Forma a obsah dokumentů

Při vytváření dokumentů ve společnosti platí za základní pravidla dodržení jejich důvěryhodnosti, integrity a dostupnosti. V každé společnosti by tyto zmiňované pojmy měly být jasně definovány. Jedná se o vnitřní předpisy společnosti a vhodné definování těchto pojmů ve smlouvách, které společnost uzavírá ve vztahu ke třetím osobám.

Na tomto místě je vhodné zmínit například smlouvu o mlčenlivosti (tzv. „NDA – Non Disclosure Agreement“), která je v dnešní době běžně využívána nejen v nadnárodních společnostech k ochraně citlivých dat. Její vyhotovení přitom není nijak složité a poradit by si s ní měl každý právník.

Bezpečnost a spolehlivost jsou tedy pojmy, které je potřeba rozlišit a definovat ve smluvní dokumentaci, například i výše uvedenou formou doložky smluvní dokumentace, anebo samostatné smlouvy o mlčenlivosti.

Cílem společností v této oblasti by mělo být zejména zabezpečení důvěrnosti dat a zajištění jejich integrity a dostupnosti. Často je ve smluvní dokumentaci nebo i jiných firemních dokumentech definována správně otázka pravidel, nicméně chybí jasná představa o adresnosti, případně odpovědnosti dotčených osob a souvisejícího právního jednání. V této souvislosti je opět vhodné připomenout vnitřní směrnice společnosti. Tyto zásadní dokumenty by měly výše zmiňované otázky řešit. Řada společností k tomuto účelu využívá kromě standardních interních předpisů (organizační, případně pracovní řád), též například etický kodex (tzv. „Code of Conduct“).

V souvislosti s právní úpravou občanského zákoníku (zákon č. 89/2012 Sb., dále také jako OZ) došlo rovněž k úpravě předsmluvní odpovědnosti. Proti původní právní úpravě přinesl OZ v rámci ustanovení § 1728–1730 OZ do právního řádu České republiky poměrně podrobnou úpravu zakotvení tohoto institutu. Podle předchozí úpravy byla předsmluvní odpovědnost částečně dovozována pouze v judikatuře Nejvyššího soudu České republiky. Nyní jsou v účinnosti zákonodárci stanovená jasná pravidla, jimiž byla pokryta základní oblast, stejně tak jako vymezeny zřetelné hranice z hlediska náhrady škody.

Institut předsmluvní odpovědnosti při respektu k zásadě autonomie vůle a kontraktační svobody navazuje na princip poctivosti požadavek, aby k sobě strany v rámci předsmluvního vyjednávání přistupovaly poctivě v souladu se základními zásadami občanského práva, jak určuje i citované ustanovení § 6 OZ, a vzájemně se v maximální míře informovaly o relevantních právních a skutkových okolnostech, které jsou potřebné k uzavření platné smlouvy.

OZ tak pamatuje například na situace, kdy jedna strana vede předsmluvní vyjednávání, ačkoliv nemá skutečný záměr smlouvu uzavřít, popř. kdy strana odmítne bez spravedlivého důvodu uzavřít smlouvu v okamžiku, kdy se její uzavření jevilo jako vysoce pravděpodobné a druhá strana uzavření smlouvy důvodně očekávala (například těsně před podpisem). Podle OZ se tato strana dopustila nepoctivého jednání.

Z uvedeného je patrné, že představa, dle které vůči druhé smluvní straně nemám žádnou povinnost do okamžiku, než s ní skutečně konkrétní smlouvu uzavřu, není přesná a postup v jejím duchu by se nemusel vyplatit. Jak již bylo naznačeno, úprava předsmluvní odpovědnosti má svoje racionální opodstatnění a je v souladu s obecnou koncepcí občanského zákoníku, který klade větší důraz na to, aby každý jednal v právním styku poctivě (§ 6 OZ). V praxi to však může znamenat riziko pro smluvní stranu, která v průběhu vyjednávání z jakéhokoliv důvodu změní svůj názor a odmítne smlouvu uzavřít.

Výše uvedená odbočka do právní teorie má svoje opodstatnění i v elektronické komunikaci. Lze pouze doporučit, aby v rámci jakékoliv komunikace s obchodními partnery, případně klienty bylo počínáno obezřetně a v tomto směru byli zaměstnanci řádně poučeni. Vzhledem k tomu, že elektronická komunikace, která je dnes mezi podnikateli naprostou samozřejmostí, může splňovat parametry předsmluvního vyjednávání, je vhodné například doporučit, aby k obchodní elektronické korespondenci byly připojovány tzv. „disclaimery“, tedy krátká informace na závěr každého e-mailu, která vhodným způsobem upozorní protistranu na míru závaznosti určité komunikace, případně oprávnění daného pracovníka k zamýšlenému právnímu jednání.

Hlavní cíle při řízení firemní dokumentace

Zatímco v dobách minulých se hlavní činnost IT věnovala hlavně servisu technických požadavků, v dnešní době vysoké míry elektronizace se začíná orientovat i na služby s tím spojené, nezřídka vysoce odborného charakteru, který není snadno pochopitelný ani pro laiky nebo odborníky ve vedení společnosti. Toho se dotýkají již zmíněné hlavní cíle, které by měly najít svoji reflexi ve vnitřních předpisech společností, jako je pracovní řád, podpisový řád a podobně. Pro správné fungování bezpečnostní politiky společnosti je vhodné zamyslet se nad níže uvedenými oblastmi.

Předjímání situace

V souvislosti s podepisováním dokumentů je velmi vhodné upravit vnitřní předpisy tak, aby nemohlo dojít k jejich zneužití. Například elektronický podpis má v souladu s platnou úpravou občanského práva před soudem stejnou hodnotu, jako podpis na papírové listině. Nastavení procesů ve společnosti tak musí odpovídat základní zásadě prevence, zejména v oblasti pravomocí zaměstnanců a jejich dispozice s důvěrnými daty.

Vnitřní předpisy

Při definování vnitřních předpisů jsou důležitými faktory adresnost a odpovědnost. Definice důvěrných informací však nemusí spadat pod definici obchodního tajemství.

Zákoník práce

Z obchodního pohledu je tedy důležité dbát na jasné definování takových pojmů, jakými jsou utajení, diskrétnost a mlčenlivost. OZ pamatuje na tyto pojmy hned v několika ustanoveních. Ta se týkají zejména takových pojmů, jako je „obchodní tajemství“ (obsaženo přímo v zákoně), „důvěrné informace“ (které je vhodné určit interním předpisem), případně autorská práva a v neposlední řadě i ochrana osobních údajů.

IT bezpečnost

Zásadní důležitost datové a informační bezpečnosti organizace vyplývá z dnes již běžně užívaných definic systémů ISO 9000 (systém managementu kvality) a ISO 27000 (systém řízení bezpečnosti informací), přičemž nesmíme zapomenout na to, že v těchto systémech dochází ke vzájemnému doplňování se. Praktické uplatnění uvedených definic je v každé organizaci nezbytnou záležitostí.

Výše uvedené plyne ze snahy výrobce dosáhnout co nejvyšší jakosti daného výrobku, čímž očekává splnění všech představ a požadavků zákazníka. Dosažení splnění těchto očekávání je pro každého výrobce samozřejmostí z důvodu základního předpokladu zákazníka, který přirozeně očekává, že výrobnímu procesu ve všech jeho fázích bude věnována přiměřená pozornost.

Informační systém již v dnešní době představuje nezbytnou součást každého výrobního procesu. Informační systém neustále a nevyhnutelně naráží na různé negativní vlivy. Existence norem ISO 9000 a ISO 27000 je kupříkladu zaměřená na co největší minimalizaci těchto negativních vlivů.

Pod informační a datovou bezpečností rozumíme stav, který nastane při stanovené úrovni dosažitelnosti, spolehlivosti a integrity všech informací. Nesmíme přitom zapomenout na to, že pod výrazem systém nemyslíme jenom nějakou všeobecnou soustavu hardwarového a softwarového zázemí. Takovým systémem je možné nazvat pouze komplexní systém, který podporuje mnoho faktorů, jako je vývoj všech výrobků, tržní vztahy, vazby na zákazníka a dodavatele.

V případě, že společnost vlastní jakýkoli certifikát jakosti, pak v souvislosti s navázáním na tyto systémy kvality dochází k rozšíření jistých standardních postupů. Konkrétně se jedná o ty standardní postupy, které jsou nezbytnou podmínkou při certifikaci jakosti pro certifikát týkající se bezpečnosti. Propojenost těchto certifikací plyne z použití podobných pravidel.

Jak již bylo stručně zmiňováno výše, v původních konceptech představovaly informační bezpečnost především informační technologie. Velkou důležitost mělo všemožné zabezpečení informačních technologií před různými negativními vlivy, které na ně mohly působit z vnějšího, ale i vnitřního prostředí společnosti.

V současné době je tento původní koncept doplněn spíše o komplexní pohled, ve kterém je nevyhnutelným prvkem role uživatelů a jednotlivých procesů. Jak je patrné z výše uvedeného, pro funkčnost celého systému je nezbytné dosažení jakosti a zároveň robustnosti jednotlivých systémových procesů. Kvalitativně se celý proces posouvá od konceptu ochrany samotných technologií k původcům narušení bezpečnosti, tedy jejich jednotlivým uživatelům.

Při aktivitách spojených především s budováním a údržbou interních informačních nebo bezpečnostních systémů dochází v mnoha případech k problémům souvisejícím s odmítáním podřídit se byrokratickým metodám a postupům. Jde zejména o metody a postupy, jejichž existence přirozeně plyne z certifikačních procesů. Neochota postupovat v souladu s pokyny může mít za následek i snahu některých uživatelů zmiňovaných standardů hledat cesty, kterak se dodržování nastavených interních pravidel nějakým způsobem vyhnout.

Na tomto místě je proto vhodné zmínit nezbytnost určitých ustanovení pracovní smlouvy, kterým musí být podřízen každý zaměstnanec. Kvalitní pracovní smlouva má v sobě zakomponovaná všechna důležitá opatření, která souvisejí s budováním nejenom informační bezpečnosti společnosti. Na základě existence pracovní smlouvy potom dochází k jasně definované možnosti vymahatelnosti práva a ke stanovení odpovědnosti vzniklé při porušování dohodnutých a stanovených pravidel v případě, kdy dojde k protiprávnímu jednání (přičemž nelze vyloučit ani úmysl na straně zaměstnance).

Bezpečnostní politika společnosti

Každá struktura bezpečnostní politiky společnosti by měla naplnit určité optimální podmínky. Při vytváření takové optimální struktury používá společnost aktivní pomoc interních specialistů. Tito specialisté požadované struktury bezpečnostní politiky organizace nesou plnu odpovědnost za celou tuto oblast. Nezbytná je také účast vrcholového vedení firmy.

Aby došlo k maximálnímu možnému zvýšení všech účinků opatření, která se týkají bezpečnosti, je v některých případech nevyhnutelné zařídit i dohled nezávislých externích auditorů. Jejich klíčovou úlohou je neustále zjišťovat, zda jsou dodržována stanovená pravidla. Když společnost vytvoří optimálně fungující systém bezpečnosti, získá především uživatele, kteří se vyznačují kvalitní znalostí podmínek a prostředí. Tito uživatelé potom aktivně vytváří nová pravidla bezpečnostní politiky.

U mnoha společností v této souvislosti dochází k nevhodnému přístupu, který plyne z ne vždy vhodné (ve vztahu k významu zabezpečení) snahy přehnaně šetřit náklady spojené s provozem společnosti. Důsledkem špatného přístupu bývá nedostatečné využívání externích specialistů. Některé společnosti se mylně domnívají, že není nezbytné využívat služby nezávislých specialistů nebo poradců. Organizace získávají pocit plné spokojenosti s dosaženým stavem.

Pravdou však zůstává, že zpětná vazba pocházející z nezávislého pohledu, je často nenahraditelná. Důsledkem takového přístupu nakonec bývá nedostatečná účinnost bezpečnostních opatření. Z tohoto důvodu nedoporučujeme podceňovat důležitost nezávislých expertů.

Další častou chybou je, když se vrcholové vedení společností snaží přesunout zodpovědnost za informační bezpečnost na jiné místo, ve většině případů na IT oddělení. V mnoha případech tento chybný krok znovu vede k vzniku nefunkčního a neúčinného systému.

Vedení společnosti má za významný úkol zabezpečit pravidelně se opakující odborná školení, která jsou určená pro ty zaměstnance, kteří se zabývají provozem a rozvojem technologií, přičemž tato školení podléhají pravidlům bezpečnostního auditu. Výsledkem školení pak má být vznik obecného povědomí uživatelů, které souvisí se vznikem rizik a možných bezpečnostních incidentů.

Na základě zmiňovaného povědomí potom dochází k celkovému zlepšení procesu obecné bezpečnosti. U uživatele, který je jasně obeznámený s možnými nástrahami v různých oblastech, například v sociálním inženýrství, dochází k mnohem lepší orientaci a schopnosti řešit problém vzniklý konkrétním cíleným útokem spojeným se snahou překonat bezpečnostní systém.

Další velkou výhodou kvalitně proškoleného uživatele bývá jeho optimální chování v čase, kdy se nenachází přímo v organizaci. Je mnohem lépe schopen střežit si své soukromí a bývá patřičně opatrný při výkonu svých soukromých aktivit. Na základě výše uvedených skutečností je možné konstatovat, že organizace dbající na kvalitní budování a udržovaní bezpečnostního systému chrání nejen své záležitosti, ale také neméně důležité záležitosti svých pracovníků. Proto lze takové chování všeobecně považovat za žádoucí a přínosné chování firmy vůči svému zaměstnanci.

Nesmíme zapomenout na nezastupitelnost vysoce kvalifikovaných lidí, kteří by ve společnosti rovněž neměli chybět. Tito lidé představují nezpochybnitelnou konkurenční výhodu v oblasti správy informačních technologií. Společnost se může pochlubit vysoce zajištěnou bezpečností informačních technologií právě v tom případě, kdy v ní za žádných okolností nechybí vysoce školení odborníci v celé IT oblasti. Za další nesmírně důležitou vlastnost těchto odborníků lze považovat jejich loajalitu vůči zaměstnavateli, který musí pociťovat, že se na své zaměstnance může ve všem spolehnout. Udržování dobrých vztahů a odpovídající ohodnocení tomu mohou jen napomoci.

Pro portál BusinessInfo.cz zpracoval advokát Mgr. Marek Doleček, partner DKS LEGAL.