Spora część firmowych danych to tajemnica, którą należy umiejętnie i odpowiedzialnie zarządzać

Trudno wyobrazić sobie prowadzenie firmy bez stale uzupełnianej bazy klientów. Ale nie każdy wie, że w Polsce obowiązują stosunkowo surowe przepisy związane z przetwarzaniem danych osobowych (ustawa z 29 sierpnia 1997 roku, Dz.U. 2002 nr 101 poz. 926). Nawet zwykły adres e-mail może być informacją podlegającą ochronie. Nad przestrzeganiem prawa w tym zakresie czuwa generalny inspektor ochrony danych osobowych (GIODO). Jeżeli jego przedstawiciele uznają, że w zakresie przetwarzania danych osobowych doszło do złamania ustawy, mają obowiązek zawiadomić organy ścigania o możliwości popełnienia przestępstwa. Te z kolei mogą skierować sprawę do sądu. W wydawaniu wyroków w tym zakresie Temida jest, co prawda, wstrzemięźliwa, ale teoretycznie za naruszenie prawa grozi kara do dwóch lat pozbawienia wolności. Przedsiębiorcy, który złamie ustawę, grożą również sankcje administracyjne (mandaty) i cywilne, ponieważ osoby pokrzywdzone mogą zażądać odszkodowania.

Świadoma zgoda

Nie każda informacja, którą dysponuje firma, podlega ochronie. Zgodnie z prawem są nimi wszystkie dane, które w sposób jednoznaczny identyfikują konkretnego człowieka. Może to być więc jego imię i nazwisko, numery urzędowe (np. PESEL), a także cechy indywidualne (kolor oczu, znamiona itp.). Ogólne informacje, takie jak numer mieszkania, posesji czy wysokość wynagrodzenia, uzyskują status chronionych, gdy występują w połączeniu z takimi, które wskazują na konkretną osobę. Podobnie rzecz ma się z adresem e-mailowym. Konstrukcje abstrakcyjne, takie jak na przykład komin123@onet.pl nie są zastrzeżone, bo nie pozwalają na jednoznaczną identyfikację właściciela. Gdy jednak zawierają imię i nazwisko, a czasem firmę, która nie jest prowadzącym konta, zwykłym portalem tzw. horyzontalnym (np. karol.nowak@pzu.pl), już za taką informację zostanie uznany. Na ich podstawie można bowiem dowiedzieć się, że osoba o takim imieniu i nazwisku pracuje w największej korporacji ubezpieczeniowej.

Często jednak nie można skontrolować, w jakim formacie zostaną podane adresy (na przykład podczas zbierania zapisów na newsletter). Specjaliści radzą, iż należy wówczas założyć, że wszystkie znajdujące się w zbiorze dane figurują jako zastrzeżone. - W takiej sytuacji wobec całej listy najlepiej zastosować odpowiednie procedury ochronne - twierdzi Artur Gajda, specjalista ds. informatycznych w sektorze małych i średnich przedsiębiorstw.

W pierwszej kolejności należy uzyskać od dysponentów zgody na przetwarzanie informacji. To one decydują o legalności zbioru. Nie ma konkretnych wytycznych formułowania takiej klauzuli. Wyrażający zgodę po prostu powinien być w pełni świadom tego, na co się zgadza. Zatem z tekstu oświadczenia musi wynikać w jakim zakresie, celu oraz przez kogo informacje takie mogą być przetwarzane.

Zaufanie hostera

Kolejnym krokiem jest przygotowanie i bieżące prowadzenie dokumentacji zawierającej zgody subskrybentów (zaniedbanie w tym zakresie jest najczęściej powtarzającym się wykroczeniem). Nad przetwarzaniem danych osobowych powinien czuwać tzw. administrator bezpieczeństwa informacji. Jego obowiązkiem jest bieżące monitorowanie bezpieczeństwa posiadanych przez firmę danych oraz ochrona (zabezpieczenie przed wyniesieniem, przetwarzaniem niezgodnie z ustawą oraz utratą, zmianą, zniszczeniem, uszkodzeniem itp.). Administrator powinien także prowadzić dokumentację opisującą sposób przetwarzania informacji, a także podjęte w związku z tym środki bezpieczeństwa.

Jednym z ważnych wymogów, które nakłada ustawa, jest obowiązek tzw. rejestracji zbioru poprzez skierowanie wniosku do GIODO. Administrator z kolei powinien mieć od właściciela firmy pisemne upoważnienie określające m.in. czas, na jaki uprawnienia do posługiwania się zbiorem zostaną mu powierzone. Dokument taki, prócz standardowych danych, musi określać zakres powierzonych uprawnień (na przykład nazwę zarządzanego zbioru). Administrator z kolei powinien zobowiązać się do zachowania zawartości zbioru w ścisłej tajemnicy.

Te wszystkie obowiązki można powierzyć wyspecjalizowanej firmie zewnętrznej. Dobrym sposobem jest skorzystanie w tym zakresie z usług użyczającego miejsce na serwerze dostawcy usług hostingowych. Przed zawarciem umowy, jak radzą specjaliści, warto jednak sprawdzić, czy firma hostingowa zgłosiła do GIODO swoje własne zbiory. Warto także poprosić ją o udostępnienie wyników poprzednich kontroli. Wiele takich firm nie spełnia bowiem wymogów stawianych przez ustawę. - Powierzając administrowanie danymi podmiotowi zewnętrznemu należy pamiętać o zawarciu umowy powierzenia - przypomina Gajda. - Prawo wymaga, aby i ona zawierana była na piśmie oraz określała zakres i cel przetwarzania danych.

Tajemnica pracownika

Ochrony wymagają także informacje dotyczące osób zatrudnionych w firmie. Jednym z poważniejszych i częściej spotykanych naruszeń dóbr osobistych pracownika jest ujawnienie wysokości jego poborów. Dochodzi do niego najczęściej przez błąd lub nieuwagę. Dostęp do listy płac w każdym przedsiębiorstwie, dysponującym odpowiednią strukturą, ma bowiem stosunkowo spora grupa osób: dział księgowości, kadry, związki zawodowe (pod pewnymi warunkami), jak i właściciele lub osoby zarządzające. Prawo w tym zakresie reguluje art. 23 i 24 ustawy z 23 kwietnia 1964 r. - Kodeks cywilny (Dz.U. 2014 nr 0 poz. 121, dalej kc). Stwierdza on, że "wynagrodzenie jest dobrem osobistym i jako takie jest objęte ochroną przed ujawnieniem". Skutkiem złamania tajemnicy może być żądanie naprawienia szkody. Pracownik ma prawo domagać się zarówno prywatnych, jak i publicznych przeprosin (słownie lub na piśmie), ale także, w przypadku poniesienia straty, wystąpić o zadośćuczynienie finansowe (jego wysokość najczęściej jest wynikiem indywidualnych negocjacji).

Naruszenie dóbr osobistych może być także ścigane na podstawie ustawy z 6 czerwca 1997 roku - Kodeks karny (Dz.U. 1997 nr 88 poz. 553). W tym przypadku kara jest poważniejsza i sąd może orzec grzywnę, ograniczenie lub nawet pozbawienie wolności do lat dwóch. Gdy do ujawnienia tajemnicy dojdzie z winy innego pracownika, właściciel firmy może ukarać go upomnieniem, naganą lub adnotacją wpisaną do akt. Gdy naruszenie spowoduje szkodę, mogą powstawać roszczenia zarówno poszkodowanego wobec pracodawcy, jak i pracodawcy wobec osoby, która celowo czy przez nieuwagę ujawniła taką informację. Ale także wtedy za szkodę odpowiada właściciel firmy. Do jego obowiązków należy bowiem podjęcie działań, które spowodują, że tajemnica w tym zakresie zostanie zachowana. Jeżeli jednak dochował on należytej staranności, a do wycieku i tak doszło, można domagać się zwrotu zadośćuczynienia od osoby, która złamała prawo. Możliwe jest także wówczas rozwiązanie z taką osobą umowy o pracę. - Właściciel firmy może bowiem uznać, że utracił do niej zaufanie, co może stanowić wiarygodne uzasadnienie wręczenia wypowiedzenia - mówi Piotr Didenkow, prawnik specjalizujący się w zagadnieniach prawa pracy.

Złodzieje informacji

Do złamania tajemnicy może dojść na skutek cyberprzestępstwa: na przykład świadomego pobrania danych osobowych przez podmiot (osobę) zewnętrzny. Do zdarzeń takich najczęściej dochodzi podczas wymiany sprzętu IT (stacje PC) oraz renowacji infrastruktury informatycznej (sieć wewnętrzna). Skutecznym sposobem ochrony jest przechowywanie informacji na zewnętrznych dyskach twardych (najlepiej w odpowiednio zabezpieczonej chmurze informatycznej). Likwidacja danych natomiast nie powinna odbywać się jedynie poprzez wykasowanie, ale także całkowite rozmagnesowanie dysku przy pomocy demagnetyzera. W wyniku takiej operacji nośnik nie ulegnie zniszczeniu, a odzyskanie z niego informacji nie będzie już możliwe.

Klauzula zapisu na newsletter

Wyrażam zgodę na przetwarzanie danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na temat... Oświadczam, że znam w tym zakresie prawo i zostałem poinformowany o możliwości zaprzestania przetwarzania moich danych. Dane podaję dobrowolnie.

@RY1@i02/2014/135/i02.2014.135.13000020c.803.jpg@RY2@

Cybernetyczne przestępstwa w firmach

@RY1@i02/2014/135/i02.2014.135.13000020c.804.jpg@RY2@

SHUTTERSTOCK

Aleksandra Puch

mf_dgp@infor.pl