Ahoj všem,
jelikož jsem také jeden z "kverulantů" kteří kolem NDA tak trochu prskali, přidám sem i mé vysvětlení. Stále věřím, že mé připomínky nejsou nijak nereálné k pořešení a vycházím čistě z praktického pohledu. Osobně chápu nutnost NDA v různých situacích a podporuji to, aby bylo. Souhlasím, že je to pro spoustu věcí nezbytné.
Pro účely mého příspěvku vycházím z tohoto znění
NDA (novější jsem naposled žádné nenašel, jestli je už někde, omlouvám se, teď jsem v poslední době znovu nehledal). O věci jsem komunikoval už s některými členy RP přímo a snad jsem úspěšně sdělil to, co se pokusím popsat níže.
Dokument obsahuje dva odstavce s číslem 1.1 přičemž mě vadí všeobjímající znění toho druhého.
U dokumentů (papírových, nebo elektronických) musí v takovém případě existovat klasifikace a značení dané směrnicí (alespoň explicitní značení na interní, bez označení = veřejné). Pak vím s čím mám nakládat opatrně, co podléhá NDA. U databází a vůbec el. systémů pak klidně může existovat směrnice, že kamkoliv se nedostanu bez přihlášení, obsahuje neveřejné informace.
(i když to takto je divný přiklad, protože do některých systémů se dostanou i uživatelé bez NDA a to už vede na implementaci dalších ACL a nové user groupy, ovšem to už je implementační detail, pointa je asi jasná... ) U osobních jednání pak lze předpokládat, že to platí na vše, co se probírá na jakékoliv explicitně neveřejné schůzi/poradě (za zavřenými dveřmi). Takto pak asi OK a neměl bych problém to podepsat. Ale to z NDA nezjistím, na žádnou směrnici se neodkazuje, žádné školení nebylo, jehož absolvování bych podepsáním NDA stvrdil. To je první čistě technický point, který k NDA mám.
Jedno NDA pro všechny účely IMO způsobuje to, že pro většinu situací je to overkill.
A protože tam jsou sankce a pojmy jako ochrana whistlebloweru, působí to na někoho, kdo potřebuje přístup k tabulce s dvaceti mailovými adresami docela strašidelně a radši se mi na to vyprdne. To mě vede k řešení, že by mohlo existovat nějaké odstupňování. Naznačím příklady...
- Pro účely koordinace dobrovolníků v rámci MS. Obecné GDPR školení a podepsaná dohoda o tom, že chápe vyplývající povinnosti. Sankce kvůli pár mailům asi nejsou nutné. Něco takového už pak můžu dát místnímu členovi, kterého baví dělat s lidmi a nabídne se sám, že bude dělat místní spojku dobrovolníkům.
- KoKS - to je zaměstnanec/dodavatel s přístupem do větších databází. Tady mi už to NDA smysl dává. Jít o mě, trvám při přistoupení na stanovení sankcí při porušení i na té klasifikaci dokumentů, aby mi zpětně někdo nehodil na hrb něco, co jsem já a jiní považoval za veřejné a pak někdo zjistil, že nebylo.
Stejná kategorie pak může pokrývat i strategické informace například při vedení předvolebních kampaní.
- Ochrana whistlebloweru. Logický argument, ale když se nad tím zamyslím... To je oblast tak citlivá, že by na ní měl existovat ještě mnohem přísnější režim, než výše linkované NDA. Jednak by identitu asi neměl znát nikdo jiný, než ten komu se dotyčný ozval (případně skupina lidí, se kterou se dotyčný dobrovolně setkal). A identita by neměla být nikde zanesena v systému. IMO je to odpovědnost toho, koho dotyčný zdroj kontaktoval, aby ho řádně ochránil. Tedy tuhle oblast výše odkazované NDA nemusí vůbec řešit a případně připravit zcela jiné NDA per case, protože jich určitě nejsou desítky.
Děkuji za přečtení, snad jsem to pospal srozumitelně ...
