Riziko ztráty dat a právní odpovědnost provozovatelů systémů
Problémy, jako je ztráta důležitých firemních informací uložených v databázi kvůli nepředvídaným okolnostem, se mohou vyskytnout na pracovišti IT oddělení. Je možné z hlediska práva uplatnit odpovědnost na externího dodavatele, pokud je provoz systému outsourcován?
V tomto článku se budeme zabývat otázkou, kde leží právní odpovědnost za ztrátu informací v podnicích.
Co znamená “provoz” v IT systémech
“Provoz” v IT systémech, pokud to shrneme velmi jednoduše, je práce spojená s IT systémy, která se týká “pokračování v používání stávajícího systému tak, jak byl dosud”. Systém, který nově vytvořili IT inženýři a programátoři (= vývoj), není něco, co by skončilo jednou jeho vytvořením. Například, pokud chcete provést operaci, kterou nelze provést z obrazovky, může být nutné připojit počítač k databázi a přímo zadat počítačový jazyk (například SQL) (například extrakce nebo změna dat, které nelze provést z obrazovky).
Takové provozní úkoly jsou často snadno standardizovatelné, například přípravou postupů, ve srovnání s prací na nové implementaci programu, a často jsou snadno outsourcovatelné externím dodavatelům.
Avšak, i když je úkol snadno standardizovatelný, pokud jde o práci, která přímo ovládá databázi spravovanou společností, měli bychom mít na paměti, že je často spojen s velkými incidenty. Rizika, jako je únik nebo ztráta informací, které vlastní společnost, mohou nevědomky narůstat, pokud se lehkovážně pokračuje v outsourcingu bez ohledu na vážnost odpovědnosti spojené s prací.
Riziko ztráty informací je nečekaně blízké
Existuje několik typů databází, které firmy používají, ale jejich podstata je software. A základní zpracování dat, která jsou v nich spravována, jako je extrakce, změna, přidání a odstranění, se obvykle provádí pomocí počítačového jazyka SQL.
Důležitost právních služeb
Práce techniků zapojených do IT systémů zahrnuje různé typy, jako je vývoj, provoz a údržba, ale společným rysem jejich práce je, že se zaměřují na abstraktní věci, jako jsou “data” a “počítačové jazyky”. Proto, i když se podíváme pouze na vzhled práce, i malá chyba v ovládání nebo malá chyba v zadávání může mít dalekosáhlé dopady, které nelze předem předvídat. Tento základní předpoklad by měl být uvědoměn všemi, kteří pracují na systémech, ať už jsou odborníky na IT technologie nebo ne. Práce spojená se systémy má svou povahu takovou, že pokud dojde k problému, jeho dopady se často šíří okamžitě mimo dané oddělení a přesahují hranice firmy. Důležitost právních služeb pro systémy lze vysvětlit jednotně z hlediska jak objednavatele, tak dodavatele.
Riziko ztráty firemních dat
Vezměme si trochu běžný příklad. SQL dotaz (příkaz) pro smazání všech dat v jedné tabulce je jen jednoduchý řádek “TRUNCATE”. Při uvažování o riziku ztráty dat firmy pravděpodobně není tak důležité dobře znát syntaxi SQL nebo jak ovládat databázový software. Nicméně, je důležité si uvědomit, že pokud jde o způsob, jak smazat všechna data, která firma uchovává, je to také tak jednoduché. Toto uvědomění by mělo být výchozím bodem při uvažování o riziku ztráty firemních dat.
Je pravda, že provozní práce je snadno standardizovatelná a často nejsou žádné problémy, pokud se postupuje podle pokynů. Ale zároveň, pokud se nepostupuje podle pokynů a dojde k nepravidelné situaci, důležitost právních služeb je zřejmá.
Kdo nese právní odpovědnost za ztrátu informací?
Právní povaha práce provozovatele
Takže, co se stane, když dojde k nečekanému incidentu, který způsobí ztrátu dat a neexistuje žádný způsob, jak je obnovit? Kdo nese právní odpovědnost v takovém případě? Podívejme se na takové incidenty z právního hlediska.
Je obtížné uplatňovat povinnost skladování na základě smlouvy o uložení
Jednou z možných teoretických konstrukcí, které lze zvážit při řešení odpovědnosti provozovatele, který zastupuje operace s daty, je uplatňování povinnosti pečlivého skladování na základě placené smlouvy o uložení. Jednoduše řečeno, jde o otázku, zda lze uplatnit odpovědnost za ztrátu “dat” stejným způsobem, jakým by se pronásledovala odpovědnost za náhradu škody v případě, že provozovatel, který přijal uložení věci, například v placených skříňkách, ztratí tuto věc. Nicméně, stejně jako v případě povinnosti skladování “věcí”, není realistické předpokládat, že by “povinnost skladování dat” vznikla automaticky podle současného práva.
Záleží na konkrétním obsahu smlouvy
Nakonec bychom měli říci, že otázka “Kdo nese povinnost uchovávat data?” je obtížné vyvodit jednotný závěr na základě ustanovení občanského zákoníku. Proto by odpověď měla být, že “záleží na tom, jak je to stanoveno v konkrétním obsahu smlouvy”.
A co se týče otázky “Jaký byl obsah smlouvy?”, rozhodnutí se nebere v úvahu pouze na základě smlouvy, ale také na základě zápisů z jednání atd. Význam zápisů z jednání je podrobně vysvětlen v následujícím článku.
https://monolith.law/corporate/the-minutes-in-system-development[ja]
Stíhání za protiprávní jednání ze strany třetích stran, které nejsou smluvními stranami, je obtížné
Je třeba poznamenat, že je jasné z judikatury, že stíhání za protiprávní jednání ze strany třetích stran, které nejsou smluvními stranami, je nemožné. V judikatuře se objevil případ, kdy byla ztráta dat v rámci služby pronájmu serveru a otázka, zda je možné požadovat náhradu škody na základě protiprávního jednání.
Typickými příklady protiprávního jednání jsou například dopravní nehody. Pokud například způsobíte zranění člověka vinou řidiče při autonehodě, nesete odpovědnost nejen trestně, ale také občansky. I když neuzavíráte smlouvu s cizími lidmi o tom, že je neuhodíte autem, je možné, že vznikne odpovědnost za náhradu škody. Na základě tohoto rámce protiprávního jednání bylo diskutováno, zda je možné stíhat odpovědnost za ztrátu dat, i když neexistuje přímý smluvní vztah.
Soud však poukázal na charakteristiku digitálních informací a uvedl, že je obtížné automaticky vyvodit existenci takové povinnosti.
Server není dokonalý a může dojít k poruše, která způsobí ztrátu uložených programů atd., ale programy atd. jsou digitální informace, které lze snadno duplikovat, a pokud uživatel zaznamená a uloží tyto informace, může programy atd. znovu spustit, pokud dojde k jejich ztrátě. To je široce známo (podle celkového významu argumentace), takže žalobci mohli snadno přijmout opatření k zabránění ztráty těchto programů a dat. Vzhledem k situaci obou stran, žalobců a žalovaných, neexistuje důvod ani potřeba ukládat žalovanému, který instaluje a spravuje server, povinnost chránit záznamy žalobců tím, že zabrání jejich ztrátě. (…) Žalobci tvrdí, že smlouva o pronájmu serveru má charakter úschovné smlouvy týkající se programů nebo dat třetích stran a že na tomto základě má žalovaný jako poskytovatel služby pronájmu serveru povinnost pečovat o všechny osoby, které ukládají záznamy na server, konkrétně má povinnost zabránit ztrátě záznamů na serveru, a na tomto základě tvrdí, že skutečnost, že žalovaný způsobil ztrátu záznamů žalobců uložených na serveru, je porušením povinnosti zabránit jejich ztrátě.
Soud v Tokiu, 20. května 2009 (Heisei 21)
Avšak žalovaný uzavřel s uživatelem A pouze smlouvu o využití služby sdíleného hostingu, a protože mezi žalovaným a žalobci neexistuje smluvní vztah a nelze říci, že má úschovný charakter v souvislosti s ukládáním programů a dat na server, je těžké najít důvod pro tvrzení, že žalovaný má povinnost pečovat o záznamy uložené na serveru podle zákona o protiprávním jednání vůči žalobcům, kteří nejsou v smluvním vztahu. Takže pouhým faktem, že žalovaný je poskytovatel služby pronájmu serveru, nelze říci, že má automaticky povinnost pečovat o záznamy uložené na serveru nebo povinnost zabránit jejich ztrátě vůči třetím stranám, které nejsou v smluvním vztahu.
Tento rozsudek poukázal na to, že není přiměřené předpokládat “povinnost nesmazat data” vůči třetím stranám (žalobcům), které nemají přímý smluvní vztah. Tento rozsudek přitáhl určitou pozornost jako potenciální vedoucí případ pro budoucí podobné případy.
Jako závěr lze říci, že vymáhání odpovědnosti se často stává “náročným”
V praxi, pokud mluvíme o často používaných smlouvách, není příliš mnoho případů, kdy by se používala smlouva, která by ukládala odpovědnost za uchovávání a zálohování dat provozovateli. Naopak, většinou jsou to smlouvy, které stanovují, že tato odpovědnost leží na uživateli (tedy na straně společnosti, která je zákazníkem).
Proto, pokud není dohodnuto něco zvláštního, je třeba říci, že je právně velmi obtížné předpokládat, že provozovatel systému má povinnost přijmout opatření k zabránění ztráty dat.
Co bychom měli dělat pro přípravu na riziko ztráty informací
Ve výsledku, pokud jde o riziko ztráty informací, které má firma, je to také otázka týkající se informací, které firma sama uchovává. Proto je pravděpodobné, že bychom měli říci, že jak zohlednit toto riziko ztráty a jakou strukturu uchovávání vytvořit, je záležitost, kterou by měla rozhodnout sama firma.
Navíc, i kdyby byla uznána odpovědnost podnikatele, může se stát, že náhrada škody nebude plně uznána kvůli kompenzaci za nedbalost. V minulých soudních případech byly případy, kdy soud uznal kompenzaci za nedbalost, když žalobce, který měl data na serveru, nezazálohoval data a žalovaný data zničil.
Žalobce mohl snadno provést opatření, jako je zálohování obsahu souboru a tím zabránit vzniku škody, nebo omezit vznik škody na velmi malou míru, přesto v době nehody nezůstaly žádné data souboru na straně žalobce.
V tomto případě by mělo být řečeno, že při určování částky, kterou má žalovaný nést jako náhradu škody, je třeba zohlednit tuto skutečnost a uplatnit ustanovení o kompenzaci za nedbalost, což je v souladu s principem rovnováhy v právu na náhradu škody.
Na druhou stranu, žalobce tvrdí, že bylo nemožné předvídat, že soubor bude odstraněn ze serveru poskytovatelem služeb, a že by nemělo být možné uznat povinnost zálohovat jako právní povinnost, a že nečinnost nemůže být považována za právní nedbalost, a proto by mělo být uplatnění kompenzace za nedbalost zamítnuto.
Avšak, při uplatňování kompenzace za nedbalost je dostačující uznání možnosti předvídání výsledku ztráty souboru ze strany žalobce, a není nutné předvídat možnost, že soubor bude zničen porušením povinnosti péče ze strany žalovaného.
V tomto případě, (vynecháno), je jasné, že žalobce byl si vědom rizika narušení webové stránky hackery atd., a také, že žalobce uznává, že komunikace přes internet představuje riziko změny a zničení informací, a že toto riziko bylo možné předvídat, takže by mělo být rozhodnuto, že žalobce předvídal riziko ztráty souboru z důvodů specifických pro komunikaci přes internet, a možnost předvídání výsledku ztráty souboru je plně potvrzena, a není možné uznat žádnou překážku pro potvrzení uplatnění kompenzace za nedbalost.
Soud v Tokiu, 28. září 2001 (Heisei 13)
V tomto případě bylo rozhodnuto, že “pokud nebyla provedena záloha, bylo možné předvídat riziko ztráty souboru z důvodů, jako je narušení hackerem, a proto by měla být uplatněna kompenzace za nedbalost”, a částka náhrady škody byla snížena na polovinu.
Shrnutí
Není to omezeno pouze na riziko ztráty dat, ale když se rozhodneme pro outsourcing systému, uživatelé se často zaměřují pouze na pocit z ovládání na straně obrazovky a často se stává, že správa organizace nedosahuje až do oblasti databáze, která je uchovávána v pozadí.
Avšak, jak naznačují předchozí soudní případy, bychom se neměli domnívat, že se nás tyto otázky netýkají. Jinými slovy, měli bychom si uvědomit, že je naší povinností jako uživatelů (vnitřních členů společnosti) pokračovat v zavádění systémů řízení, které zohledňují riziko ztráty informací, jako je například zálohování.
Předchozí soudní případy by měly být chápány jako varování o nutnosti prevence, které naznačuje, že nezajištění se proti takovým rizikům může vést k nevratným situacím.
Category: IT
Tag: ITSystem Development
