Cyberbezpieczeństwo a przetwarzanie danych

Podejmując problematykę cyberbezpieczeństwa, bardzo często koncentrujemy się jedynie na aspektach stricte technicznych i zagrożeniach z zewnątrz, zapominając, iż równie ważne jest odpowiednie przygotowanie ram organizacyjno-prawnych oraz kształtowanie kultury bezpieczeństwa wśród pracowników, zleceniobiorców i kontrahentów.

RODO

O konieczności dostosowania prowadzonej działalności do postanowień wynikających z rozporządzenia RODO1, które weszło w życie 25 maja 2018 r. napisano już wiele. Mimo to warto do niego nawiązać, gdyż w rzeczywistości każde przedsiębiorstwo w mniejszym lub większym stopniu dokonuje operacji na danych osobowych. Jest to istotne, ponieważ obecna sytuacja sprzyja wzrostowi liczby cyberataków oraz naruszeń danych osobowych, wynikających przede wszystkim z błędów popełnianych przez pracowników. Jednocześnie można się spodziewać, że Urząd Ochrony Danych Osobowych coraz mniej pobłażliwie będzie podchodzić do niezgodności z RODO, zważywszy na czas, jaki upłynął od wejścia rozporządzenia w życie. Jeżeli wdrożenie RODO dotychczas było odwlekane, należy podejść do niego dwutorowo. Po pierwsze trzeba
zidentyfikować, jakimi danymi osobowymi dysponujemy, w jaki sposób je wykorzystujemy oraz czy są w rzeczywistości potrzebne, a ponadto jakie działania powinniśmy podjąć w celu zminimalizowania ryzyka ich naruszenia (kradzieży, przypadkowego ujawnienia itd.). Należy też zadbać o przekazanie stosownych informacji osobom, których owe dane dotyczą, aby wiedziały o fakcie wykorzystywania tych danych i miały świadomość praw, jakie im przysługują. Po drugie trzeba zbudować wśród pracowników poczucie odpowiedzialności za dane osobowe, z którymi mają na co dzień do czynienia. Na początku mogą to być uniwersalne zasady bezpieczeństwa, takie jak zachowanie porządku i ładu w miejscu pracy (zasada „czystego biurka”), niepozostawianie wydruków w drukarce, niszczenie dokumentów w niszczarkach, ograniczenie stosowania jednakowych i prostych haseł do systemów i aplikacji, z których się korzysta, weryfikacja adresatów korespondencji e-mailowej, wyjątkowa ostrożność przy reagowaniu na budzące wątpliwości e-maile, np. informujące o rzekomo niezapłaconych fakturach czy przyjmowanie interesantów tylko w przeznaczonych do tego celu miejscach w firmie.

To jedynie przykładowe sposoby. Istotny jest fakt, że RODO nie wymienia sztywnego katalogu zasad bezpieczeństwa. Wskazuje jedynie, że muszą być one „odpowiednie” do zidentyfikowanego, potencjalnego ryzyka. Określenie owego ryzyka spoczywa natomiast na administratorze danych – firmie, którą reprezentuje zarząd lub jej właściciel.

Tajemnica przedsiębiorstwa

Poza danymi osobowymi każda firma dysponuje także innymi informacjami, które mogą mieć dla niej szczególne znaczenie gospodarcze i stanowić o przewadze nad konkurencją. Wspominam o tym, gdyż poza wejściem w życie RODO, w 2018 r. została jednocześnie znowelizowana ustawa o zwalczaniu nieuczciwej konkurencji, co odbiło się (niesłusznie) zdecydowanie mniejszym echem.

Modyfikacji uległ przede wszystkim art. 11, na nowo definiując pojęcie „tajemnicy przedsiębiorstwa”. Zgodnie z ust. 2 rozumie się ją jako informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje mające wartość gospodarczą, które jako całość lub w szczególnym zestawieniu i zbiorze ich elementów nie są powszechnie znane osobom zwykle zajmującym się tym rodzajem informacji albo nie są łatwo dostępne dla takich osób, o ile uprawniony do korzystania z informacji lub rozporządzania nimi podjął, przy zachowaniu należytej staranności, działania w celu utrzymania ich w poufności.

Wszystkie wymienione elementy muszą bezwzględnie zostać spełnione łącznie, aby daną informację potraktować jako tajemnicę przedsiębiorstwa w myśl ustawy. W przeciwnym razie, np. w przypadku wykorzystania takich informacji przez konkurencję, sąd nie potraktuje ich jako tajemnicę przedsiębiorstwa, co praktycznie uniemożliwi pociągnięcie sprawców do odpowiedzialności karnej lub cywilnej wynikającej z ustawy.

Przy założeniu spełnienia powyższych przesłanek przykładami tajemnicy przedsiębiorstwa mogą być: cenniki, treść negocjacji, złożone zapytania ofertowe – w obszarze sprzedaży; plany i kampanie reklamowe – w obszarze marketingu; siatka wynagrodzeń – w obszarze HR; stosowane receptury, przepisy i rozwiązania technologiczne – w obszarze produkcji czy wyniki badań – w obszarze rozwoju.

Non-Disclosure Agreements (NDA)

Przeważnie emanacją działań zmierzających do utrzymania w poufności wartościowych informacji, o których wspomniałem powyżej, jest zawieranie umów o zachowaniu poufności (NDA). Można nimi związać zarówno pracowników, jak i kontrahentów. Zwracam na nie uwagę głównie dlatego, że na skutek komentowanej nowelizacji z 2018 r. usunięto przepis, zgodnie z którym rozwiązania dotyczące czynów nieuczciwej konkurencji „stosuje się również do osoby, która świadczyła pracę na podstawie stosunku pracy lub innego stosunku prawnego – przez okres trzech lat od jego ustania, chyba że umowa stanowi inaczej albo ustał stan tajemnicy”.

Innymi słowy, do września 2018 r., przy braku innych postanowień wynikających z NDA, osoba zobligowana do zachowania poufności musiała się powstrzymać od ujawnienia owych istotnych informacji jedynie przez okres trzech lat od zakończenia współpracy. Obecnie obowiązek ten nie jest ograniczony żadnymi terminami, co jest o wiele bardziej korzystnym rozwiązaniem. Jeżeli jednak przedsiębiorca nadal używa wzorów NDA z lat poprzedzających nowelizację, może okazać się, iż niepotrzebnie ogranicza czasowo ochronę swoich wartościowych informacji. Warto zatem okresowo weryfikować zapisy stosowanych umów, ewentualnie dążyć do renegocjowania już zawartych.

Zakaz konkurencji

Innym sposobem zabezpieczenia się przed niepożądanym zachowaniem pracownika po zakończeniu współpracy jest podpisywanie umów o zakazie konkurencji. Wskazówki dotyczące tego rozwiązania można odnaleźć w art. 101[1]–101[4]. Kodeksu pracy. Mowa tu o osobach zatrudnionych na podstawie umowy o pracę, ale nic nie stoi na przeszkodzie, aby zawierać umowy o podobnym charakterze z osobami pracującymi na podstawie umów cywilnoprawnych albo ze współpracującymi przedsiębiorcami.

Zakaz konkurencji podczas pracy/współpracy co do zasady nie budzi wątpliwości. Zdecydowanie bardziej newralgicznym elementem jest zakaz obowiązujący po zakończeniu wzajemnych stosunków. Istotne jest przy tym, aby taka umowa zawierała przynajmniej wyraźnie określony rodzaj działalności, która traktowana jest jako działalność konkurencyjna, okres obowiązywania zakazu, karę umowną za naruszenie zakazu oraz wynagrodzenie za powstrzymywanie się od działalności uznanej za konkurencyjną.

Co prawda zasada swobody umów umożliwia określenie nieodpłatnego zakazu konkurencji, jednak sądy, rozpatrując spory pojawiające się na gruncie takich umów, ze zdecydowanie większym dystansem podchodzą do tego typu rozwiązań i są bardziej skłonne do stwierdzenia nieważności umowy w takim zakresie.

Praca zdalna

W odpowiedzi na konieczność częściowego lockdownu, ustawodawca w ustawie z marca 2020 r. o przeciwdziałaniu COVID-19² zdecydował się na wprowadzenie szczątkowych uregulowań dotyczących pracy zdalnej. Na jej podstawie (art. 3) pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę poza miejscem jej stałego wykonywania, o ile pracownik dysponuje odpowiednimi umiejętnościami i możliwościami technicznymi i lokalowymi. Zasadą jest, że sprzęt do wykonywania pracy zdalnej powinien zapewnić pracodawca. Istnieje jednak możliwość korzystania z narzędzi niezapewnionych przez pracodawcę „pod warunkiem, że umożliwia to poszanowanie i ochronę informacji poufnych i innych tajemnic prawnie chronionych, w tym tajemnicy przedsiębiorstwa lub danych osobowych, a także informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę” (art. 3 ust. 5).

Podaję bezpośrednio treść tego przepisu nieprzypadkowo. Z obserwacji wynika bowiem, że niesie on ze sobą spore zagrożenie. Na porządku dziennym jest zezwalanie pracownikom na korzystanie z własnego sprzętu. Co ważne, nie chodzi tu wyłącznie o laptopy, lecz często także o prywatne telefony i tablety. Wielokrotnie też można spotkać się z sytuacjami, gdy do realizacji swoich obowiązków pracownicy wykorzystują różnego rodzaju komunikatory, takie jak Messenger, WhatsApp lub prywatne poczty elektroniczne. Może dojść w efekcie do sytuacji, w której pomimo poniesienia sporych nakładów finansowych na systemy bezpieczeństwa cyfrowego w firmie, staną się one bezużyteczne, np. na skutek uzyskania haseł dostępu przez podmiot trzeci, dzięki niezabezpieczonemu w jakikolwiek sposób urządzeniu mobilnemu pracownika.

Zgodnie z zapowiedziami rządu jeszcze w I kwartale 2021 r. praca zdalna ma zostać uregulowana w Kodeksie pracy, przy czym przepisy mają pozostawiać sporą swobodę dla pracodawców i pracowników. Rozsądne jest zatem wyraźne usystematyzowanie zasad pracy zdalnej w przedsiębiorstwie już teraz, z uwzględnieniem wykorzystania przez pracownika własnego sprzętu, minimalnych środków bezpieczeństwa, które muszą być spełnione oraz zakresu zadań dopuszczalnych w ramach takiej pracy.

source: Automatyka 1-2/2021