Zejména v případech, kdy data nepodléhají zákonné ochraně, vám za účelem jejich ochrany nezbývá nic jiného, než upravit nakládání s daty smluvně. Smluvní režim ochrany, přestože může mít podobné důsledky jako zákonná ochrana, je ale v jednom ohledu zásadně odlišný. Smluvně totiž můžete zavázat pouze ty osoby, se kterými smlouvu uzavřete. A i pokud se dohodnete na řetězení smluvní ochrany (například na podmínkách, za kterých může příjemce dat předat data dalším osobám) budete je moci efektivně vymáhat pouze vůči vašemu smluvnímu partnerovi.

Na co tedy ve smlouvě o předání dat nezapomenout? Na to se zaměříme v tomto článku ze série právní ochrany databází a dat.

Na co nezapomenout při předávání dat

Základním způsobem smluvní ochrany předávaných dat je dohoda o mlčenlivosti, které dnes už nikdo neřekne jinak než NDA (non-disclosure agreement). Byť je NDA považováno za jednu z jednodušších smluv uzavíraných v IT, jedná se o tzv. nepojmenovanou smlouvu. To znamená, že tuto smlouvu zákon neupravuje. Pokud tedy v NDA zapomenete na některou podstatnou náležitost, neexistuje žádný paragraf, který by vás zachránil. Místo toho si musíte veškerá práva a povinnosti výslovně sjednat. Proto se na některá z nejdůležitějších částí NDA zaměříme níže.

Definujte důvěrná data

Dejte si pozor na to, abyste jako důvěrná data nedefinovali úplně všechno. Taková dohoda by byla příliš široká, nešlo by z ní poznat, co vlastně chrání, a v konečném důsledku by mohla vést k úplnému opaku, než co zamýšlíte. Pro svou širokost by totiž místo všeho nemusela pojmout nic a být právně nevymahatelná. Namísto toho doporučujeme definovat důvěrná data konkrétním pravidlem (například jako veškeré neveřejné údaje obchodní nebo technické povahy vztahující se k jedné smluvní straně) a k tomu demonstrativním výčtem. Prakticky vždy jsou důvěrné obchodní tajemství a know-how, u dalších dat záleží na vašich poměrech. Může jít o údaje o zaměstnancích, smluvních partnerech, hospodářské pozici, podrobnostech smlouvy nebo o data, která předáváte druhé straně za účelem plnění smlouvy.

Pouze ty informace, které v NDA označíte, budou podléhat jejímu režimu. Proto je vhodné v NDA uvést i určité záchranné ustanovení, dle kterého se za důvěrné mohou považovat i další informace, které označíte jako důvěrné, a údaje výslovně zde neuvedené, pokud druhá strana rozeznala nebo by při obvyklé pozornosti a péči rozeznat měla, že jde o důvěrné údaje. Byť se jedná o neurčitý pojem, který bude každá strana vykládat různě, i takovéto ustanovení vás může zachránit, pokud na některou informaci ve výčtu zapomenete.

Ujednejte si, jak se s daty bude nakládat

Stejně jako není zákonem definována důvěrná informace, není definována ani povinnost mlčenlivosti. Proto je vhodné dohodnout se i na tom, co přesně dodržování mlčenlivosti znamená. Může jít jak o nesdělení a nezpřístupnění důvěrných informací třetím osobám, tak i o jejich nepoužití k jiným účelům než účelům nezbytným pro plnění smluvních povinností.

Právě vymezení povolených způsobů nakládání s daty může být zásadní. Z tohoto důvodu doporučujeme ve smlouvě uvádět účel a cíl, pro který jste se rozhodli data druhé straně zpřístupnit. Účel totiž může sloužit nejen jako vodítko při nejasnostech v interpretaci smlouvy, ale pokud je dobře zakotven, může i limitovat způsoby nakládání s daty.

Dále se můžete dohodnout na povinnosti komunikovat data prostředky, které využívají end-to-end encryption, šifrovat data před tím, než je nahrajete na úložiště, nebo požadovat dvoufázové ověření osob, které s údaji budou nakládat. Můžete příjemce zavázat i k tomu, aby data po určité době smazal nebo aby vedl záznamy o každé manipulaci.

Práva k modifikacím

Pokud pro vás příjemce data určitým způsobem zpracovává (například na základě smlouvy o dílo), může dojít k situaci, kdy vytvoří nové autorské dílo nebo vklad do databáze ve smyslu práv jejího pořizovatele. Pro tyto případy se budete chtít ujistit, že práva k vzniklým předmětům ochrany vykonáváte vy jako autor nebo pořizovatel databáze. A pokud by tomu tak v konkrétním případě nebylo, budete si chtít k nově vzniklým předmětům ochrany postoupit vzniklá práva nebo alespoň udělit licenci. Za tímto účelem byste neměli ve smlouvě o dílo (nebo jiné smlouvě, na základě které jsou data zpracována) zapomenout na licenční ujednání. Ta by měla pamatovat zejména na rozsah poskytovaných užívacích práv a možnost dalších úprav.

Nakonec pokud jsou vaše práva k užívání dat určitým způsobem omezena (například máte k jejich užití pouze omezenou licenci), budete se chtít vyhnout odpovědnosti pro případ, že příjemce dat sjednaná omezení poruší. Za tímto účelem si budete chtít sjednat tzv. indemnifikační doložku.

Indemnifikace je koncept původem z angloamerického práva, který čím dál tím častěji proniká do českých smluv. Jedná se o závazek jedné smluvní strany (typicky poskytující data nebo software k užívání druhé straně, může být ale sjednán i opačně) nahradit druhé straně újmu způsobenou nároky uplatněnými třetími osobami. Konkrétně při předání dat chráněných licenčními ujednáními třetí strany budete chtít, aby vás příjemce dat odškodnil za škodu, kterou vám nebo třetí straně způsobí porušením těchto ujednání. Pokud se na závazku odškodnění dohodnete, nezapomeňte si správně stanovit okruh odškodněných nároků, proplacených nákladů a chráněných osob.

Rozšiřte odpovědnost příjemce za subdodavatele

Může se stát, že příjemce dat bude pro jejich zpracování potřebovat zapojit subdodavatele. Pokud to příjemci dat povolíte, je na místě jej zavázat k tomu, aby počet takových subdodavatelů co nejvíce omezil, případně aby si od vás zapojení každého subdodavatele nechal písemně schválit. V každém případě, pokud dojde k předání důvěrných dat dalším osobám, měl by být příjemce povinen zavázat je k dodržování povinnosti mlčenlivosti alespoň ve stejném rozsahu, jako k tomu zavazuje uzavřená dohoda samotného příjemce. A pro případ, že dojde k porušení mlčenlivosti ze strany těchto třetích osob, by měl být příjemce odpovědný za porušení z jejich strany, tak jako by mlčenlivost porušil sám.

Nezapomeňte na sankce

Aby NDA nebyla bezzubým nástrojem, ale opravdu efektivně chránila vaše zájmy, můžete její dodržování zajistit smluvní pokutou. V takovém případě si ale dejte pozor nejen na nesmyslně vysoké smluvní pokuty (protože ty může soud snížit), ale i na pokuty nízké. Zákonný režim totiž stanovuje, že smluvní pokuta konzumuje právo na náhradu škody. To znamená, že pokud si sjednáte smluvní pokutu, nemůžete za porušení stejné povinnosti požadovat zároveň náhradu škody. Toto pravidlo je však dispozitivní, tedy je možné jej smluvně vyloučit. Toho dosáhnete jednoduchým ujednáním, dle kterého smluvní pokutou není dotčeno právo na náhradu škody v plném rozsahu.

Exit a ukončení spolupráce

Velmi důležité je uvést, co se s daty stane po ukončení spolupráce. Málokdy budete chtít, aby si váš smluvní partner data ponechal. Nejjednodušším řešením situace je povinnost příjemce data na žádost protokolárně vymazat. Mnohem důležitější ale mnohdy může být vydání dat, zejména pokud byla určitým způsobem zhodnocena a vy k nim nemáte přístup.

To se týká typicky cloudových služeb, které k datum často umožňují snadný užívací přístup, ale ne již tak snadný export na jiné úložiště. Pro případ exitu byste tak měli pamatovat nejen na práva k modifikovaným datům (viz výše), ale i na způsob a formát jejich předání.

Na co nezapomenout při přijímání dat

Jestliže na základě smlouvy data přijímáte, budou vaše zájmy zpravidla diametrálně odlišné od zájmů poskytovatele dat. Pravděpodobně si budete chtít ujednat co nejširší okruh povolených způsobů a účelů jejich užívání, stejně jako budete chtít co nejširší možnosti data předávat dál. To bude platit zejména, pokud data přijímáte pro svou vlastní potřebu (nebo pokud data pro svou potřebu nepotřebujete nyní, ale může se vám to hodit někdy v budoucnu).

V souvislosti s tím doporučujeme, abyste si povolené způsoby nakládání s daty sjednali výslovně, tak aby nemohlo být do budoucna sporné, zda je konkrétní způsob užívání dat oprávněný či nikoliv. V tomto ohledu je vhodné pamatovat na to, že data mohou být chráněna autorským právem, databázovými a jinými právy. Proto pokud budete data nějak zpracovávat či šířit, měla by smlouva obsahovat také licenční ujednání a zvláštní pravidla odpovědnosti za porušení práv třetích stran.

Limitujte svou odpovědnost

V případě, že porušíte smlouvu, odpovídáte za vzniklou škodu bez ohledu na své zavinění. Proto je vhodné svou odpovědnost za škodu předem limitovat, či zcela vyloučit. Omezení odpovědnosti může spočívat jednak ve věcném vymezení okruhu škod, za jejichž vznik neodpovídáte, ale i v maximální částce, kterou budete v případě porušení smlouvy povinni uhradit.

Kromě toho je opět vhodné pamatovat na to, že předaná data mohou být chráněna nejen právy poskytovatele, ale i právy třetích stran. Nikdy totiž nevíte, jaký je přesný původ dat a zda byla poskytovatelem získána legálně. Proto i pokud pracujete s daty pouze podle pokynů poskytovatele, budete se chtít vyhnout odpovědnosti za porušení práv třetích stran a sjednat si indemnifikační doložku (viz výše).

Vyřešte otázku své odpovědnost za subdodavatele

Ze zákona odpovídáte za své zaměstnance a v některých případech i za své subdodavatele. Proto pokud s poskytovatelem dat uzavíráte NDA, je vhodné podobné NDA uzavřít i se svými zaměstnanci a subdodavateli. Takové NDA by mělo chránit stejný okruh dat a v případě subdodavatelů i obsahovat smluvní pokuty ve stejné výši, jako jsou sjednány ve vaší NDA s poskytovatelem dat. Pokud po vás bude druhá strana požadovat smluvní pokutu kvůli tomu, že svou povinnost porušil subdodavatel, můžete se následně hojit na subdodavateli.

Se zaměstnanci sice nelze sjednat smluvní pokutu, ale díky NDA si budou vědomi toho, že předané údaje jsou citlivé. Pokud zaměstnanec NDA poruší, půjde pak o porušení pracovněprávních povinností. V takovém případě je náhrada škody u nedbalostního porušení omezena výší 4,5násobku průměrného měsíčního výdělku. U úmyslného porušení je náhrada újmy dokonce neomezena.

Pozor na výjimky z mlčenlivosti

Pokud v souvislosti s užíváním dat uzavíráte NDA a máte v plánu s daty nakládat dle vlastního uvážení, je více než kdy jindy vhodné trvat na adekvátní výjimce z povinnosti mlčenlivosti. Kromě konkrétních účelů, za kterými máte v plánu data užívat, se mezi situace zasluhující výjimku z mlčenlivosti řadí plnění zákonných povinností (archivační povinnosti, pro účely zveřejňování v registru smluv apod.) nebo plnění povinností stanovených orgánem veřejné moci (například předání údajů na vyžádání policie nebo finančního úřadu).

Nezapomeňte také na to, že na rozdíl od zaměstnanců společnosti lze kontraktory (podnikající fyzické osoby) považovat za třetí stranu, které může být předání důvěrných zakázáno. Proto je vhodné dohodnout se na výjimce z mlčenlivosti i pro předání dat subdodavatelům.

Závěrem

Ne nadarmo se říká, že data jsou nové zlato. Navzdory jejich hodnotě ale bývá právní ochrana dat podceňována. Proto se tento článek zaměřil na základní ujednání, která by neměla chybět ve smlouvách o předávání dat. V příštím díle této série článků o právních aspektech databází a dat se zaměříme na specifika zpracování dat systémy umělé inteligence. Pokud vás tato problematika zajímá, přečtěte si také minulý díl série, ve kterém jsme se zabývali autorskými právy a zvláštními právy pořizovatele databáze.

Mgr. Pavel Čech Autor působí jako právník v advokátní kanceláři SEDLAKOVA LEGAL, kde se zabývá zejména softwarovým a IT právem.