Kada postoji sukob između prava ispitanika (primjerice na pristup podacima) i čuvanja poslovne tajne voditelja obrade podataka, tijelima za zaštitu podataka (DPA; primjerice Agenciji za zaštitu podataka) ili sudu može se (mora se u nekim situacijama) dopustiti pristup relevantnim informacijama kako bi oni procijenili što voditelj obrade mora otkriti. Navedeno je presudio Europski sud pravde.
Okolnosti slučaja
Nakon što je austrijski savezni sud odlučio da američka kreditna agencija Dun & Bradstreet (dalje: D&B) mora objasniti zašto je na osnovi njihovog izdanog kreditnog izvještaja austrijskom državljaninu onemogućeno sklapanje ugovora o pružanju telekomunikacijskih usluga, slučaj je završio na Europskom sudu pravde (na navedeni sud predmet je uputio upravni sud u Beču) jer je D&B tvrdio da bi je davanje točnih informacija značilo dijeljenje i otkrivanje poslovne tajne.
Zašto su se pozivali na poslovnu tajnu? Austrijski državljanin kao ispitanik tražio je pristup svim dokumentima i informacijama sukladno GDPR-u, a uključivo i dio koji je vezan uz donošenje automatiziranih odluka. Pozivajući se na poslovnu tajnu ograničili su pravo/a ispitanika.
Poslovna tajna
Izraz "poslovna tajna" veže se uz širok raspon informacija koje se protežu izvan "uobičajenog" tehnološkog znanja u vezi s komercijalnim podacima kao što su informacije o kupcima, dobavljačima, poslovnim planovima, istraživanju tržišta, strategijama i novim proizvodima, sve pod uvjetom da se takve informacije ne otkrivaju i da im je namjera da ostanu povjerljive. Tvrtke u svim sektorima koriste povjerljivost i kao alat za poslovnu konkurentnost i upravljanje inovacijama i cijene poslovne tajne jednako kao i druge načine zaštite svojih aktivnosti povezanih s inovacijama, kao što su patenti, prava na dizajn, autorska prava ili druge vrste intelektualnog vlasništva. Mala i srednja poduzeća (MSP) uvelike se oslanjaju na poslovne tajne.
Uz ubrzano rastuću digitalizaciju cjelokupnog gospodarstva, kao i široku dostupnost tehnologija kao što je umjetna inteligencija, poslovne tajne postale su sve relevantnije za tvrtke i često se nazivaju "valutom" današnje ekonomije znanja i podataka. Povećana digitalizacija, povezanost i globalizacija također su rezultirali povećanjem izloženosti tvrtki zlouporabi poslovne tajne u obliku "cyber krađe", drugih oblika povrede podataka i industrijske špijunaže.
Međutim, prije Direktive o zaštiti neotkrivenih znanja i iskustva te poslovnih informacija (poslovne tajne) od nezakonitog pribavljanja, korištenja i otkrivanja (dalje: Direktiva o poslovnim tajnama), pravna zaštita od neovlaštenog stjecanja, korištenja i otkrivanja poslovnih tajni u Europskoj uniji bila je, u usporedbi s pravnim sredstvima koja su dostupna protiv kršenja prava intelektualnog vlasništva, nedovoljno razvijena i nedosljedna u državama članicama EU-a. Ova kombinacija relativno niske razine zaštite i nedostatka jedinstvenog okvira za čuvanje poslovne tajne negativno je utjecala na sposobnost europskih tvrtki da uvode inovacije i općenito, da pravilno funkcioniraju na tržištu.
Gore navedena razmatranja bila su pozadina donošenja Direktive 2016/943/EU (tzv. Direktiva o poslovnim tajnama). Sve države članice EU-a morale su implementirati Direktivu o poslovnim tajnama u nacionalni zakon do 9. lipnja 2018. Direktivom o poslovnim tajnama uspostavljen je homogen skup minimalnih standarda zaštite u cijeloj Europskoj uniji; naime, države članice EU-a mogu predvidjeti dalekosežniju zaštitu, pod uvjetom da je osigurana usklađenost s određenim obveznim izuzećima i zaštitnim mjerama navedenim u Direktivi (npr. izuzeća u pogledu slobode izražavanja i zviždača ili maksimalnog roka zastare od šest godina). To znači da države članice EU-a imaju određenu dozu fleksibilnosti pri implementaciji Direktive u svoje nacionalne zakone.
Direktiva o poslovnim tajnama bavi se samo građanskim pravnim lijekovima protiv nezakonitog stjecanja, korištenja i otkrivanja poslovnih tajni. Zakoni i propisi zemalja članica EU-a o kaznenim sankcijama ili korištenju poslovnih tajni u upravnim postupcima, postupcima javne nabave ili drugim nacionalnim postupcima pred vladinim ili drugim javnim tijelima izvan su opsega i ostaju nepromijenjeni.
Zakoni o nepoštenoj konkurenciji, koji se temelje na Direktivi 2005/29/EZ (Direktiva o nepoštenoj trgovačkoj praksi) o nepoštenoj trgovačkoj praksi između poduzeća i potrošača na unutarnjem tržištu, također ostaju nepromijenjeni i mogu se primjenjivati, ovisno o okolnostima, uz Direktivu o poslovnim tajnama.
U središtu Direktive o poslovnim tajnama uvodi se jedinstvena definicija onoga što predstavlja "poslovnu tajnu", koja se temelji na definiciji uključenoj u članak 39. Sporazuma Svjetske trgovinske organizacije o trgovinskim aspektima prava intelektualnog vlasništva (Sporazum TRIPS) od 15. travnja 1994. (izmijenjen 23. siječnja 2017.), koji obvezuje i Europsku uniju i sve njezine države članice.
Kako se utvrđuje vlasništvo nad poslovnom tajnom?
Direktiva o poslovnim tajnama ne govori ništa o tome kako se utvrđuje vlasništvo nad poslovnom tajnom, ali definira "nositelja poslovne tajne" kao svaku fizičku ili pravnu osobu koja zakonito kontrolira poslovnu tajnu. To bi uključivalo, na primjer, osobu koja je stvorila poslovnu tajnu, njenog poslodavca ili osobu koja je stekla poslovnu tajnu od izvornog nositelja prijenosom ili licencom ili na drugi način.
Naime, suprotno drugim oblicima zaštite intelektualnog vlasništva, Direktiva o poslovnim tajnama ne daje isključivo pravo vlasniku poslovne tajne, već samo nudi zaštitu od nezakonitog stjecanja, korištenja i otkrivanja informacija – ne ograničavajući prava trećih strana da dobiju pristup istim informacijama, na primjer, putem neovisnog istraživanja ili obrnutog inženjeringa (u mjeri u kojoj je to dopušteno prema primjenjivom nacionalnom pravu).
Tajnost
Koji se kriteriji koriste za utvrđivanje stanja tajnosti poslovne tajne prije protupravnog prisvajanja ili otkrivanja?
Direktiva o poslovnim tajnama ne predviđa posebne kriterije. Nositelj poslovne tajne će morati dokazati:
- da informacije o kojima je riječ nisu bile općenito poznate među osobama unutar krugova koji se inače bave takvim informacijama ili im nisu lako dostupne; i
- da su podaci podložni razumnim koracima u danim okolnostima kako bi ostali tajni.
Smjernice o praktičnoj primjeni obaju kriterija morat će razviti nacionalni sudovi i naposljetku Sud pravde Europske unije (CJEU).
Komercijalna vrijednost
Kako se utvrđuje komercijalna vrijednost poslovne tajne?
Prema uvodnim izjavama, ovaj bi zahtjev bio ispunjen bez obzira na to je li komercijalna vrijednost stvarna ili potencijalna. Na primjer, trebalo bi se smatrati da poslovna tajna ima komercijalnu vrijednost, ako je vjerojatno da će njezino nezakonito stjecanje, korištenje ili otkrivanje naštetiti interesima osobe koja je zakonito kontrolira (u smislu da potkopava znanstveni i tehnički potencijal te osobe, poslovne ili financijske interese, strateške pozicije ili sposobnost da se natječe).
U biti, ovo bi također obuhvatilo informacije koje se odnose na nezakonite ili nepoštene poslovne prakse (npr. informacije o prošlom nepoštivanju određenih zakonskih zahtjeva). Iako takve informacije mogu proći gore navedene testove kako bi se kvalificirale kao one koje imaju komercijalnu vrijednost koja proizlazi iz njihove tajnosti (s obzirom da bi neovlašteno otkrivanje nedvojbeno naštetilo nositelju), bilo bi upitno odobriti zaštitu poslovne tajne u takvom slučaju. Osoba koja otkriva takve informacije može opravdati otkrivanje ne samo na temelju zaštitnih mjera Direktive o poslovnim tajnama o proporcionalnosti i zlouporabi postupka, već i na temelju iznimke u svrhu otkrivanja nedoličnog ponašanja, nezakonitog postupanja ili nezakonite aktivnosti, pod uvjetom da je ta osoba djelovala u svrhu zaštite općeg javnog interesa (članak 5(b)).
Zaštitne mjere
Koji se kriteriji koriste za utvrđivanje je li nositelj prava usvojio razumne zaštitne mjere za sprječavanje otkrivanja i zlouporabe poslovnih tajni?
Direktiva o poslovnim tajnama ne daje nikakve posebne smjernice o tome, a na nacionalnim sudovima ili konačno na CJEU-u ovisit će o tome da razviju skup kriterija za utvrđivanje traženog standarda kako bi se ispunio zahtjev za "razumne korake" iz članka 2.
Gledajući dostupnu sudsku praksu u državama članicama EU-a i literaturu, čini se da postoji određeni konsenzus da se takva odluka mora donijeti holistički uzimajući u obzir sve relevantne okolnosti, uključujući na primjer veličinu i sofisticiranost poslovanja koje kontrolira poslovnu tajnu, kao i relevantnost i prirodu iste. Općenito, moglo bi se očekivati da sudovi ne primjenjuju prestroge standarde koji zahtijevaju da se poslovna tajna uspješno čuva, već će radije promatrati je li, u cjelini, nositelj primijenio organizacijske, tehničke i pravne mjere koje se razumno, u danim okolnostima, mogu očekivati.
Najbolje prakse
Koje bi najbolje prakse i interne politike nositelji prava trebali razmotriti kako bi osigurali maksimalnu zaštitu svojih poslovnih tajni?
Sveobuhvatan i adekvatan sustav zaštite tajnosti poslovnih podataka i znanja ključan je iz dva razloga:
- članak 2. Direktive o poslovnim tajnama zahtijeva da posjednik (ili nositelj) dokaže da su u danim okolnostima poduzeti razumni koraci da se predmetni podatak zadrži tajnim; u protivnom se takve informacije neće čak ni smatrati "poslovnom tajnom", pa stoga pravna zaštita neće biti dostupna; i
- zbog svoje prirode i u nedostatku bilo kakvog ekskluzivnog prava dodijeljenog zakonom, poslovne tajne su vrijedne samo dok nisu široko dostupne.
Iako nositelj ima pravni lijek prema Direktivi u slučaju nezakonitog odnosno postupanja suprotno onom koje je propisano i zaštićeno, u praksi je zapravo često teško ispraviti "krađu" poslovne tajne; stoga je uspostava sofisticiranog sustava za zaštitu znanja i iskustava te povjerljivih poslovnih informacija također pitanje usklađenosti i pitanja na razini različitih tijela i odbora EU. Zbog toga se tvrtkama savjetuje da pažljivo provedu prilagođeni zaštitni pristup kako bi redovito ažurirali svoje sustave i dokumentirali sve mjere u dokazne svrhe. U slučaju da se utvrdi stvarno kršenje ovih zaštitnih mjera treba poduzeti potrebne korake za sprječavanje daljnjeg neovlaštenog pristupa povjerljivim informacijama.
Iako Direktiva o poslovnim tajnama ne nudi izravne smjernice o najboljoj praksi za zaštitne mjere, široko je prihvaćeno da čvrst zaštitni koncept zahtijeva holistički pristup i da bi se trebao temeljiti na sljedeće tri mjere:
- Organizacijske mjere
Identificirajte poslovne tajne i kategorizirajte ih prema njihovoj komercijalnoj važnosti kako bi se mjere, poput ograničenja pristupa i informacijskih barijera, mogle smisleno primijeniti.
Potrebno je razviti interne procedure i politiku o tome kako postupati s osjetljivim informacijama, a pritom ažurirati takvu politiku u skladu s operativnim i pravnim razvojem.
Pobrinite se da zaposlenici – gdje leži primarni rizik od krađe poslovne tajne – budu uključeni: informirajte zaposlenike na odgovarajući način, ponudite obuku o tome kako postupati s poslovnim tajnama i dokumentirajte informiranost i edukaciju zaposlenika vezano uz internu politiku o zaštiti poslovne tajne i klasifikaciji dokumentacije.
- Vodite brigu o zaposlenicima koji dolaze i odlaze
Prema članku 4. stavku 4. Direktive o poslovnim tajnama, uporaba poslovne tajne može se smatrati nezakonitom kad god je osoba koja je koristi znala ili je morala znati, u danim okolnostima, da je poslovna tajna dobivena izravno ili neizravno od druge osobe koja je koristila ili otkrivala poslovnu tajnu nezakonito. Drugim riječima, kad god novi zaposlenici donesu znanje i iskustvo sa sobom, potrebno ga je pažljivo provjeriti u odnosu na ovaj rizik sekundarne odgovornosti; ...i pazite, zaposlenici koji odlaze u pravilu su čimbenik visokog rizika, osobito ako okolnosti prestanka radnog odnosa nisu bile sporazumne.
Različiti sudski slučajevi pokazuju da takvi zaposlenici mogu biti potaknuti na prikupljanje određenih poslovnih tajni s namjerom da ih iskoriste u svrhu konkurencije s budućim poslodavcem ili za vlastite konkurentske aktivnosti.
Tvrtkama se savjetuje da ne samo podsjete zaposlenike koji odlaze na njihove obveze u pogledu poslovnih tajni, već i da prate njihove aktivnosti tijekom preostalog radnog vremena (u mjeri u kojoj je to zakonski dopušteno).
Paziti na aktivnosti praćenja nakon prestanka radnog odnosa- primjenjuju se GDPR pravila i ispitanici moraju biti obaviješteni uvijek o obradama!
Uz sve, implementirajte ograničenja pristupa na temelju potreba za znanjem. To će smanjiti praktični rizik od neovlaštenog otkrivanja i olakšati praćenje protoka informacija unutar tvrtke. To također može uključivati odvajanje jedinica za istraživanje i razvoj i prodaje (i sl.). Pazite na ograničenja pristupa za vrijeme važnih projekata!
- Tehnološke mjere
Organizacijske mjere, poput politika o čuvanju poslovne tajne i ograničenja pristupa, moraju se implementirati i na informatičkoj razini – sustav za upravljanje informacijama i dokumentima mora biti dizajniran u skladu s potrebama i rizicima.
Korištenje vatrozida i tehnologija šifriranja je ključno, posebno za mobilne uređaje, uređaj koji nosite sa sobom (nose ga zaposlenici sa sobom) i opremu za rad od kuće.
Politike rada od kuće trebalo bi provjeriti i uskladiti s politikom poslovne tajne tvrtke (npr. kako postupati s ispisima, virtualnim sastancima, telefonskim pozivima, dokumentacijom itd.).
Praćenje i pristup informacijama, korištenju i protoku osjetljivih informacija unutar i izvan tvrtke (tj. razmjena s kupcima, dobavljačima i drugim vanjskim partnerima) ključni su za prepoznavanje i dokazivanje slučajeva moguće krađe poslovne tajne, kao i za dokumentiranje da su uvedene "razumne" zaštitne mjere u smislu Direktive o poslovnim tajnama.
Većina poduzeća imat će interne tehnološke mjere u vezi s rukovanjem osobnim podacima prema GDPR-u (nažalost ne svi!). Ti se postupci često mogu koristiti kao osnova za postupanje s poslovnim tajnama, no oni su međutim različiti u opsegu i svrsi; preklapanja i potencijalne sukobe treba pažljivo procijeniti.
Pravne (ugovorne) mjere
Pregledajte postojeće ugovore s partnerima, kupcima i dobavljačima s fokusom na njihove odredbe o povjerljivosti i, ako je potrebno, revidirajte takve ugovore. Isto učinite s ugovorima sa zaposlenicima.
Osigurajte da se odgovarajući ugovori o tajnosti (NDA) koriste u tijeku poslovanja gdje je to potrebno i da takvi NDA dovoljno pokrivaju informacije (npr. potencijalna prava intelektualnog vlasništva povezana s njima) koje treba razmijeniti. NDA-ima bi također trebalo upravljati na način koji osigurava da tvrtka može pratiti pravni okvir u zamjenu za dijeljenje informacija s trećim stranama (također u pogledu vlastitih obveza u vezi s informacijama trećih strana).
Klauzule o povjerljivosti u ugovorima o radu trebale bi se revidirati i po potrebi ojačati; standardne odredbe često se izlažu opasnosti da budu neprovedive prema primjenjivom zakonu jer su preširoke ili neprecizne. Odredbe koje se odnose na intelektualno vlasništvo, poslovne tajne i klauzule o zabrani natjecanja također bi trebale biti usklađene kako bi se osiguralo da se međusobno nadopunjuju.
Navedene mjere moraju biti precizno prilagođene potrebama svakog pojedinog poduzeća, te ih treba redovito preispitivati i ažurirati.
RH i poslovna tajna - Zakon o zaštiti neobjavljenih informacija
Predmetna Direktiva je prenesena i u zakonodavstvo Republike Hrvatske kroz Zakon o zaštiti neobjavljenih informacija stoga na to ne smijete zaboraviti kada usklađujete svoje poslovanje.
Prava ispitanika i GDPR
Sve gore navedeno od izuzetne je važnosti kada govorimo o ostvarivanju prava ispitanika sukladno GDPR-u.
GDPR daje ispitanicima, između ostaloga, pravo da znaju kako, zašto i kada se njihovi osobni podaci obrađuju te ograničava automatizirane odluke koje značajno utječu na pojedince.
Što kada ispitanik traži podatke koji su ujedno i njegovi, treba biti informiran na jasan i transparentan način o obradama osobnih podataka, a ti podaci su i poslovna tajna?
Upravo tim pitanjima bavio se u ovom predmetu Sud (članak 15. stavak 1. točka (h) GDPR-a).
Ono što je bilo ključno u ovom konkretnom slučaju je:
(i) koliko informacija treba otkriti da bi se ispunili zahtjevi transparentnosti EU GDPR-a (uključivo i pravo na pristup); i (ii) kako to uravnotežiti sa zaštitom koju tvrtkama pruža putem poslovnih tajni.
Prvo, ne smije se nikako smetnuti sa uma da ispitanici imaju pravo razumjeti automatizirane procese donošenja odluka koji na njih utječu. Prema članku 22. stavku 1., ispitanici također imaju pravo ne podlijegati odlukama koje se temelje isključivo na automatiziranoj obradi, uključujući profiliranje, kada te odluke imaju pravne ili slične značajne implikacije za tog pojedinca (uz određene iznimke).
Članak 15. stavak 1. točka (h) GDPR-a zahtijeva da ispitanici budu obaviješteni:
- o postojanju takvog automatiziranog odlučivanja;
- o informacijama i logici koja se koristi prilikom automatizirane odluke i takvog odlučivanja; kao i
- o značaju i predviđenim posljedicama takve obrade.
Sve informacije trebaju ispitaniku biti sažete, lako dostupne i formulirane jasnim i jednostavnim jezikom. Trebao bi objasniti metodu i kriterije korištene za donošenje odluka na način koji ispitaniku omogućuje provjeru točnosti i razumijevanje uzročne veze između korištene metode i donesene odluke.
Od posebne je važnosti da se od voditelja obrade ne zahtijeva nužno otkrivanje složenih algoritama ili formula, ili barem njihovih tehničkih detalja, jer ih, zbog njihove tehničke prirode, ispitanici bez tehničke stručnosti možda neće lako razumjeti.
Određene informacije koje bi trebale biti potrebne za ispunjavanje zahtjeva ispitanika su, na primjer:
- čimbenici uzeti u obzir za proces donošenja odluka;
- njihovu odgovarajuću težinu (posljedicu/ utjecaj) ; i
- ishod odluke te razlozi za ishod.
I nezavisni odvjetnik čije mišljenje tražio Sud, a i Sud se pozabavio u ovom predmetu ravnotežom između transparentnosti i zaštite poslovnih tajni.
Ravnoteža transparentnog obavještavanja i zaštite poslovne tajne
Iako je nezavisni odvjetnik priznao važnost poslovnih tajni kako bi organizacije dobile konkurentsku prednost, naglasio je da se poslovne tajne ne mogu koristiti za izbjegavanje obveza transparentnosti prema GDPR-u.
Jednako tako, nezavisni odvjetnik je također iznio mišljenje da, iako je zaštita osobnih podataka pojedinca temeljno pravo, ono nije apsolutno i mora biti u ravnoteži s drugim pravima.
Uz sve, nezavisni odvjetnik, a kasnije i Sud je ponovio da odbijanje pružanja bilo kakvih informacija ispitaniku isključivo radi zaštite poslovnih tajni nije prihvatljivo (pazite na naglasak - bilo kakvih (svih)!).
Umjesto toga, potrebno je balansiranje prava od slučaja do slučaja, na primjer, tvrtke bi trebale pružiti opća objašnjenja o tome kako njihovi primjerice sustavi umjetne inteligencije funkcioniraju bez otkrivanja detaljnih vlasničkih algoritama koji su zaštićeni kao poslovna tajna.
S tim u vezi, kada je vjerojatno da će informacije koje se daju ispitaniku rezultirati kršenjem prava i sloboda drugih, posebno zato što sadrže osobne podatke trećih strana ili poslovnu tajnu, te se informacije mogu otkriti nadležnom nadzornom tijelu ili sudu kako bi regulator ili sud mogao odvagnuti uključene interese i odrediti opseg prava pristupa koje se mora dodijeliti, u skladu s načelom proporcionalnosti i povjerljivosti tih informacija.
Osiguravajući transparentnost i usklađujući je sa zaštitom poslovnih tajni, tvrtke mogu izgraditi povjerenje s ispitanicima, istovremeno čuvajući svoje inovativne procese.
I na kraju što je Sud rekao….
Europski sud je utvrdio da osoba na koju se podaci odnose može zahtijevati od voditelja obrade da pruži podatke o "postupku i načelima koja se stvarno primjenjuju", te je pružio rješenje kako se to može uskladiti sa zaštitom poslovnih tajni.
Sud zaključio:
- da se članak 15. stavak 1. točka (h) GDPR-a mora tumačiti na način da, u slučaju automatiziranog donošenja odluka u skladu s člankom 22. stavkom 1. GDPR-a, ispitanik može zahtijevati od voditelja obrade da objasni, putem relevantnih informacija i u sažetom, transparentnom, razumljivom i lako dostupnom obliku, postupak i načela koja se stvarno primjenjuju kako bi se osobni podaci koji se odnose na tu osobu koristili automatiziranim sredstvima u svrhu dobivanja određenih rezultata.
- da se mora uspostaviti ravnoteža između ostvarivanja prava na puni i potpuni pristup osobnim podacima i prava ili sloboda drugih. Stoga je naveo (ponavljajući C-268/21, Norra Stockholm Bygg) da nacionalni sud ili nadležno tijelo može zahtijevati da mu se otkriju osobni podaci stranaka ili trećih strana kako bi se učinkovito uravnotežili uključeni interesi i zajamčilo pravo na učinkovit pravni lijek.
Voditelj obrade koji tvrdi da je u pitanju poslovna tajna i dostavi navodno zaštićene informacije nadležnom nadzornom tijelu ili sudu morat će postupiti na način kako navedeno tijelo naloži voditelju obrade nakon što provede postupke balansiranja odnosno nakon što uravnoteži pravo ispitanika i zaštitu poslovne tajne kako bi odlučio koje informacije ispitanik može primiti.
Ostaje vam stoga jako paziti kada ograničavate prava ispitanika pozivajući se na poslovnu tajnu da osigurate pravilno balansiranje prava i to od slučaja do slučaja te da nikako ne ograničite u potpunosti prava ispitanike po GDPR-u jer zasigurno ispitaniku možete pružiti barem neki vid informacija koje će biti važne za ostvarivanje njegovih drugih prava.
