Nie bez przyczyny wskazuje się, że informacje, w tym osobowe, zaczynają stanowić największy kapitał w biznesie. Groźba ujawnienia poufnych danych dotyczących kontrahentów stanowi realną obawę dla reputacji marki, co uwidacznia się w ostatnich kryzysach wywołanych wyciekiem danych na temat wartości poszczególnych kontraktów. O tym, jakie rozwiązania warto uwzględniać w ramach zawieranych umów NDA (non disclosure agreements tj. umów o zachowaniu poufności), które mogą nas wesprzeć, gdy do wycieku danych dojdzie nie u nas, ale u naszego partnera biznesowego, piszą Mateusz Brodnicki i Anna Wilińska-Zelek z FILIPIAKBABICZ Kancelaria Prawna.
W momencie stwierdzenia wycieku danych, istnieje możliwość skorzystania z licznych instrumentów prawnych, które wymagają jednak żelaznych nerwów. Czas trwania postępowań przygotowawczych i sądowych, konieczność skupienia swojej uwagi na ratowaniu reputacji, liczne trudności organizacyjne (w tym związane m.in. z szacowaniem wysokości powstałej szkody czy ustaleniem kręgu podmiotowego, który może aktywnie włączyć się w zainicjowane postępowania) nierzadko rozczarowują przedsiębiorców.
Mając na uwadze istniejące tendencje rynkowe, zasadne jest rozważenie wprowadzenie rozwiązań prewencyjnych – po pierwsze mobilizujących kontrahenta do szczególnej dbałości o poziom zabezpieczenia danych, po drugie – umożliwiających podjęcie szybkich działań w razie potwierdzenia, że doszło do ich wycieku.
Podmiot przetwarzający dane powinien być zobowiązany przedsięwziąć takie środki bezpieczeństwa i sposoby postępowania, które będą odpowiednie
i wystarczające dla zapewnienia bezpiecznego (w tym zgodnego z umową i przepisami prawa) przetwarzania informacji posiadających znaczną wartość gospodarczą. Istotne pozostaje dookreślenie spektrum informacji objętych tajemnicą, które zazwyczaj ma miejsce poprzez wyłączenie pewnego katalogu spod regulacji. Nie można zapominać o zapewnieniu przez drugą stronę umowy wysokiego standardu przetwarzania danych przez podmioty współpracujące.
Niezwykle ważne pozostaje również sformułowanie obowiązku informowania o naruszeniach zasad ochrony informacji lub nieuprawnionym ich ujawnieniu i wykorzystaniu. Podobnie jak w pozostałych umowach gospodarczych, konieczna jest gwarancja pokrycia kosztów poniesionych w związku z obroną przed roszczeniami kontrahentów, przystąpienia do ewentualnego postępowania sądowego oraz zapewnienie niezbędnej pomocy pozwalającej na wybór optymalnej strategii postępowania.
Przydatne okazuje się również zobowiązanie kontrahenta do natychmiastowego udostępnienia listy osób i podmiotów, które mają dostęp do poszczególnych informacji.
Dyskusyjna pozostaje możliwość wypowiedzenia umowy o zachowanie poufności zawartej na czas określony. Przeciwnicy wskazują, że umowa tego rodzaju nie może zostać wypowiedziana z uwagi na naturę stosunku prawnego. Zachowawczo konstruowane kontrakty przewidują jednak określony czas trwania NDA z możliwością jego przedłużenia. Możliwe jest również wprowadzenie automatyzmu w zakresie odnawialności kontraktu. Postanowienia powinny również umożliwiać wypowiedzenie lub odstąpienie od umowy w razie zaistnienia wycieku czy konieczność zniszczenia lub zwrotu informacji (potwierdzonych protokołem).
W wypadku gdy zbiory danych są dla nas kluczowe, NDA często w sposób drobiazgowy reguluje kwestie związane z miejscem przechowywanych danych, używanym oprogramowaniem, dokumentowaniem sposobu przetwarzania danych, notyfikacją zaobserwowanych nieprawidłowości. Nierzadko udostępnienie tych informacji nie stanowi znacznego wyzwania organizacyjnego – dane te są zgromadzone w związku z realizacją obowiązków, które wynikają z RODO. Nie nakładają więc szczególnych zobowiązań, ale pozwalają uzyskać dostęp do ważnych dla nas informacji.
Coraz wyższe ryzyko związane z wyciekiem danych pozwala uznać, że częściej będzie dochodzić do formułowania kar umownych (w świetle art. 473 k.c. istnieje możliwość przyjęcia dodatkowej odpowiedzialności w oderwaniu od przyczyny niewykonania lub nienależytego wykonania zobowiązania). Wciąż można zaobserwować w umowach konstruowanych przez przedsiębiorców brak zastrzeżenia, że w przypadku gdy szkoda będzie przekraczać karę umowną – zyskamy uprawnienia do dochodzenia pełnej kwoty odszkodowania. Jest to istotne uchybienie, które znacznie ogranicza odpowiedzialność naszego kontrahenta.
Konstruując NDA miejmy na uwadze potencjalne ryzyko wycieku danych – nastawienie to pozwoli nam skonstruować umowę, która wesprze nas w chwilach głębokiego kryzysu.
Tekst ukazał się w Biuletynie Wielkopolskiego Klubu Kapitału.
