Məhkəmə və arbitraj işləri

Məxfi məlumatların qorunması üzrə hüquq şirkətinə qarşı iddia: Hiscox Insurance Company Inc. v. Warden Grier LLP

Ötən günlərdə Qərbi Missuri Əyaləti üzrə ABŞ Mahal Məhkəməsində bir hüquq şirkətinə qarşı iddia qaldırılıb. İddianın əsas məzmununu hüquq şirkətinin məxfi məlumatların qorunması üzrə öhdəliklərini pozması və buna müvafiq olaraq kompensasiya tələb edilməsi təşkil edir. İnformasiya texnologiyalarından istifadənin hüquq sənayesi üzrə genişlənməsi bu sahənin təhlükəsizlik risklərini də artırıb. Bu yazıda işin halları və iddianın əsası təhlil olunacaqdır.

Tərəflər. İş üzrə birgə iddiaçı qismində “Hiscox Insurance Company Inc.” və “Hiscox Syndicates Limited” şirkətləri (bundan sonra “İddiaçı”) çıxış edir. “Hiscox Insurance Company Inc.” Çikaqoda fəaliyyət göstərən sığorta şirkətidir. “Hiscox Syndicates Limited” şirkəti isə İngiltərə və Uels qanunvericiliyinə müvafiq olaraq təsis olunmuş şirkətdir.

Cavabdeh qismində isə “Warden Grier LLP” şirkəti (bundan sonra “Cavabdeh”) çıxış edir. Cavabdeh hüquqi ünvanı Missuri ştatında olan və dörd nəfərdən ibarət kiçik hüquq şirkətidir.

Faktlar. İddiaçı peşəkar məsuliyyətin sığortası ilə məşğul olan sığorta qrupudur. 2011-ci ildə İddiaçı Cavabdeh ilə müqavilə bağlayaraq öz hüquq işlərinin görülməsini ona həvalə edir. Tərəflər arasında iki fərqli müqavilə imzalanır və hər bir müqavilə üzrə vəkil sirri ilə bağlı müddəalar müəyyən olunur. Müxtəlif dövrlərdə Cavabdeh İddiaçının işləri ilə bağlı onun özü və müştəriləri ilə əlaqədar çoxsaylı məlumatlar əldə edir.

2016-cı ilin dekabr ayında “The Dark Overlord” adlı xaker qrupu Cavabdehin komputer serverlərinə icazəsiz daxil olur və mühüm əhəmiyyətli və konfidensial xarakterə malik məlumatları əldə edir. Əldə olunan məlumatlar sırasında İddiaçıya və onun müştərilərinə aid çoxsaylı məlumatlar yer alır.

Baş vermiş hadisənin nəticələrini müəyyən etmək üçün Cavabdeh əlavə vəkilləri işə cəlb edir və Federal Təhqiqat Bürosuna  məlumat verir. Lakin Cavabdehin üç məsələ ilə bağlı hərəkəti/hərəkətsizliyi məsələni daha da qəlizləşdirir:

  1. Cavabdeh əlavə vəkillər işə cəlb etsə də, baş vermiş məlumat sızıntısını təhlil etmək və gələcək hadisələrin qarşısını almaq üçün hər hansı İT şirkətini işə cəlb etmir;
  2. Cavabdeh hadisə baş verdikdən sonra İddiaçıya heç bir bildiriş vermir;
  3. Cavabdeh məlumatları “The Dark Overlord” adlı qrupun əldə etdiyini öyrəndikdən sonra məlumatların yayılmasının qarşısını almaq üçün sözügedən qrupa böyük məbləğdə pul ödəyir.

28 mart 2018-ci ildə İddiaçının işçilərindən biri təsadüfən sosial şəbəkədən istifadə edərkən “dark web” adlanan şəbəkədə şirkətləri barədə məlumatların yer aldığını müşahidə edir. 31 mart 2018-ci il tarixində İddiaçı Cavabdehin nümayəndələri ilə telefon vasitəsilə əlaqə saxlayır və ilk dəfə olaraq məlumatların 2016-cı il dekabr hadisələri nəticəsində əldə olunduğunu öyrənir və dərhal öz müştərilərinə bu barədə məlumat verir.

Nəzərə alaraq ki, Cavabdeh 2016-cı ildə baş vermiş məlumat sızıntısı ilə bağlı heç bir tədbir görməyib, İddiaçı baş vermiş hadisəni və Cavabdehin məxfi məlumatları qorumaq öhdəliklərinin mövcud olub-olmaması ilə bağlı araşdırma aparır. Bütün qeyd olunanların nəticəsi olaraq İddiaçı 1,5 milyon ABŞ dolları məbləğində zərərə məruz qaldığını müəyyən edir. Qeyd olunan məbləğ, həmçinin 2016-cı il hadisəsinin araşdırılması ilə bağlı və məlumatların yayılmasının təsir edə biləcəyi müştərilərə (eləcə də, Cavabdehin öz müştərilərinə) məlumat verilməsi barədə İddiaçının çəkdiyi xərcləri də əhatə edir. Cavabdeh işlə bağlı heç bir məsuliyyət daşımadığını bildirir.

İddianın əsası. İddiaçı öz iddiasını aşağıdakı əsaslar üzrə irəli sürür:

Müqavilə üzrə öhdəliklərin pozulması. Tərəflər arasında bağlanmış müqavilələrə əsasən Cavabdehin İddiaçının məxfi məlumatlarını qorumaq öhdəliyi mövcuddur. Belə ki, sözügedən müqavilələrdə qeyd olunur ki, “Cavabdeh müştəri məlumatlarını mühafizə edəcək və hər hansı bədbəxt hadisənin baş verməsinə qarşı tədbirlər görəcəkdir”.1 Bununla İddiaçı bildirir ki, Cavabdeh tərəf 2016-cı ildə baş vermiş məlumatların yayılması barədə düzgün və vaxtında araşdırma aparmamaq və İddiaçının özünə və müştərilərinə məlumat verməməklə yuxarıda qeyd olunan öhdəliklərini pozmuşdur.

Fidusiar öhdəliklərin pozulması. İddiaçı eyni zamanda irəli sürür ki, tərəflər arasında vəkil-müştəri məxfiliyi mövcud olub. İddiaçı təqdim olunan məxfi məlumatları mühafizə edə bilmədiyinə görə və vaxtında ona məlumat vermədiyinə görə Cavabdehin hərəkətini/hərəkətsizliyini fidusiar öhdəliklərin pozulması kimi də qiymətləndirir.

–  Etinasızlıq. İddiaçı qeyd edir ki, Cavabdeh müqavilə üzrə, eləcə də qanunla müəyyən olunan öhdəliklərini, həmçinin fidusiar öhdəliklərini və etik davranış qaydalarını pozmuş və məsuliyyətsiz davranmışdır. Eyni zamanda İddiaçı qeyd edir ki, Cavabdeh Missuri Ştatı Qanunlarına (§407.1500) əsasən, “hər hansı təhlükəsizlik hallarının pozulması zamanı bu cür halın müəyyən olunmasından sonra bu barədə müvafiq istehlakçılara məlumat verilməsi”2 barədə öhdəlik daşıyır.

Yuxarıda qeyd olunanlardan əlavə məlumatların mühafizə olunması ilə bağlı Amerika Vəkillər Kollegiyasının Model Qaydalarında (məsələn, Qayda 1.1 və 1.6)3, eləcə də Missuri Peşəkar Davranış Qaydalarında (məsələn, Qayda 4-1.6) müddəalar mövcuddur. Misal olaraq, Missuri Peşəkar Davranış Qaydalarının 4-1.6-cı bəndinə əsasən “hüquqşünas öz müştərisi ilə bağlı məlumatın ehtiyatsızlıqdan və ya icazəsiz əldə olunması və yayılmasının qarşısını almaq üçün zəruri tədbirlər görməlidir”.4 Digər tərəfdən Amerika Vəkillər Kollegiyası analoji məsələ ilə bağlı 1995-ci ildə rəsmi rəy bildirmişdir. Həmin rəydə qeyd olunur ki, “Komputerlərinin texniki təminatınıhəyata keçirən şirkətlərə müştəri məlumatlarına giriş verən hüquqşünas şirkətin müştəri məlumatlarının məxfiliyini qorumaq üçün müvafiq qaydalarının mövcud olmasını və ya yaratmasını təmin etmək üçün müvafiq tədbirlər görməli və hər hansı məxfilik halının pozulması baş verərsə, müştəriyə bu barədə məlumat verməlidir.”

İşlə bağlı hazırda Məhkəmənin yekun qərarı elan olunmamışdır. Yekun qərar elan olunduqdan sonra bu barədə digər yazı təqdim olunacaqdır.

İstinadlar və izahlar

  1. Hiscox Insurance Company Inc. v. Warden Grier LLP, 27 mart 2020-ci il, paraqraf 29
  2. RSMo. §407.1500, https://revisor.mo.gov/main/OneSection.aspx?section=407.1500 (son dəfə baxılıb: 06.05.2020).
  3. Amerika Vəkillər Kollegiyası Model Qaydaları, Qayda 1.1 və 1.6.
  4. Missuri Peşəkar Davranış Qaydaları, Qayda 4-1.6.