Jak zabezpieczyć firmę przed kopiowaniem danych przez pracowników?

Firmy coraz częściej padają ofiarą byłych lub obecnych pracowników, którzy korzystają z łatwego dostępu do komputerów lub dokumentów. Nie ulega wątpliwości, że niestrzeżone dane powinny być zabezpieczone przez firmy jak najszybciej poprzez wprowadzenie odpowiednich procedur. Jak je wprowadzić i uniknąć nielegalnego kopiowania, kradzieży danych czy nawet przekazywania poufnych umów i klauzul?

Jak zabezpieczyć firmę przed kopiowaniem danych przez pracowników?

Katarzyna Grum

25 lipca 2019

Procedury chroniące dane firmowe

  1. W pierwszej kolejności należy zdefiniować, które informacje są poufne i stanowią tajemnicę firmową — to one wymagają szczególnej ochrony. 

  2. Kolejnym krokiem jest zastosowanie przepisów o ochronie tajemnicy przedsiębiorstwa i zawarcie uregulowań wewnętrznych, dotyczących pracowników.

  3. Następnie należy zabezpieczyć przedsiębiorstwo przez wprowadzenie odpowiednich systemów bezpieczeństwa.

Oto kilka ogólnych zasad ochrony:

  •  unormowanie dostępu do konkretnych danych,
  •  stosowanie dodatkowych zabezpieczeń do komputerów (w postaci haseł, monitoringu urządzeń USB),
  •  odpowiednia ochrona przed wirusami i złośliwym oprogramowaniem,
  •  właściwe zabezpieczenie wewnętrznej sieci informatycznej, dzięki której pracownicy mogą się ze sobą porozumiewać oraz przesyłać dane (zabezpieczenia to m.in. procesy uwierzytelniania danych, dodatkowe procesy weryfikacyjne, klucze oraz hasła uwierzytelniające).

Co grozi firmie, w której doszło do wycieku danych?

Gdy dojdzie do incydentu związanego z wyciekiem krytycznych danych, przepisy RODO przewidują obowiązek zgłaszania takiego incydentu organowi ochrony danych. Incydent należy zgłosić w ciągu 72 godzin od stwierdzenia wycieku. Jeżeli istnieje wysokie ryzyko zagrożenia praw i wolności, należy niezwłocznie powiadomić osoby, których dane wyciekły. 

Jak można się domyślić, wyciek danych wiąże się z ogromnymi stratami dla przedsiębiorstwa. Wtedy firma musi liczyć się z wieloma konsekwencjami:

  • finansowymi,
  • prawnymi,
  • wizerunkowymi.

Jeżeli firma dopuści się poważnych naruszeń, w tym nieprzestrzeganie podstawowych zasad przetwarzania danych osobowych, to RODO przewiduje karę do 20 mln euro lub 4% rocznego obrotu przedsiębiorstwa (art. 5 RODO).

Oprócz kary finansowej, firma powinna liczyć się z osłabieniem reputacji firmy, obniżeniem zaufania, co wiąże się z utratą klientów. Do tego dochodzą straty finansowe spowodowane niższymi obrotami. A to wszystko skutkuje zanikiem przewagi konkurencyjnej i spadkiem wartości przedsiębiorstwa. 

Eliminacja wszystkich konsekwencji to wysokie koszty — nałożone kary, kosztowne procesy sądowe mogą warunkować dalsze funkcjonowanie firmy.

Wyżej wymienionych konsekwencji można uniknąć, korzystając z dostępnych na rynku specjalnych rozwiązań i technologii informatycznych. Nowoczesne systemy chronią firmę przed kradzieżą lub przypadkowym wyciekiem krytycznych danych.

Ochrona przed kradzieżą lub wyciekiem danych

Systemy monitoringu IT oraz aktywności komputera

W dużym uproszczeniu: system monitoringu IT oraz aktywności komputerów użytkowników nagrywa to, co się dzieje na ekranie komputera. Należy pamiętać, że taki sposób kontroli komputera pracownika powinien być legalny i zgodny z przepisami RODO.

Oczywiście wspomniane systemy posiadają wiele innych funkcji pozwalających na zapewnienie bezpieczeństwa danych w firmie. Aby zapobiec wyciekowi danych, istotne są:

  • monitoring urządzeń USB,
  • alerty w czasie rzeczywistym.

Systemy do wewnętrznej ochrony firmowej sieci internetowej

Wykorzystywanie takich rozwiązań ma na celu eliminację zagrożeń spowodowanych czynnikiem ludzkim. System do wewnętrznej ochrony sieci internetowej zapobiega wyciekom danych osobowych i innych informacji poufnych poza organizację poprzez:

  • informowanie o próbie modyfikowania plików i przesyłanie ich pod zmienioną nazwą – poprzez pocztę prywatną (HTTP) – na zewnątrz przez pracowników lub firmy zewnętrzne, serwisantów, osoby trzecie,
  • monitorowanie aktywność użytkowników w sieci pracowniczej niezwiązanej z wyznaczonymi zadaniami, a także używanie aplikacji mogących otworzyć drogę do włamań do sieci firmowej.

Stanowiska pracy użytkownika

Żeby skutecznie zabezpieczyć firmę przed wyciekiem i utratą poufnych informacji, należy zadbać o stanowiska pracy użytkowników. Nierzadko w firmach prowadzona jest polityka czystego biurka i na jej przykładzie można wprowadzić tzw. politykę czystego pulpitu, która polega na zapisywaniu na pulpicie jedynie najważniejszych skrótów oraz na wyrobieniu nawyku blokowania ekranu przed odejściem od komputera.

Potencjalnym miejscem, gdzie może dojść do wycieku lub kopiowania danych, jest niezabezpieczona drukarka. Dlatego drukowanie materiałów powinno odbywać się dopiero po autoryzacji na odpowiednim urządzeniu, skąd wydrukowane dokumenty będą mogły być od razu zabrane. Wspomniana autoryzacja może polegać na przydzieleniu specjalnych kodów lub kart magnetycznych — indywidualnych dla każdego pracownika. 

Ochrona danych osobowych — co na to Kodeks pracy?

Co się stanie w wypadku skopiowania danych osobowych przez pracownika, który nie zadbał o dobro firmy? Zgodnie z art. 100 Kodeksu pracy (k.p.) jednym z podstawowych obowiązków pracownika jest właśnie dbanie o dobro firmy oraz ochrona mienia. Z tego wynika, że za naruszenie zasad ochrony danych pracownik może zostać dyscyplinarnie zwolniony. Sąd Najwyższy wydał wyrok w sprawie pracownicy, która wbrew uprawnieniom zyskała dostęp do informacji i wykradła część danych osobowych klientów przedsiębiorstwa. Sąd Najwyższy zastosował przepis: art. 52 § 1 k.p.

Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie:

1. ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych,

2. popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem,

3. zawinionej przez pracownika utraty uprawnień koniecznych do wykonywania pracy na zajmowanym stanowisku.

W ocenie Sądu Najwyższego ciężkim i zawinionym naruszeniem obowiązków pracowniczych jest wykonywanie bez wiedzy i zgody pracodawcy, w miejscu i czasie pracy, przy wykorzystaniu sprzętu i systemu pracodawcy, czynności na rzecz innego podmiotu. Czyn niezgodny z zasadami dostępu do danych osobowych zgromadzonych w systemie naruszył także obowiązek zachowania tajemnicy o klientach pracodawcy (art. 100 § 2 pkt 4-5 k.p.). Pracownik był upoważniony do dostępu do zbioru, ale wyłącznie w zakresie związanym z pracą wykonywaną na rzecz administratora danych osobowych – stwierdzono w wyroku.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!