Co přesně je firemní know-how a proč je jeho sdílení citlivé
Firemní know-how není jen „něco, co ví jen firma“. V praxi jde o soubor postupů, dat, zkušeností, receptur, algoritmů, kontaktů, cenotvorby, procesů nebo interních metodik, jejichž hodnota spočívá v tom, že nejsou veřejně známé. Právě proto je jejich zveřejnění na sociálních sítích rizikové: obsah se může během minut rozšířit mimo zamýšlené publikum, archivovat v cache a být citován nebo přeposílán dál bez kontroly.
Podle GDPR a české legislativy je třeba odlišovat osobní údaje, obchodní tajemství a autorská díla. Každá z těchto kategorií má jiný režim ochrany. Obchodní tajemství je chráněno tehdy, pokud firma skutečně podniká přiměřené kroky k jeho utajení – například omezuje přístup, používá NDA, interní klasifikaci dokumentů a loguje sdílení. Jakmile firma publikuje citlivý postup na LinkedInu nebo v krátkém videu, může být později problém prokázat, že šlo o tajemství, nikoli jen „obecně známý postup“.
Nejčastější právní rizika: od obchodního tajemství po osobní údaje
Největší chyby vznikají při snaze ukázat „jak to děláme lépe než ostatní“. Marketing často chce demonstrovat know-how na case studies, screencastech, fotkách z výroby nebo v náborových příspěvcích. Tady vznikají čtyři hlavní okruhy rizik.
- Únik obchodního tajemství: zveřejnění interních postupů, cenových modelů, technologických parametrů, seznamu dodavatelů nebo klientských podmínek.
- Porušení autorských práv: použití cizích fotek, grafů, prezentací, kódu, videí nebo hudby bez licence.
- GDPR a ochrana osobních údajů: sdílení obličejů zaměstnanců, zákazníků, registračních značek, podpisů, e-mailů, telefonů nebo údajů z dashboardů.
- Smluvní odpovědnost: porušení NDA, mlčenlivosti, konkurenční doložky, licenčních podmínek nebo pravidel partnera, který zakazuje publicitu bez schválení.
Reálný problém bývá v kombinaci více chyb. Typický příklad: obchodní tým zveřejní screenshot z CRM jako „success story“, na obrázku je vidět jméno klienta, obrat, pipeline i interní poznámka. Marketing přidá hashtagy, příspěvek se dostane do feedů, někdo udělá screenshot a za pár hodin je data leak na světě. Z hlediska práva i reputace jde o incident, který může vést k nárokům klienta, sankcím ze smlouvy i poškození důvěry.
Jaké typy obsahu jsou nejrizikovější a proč
Nejvyšší riziko mají formáty, které vypadají „autenticky“, ale často obsahují nechtěné detaily. Jde hlavně o krátká videa z kanceláře, backstage z výroby, webináře, podcasty, screenshoty z nástrojů a fotky z porad. V praxi se do nich dostávají informace, které autor v tu chvíli nevnímá jako citlivé: názvy projektů, interní roadmapa, jména zákazníků, ceny, SLA, přístupy do systémů nebo poznámky na whiteboardu.
U technických firem je zvlášť citlivé sdílení ukázek kódu, architektury nebo AI promptů. I když se zdá, že je na obrázku jen „kus kódu“, může obsahovat proprietární logiku, API klíč nebo část pipeline. U e-commerce a služeb zase často unikají cenové modely, marže, slevové mechaniky a interní reporting. Tyto informace mohou konkurenci pomoci během dnů, zatímco firmě může škoda vznikat měsíce.
Za pozornost stojí i zaměstnanecký obsah na osobních profilech. Pokud se zaměstnanec na LinkedInu prezentuje jako expert firmy, může snadno nechtěně zveřejnit to, co by firemní profil nepublikoval. Z právního hlediska navíc není rozhodující, zda příspěvek šel z firemního nebo soukromého účtu – podstatné je, že obsah souvisí s činností firmy a může jí uškodit.
Jak nastavit interní pravidla, aby marketing neporušoval právo
Nejefektivnější obrana není zákaz publikování, ale jasný proces. Firmy, které mají na sociální sítě jednoduchý schvalovací workflow, mají výrazně menší riziko incidentů než ty, kde „to někdo rychle postne“. Praktické minimum je tříkrokový proces: vytvoření obsahu, právní a bezpečnostní kontrola, publikace.
U menších firem stačí jednoduchá interní směrnice na 2–4 strany. Měla by obsahovat:
- co je považováno za obchodní tajemství a citlivé údaje,
- kdo schvaluje obsah s klienty, zaměstnanci a partnery,
- jaké typy screenshotů a fotek jsou zakázané,
- pravidla pro použití log, citací, referencí a case studies,
- postup při incidentu, když se něco zveřejní omylem.
V praxi pomáhá jednoduchý checklist před publikací. Doporučuji ověřit minimálně pět bodů: obsah neobsahuje osobní údaje, neukazuje interní rozhraní s citlivými daty, neporušuje NDA, máme licenci na použité podklady a publikace neodhaluje strategické informace. Pokud některý bod není jistý, příspěvek by měl projít právním nebo bezpečnostním schválením.
U firem s vyšším objemem obsahu se vyplatí nástroje jako Asana, Notion, ClickUp nebo Jira pro řízení schvalování. Pro správu práv a podkladů je vhodné mít centrální úložiště s verzováním a jasně označenými soubory: „schváleno pro public“, „jen interně“, „smluvně omezeno“. Tím se snižuje riziko, že se do kampaně dostane neaktuální nebo zakázaný materiál.
Technická a organizační opatření, která snižují škodu při chybě
Prevence není jen o procesech, ale i o technickém nastavení. Pokud tým sdílí videa, screenshoty nebo dokumenty, je vhodné používat nástroje pro anonymizaci dat. Pro obrázky a videa lze využít například Adobe Acrobat pro redakci PDF, Canva nebo Figma pro přelepování citlivých částí a u technických týmů i jednoduché skripty na automatické maskování údajů ve screencastech.
Dobrá praxe je také oddělení produkčních a marketingových účtů. Nikdy by se neměly sdílet přístupy do interních systémů jen proto, že „je to rychlejší“. U cloudových nástrojů se vyplatí aktivovat audit logy, dvoufaktorové ověření a role-based access control. Když dojde k úniku, auditní stopa pomůže zjistit, kdo materiál vytvořil, schválil a publikoval.
U citlivých kampaní je vhodné nastavit i krizový postup. Ten by měl obsahovat:
- kdo okamžitě stáhne příspěvek ze všech platforem,
- kdo komunikuje s klientem, pokud se dotknete jeho dat,
- kdy se incident hlásí právníkovi nebo DPO,
- jak se archivují důkazy pro případ sporu.
Rychlost reakce je zásadní. U sociálních sítí platí, že prvních 30–60 minut rozhoduje o tom, zda jde o opravitelnou chybu, nebo o veřejný problém. Pokud se navíc jedná o osobní údaje, je nutné zvážit hlášení porušení zabezpečení podle GDPR v zákonné lhůtě 72 hodin.
Kdy se vyplatí zapojit právníka a jak poznat varovné signály
Právní kontrola by neměla být jen „na konci, když je problém“. Vyplatí se ve chvíli, kdy obsah pracuje s klientskými daty, výsledky kampaní, interními procesy, smluvní dokumentací, zaměstnanci nebo technologickými detaily. Stejně tak u obsahu, který má být dlouhodobě použitelný a bude se šířit i mimo původní platformu. To platí hlavně pro whitepaperové posty, carousel prezentace, video case studies a webináře.
Varovné signály jsou poměrně jasné: tým chce „jen rychle zveřejnit screenshot“, nikdo neví, odkud je použitá grafika, u reference od klienta není písemný souhlas, nebo se příspěvek opírá o čísla, která nejsou veřejně ověřitelná. V těchto situacích je bezpečnější obsah upravit, anonymizovat nebo publikaci odložit. Jeden opatrný krok obvykle stojí méně než řešení sporu, stažení kampaně a vysvětlování na trhu.
Firmy, které chtějí sdílet know-how efektivně a bez zbytečného rizika, by měly pracovat s principem „minimum necessary disclosure“: ukázat dost na to, aby obsah byl hodnotný, ale ne tolik, aby odhalil citlivé know-how. To je v praxi nejlepší rovnováha mezi marketingem, obchodem a právní ochranou.
