Pliku z listą płac nie wystarczy skasować

Ujawnienie wysokości poborów jest jednym z poważniejszych naruszeń dóbr osobistych zatrudnionego. Dostęp do listy płac ma zarówno dział księgowości, kadr, związki zawodowe, jak i osoby zarządzające firmą. Zdarza się, że kadry kierują np. zawierającą wysokość pensji informację mailową do nieodpowiedniej osoby. Pomyłka ze strony księgowości najczęściej dotyczy wysłania gotówki na konto bankowe innej osoby.

Rozpowszechnianie tego typu informacji, chociaż prawnie zabronione, może być elementem zarządzania firmą: budowania lojalności, motywowania czy też wyznaczania celów. - W momencie nawiązania stosunku pracy zatrudniony godzi się dobrowolnie, co prawda, na pewne ograniczenie wolności, jednak zawsze zachowuje prawo do prywatności, które obejmuje zachowanie w poufności informacji o wysokości pobieranego wynagrodzenia - mówi Piotr Didenkow, prawnik z Uniwersytetu Kardynała Stefana Wyszyńskiego. - Dlatego bez względu na motywację osoby zdradzającej innym taką informację, pozycję w hierarchii zawodowej czy konsekwencje ujawnienia wysokości poborów konkretnej osoby jest zawsze działaniem nielegalnym.

Złamana tajemnica

Zgodnie z art. 23 i 24 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. 2014 r. poz. 121; dalej: k.c.) należne pracownikowi wynagrodzenie jest dobrem osobistym i jest objęte ochroną przed ujawnieniem. Jak orzekł Sąd Najwyższy, złamanie tej zasady może stanowić naruszenie dóbr osobistych zatrudnionego (uchwała SN z 16 lipca 1993 r., sygn. akt I PZP 28/93, OSNC 1994/1/2).

Skutkiem ujawnienia tajemnicy może być żądanie ze strony pracownika naprawienia szkody. Ma on prawo domagać się zarówno prywatnych, jak i publicznych przeprosin (słownie lub na piśmie), ale także, w przypadku poniesienia strat, może wystąpić o zadośćuczynienie finansowe. Ustalenie jego wysokości najczęściej jest rezultatem indywidualnych negocjacji między poszkodowanym i osobami zarządzającymi przedsiębiorstwem. W sytuacjach spornych sprawa jednak może trafić do sądu. Naruszenie dóbr osobistych pracownika może być także ścigane na podstawie art. 218 ustawy z 6 czerwca 1997 r. - Kodeks karny (Dz.U. nr 88, poz. 553 ze zm.), zgodnie z którym zagrożone jest ono karą grzywny, ograniczenia lub pozbawienia wolności do lat dwóch.

Z winy innej osoby

Gdy do ujawnienia wysokości zarobków konkretnej osoby dojdzie z winy innego pracownika, przełożony, zgodnie z art. 108 par. 8 ustawy z 26 czerwca 1974 r. - Kodeks pracy (t.j. Dz.U. 1998 r. nr 21, poz. 94; dalej k.p.), może ukarać go upomnieniem, naganą lub adnotacją wpisaną do akt. Gdy naruszenie spowoduje powstanie szkody, mogą powstawać roszczenia zarówno poszkodowanego wobec pracodawcy, jak i pracodawcy wobec osoby, która podczas wypełnienia obowiązków zawodowych, celowo czy przez nieuwagę, bez zgody ujawniła takie informacje. Za szkodę odpowiada wtedy także pracodawca. Do jego obowiązków bowiem należy podjęcie takich działań, aby informacje były bezpieczne. Jeżeli jednak dochował on należytej staranności, a do ujawnienia i tak doszło, może on na podstawie art. 120 k.p. domagać się zwrotu zadośćuczynienia od osoby, która złamała w tym zakresie prawo.

Nieuzasadnione ujawnienie wysokości wynagrodzenia może być także przyczyną rozwiązania z taką osobą umowy o pracę. Pracodawca może uznać bowiem, że na skutek takiego zdarzenia utracił do niej zaufanie, co może stanowić wiarygodne uzasadnienie wypowiedzenia.

Zgodnie z prawem

Obowiązek ujawnienia poborów wynika choćby z ustawy z 29 sierpnia 1997 r. o komornikach sądowych i egzekucji (t.j. Dz.U. 2011 r. nr 231, poz. 1376 ze zm.). Zgodnie z nią przedsiębiorca ma obowiązek poinformować o wysokości pensji prowadzącego egzekucję.

Z kolei na podstawie ustawy z 23 maja 1991 r. o związkach zawodowych (t.j. Dz.U. 2014 r., poz. 167) pracodawca musi ujawnić taką informację na prośbę organizacji, ale tylko gdy zagrożone są interesy takiej osoby w zakresie kształtowania wynagrodzeń oraz jeśli zwróci się ona do przedstawicieli związku o zbadanie tej kwestii lub wyrazi pisemną zgodę na ujawnienie wysokości własnych poborów. Jeśli natomiast związek prowadzi tylko postępowanie ogólne, dotyczące grupy lub w zakresie polityki wynagrodzeniowej w zakładzie, pracodawca może udzielić informacji o zasadach kształtowania płac w takim zakresie, który nie pozwoli na przypisanie konkretnego wynagrodzenia do poszczególnej osoby. - Jeżeli zatem tylko jeden pracownik zatrudniony jest na danym stanowisku, pracodawca nie powinien udzielać takich informacji związkowcom - mówi Didenkow.

Szyfrowanie i czyszczenie

Ale do wycieku informacji o wynagrodzeniach może dojść także na skutek cyberprzestępstwa: świadomego pobrania tego rodzaju danych przez podmiot (osobę) zewnętrzny. Do tego rodzaju zdarzeń dochodzi najczęściej podczas wymiany sprzętu informatycznego (stacje PC) oraz renowacji infrastruktury informatycznej (sieć wewnętrzna). Niestety, jak wynika z raportu firmy doradczej PwC, przedsiębiorcy rzadko zdają sobie sprawę z zagrożenia. Blisko połowa badanych sygnalizuje związany z tego typu nielegalną działalnością brak poczucia bezpieczeństwa. W większości krajowych firm, jak wynika z badania, właściciele nie przykładają należytej staranności do implementacji odpowiednich zabezpieczeń. - Panuje przekonanie, że wystarczy skasowanie zawierającego np. listę płac pliku lub ukrycie go w chmurze lub na dysku zewnętrznym - mówi Artur Gajda, specjalista ds. informatycznych w sektorze małych i średnich przedsiębiorstw. - Tymczasem popularne systemy operacyjne, takie jak Windows czy Linux, przechowują jedynie ścieżkę dotarcia do zapisanego w pamięci pliku. Sama aplikacja pozostaje na wewnętrznym nośniku pamięci i można w prosty sposób odzyskać ją poprzez sformatowanie dysku do poziomu BIOS-u. W ten sposób możliwe jest nawet odzyskanie informacji ze zniszczonego nośnika.

Najprostszym sposobem zabezpieczenia przed taką "ścieżką wycieku" jest przeniesienie aplikacji na bezpieczny dysk i pozbycie się kopii przez użycie specjalistycznych, przeznaczonych do tego programów. Skuteczność jednak tego typu softu jest niewielka. Programy takie zazwyczaj nie usuwają informacji, szyfrują je tylko poprzez dopisywanie tak, aby odczytanie było trudne, chociaż nie niemożliwe. Czyszczenie dysku takim programem jest proste: trzeba zaznaczyć przeznaczony do ukrycia plik, zbiór informacji (folder) lub dyskową partycję (część nośnika pamięci). Aplikacja z poziomu programu operacyjnego sama szyfruje dane, a czynność ukrywania informacji ze średniej wielkości dysku zajmie ok. 30 minut. - Osoby, które nie mają wiedzy, nie będą w stanie ich odczytać - twierdzi Artur Gajda. - Ale dla profesjonalisty ich odzyskanie nie będzie problemem. Bardziej skuteczne, choć także niegwarantujące 100 proc. bezpieczeństwa, są płatne wersje takiego softu.

Do kosza

Bardziej skutecznym sposobem likwidacji informacji jest całkowite rozmagnesowanie dysku twardego. Można to zrobić, używając tzw. demagnetyzerów, które powodują, że z dysku nieodwołalnie znikają wszelkie zapisane na nim dane. W przypadku czyszczenia pamięci jednego nośnika bardziej opłacalne jest zamówienie usługi w firmie zewnętrznej. Gdy jednak operacja taka ma dotyczyć wielu stanowisk, korzystniejsze jest kupno urządzenia. Za nowy egzemplarz, w zależności od marki i modelu, trzeba zapłacić od 7 do 12 tys. zł. Używane, choć trudno dostępne, mogą być o 50 proc. tańsze. Podłączanym do stacji PC poprzez gniazdko USB demagnetyzerem można wyczyścić pamięć zarówno uszkodzonych, jak i sprawnych nośników pamięci. Takiej operacji mogą być poddane dyski twarde, ale także tzw. taśmy magnetyczne. Poszczególne modele urządzeń, prócz ceny, różnią się także szybkością. Urządzenia takie jak np. Intimus działają na nośnik, wysyłając do niego silny impuls magnetyczny, który likwiduje wszystkie informacje w ciągu kilku sekund. Na skutek mechanicznej ingerencji dysk lub taśma nie nadają się potem do ponownego użycia.

Jednak urządzenia pracujące tzw. metodą Secure Ertse (np. Intimus Hammer) kasują dane z prędkością 4GB na minutę (wyczyszczenie dysku o pojemności 250 GB zajmie ok. godziny). Dysk w wyniku takiej operacji nie ulega zniszczeniu i po przeprowadzeniu likwidacji nadal będzie można go używać.

@RY1@i02/2014/088/i02.2014.088.21700110b.802.jpg@RY2@

Cyberprzestępstwa w firmach

Maria Kamila Puch

dgp@infor.pl