Jedna nieostrożna konwersacja, nieodpowiednio zabezpieczony dokument lub omyłkowo przesłana wiadomość e-mail – to wszystko, co potrzeba, aby tajne dane firmy trafiły do niepowołanych osób. To może słono kosztować nie tylko przedsiębiorstwo. Dla pracownika może to skutkować poważnymi konsekwencjami – w ekstremalnych sytuacjach nawet pozbawieniem swobody. Zapytaliśmy specjalistów, co grozi za naruszenie reguł i jak zabezpieczyć się przed wyciekiem danych.
Utrzymywanie tajemnicy w miejscu pracy jest istotne, w szczególności jeśli chodzi o informacje takie jak dane finansowe, informacje o konsumentach, kontrahentach, strategiach biznesowych, planach rozwoju, rozwiązaniach technologicznych czy wewnętrznych regulaminach. To powinność, która odnosi się do wszystkich zatrudnionych, bez względu na pozycję czy sektor.
– Złamanie jej przez pracownika może kosztować firmę nawet kilkanaście milionów złotych. Dodatkowo dochodzi potencjalna strata zysków, wydatki naprawcze np. związane z ulepszeniem systemów bezpieczeństwa, koszty prawne, utrata odbiorców, a także straty wizerunkowe – twierdzi Artur Kornatowski, Legal and Administrative Manager w Smart Solutions HR.
Co stanowi tajemnicę przedsiębiorstwa?
Zdaniem eksperta Smart Solutions HR, dyskrecja to nie jedynie wielkie sekrety strategiczne.
– Często to niewielkie wiadomości, które pracownik uważa za błahe, a dla konkurencji mogą mieć ogromne znaczenie np. wykazy dostawców i partnerów, harmonogramy czy sposoby komunikacji z klientami – argumentuje Artur Kornatowski. – Przesłanie e-maila do nieprawidłowego odbiorcy, dyskusje o tajnych projektach w ogólnodostępnych lokalizacjach, przechowywanie materiałów w osobistych chmurach, nawet print screen czy notatka na prywatnym smartfonie – wszystko to może stanowić podstawę do pociągnięcia pracownika do odpowiedzialności.
Czy dopuszczalne jest przekazanie służbowego e-maila na prywatną skrzynkę?
– Naruszenie zasad poufności nie zawsze wynika ze złych intencji. Często zdarza się to nieumyślnie np. przez roztargnienie lub niewiedzę – mówi Bankier.pl Magda Dąbrowska, wiceprezeska Grupy Progres. – Charakterystycznym przykładem jest przesyłanie służbowych dokumentów na prywatne konta e-mail, co wydaje się wygodnym rozwiązaniem, ale w rzeczywistości stanowi spore ryzyko naruszenia ochrony danych.
Jak wynika z analizy Grupy Progres, aż 30 proc. Co istotne, więcej niż połowa ankietowanych (58 proc.) uważa, że przesyłanie firmowych dokumentów na prywatny adres jest niedozwolone, ale aż 42 proc. uznaje tego typu zachowanie za dopuszczalne w szczególnych sytuacjach np. podczas pracy po godzinach, w przypadku awarii systemu firmowego lub braku dostępu do służbowej poczty.
– Tymczasem nawet jednorazowe przesłanie plików z danymi osobowymi czy informacjami o kontrahentach może wystawić firmę na poważne konsekwencje, zarówno prawne, jak i wizerunkowe – przekonuje Magda Dąbrowska.
Jedno słowo „ponad miarę” może wywołać wiele problemów
Według Łukasza Ozimka, dyrektora operacyjnego w Exea Data Center, w wielu firmach, a szczególnie tych mniejszych, dominuje przeświadczenie, że dyskrecja i bezpieczeństwo danych to kwestie, którymi nie muszą się przejmować.
– Tymczasem statystyki pokazują coś zgoła odmiennego. Obecnie znaczna część danych przechowywana jest cyfrowo. Zatem nie wystarczą systemowe zabezpieczenia ani lokalna infrastruktura, gdy 43 proc. wszystkich skutecznych cyberataków jest nakierowane przeciwko małym przedsiębiorstwom. Każda organizacja, niezależnie od wielkości, musi na poważnie potraktować bezpieczeństwo swoich danych, szczególnie cyfrowych i ochronę przed wyciekiem danych osobowych – mówi Bankier.pl Łukasz Ozimek. – Nie możemy także zapominać, że do wycieków dochodzi bardzo często podczas codziennych rozmów, czasem przez zwykłe niedopatrzenie, a niekiedy brak świadomości. Jedno słowo „ponad miarę” może wywołać mnóstwo problemów – podkreśla ekspert.
Uważaj na zakaz konkurencji!
Oprócz zachowania tajemnicy, równie istotną kwestią jest zakaz konkurencji, który może obowiązywać nie tylko w trakcie trwania stosunku pracy, ale nierzadko również po jego ustaniu, o ile w umowie o pracę znajduje się taki zapis. Pracownik nie może więc prowadzić swojej działalności w tym samym obszarze ani przenieść się do firmy, która konkuruje z jego wcześniejszym pracodawcą. Zabezpiecza to firmę przed użyciem nabytej w niej wiedzy na korzyść konkurencji.
Zarówno zachowanie tajemnicy, jak i zakaz konkurencji są wyraźnie uregulowane w polskim prawie pracy (art. 100 §2 pkt. 4 Kodeksu pracy) oraz w ustawie o przeciwdziałaniu nieuczciwej konkurencji. Często znajdują się także w samej umowie o pracę czy dodatkowej umowie o zachowaniu poufności, które pracownik podpisuje w momencie zatrudnienia.
Co grozi za ujawnienie tajemnicy firmowej?
Ujawnienie tajemnic firmy czy naruszenie zakazu konkurencji to poważne sytuacje, które mogą zakończyć się upomnieniem lub naganą, a w poważniejszych przypadkach obowiązkiem zapłaty dużej kwoty, utratą zatrudnienia, a nawet postępowaniem karnym w sądzie.
Jeżeli pracownik złamie poufność i spowoduje tym szkodę firmie, musi liczyć się
z obowiązkiem zrekompensowania strat. W praktyce może to oznaczać konieczność wypłaty odszkodowania w wysokości trzymiesięcznego wynagrodzenia w przypadku niezamierzonego działania, a jeśli zrobił to umyślnie – nawet pokrycie strat w całości.
Z kolei w szczególnie poważnych sytuacjach pracodawca ma prawo rozwiązać umowę o pracę w trybie natychmiastowym, bez wypowiedzenia. Może mu również grozić grzywna, ograniczenie wolności, a nawet kara pozbawienia wolności do dwóch lat.
– Aby uniknąć nieprzyjemnych następstw, warto kierować się prostą zasadą: jeżeli masz wątpliwości, czy coś można powiedzieć, lepiej tego nie rób – doradza Artur Kornatowski. – Dobrą praktyką jest także nieudostępnianie żadnych firmowych wiadomości w mediach społecznościowych, nawet w prywatnych rozmowach czy zamkniętych grupach. Warto również pamiętać o podstawach bezpieczeństwa, czyli nie pozostawiać dokumentów na stole, nie przekazywać plików na prywatne maile i nie rozmawiać o szczegółach pracy w miejscach publicznych, jak kawiarnie czy transport publiczny. Te proste zasady naprawdę mogą uchronić przed sporymi trudnościami – podsumowuje ekspert.
Firma może ponieść olbrzymie straty
Ujawnienie tajnych informacji może mieć również bardzo poważne następstwa finansowe dla firmy. Urząd Ochrony Danych Osobowych ma prawo nałożyć na firmę karę administracyjną.
– Zgodnie z przepisami RODO jej wysokość może sięgać nawet 20 mln euro lub 4 proc. rocznego obrotu, w zależności od tego, która kwota jest wyższa – przestrzega Łukasz Ozimek. – Jednak jednym z najbardziej długotrwałych skutków wycieku danych i utraty tajemnicy jest utrata wiarygodności i pogorszenie reputacji firmy. Klienci, partnerzy biznesowi i inwestorzy mogą zacząć postrzegać firmę jako niesolidną i wystawioną na ryzyko. To z kolei może prowadzić do zerwania kontraktów, spadku liczby konsumentów i problemów w pozyskiwaniu nowych. Wizerunek firmy, na który pracuje się latami, może zostać zrujnowany w ciągu kilku dni.
Szyfrowanie, kontrola dostępu i… wiedza personelu
Zdaniem Magdy Dąbrowskiej, aby ustrzec firmę przed trudnościami powiązanymi z ujawnieniem poufnych informacji, pracodawcy coraz częściej stawiają na kompleksowe podejście do ich zabezpieczenia.
– Oprócz formalnych umów o poufności, inwestują w rozwiązania techniczne, takie jak szyfrowanie, kontrola dostępu, monitoring sieci, a także w szkolenia z zakresu cyberhigieny i bezpieczeństwa informacji – mówi przedstawicielka Grupy Progres. – Decydujące znaczenie ma w tej sytuacji prowadzenie efektywnej komunikacji wewnętrznej i edukacji pracowników. Nie każda firma to robi. Brak świadomości, dlaczego nie należy wykorzystywać osobistej poczty w celach zawodowych, to poważne zagrożenie dla bezpieczeństwa całej firmy. Pracodawcy powinni regularnie szkolić zespoły, jasno definiować procedury i zapewniać narzędzia umożliwiające bezpieczne wykonywanie obowiązków, także w sytuacjach awaryjnych – dodaje.
Również ekspert Exea Data Center uważa, że nawet najlepsze systemy ochrony nie wystarczą, jeżeli pracownicy nie wiedzą, jak unikać niebezpieczeństw.
– Z tego względu szkolenia z zakresu cyberbezpieczeństwa są bardzo istotne. Należy regularnie uświadamiać zespoły IT, jak rozpoznawać phishingowe wiadomości e-mail czy niebezpieczne linki. Warto także wprowadzić przejrzyste reguły dotyczące korzystania z firmowych urządzeń i danych, to znaczy ograniczyć dostęp do tajnych informacji tylko do osób, które ich rzeczywiście potrzebują, oraz wprowadzić uwierzytelnianie wieloskładnikowe wykorzystujące np. dodatkową aplikację zatwierdzającą dostęp lub fizyczny klucz – radzi Łukasz Ozimek.
