Co by měly firmy odhalit při výskytu úniku informací

Pokud dojde k úniku informací, v některých případech může být nutné provést administrativní opatření, jako je hlášení. Kromě reakce na správní orgány je také nutné provést správné zveřejnění informací o tom, jaké informace, kdy a jakým způsobem unikly.

V tomto článku vysvětlíme, co by měly firmy udělat v případě úniku informací, zaměřené na právní oddělení firem.

Rozdíl mezi administrativním řešením a zveřejněním informací

V případě úniku osobních údajů je nutné provést reakci na administrativní regulace, jako je Japonský zákon o ochraně osobních údajů. Nicméně, pouhé administrativní řešení může být pro podniky nedostatečné.

Například, pokud dojde k úniku informací ze strany podniku, může to mít sociální dopad.

Navíc, pokud jde o veřejně obchodované společnosti, je nutné rychle zveřejnit informace pro zúčastněné strany, jako jsou akcionáři, obchodní partneři a zákazníci.

Zatímco administrativní řešení má aspekt řešení v souladu se zákonem, zveřejnění informací ze strany podniku má silný aspekt plnění sociální odpovědnosti jako podniku, který zachází s informacemi.

Související článek: Co dělat v případě úniku osobních údajů? Vysvětlení administrativního řešení, které by měly podniky přijmout[ja]

Související článek: Krize management a role právníka v případě úniku 650 000 informací – případová studie společnosti Tōken Corporation[ja]

O včasném zveřejňování informací u veřejně obchodovaných společností

Veřejně obchodované společnosti jsou povinny zveřejňovat informace, protože v případě úniku informací může dojít k dopadům na širokou škálu oblastí.

Například, v pravidlech pro obchodování s cennými papíry, které zveřejňuje Tokijská burza (Tokyo Stock Exchange), jsou stanovena následující ustanovení týkající se včasného zveřejňování informací:

(Zveřejňování informací o společnosti)
Článek 402
Veřejně obchodovaná společnost musí okamžitě zveřejnit informace v případě, že dojde k některé z následujících situací (s výjimkou těch, které jsou podle prováděcích předpisů považovány za méně významné pro rozhodování investorů a které jsou uznány burzou).
(Vynecháno)
x Kromě skutečností uvedených od a do w, důležité skutečnosti týkající se provozu, obchodní činnosti nebo majetku dané veřejně obchodované společnosti nebo daných obchodovaných akcií, které mají významný dopad na rozhodování investorů

Tokijská burza | Pravidla pro obchodování s cennými papíry[ja]

Je možné se domnívat, že v případě úniku informací se jedná o “důležité skutečnosti týkající se provozu, obchodní činnosti nebo majetku dané veřejně obchodované společnosti nebo daných obchodovaných akcií, které mají významný dopad na rozhodování investorů”, a proto je nutné provést včasné zveřejnění.

Konkrétně lze předpokládat, že budou zveřejněny informace jako například přehled o úniku informací, okolnosti vedoucí k úniku informací a budoucí výhled na reakci na únik informací.

O dobrovolném zveřejňování informací podniky

Jak již bylo uvedeno, existují případy, kdy podniky zveřejňují informace v souladu s pravidly pro obchodování s cennými papíry a podobnými předpisy. Nicméně, podniky by měly také zvážit dobrovolné zveřejňování informací jako součást své strategie řízení rizik.

Související článek: Riziko úniku osobních údajů v podnicích a náhrada škody[ja]

V jakých případech by měly být informace zveřejněny

Co se týče dobrovolného zveřejňování informací, podniky mají teoreticky možnost volby mezi zveřejněním informací a nezveřejněním informací.

Je tedy důležité, aby podniky měly jasné kritérium pro rozhodování, zda informace zveřejnit, nebo ne.

Prvním kritériem může být, zda existuje skutečná možnost, že by únik informací mohl vést k rozšíření škody.

Pokud došlo k úniku informací, ale je považován za nerealistický, pak je potřeba dobrovolného zveřejňování informací nízká.

Pokud dobrovolně zveřejníte informace, když neexistuje skutečná možnost rozšíření škody způsobené únikem informací, může to vést k zmatku a zhoršení situace.

Druhým kritériem může být, zda by zveřejnění informací mohlo naopak vést k rozšíření škody způsobené únikem informací.

Pokud podnik zveřejní informace o úniku informací, aniž by byla provedena dostatečná opatření, může to upoutat pozornost těch, kteří se pokoušejí získat informace nelegálně, a může dojít k dalšímu úniku informací.

To by mohlo vést k rozšíření škody způsobené únikem informací a následně k rozšíření porušení práv.

Avšak, výše uvedená kritéria nejsou všeobecně platná a je třeba pečlivě zvážit, zda zveřejnit informace v každém jednotlivém případě.

O záležitostech, které by měly být zveřejněny

Při zveřejňování informací je třeba pečlivě zvážit, jaké informace by měly být zveřejněny.

Mezi záležitosti, které by měly být zveřejněny, mohou patřit například následující:

• Typ úniku informací, který nastal
• Datum, kdy podnik zjistil o úniku informací
• Datum, kdy došlo k úniku informací
• Okolnosti, za kterých bylo zjištěno, že došlo k úniku informací
• Příčina úniku informací
• Obsah škody, která může vzniknout v důsledku úniku informací
• Existuje-li riziko dalšího rozšíření škody nebo sekundární škody
• Opatření, která podnik přijal v reakci na únik informací
• Obsah vyšetřování příčin úniku informací
• Zda bylo o úniku informací informováno policii atd.

Avšak, i co se týče záležitostí, které by měly být zveřejněny, může se podle konkrétního případu lišit, co je vhodné zveřejnit, a je třeba rozhodovat individuálně.

O způsobech zveřejňování informací

Co se týče způsobů zveřejňování informací, mohou být například následující:

• Zveřejnění na webových stránkách podniku
• Zveřejnění prostřednictvím tiskové konference pro média
• Kontaktování jednotlivců, jejichž práva a zájmy mohou být narušeny únikem informací

Výše uvedené způsoby zveřejňování informací jsou pouze příklady a je třeba vybrat vhodný způsob pro každý jednotlivý případ.

Upozornění při konání tiskové konference pro média

Při konání tiskové konference se obsah zveřejněných informací stává široce známým. Proto je třeba pečlivě zvážit, zda je vhodné zveřejnit informace prostřednictvím tiskové konference.

Například, pokud neexistují žádné informace nad rámec těch, které podnik již zveřejnil na svých webových stránkách, konání tiskové konference by nevedlo k zveřejnění nových informací. Pokud se koná tisková konference, na které nejsou zveřejněny žádné nové informace, mohou lidé, kteří tiskovou konferenci sledovali, získat dojem, že podnik není důsledný v zveřejňování informací a nesplňuje svou povinnost vysvětlení, což může vést k negativnímu obrazu podniku. Je tedy třeba být opatrný.

Kromě toho, obsah řečený na tiskové konferenci může být v praxi těžké stáhnout nebo opravit.

Proto je třeba pečlivě připravit obsah, který bude na tiskové konferenci řečen, například tím, že se dohodne předem s odborníky, jako jsou právníci.

Upozornění při kontaktování jednotlivců, jejichž práva a zájmy mohou být narušeny únikem informací

Pokud je známo, že existují jednotlivci, jejichž práva a zájmy mohou být narušeny únikem informací, je vhodné je kontaktovat individuálně před zveřejněním skutečnosti o úniku informací.

Pokud podnik zveřejní informace před tím, než kontaktuje oběti, mohou oběti začít cítit nedůvěru vůči podniku a mohou se stát nepřátelskými.

Kromě toho, pokud bylo možné kontaktovat oběti individuálně, ale podnik zveřejnil informace předtím, mohla by být narušena společenská důvěra v podnik.

Jak mohou firmy zabránit úniku informací

Dosud jsme diskutovali o tom, jak by měly firmy postupovat při zveřejňování informací v případě úniku informací, ale je důležité zabránit úniku informací.

V článku 23 zákona o ochraně osobních údajů (Japonský zákon o ochraně osobních údajů) jsou stanoveny bezpečnostní opatření následovně:

(Bezpečnostní opatření)
Článek 23: Osoba, která zpracovává osobní údaje, musí přijmout nezbytná a vhodná opatření k zajištění bezpečnosti osobních údajů, aby zabránila jejich úniku, ztrátě nebo poškození.

e-Gov｜Zákon o ochraně osobních údajů[ja]

Mezi bezpečnostní opatření patří například následující:

• Vytvoření základní politiky pro zpracování osobních údajů
• Vytvoření pravidel pro zpracování osobních údajů
• Vytvoření organizační struktury
• Provádění v souladu s pravidly pro zpracování osobních údajů
• Vytvoření prostředků pro kontrolu zpracování osobních údajů
• Vytvoření systému pro řešení případů úniku informací
• Přezkoumání zpracování osobních údajů a bezpečnostních opatření
• Vzdělávání zaměstnanců, kteří zpracovávají osobní údaje
• Provedení fyzických bezpečnostních opatření k zabránění úniku osobních údajů
• Provedení technických bezpečnostních opatření k zabránění úniku osobních údajů

Domníváme se, že prováděním výše uvedených bezpečnostních opatření v souladu s podmínkami firmy lze snížit riziko úniku informací.

Shrnutí: V případě úniku informací se poraďte s právníkem

V tomto článku jsme se zaměřili na osoby pracující v právních odděleních firem a vysvětlili jsme, jaké informace by měla firma zveřejnit, pokud dojde k úniku informací.

Nejlepší je samozřejmě, když k úniku informací nedojde, ale v praxi je téměř nemožné zabránit úniku informací na 100%.

Proto je důležité, aby firma v případě úniku informací reagovala adekvátně.

Co se týče reakce na únik informací, je nutné provést pečlivé zvážení v závislosti na konkrétním případu, proto doporučujeme konzultovat se s právníkem, který má odborné znalosti.

Představení opatření naší kanceláře

Právní kancelář Monolis je právní kancelář s vysokou odborností v oblasti IT, zejména internetu a práva. Při vytváření interních předpisů je nezbytná odborná znalost. Naše kancelář provádí přezkumy různých případů od společností kótovaných na Tokyo Stock Exchange až po startupy. Pokud máte potíže s interními předpisy, prosím, podívejte se na následující článek.