W realiach współczesnego biznesu, dane stały się jednym z najistotniejszych aspektów dla przedsiębiorstwa. Często też ich realna wartość jest wyższa niż posiadany majątek. Pracownicy z kolei korzystają z danych pracodawcy do wykonywania obowiązków, jednak nie zawsze jest to realizowane w sposób bezpieczny. Najczęściej spotykanymi sytuacjami wartymi uwagi jest zgrywanie danych na prywatne nośniki, wysyłanie ich na zewnętrzne, prywatne skrzynki e-mail, zapisywanie na nieautoryzowanych dyskach.
Nieuprawnione zgrywanie danych może skutkować odpowiedzialnością na gruncie:
- prawa pracy: naruszenie podstawowych obowiązków przez pracownika (a nierzadko również postanowień umownych), co może prowadzić do rozwiązania umowy, a choćby do powstania roszczenia po stronie pracodawcy o zapłatę odszkodowania,
- RODO: jeżeli dotyczy to danych osobowych, aktualizują się obowiązki wynikające z przepisów o ich ochronie. Niestety za nieprawidłowe przetwarzanie danych osobowych odpowie pracodawca – jako administrator.
Największym problemem jest jednak utrata kontroli nad danymi, a nie samo ich zgranie. W momencie, gdy informacje opuszczają organizację, możliwość ograniczenia ich dalszego wykorzystania maleje. Może to doprowadzić do wycieku danych oraz przykładowo do ujawnienia baz klientów i strategii pracodawcy, utraty przewagi konkurencyjnej i osłabienie pozycji rynkowej, a także coraz częściej spotykane przejęcia klientów.
Kontekst sytuacji zgrania danych
Do oceny zachowań pracowników istotne jest rozróżnienie intencji pracownika. Działania takie mogą wynikać z potrzeby korzystania z danych pracodawcy np. zgranie dokumentu na prywatny telefon, bez odpowiednich zabezpieczeń w sytuacji, gdy pracownik nie ma możliwości odczytania pliku w telefonie służbowym. Taką sytuację należy odróżnić od działań intencjonalnych, czyli np. wyniesienie danych z myślą o przejęciu klientów pracodawcy. Każda z tych sytuacji niesie za sobą inne ryzyka i generuje inne działania do podjęcia przez przełożonych.
Niezależnie jednak od intencji ważne jest czy u pracodawcy istnieją jakiekolwiek zasady dotyczące pracy z danymi, w tym ich zgrywania. jeżeli żadne reguły nie zostały ustalone i brak jest wyznaczonych granic, pracodawca nie ma żadnych narzędzi, aby wymagać od pracowników bezpiecznego korzystania z danych, a także karać go w sytuacji zagrożenia ich bezpieczeństwa. Dodatkowo, jeżeli pracownik korzysta z prywatnych narzędzi, gdyż pracodawca nie dostarcza mu ich, a są niezbędne do realizacji obowiązków, tym bardziej brak jest podstaw do wyciągania jakichkolwiek konsekwencji wobec pracownika.
Z trochę inną sytuacją będziemy mieli do czynienia w przypadku danych objętych tajemnicą przedsiębiorstwa. Te dane pracownik jest obowiązany chronić już na mocy samego Kodeksu pracy. Z kolei ich nieuprawnione ujawnienie lub wykorzystane jest regulowane przez przepisy o zwalczaniu nieuczciwej konkurencji.
Z pewnością jednak, jeżeli w firmie obowiązują odpowiednie zasady dotyczące obrotu danymi, zgrywania ich, korzystania z zewnętrznych nośników itp., a pracownik te zasady narusza, pracodawca może wyciągnąć konsekwencje wobec takiego pracownika włącznie z rozwiązaniem umowy o pracę. jeżeli dane są dodatkowo objęte tajemnicą przedsiębiorstwa takie naruszenie może stanowić ciężkie naruszenie podstawowych obowiązków pracowniczych.
JAK ZABEZPIECZYĆ FIRMĘ?
Skuteczne działania nie opierają się na jednym rozwiązaniu. najważniejsze jest połączenie kilku elementów, które wzajemnie się uzupełniają. Przede wszystkim warto pamiętać o prostej, ale skutecznej zasadzie: pracownik powinien otrzymać dostęp wyłącznie do niezbędnych informacji. Warto regularnie kontrolować kto ma dostęp do jakich danych, aby ograniczyć ryzyko na początkowym etapie.
Istotne będą również:
- Przygotowanie (lub odświeżenie) dokumentacji zawierającej jasne zasady korzystania z danych,
- Wdrożenie umów o poufności, szczególnie w przypadku pracowników, którzy mają dostęp do kluczowych danych lub są zatrudnieni na kluczowych stanowiskach,
- Szybkie reagowanie na odejście pracownika – odebranie uprawnień i dostępów, zadbanie o odpowiednie zabezpieczenie sprzętu. Warto również przejrzeć aktywność pracownika przed odejściem z firmy,
- Korzystanie z narzędzi zabezpieczających dostęp (nawet np. dwuetapowa weryfikacja) i wsparcia technicznego,
- Zabezpieczenie procesów przetwarzania danych osobowych zgodnie z wymogami RODO oraz wdrożenie odpowiedniej dokumentacji RODO.
Warto podkreślić, iż część naruszeń wynika z braku wiedzy pracowników, a nie z ich złej woli. Regularne szkolenia i uświadamianie zasad mogą przynieść konkretne efekty.
Niemniej, choćby najlepsze procedury i rozwiązania nie wykluczają ryzyka całkowicie. Równie ważna jest gotowość do działania: szybka reakcja i zabezpieczenie dowodów często decydują o tym, czy pracodawca będzie w stanie skutecznie dochodzić swoich praw.
Autor: r. pr. Marta Kopeć, Partner Zarządzający
E-mail: [email protected]
tel.: +48 22 501 56 10
Autor: apl. adw. Zuzanna Kosiorowska
E-mail: [email protected]
tel.: +48 22 501 56 10
![Podwyżki dla medyków od 1 lipca. Zobacz nową tabelę wynagrodzeń [KWOTY]](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAIAAAACCAYAAABytg0kAAAAFElEQVQYV2N8+vTpfwYGBgZGGAMAUNMHXwvOkQUAAAAASUVORK5CYII=)