Rikotko salassapitositoumusta tietämättäsi?
Kahden eri yrityksen suunnitellessa keskinäistä yhteistyötä on salassapitosopimuksen (NDA / Non-Disclosure Agreement) laatiminen molempien osapuolten kannalta järkevää. Hyvin tehdyllä salassapitosopimuksella voidaan tehokkaasti varmistaa se, että toiselle osapuolelle annettavaa luottamuksellista tietoa ei saada käyttää muuhun kuin sovittuun tarkoitukseen. Jos osapuolten tiet eroavat, on hyvä varmistaa sopimuksellisesti, ettei tieto päädy väärään paikkaan. Nykypäivänä törmäämme kuitenkin entistä useammin salassapitosopimuksiin, jonka ehtojen täyttäminen lähenee mahdottomuutta. Syynä tälle voi olla niinkin triviaali asia kuin varmuuskopiointi.
Vakioehtoisessa NDA:ssa on tyypillistä, että luottamuksellisen tiedon määritelmä on mahdollisimman laaja, koska tällöin tietoja luovuttavan yrityksen sopimuksellinen määräysvalta luovutettuun tietoon ulottuu mahdollisimman laajalle. Usein määritelmä kattaa kaiken mahdollisen suullisesta tiedosta epävirallisiin muistiinpanoihin tai näiden pohjalta kehitettäviin ideoihin, eikä tietoa ole edes tarkoitettu täsmällisesti määritettäväksi. Jos tietoa on luovutettu sähköpostilla, keskusteluissa, ryhmäpalavereissa sekä erilaisissa koeympäristöissä, ei tiedon tunnistaminen ja rajaaminen ole vaivatonta. Toisaalta tietoa vastaanottavan osapuolen suojaksi usein sovitaan, että luottamuksellista ei olekaan esimerkiksi sellainen tieto, joka on ollut sen vastaanottajalla itsenäisesti ennen kuin sitä luovutettiin toisen osapuolen toimesta tai tieto, joka on hankittavissa julkisesti saatavilla olevista lähteistä.
Ehdon tarkoitus voi olla käytännössä toteuttamiskelvoton
NDA:ssa voi lisäksi olla vaatimus siitä, että tietoja tuhoavan osapuolen tulee todistettavasti vahvistaa tietojen tuhoaminen sekä menetelmä, jota tietojen tuhoamisessa on käytetty. Tällaisen säännöksen motiivi on vilpitön ja ymmärrettävä, mutta käytännön toteutus vastaavasti hankala. Sopimus, jossa epämääräinen massa luottamuksellista tietoa yhdistetään tällaiseen todistettavaan tuhoamisvelvollisuuteen, on vaarallinen, koska sitä rikotaan herkästi ja tiedostamatta.
Jokaisen yrityksen välttämättömään tietoturvaan kuuluu erilaisten varmuuskopioiden ottaminen. Varmuuskopioita syntyy päivittäin käytännössä kaikista yrityksen palvelimista ja ne voivat olla eriteltyinä fyysisesti eri paikkoihin. Lisäksi ulkoisia varmuuskopiopalveluita tarjoavat yritykset säännönmukaisesti peilaavat tallenteet toiseen vastaavaan palvelimeen välttääkseen tietojen tuhoutumisen yhden palvelimen rikkoutuessa. Kuinka yritys voi tällaisessa tilanteessa olla varma siitä, että tuhoamisvelvollisuuden alaiset tiedot tulevat todella tuhotuksi? Tuhotaanko tiedot samalla myös peilatulta palvelimelta? Ja miten yritys voi vahvistaa sopijakumppanilleen sopimuksen edellyttämällä tavalla tuhoamisen tapahtuneen. Tietosuoja-asetukseen varautuneille palveluntuottajilla pitäisi olla keinot siihen, kuinka henkilötiedot saadaan tuhottua niiden haltijan vedotessa oikeuteensa tulla unohdetuksi. NDA:t koskevat kuitenkin muutakin kuin vain henkilötietoa.
Sopimus muodon vai käytännön vuoksi?
NDA täyttää tehtävänsä, jos luottamuksellinen tieto ei vuoda eikä sitä käytetä muuhun kuin sen haltijan sallimiin tarkoituksiin. Tällaisessa tilanteessa kummallakaan osapuolella ei ole varsinaisesti syytä vedota sopimukseen. Sen osoittaminen, että vastapuoli ei olisi tuhonnut kaikkea sille annettua tietoa kolmannen osapuolen toteuttamista varmuuskopioratkaisuista, olisi myös todistustaakan näkökulmasta vähintäänkin mielenkiintoista.
Modernissa ja globaalissa IT-ympäristössä on tavallaan jo totuttu siihen, että teknologian tarjoamat edut, mahdollisuudet ja rajoitteet otetaan käyttöön sellaisenaan, koska muutakaan vaihtoehtoa ei välttämättä ole. Toisaalta edut ovat usein kiistattomat. Voidaan esimerkiksi väittää, että useiden sosiaalisen median alustojen yksityisyyttä koskevat käyttöehdot, verkkokauppojen henkilötietojen luovutusehdot taikka laite- tai ohjelmistovalmistajien mahdollisuudet käyttäjän kuunteluun kehitystyön nimissä jne. eivät täytä eri valtioiden lainsäädännön asettamia kriteereitä, mutta silti niitä käytetään.
Varmuuskopioiden ottaminen ei tule katoamaan vaan päinvastoin lisääntymään. Tuleeko varmuuskopioiden ottamisesta, peilaamisestaja säilyttämisestä vain osapuolten hiljaisesti hyväksymää NDA:n ehtojen rikkomista? Vai olisiko sittenkin syytä miettiä miten salassapitositoumuksilla saavutettaisiin sen tavoitteet luomatta kuitenkaan turhia ja teoreettisia sopimusrikkomuksia, jotka saattavat olla lisäksi sopimussakoilla kuorrutettuja?