně SOX
a obav EU o ochranu soukromí očividně představují
pro veřejně obchodované mezinárodní společnosti
dilema a vyžadují sofistikovaný systém řízení dat, který
42
mimo jiné zajistí správné omezené uchovávání, přístup
a vyhledávání dat, ale zároveň i splnění požadavků
amerického zákona SOX.58
Další v USA „doporučované postupy“ se zkrátka
v mezinárodním měřítku neuplatňují. Francouzský
nejvyšší soud například v roce 2001 rozhodl, že
v případě francouzské společnosti, která propustila
francouzského zaměstnance poté, co díky sledování
jeho firemního počítače odhalila, že odesílal důvěrné
informace potenciálnímu konkurentovi, se jednalo
nejen o neoprávněné ukončení pracovního poměru,
ale dokonce o protiústavní a trestný čin. Francouzský
soud shledal, že zaměstnanec měl v pracovní době
a na pracovišti ústavou zaručené právo na soukromí
i v případě, že zaměstnavatel zakázal využívání
firemního počítače k jiným než pracovním účelům.
Německo zaujalo poněkud mírnější postoj, ale i tam je
monitorování počítačů zaměstnanců omezeno, jestliže
zaměstnavatel zaměstnanci dovolí užívat firemní
systém pro soukromé účely. Některé jurisdikce v EU
požadují, aby jakékoli monitorování zaměstnanců bylo
přinejmenším registrováno a schváleno místním úřadem
pro ochranu osobních údajů.
Podrobnější pojednání o pozastavení firemních pravidel a nadměrném užívání anonymního ohlašovacích linek v mezinárodním měřítku
najdete v publikaci „Overreaching Global Codes of Conduct Can Violate the Law“, jejíž autorkou je Cynthia L. Jacksonová, v LA and SF
Daily Journal ze 7. června 2006.
58
43
Při výběru systému pro správu elektronických dat je
proto pro společnost nezbytné, aby rozuměla zákonným
požadavkům v místě, kde ke shromažďování a užívání
dat a přístupu k nim dochází. Pokud, jako je tomu
u mezinárodních společností, data pochází z několika
jurisdikcí nebo jsou do nich přenášena, je naprosto nutné,
aby byly dodržovány zákony o ochraně osobních
údajů a aby v jakýchkoli datových systémech byly
přítomny příslušné brány firewall a omezení přístupu,
která zamezí zpracovávání a monitorování dat či jejich
přenosu bez náležitých opatření v souladu se zákony.
Tipy pro nejlepší praxi
1. Myslete dopředu. Nečekejte se správou svých dat
na žalobu, stížnost na nepřátelské pracovní prostředí,
vyzrazení obchodního tajemství nebo únik důvěrných
informací.
2. Mějte přehled o tom, co požaduje zákon.
Rozumějte zákonným požadavkům ve svém
oboru a v jurisdikci, kde vaše společnost působí.
Jaké jsou například povinnosti týkající se
uchovávání konkrétních informací v dané zemi či
státu? Jaké záruky existují pro omezení přístupu
nebo archivace? Víte, co je třeba šifrovat a jaké
oznamovací povinnosti platí, dojde-li k porušení
zabezpečení? Jsou filtry uvážlivě vybrány
s ohledem na jurisdikci tak, aby nebylo vytvořeno
nepřátelské pracovní prostředí, nebo jsou
považovány za narušení soukromí?
3. Ne vše se hodí pro každého. Pokud působíte na
národní či mezinárodní úrovni, pochopte někdy i
protikladné povinnosti, kterým bude váš systém pro
správu dat muset vyhovět. Zvažte brány firewall,
omezení přístupu, deaktivaci určitých funkcí v
některých jurisdikcích, které například nedovolují
monitorování či filtrování.
4. Přidělte odpovědnost za správu systému. Určete
pracovníky, kteří budou odpovídat za údržbu a
správu elektronických dat. Může jít o skupinu
lidí z právního oddělení a oddělení IT s podporou
personálního či jiných oddělení. Včas zapojte
osoby, které budou muset systém provozovat
v případě, že to bude zákon vyžadovat.
45
5. Určete umístění různých podob dat a osoby,
které je uchovávají. Pamatujte, že data mohou
být uložena v psacím stole, v PDA, domácích
počítačích, v notebooku i jinde. Než budete moci
spravovat data, za která je společnost ze zákona
odpovědná, musíte nejprve identifikovat, co a kde
budete spravovat. Jen tak zajistíte, aby systém,
který zavedete, opravdu zachytil relevantní data.
Mějte povědomí o tom, jaká metadata máte.
6. Vyberte si flexibilní systém pro správu
elektronických dat. Zvolte systém, který bude
dostatečně flexibilní a bude vyhovovat potřebám
vaší společnosti v oblasti ukládání, archivace,
monitorování, filtrování a šifrování v jurisdikcích,
kde vaše společnost působí. Vyberte systém se
snadnou obsluhou, aby se zaměstnanci jeho užívání
nevyhýbali. Rozhodněte se pro systém, který
lze přizpůsobit vyvíjejícím se právním normám.
Počítejte s nárůstem a šířením dat, včetně metadat.
7. Nekřečkujte. To, že vám technologie umožňuje
ukládat obrovské objemy elektronických dat,
ještě neznamená, že byste to měli dělat. Ukládání
nepotřebných dat nejen komplikuje vyhledávání
v nich, ale zvyšuje také riziko útoku hackerů.
Neukládejte kupříkladu citlivé finanční údaje
zákazníků, pokud je nepotřebujete. Pokud je
potřebujete, zašifrujte je.
46
8. Zaveďte pravidla. Stanovte jasná a jednoduchá
pravidla vyhovující požadavkům platných zákonů,
která ošetří takové věci jako například uchovávání
dokumentů, včetně „podržení pro případ soudního
sporu“ v dostatečném předstihu, než ke sporu
dojde. V USA zaveďte pravidla pro elektronické
monitorování e-mailů zaměstnanců a postarejte
se o to, aby je všichni znali. Zaveďte pravidla pro
šifrování důvěrných informací, abyste se vyhnuli
jejich neúmyslnému vyzrazení. Pokud můžete,
zaveďte disciplinární postupy, které dají vašim
zaměstnancům najevo, že to co říkáte, myslíte
vážně.
9. Buďte připraveni. Nečekejte se zavedením
podržení pro případ soudního sporu na „situaci
soudního sporu“ (a tím méně na žalobu). Již nyní
vytvořte proces, kterým pozastavíte likvidaci
dokumentů, tak, aby „podržení pro případ soudního
sporu“ mohlo být uplatněno v případě potřeby
rychle. Udělejte si domácí úkoly dřív, než vám
v rámci soudního řízení bude uloženo „setkávání
a konání porad“ ohledně archivace elektronických
dat. Ve výhodě bude při vyjednávání o
nejpříznivějším plánu archivace elektronických dat
ten účastník sporu, který bude vědět, co má a proč
to má. Se zavedením postupů rychlého ohlašování a
přehledů nečekejte na porušení zabezpečení.
47
10. Udělejte školení a audit a pak si to ještě
zopakujte. Pravidla a systém pro správu dat fungují
pouze tehdy, pokud zaměstnanci vědí, jak je mají
používat. Vyžaduje to svědomitost a důsledné
uplatňování a údržbu. Nákup systému pro správu
dat je pouze prvním krokem k dodržování předpisů.
Nová data, nové technologie, nové zákony, nové
hrozby, noví zaměstnanci, to vše bude vyžadovat
pečlivou údržbu a průběžná školení a audity.
© Baker & McKenzie 2007
Převzato se svolením společnosti Postini, Inc.
WP33-0705