Bi Facebook z ustrezno korporativno politiko lahko preprečil zlorabo osebnih podatkov?

Aplikacijo je sicer naložilo »zgolj« 13 milijonov uporabnikov (37 milijonov uporabnikov torej aplikacije sploh ni naložilo, temveč so bili zgolj »prijatelji« tistih, ki so jo), na podlagi pridobljenih podatkov pa je Cambridge Analytica ustvarila več kot 30 milijonov psihografičnih profilov potencialnih volivcev. Poteza Cambridge Analytice (oziroma njenega naročnika) je nazorno pokazala, da so na prvi pogled neverjetni incidenti, ki se dogajajo v seriji Hiša iz kart (House of Cards), del vsakdanje resničnosti.

Ne glede na dejanja Cambridge Analytice pa se je vsa pozornost usmerila v družbo Facebook. Številni politiki in preostala javnost so družbi, še posebej pa njenemu ustanovitelju in direktorju Marku Zuckerbergu, očitali, da je vedel, kaj počne Cambridge Analytica, pa tega ni preprečil oziroma ni sprejel ustreznih internih sistemov pravil (korporativne politike), ki bi preprečevali tovrstne anomalije.

Reuters

Delovanje družb Cambridge Analytica in Facebook na prvi pogled brez dvoma izpolnjuje znake več prekrškovnih in kaznivih dejanj, o katerih je tako ali drugače pisalo celotno medmrežje. Nasploh velja, da je zaradi čedalje večje konkurenčnosti vedno bolj globaliziranega trga ter (predvsem) izjemnega in neoviranega pretoka informacij poslovanje pravnih oseb pod vedno strožjim nadzorom. Pri tem zakonodajalci »proizvajajo« tudi vedno več obsežne in kompleksne regulacije; aktualna primera sta GDPR oziroma splošna evropska uredba o varstvu podatkov in predpisi v zvezi s preprečevanjem pranja denarja. Pri tem pa je v interesu pravnih oseb, da poslujejo skladno s pravom in dobrimi poslovnimi običaji ter da izoblikujejo in izvajajo učinkovito notranjo (korporativno) politiko. S tem namreč varujejo svoje dobro ime – pri takšni stopnji neovirane svobode govora (hitrosti dajanja in prejemanja informacij), kot obstaja danes, dobro ime namreč predstavlja ključno determinanto uspeha. Poleg tega se pravne osebe s skladnim poslovanjem in sledenjem kakovostno izoblikovani notranji politiki izognejo morebitni prekrškovni in/ali kazenski odgovornosti ali pa jo vsaj bistveno zmanjšajo.

Po slovenskem pravu pravne osebe pod določenimi pogoji lahko odgovarjajo za prekrške in kazniva dejanja, ki jih storilec izvrši v imenu ali za račun pravne osebe, v njeno korist ali z njenimi sredstvi. V kazenskem postopku mora organ pregona zatrjevati in dokazati dodaten temelj (npr. opustitev dolžnega nadzorstva s strani organov vodenja pravne osebe), v prekrškovnem postopku pa velja obratna ureditev – pravna oseba mora izkazati obstoj ekskulpacijskega razloga (npr. zadostno dolžno nadzorstvo organov vodenja in ustrezna navodila storilcu, ki jih je prekršil).

Skratka, tako v kazenskem (4. točka 4. člena Zakona o odgovornosti pravnih oseb za kazniva dejanja) kot v prekrškovnem (2. alineja tretjega odstavka 14. člena Zakona o prekrških) postopku se pogosto odpre vprašanje, ali so organi vodenja in nadzora izvrševali svoj dolžni nadzor in ali so bili tekom dolžnega nadzora sprejeti ukrepi za preprečitev kaznivega dejanja oziroma prekrška.

Poteza Cambridge Analytice (oziroma njenega naročnika) je nazorno pokazala, da so na prvi pogled neverjetni incidenti, ki se dogajajo v seriji Hiša iz kart (House of Cards), del vsakdanje resničnosti.

Vprašanje o obsegu in vsebini dolžnega nadzorstva, ustreznosti in zadostnosti pravil ter notranjih ukrepov in postopkov je kazuistično vprašanje, ki ga sodišče napolni v vsakem konkretnem primeru. V nekaterih primerih so vsebina dolžnega nadzorstva in zahtevani ukrepi že predvideni z obvezujočimi predpisi. Zanimiv je primer iz Velike Britanije, kjer je parlament v tako imenovani Bribery Act 2010 v 2. členu 7. sekcije predpisal, da pravna oseba ne odgovarja za kaznivo dejanje (corporate offence) podkupovanja (bribery), če dokaže, da je imela ustrezno oziroma zadostno urejene notranje postopke za preprečevanje protipravnega delovanja storilca (povezanega s pravno osebo). Britanska vlada je sprejela podrobne smernice, ki opredeljujejo vsebino ustreznih in zadostnih (adequate) postopkov (procedures) in ki pravnim osebam lahko služijo kot dober osnutek za oblikovanje interne politike.

V večini primerov pa je določitev vsebine notranje (korporativne) politike ter ukrepov in postopkov za zagotovitev skladnosti poslovanja in preprečevanje protipravnega delovanja prepuščena internemu urejanju pravne osebe. V takšnem primeru mora pravna oseba sprejeti jasne zaveze za zmanjševanje tveganj (cilj), jasno opredeliti splošne pristope za dosego cilja (notranje kontrole) ter določiti strategijo in konkretne ukrepe. Povedano konkretneje: pravne osebe morajo sprejeti ustrezne notranje politike z jasnimi zavezami (torej deklarativne akte), ugotoviti tveganja in stopnje tveganj glede poslovnih procesov (ocene tveganj), sprejeti pravilnike o delovanju s konkretnimi obveznostmi za zaposlene, sestaviti interne skupine za obravnavo kršitev ter zagotoviti ustrezne komunikacijske kanale, ki bodo omogočali zaupno komunikacijo in brezpogojno varovali tako imenovane žvižgače (whistleblowers).

Pri tem je koristno, da če je ugotovljeno protipravno delovanje znotraj pravne osebe, za notranjo preiskavo podjetja najamejo zunanjega izvajalca, ki od začetka sodeluje z organi pregona (interno preiskavo v koncernu VW v aferi Dieselgate je npr. opravila ameriška odvetniška družba). Takšno delovanje organi pregona v tujini pogosto štejejo kot olajševalno okoliščino oziroma izraz dejanske namere, da se storilec odkrije, povzročena poslovna škoda pa sanira.

Matija Urankar, mag. prava, Odvetniška pisarna Miro Senica in odvetniki