Za siedmioma firewallami...

Negatywnymi konsekwencjami mogą być, obok strat finansowych, utrata zaufania klientów i reputacji firmy a także konsekwencje prawne w postaci kontroli Generalnego Inspektora Ochrony Danych Osobowych oraz pozwów o odszkodowania za ujawnienie informacji.

Dlatego ochrona danych takich jak: dane finansowe firmy, strategia działania, baza kontrahentów, dane osobowe klientów i kart kredytowych klientów, numery kont bankowych, powinna być kluczową kwestią w każdej firmie. Należy pamiętać, że zapobieganie kosztuje mniej, niż późniejsze usuwanie negatywnych skutków. Ponadto chroniąc informacje firma może wiele zyskać stając się bardziej konkurencyjnym podmiotem na rynku.

Do ważniejszych zagadnień w omawianym zakresie należy ochrona danych osobowych, uregulowana w ustawie o ochronie danych osobowych. Dane takie są definiowane jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zgodnie z ww. ustawą, osobą możliwą do zidentyfikowania jest taka, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W myśl art. 6 ust. 3 tejże ustawy, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.

Do danych osobowych należeć będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, której uzyskanie wymagać będzie nieproporcjonalnie dużych nakładów kosztów, czasu lub działań. W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Jednak będą one danymi osobowymi wówczas, gdy zostaną zestawione z innymi dodatkowymi informacjami, które można odnieść do konkretnej osoby.

Danymi osobowymi, których przetwarzanie podlega rygorom ustawy będzie natomiast nr PESEL, ponieważ na jego podstawie można jednoznacznie zidentyfikować osobę fizyczną. Ustawodawca nie określił zamkniętego katalogu informacji stanowiących dane osobowe. Dlatego też przy rozstrzyganiu, czy określone informacje stanowią dane osobowe, konieczne jest w większości przypadków dokonanie zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby.

Ustawa o ochronie danych osobowych zobowiązuje administratorów danych - czyli m.in. osoby fizyczne, osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych - do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności dane należy zabezpieczyć przed:

• udostępnieniem osobom nieupoważnionym;
• zabraniem przez osobę nieuprawnioną;
• przetwarzaniem z naruszeniem ustawy o ochronie danych osobowych oraz
• zmianą utratą, uszkodzeniem lub zniszczeniem.

Regulacja ta ma oczywiście zastosowanie do małych i średnich firm, które przetwarzają dane osobowe, przy czym przetwarzanie danych osobowych należy rozumieć zgodnie z art. 7 pkt 2 ww. ustawy, jako wszelkie informacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Art. 51 ww. ustawy karze (grzywną, ograniczeniem lub pozbawieniem wolności do lat 2) udostępnianie lub umożliwianie dostępu do chronionych danych osobowych przez administrujących zbiorem danych lub obowiązanych do ochrony danych osobowych osobom nieupoważnionym. W przypadku nieumyślnego działania, sprawcy grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Z kolei art. 52 sankcjonuje zarówno umyślne i nieumyślne naruszenie obowiązku zabezpieczenia danych przez administrującego przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem pod groźbą grzywny, kary ograniczenia wolności albo pozbawienia wolności do roku. Warto także pamiętać, że administrator jest zobowiązany do zachowania szczególnej staranności w celu ochrony interesów osób, których dane przetwarza.

Niezależnie od powyższego, nierzetelny przedsiębiorca powinien również liczyć się z odpowiedzialnością odszkodowawczą na podstawie art. 415 ustawy Kodeks cywilny, jeśli osoba, której dane dotyczą, poniesie szkodę w rezultacie przetwarzania danych osobowych z naruszeniem przepisów ustawy o ochronie danych osobowych. Ponadto, jeżeli nieprawidłowe przetwarzanie danych stanowi jednocześnie naruszenie dóbr osobistych z art. 23 K.c. (np. prywatności) osoba, której dobro zostało naruszone może żądać usunięcia skutków naruszenia, zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.

Opisane wyżej obowiązki i konsekwencje ich nieprzestrzegania ukazują, jak ważną sprawą jest ochrona danych w firmie. Małe i średnie przedsiębiorstwa mają utrudnione zadanie z uwagi na małą liczbę pracowników zajmujących się bezpieczeństwem oraz ograniczone środki finansowe.

Dlatego warto pamiętać, że istotnym instrumentem ochrony danych osobowych w małych i średnich przedsiębiorstwach jest instytucja tajemnicy przedsiębiorstwa. Zgodnie z ustawą o zwalczaniu nieuczciwej konkurencji, tajemnicą przedsiębiorstwa są nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Takimi działaniami mogą być np. opracowanie zasad ochrony tajemnicy oraz wykazu informacji stanowiących tajemnicę.

Przekazanie, ujawnienie i wykorzystanie cudzych informacji stanowiących tajemnice przedsiębiorstwa jest czynem nieuczciwej konkurencji, mimo to warto zebrać od pracowników pisemne zobowiązania do zachowania tajemnicy przedsiębiorstwa.

W wypadku dokonania czynu nieuczciwej konkurencji przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać:

1. zaniechania niedozwolonych działań;
2. usunięcia skutków niedozwolonych działań;
3. złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie;
4. naprawienia wyrządzonej szkody, wydania bezpodstawnie uzyskanych korzyści, a także
5. zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze wspieraniem kultury polskiej lub ochroną dziedzictwa narodowego

- jeżeli czyn nieuczciwej konkurencji był zawiniony.

Ponadto osoba, która wbrew ciążącemu na niej obowiązkowi w stosunku do przedsiębiorcy ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Tej samej karze podlega ten, kto uzyskawszy bezprawnie informację stanowiącą tajemnicę przedsiębiorstwa ujawnia ją innej osobie lub wykorzystuje we własnej działalności gospodarczej.

Również ustawa Kodeks pracy wśród obowiązków pracownika w art. 100 § 1 pkt 5 wymienia przestrzeganie tajemnicy określonej w odrębnych przepisach, niezależnie od podjęcia działań w celu zachowania informacji w poufności. Przepis ten zakresem obejmuje także zachowanie w tajemnicy danych osobowych o klientach. Bezpieczniejsze jest jednak zawieranie obowiązku zachowania tajemnicy pracowniczej w umowie o pracę. Zgodnie z Kodeksem pracy, pracownik, który wskutek niewykonania lub nienależytego wykonania obowiązków pracowniczych ze swej winy wyrządził pracodawcy szkodę, ponosi odpowiedzialność materialną w wysokości wyrządzonej szkody. Odszkodowanie nie może jednak przewyższać kwoty trzymiesięcznego wynagrodzenia przysługującego pracownikowi w dniu wyrządzenia szkody. Jeżeli pracownik wyrządził szkodę umyślnie, jest zobowiązany do jej naprawienia w pełnej wysokości.

Poza wskazanymi powyżej prawnymi sankcjami, mającymi na celu ochronę danych istnieją pewne podstawowe metody działania, niewymagające skomplikowanych procedur i wysokich wydatków finansowych, których zastosowanie znacząco poprawi bezpieczeństwo danych w firmie. Najpierw jednak należy zlokalizować główne zagrożenia ochrony danych. Najważniejszymi z nich są zagrożenia informatyczne oraz ryzykowne działania pracowników. Podstawą ochrony danych jest ochrona przed tzw. złośliwym oprogramowaniem (z ang. malicious software), czyli m.in. wirusami, trojanami, programami szpiegowskimi, dialerami czy robakami. W tym celu niezbędne jest dobre oprogramowanie zabezpieczające, najlepiej z przydatną funkcją automatycznego tworzenia kopii zapasowych. Archiwizowanie danych jest bardzo ważnym elementem ich zabezpieczenia i powinno być standardem w każdej firmie. Zabezpieczone powinny być wszystkie urządzenia końcowe.

Dobrą praktyką jest szyfrowanie poufnych wiadomości e-mail. Dzięki temu treść nawet pomyłkowo wysłanego listu będzie nieczytelna. Bezpieczna poczta pozwala na ograniczenie spamu i niebezpiecznych wiadomości. Z kolei dysponowanie centralnie zarządzanym systemem do automatycznego szyfrowania danych pozwoli na całkowite zabezpieczenie przed dostępem nieuprawnionych osób, w przypadku zaginięcia mobilnych urządzeń do magazynowania np. pamięci typu USB lub notebooków czy zewnętrznych dysków twardych. Bardzo dużym zagrożeniem jest używanie tych samych haseł lub zbliżonych, do wielu aplikacji. Hasła powinny być alfanumeryczne i jednocześnie możliwe do zapamiętania oraz regularnie zmieniane.

Jednak należy podkreślić, iż wszelkie sposoby ochrony nie będą w pełni skuteczne, jeśli nie zastosujemy tzw. polityki bezpieczeństwa osobowego. W wielu przypadkach największym zagrożeniem dla firmy jest sam pracownik. Właśnie pracownicy popełniają często typowe błędy, które mogą być zgubne dla pracodawcy. Należy tu wymienić m.in. odchodzenie od komputera bez wylogowania się czy zabezpieczenia wygaszaczem z hasłem (łatwy dostęp do informacji przez osoby nieupoważnione).

Również korzystanie z ogólnodostępnych sieci bezprzewodowych poza biurem np. w hotelach naraża dane na niebezpieczeństwo. Dużym zagrożeniem jest zabierane pracy do domu na wymiennych nośnikach lub przenośnych komputerach, pozbawionych szyfrowania. Nierzadko dochodzi także do utraty przez pracownika takich urządzeń, na których - niestety - bywają zapisane cenne firmowe informacje.

Zdarza się też wysyłanie poufnych informacji na prywatne skrzynki e-mail. Wielu pracowników ma też w zwyczaju wpuszczanie obcych osób na teren firmy. Wszystkie te działania są niezgodne z zasadami bezpieczeństwa i mogą w prosty sposób doprowadzić do wycieku informacji na zewnątrz.

Pracodawcy powinni wprost poinformować pracowników o niebezpieczeństwie, jakie niesie ze sobą powyższe zachowanie. Dobrym rozwiązaniem będzie więc zamieszczenie zakazów dokonywania tego typu działań w regulaminie pracy.

Koniecznością jest też klasyfikacja danych firmowych, gdyż pracownicy często nie zdają sobie sprawy, które dane i jak bardzo należy chronić. Poufne informacje powinny być jawne tylko dla osób, które tego potrzebują. Każda firma powinna wiedzieć, kto ma prawo dostępu do danych. Należy także wyznaczyć i egzekwować reguły korzystania z Internetu. Wskazane jest uniemożliwienie zapisywania poufnych danych na dyskach USB, lub przynajmniej wprowadzenie konieczności ich szyfrowania. Reguły te należy bezwzględnie egzekwować i kontrolować ich przestrzeganie.

Aby zapewnić skuteczność powyższych rozwiązań, powinny być one przedmiotem szkoleń pracowników. Pracownicy powinni zostać zapoznani z szeregiem prostych zasad, pozwalających na zredukowanie do minimum możliwości wycieku danych. Ważne jest, aby uświadamiać pracownikom, w jaki sposób ochrona danych przekłada się na zyski i straty finansowe firmy, a w konsekwencji także pracowników.

Zachowanie bezpieczeństwa danych w firmie wymaga kompleksowego podejścia. Przedstawione wyżej regulacje prawne są pomocne dla egzekwowania bezpieczeństwa chronionych danych, same w sobie jednak nie są wystarczające. Dlatego konieczne jest dobre oprogramowanie zabezpieczające a przede wszystkim budowanie świadomości pracowników w zakresie bezpieczeństwa informacji, gdyż jest to najlepsza, najbardziej skuteczna, najtańsza metoda ochrony informacji.

Marta Janicka

aplikantka radcowska, Kancelaria Filipek & Kamiński sp.k.

Podstawa prawna:

1. Ustawa z 29.08.1997 r. o ochronie danych osobowych - Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.
2. Ustawa z dn. 16.04.1993 r. o zwalczaniu nieuczciwej konkurencji - Dz.U. z 1993 r. Nr 47, poz. 211 z późn. zm.
3. Ustawa z dn. 23.04.1964 r. Kodeks cywilny - Dz.U. z 1964 r. Nr 16, poz. 93 z późn. zm.
4. Ustawa z dn. 26.06.1974 r. Kodeks pracy - tekst jedn. Dz.U. z 1998 r. Nr 21, poz. 94 z późn. zm.
5. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, LEX, 2007, wyd. IV.