Soudní procesy s IT tematikou bývají docela oříšek, protože jde pro advokáty, soudce i informatiky o pole neorané. Proto jsou spory tak často shazované ze stolu pro formální chyby.
Pojďme se proto seznámit s několika obecnými doporučeními, která výrazně zvýší šance organizace při soudním sporu. Záměrně se zaměříme na spor s (bývalým) zaměstnancem, protože právě člověk „zevnitř“ typicky představuje největší nebezpečí z hlediska ohrožení bezpečnosti. Má přístup k informacím, zná procesy, ví, co má cenu, apod.
Následující praktické tipy mohou v budoucnu ušetřit mnohé potíže: připravujeme se totiž na něco, co asi nikdo nechce, aby nastalo – ale když už to nastane, měli bychom celou věc zvládnout se ctí.
Některé zádrhele
Prvním a zásadním problémem v podkladech pro soudní řízení bývá absence písemného závazku. Podle českého práva je samozřejmě i ústní smlouva/dohoda platná, ale to s sebou přináší zásadní háček: špatně se prokazuje.
Když stojí tvrzení proti tvrzení, soudy často vycházejí z předpokladu, že „pokud to není zapsáno, tak se to nestalo“.
Takže jestliže někdo udělá v oblasti informačních technologií nějakou vysoce nestandardní věc, a to takového kalibru, že končí u soudu, obvykle se brání „neudělal jsem to záměrně“ nebo „nebyl jsem poučený“. Pohříchu úspěšně.
Pokud k tomu navíc ještě přidá dobrý úmysl (práce z domova nad rámec běžných povinností, zvýšení efektivity apod.) a zahraje na notu „nerozuměl jsem všem tajuplným zákoutím ICT“ (kde mu většina soudců jen přitaká), může se spravedlnost ukázat jako opravdu slepá.
Proto není dobré podceňovat podpis závazku nebo zodpovědnosti. A to v co nejsrozumitelnější podobě: osmdesátistránkový elaborát písmem velikosti osm a psaný běžnému smrtelníkovi nesrozumitelným technicko-právnickým žargonem asi není to pravé ořechové.
Pravidla by měla být jasná a srozumitelná: ostatně tím docílíte i jejich dodržování. Neodnášet data, neinstalovat jakékoliv programy, nevyzrazovat hesla, hlásit bezpečnostní incidenty apod.
Pozor! Tady ale nestačí pouze nechat nějaký dokument podepsat a pak ho po několika letech vytáhnout! Je třeba důsledně trvat na jeho dodržování. Soud jinak vychází z toho, že dokument byl jen formalitou a že nedodržování bylo součástí obecně tolerované firemní kultury.
Za něco, co bylo normou, pak není možné stíhat jen někoho. Typickým příkladem jsou závazné postupy předcházení pracovním úrazům: něco je zakázáno, ale zaměstnavatel to nakonec tiše toleruje s tím, že když se něco stane, stejně mám v kapse podepsaný papír.
Jenže v takovém případě je nutné si uvědomit, že porušování předpisů se dělo se souhlasem zaměstnavatele. A ve světě informačních technologií platí o to více, že špatné příklady táhnou.
Pokud ostatní nosí dokumenty domů, navzdory zákazu si přinášejí vlastní hardware, nedodržují pravidla nakládání s hesly, pokud (doplňte podle svého uvážení]) – tak já mohu taky.
Dalším důležitým pravidlem je nutnost ochrany dat. Logika je tady poměrně jednoduchá: jestliže citlivá data unikají z firmy nebo se dají dohledat z veřejných zdrojů, těžko budete obviňovat jednoho konkrétního člověka z porušení bezpečnostních předpisů.
Přípravou na možné budoucí soudní rozepře je tak i kvalitní zabezpečení ochrany dat: blokování přístupu, přidělování účtů a práv, kontrola odnášených/odesílaných souborů apod.
Sběr relevantních dat
Dále: sbírejte informace. Dnes se sice do logů ukládá kdeco, ale když přijde na lámání chleba, máme problém. Jsou získané informace opravdu průkazné a nezpochybnitelně dokládají naše tvrzení? Mají vypovídací hodnotu? A často také: jsou k dispozici?
Logujeme hodně, logujeme správná data a správným způsobem – ale často máme nastaveno „smazat po třiceti dnech“. Navíc mnohokrát nestačí mít informace pouze o jednotlivci, protože nejednou je třeba prokázat širší kontext.
A opět pozor: sbírejte informace legálně! Pamatujte, že právo jde často proti „selskému rozumu“.
Názorným příkladem budiž e-mailová komunikace: Pokud odesílatel jasně určí adresáta, na kontrolu obsahu (není-li dělaná automaticky, jako je například kontrola antivirová – a i s ní by měl být adresát seznámený předem) se pohlíží jako na porušení listovního tajemství. Lhostejno, že jde o adresu v rámci firemní domény, využití firemních zdrojů apod.
Přestože má zaměstnavatel dokonce povinnost kontrolovat zaměstnance, zda si plní své povinnosti, ochrana soukromí je zde ve vyšším zájmu. Proto v případě sběru informací mějte legálnost svého počínání na paměti!
Při zpracování informací se pak snažte pracovat s kopiemi. Aneb původní zdroj prokazatelně a bezpečně odložte a pro další účely si vytvořte kopii.
Pokud bude mít k datům přístup kdekdo a bude s nimi i pracovat, je to pro žalovanou stranu stejné požehnání, jako když někdo místo činu „ozdobí“ stovkami následných otisků prstů. Není pak problém důkaz zpochybnit.
A nakonec: reagujte rychle. Význam informací v čase klesá. Pro obhajobu tak není problém uhrát vše na to, že vlastně o nic nejde a že jde o žalobu účelovou.
Tento příspěvek vyšel v Security Worldu 3/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU