Reputacja Coca-Cola

Przed niespełna pięciu laty, światowe media zainteresowały się przypadkiem Joy’i Williams (pracownicy Coca-Cola), która została podejrzana o kradzież jednej z najbardziej skrywanych tajemnic współczesnego świata – składu flagowego napoju koncernu. Pomimo licznych zabezpieczeń, receptura ta, znana dotychczas jedynie wąskiej grupie osób, została wykradziona i udostępniona konkurencji. Pepsi, bo o niej mowa, nie zdecydowała się jednakże na dokonanie zakupu. Zamiast tego, złożyła zawiadomienie o popełnieniu przestępstwa i wykorzystała całą sytuację na własną korzyść – o sprawie powiadomiona została prasa, która przedstawiła Pepsi, jako koncern praworządny oraz uważający, iż jego napój jest lepszy od serwowanego przez głównego konkurenta.

Coca-Cola z całej sytuacji wyszła z nieco nadszarpniętą reputacją, jednakże uniknęła wielomilionowych strat finansowych. Zasady bezpieczeństwa w firmie zostały zaostrzone, a sama receptura nadal pozostaje tajemnicą dla opinii publicznej. Powyższy przykład ilustruje problem, który na znaczeniu przybrał w przeciągu ostatnich kilku lat – największym zagrożeniem dla przedsiębiorcy stać mogą się jego właśni pracownicy.

O ile bowiem stosunkowo łatwo zabezpieczyć firmę przed atakami z zewnątrz, o tyle niezmiernie ciężko jest uchronić tajemnicę przedsiębiorstwa przed próbami jej kradzieży, pochodzącymi od osób, na co dzień mających z nią do czynienia.

Przed takim właśnie problemem stają każdego dnia przedsiębiorcy, dla których informacja stanowi o posiadanej przez nich przewadze konkurencyjnej. Niestety, jak dowodzą publikowane obecnie badania, „statystyczny” przedsiębiorca nie posiada świadomości dot. wartości posiadanych informacji, jak również w niemalże żaden sposób ich nie zabezpiecza. Najczęściej z problemem styka się dopiero, gdy do kradzieży tych informacji dochodzi.

Wtedy na jaw wychodzi brak możliwości podjęcia działań mających na celu odzyskanie utraconych zasobów oraz niemożność zgromadzenia materiału dowodowego umożliwiającego identyfikację sprawcy i jego ukaranie. Co gorsza, często bezpośrednia konkurencja wchodzi w posiadanie wykradzionych informacji, które następnie wykorzystuje we własnej działalności.

Dostępna technologia pozwala na znaczny wzrost poziomu ochrony interesów przedsiębiorcy. Odpowiednie oprogramowanie umożliwia precyzyjne śledzenie ruchu w sieci, blokowanie możliwości kopiowania określonych informacji, bądź limitowanie dostępu do nich. W myśl zasady „chcieć to móc”, każdy pracodawca może istotnie ograniczyć ryzyko wycieku tajemnicy przedsiębiorstwa. Ważne jest natomiast, aby samej świadomości zagrożeń, towarzyszyła determinacja w działaniu, oraz oczywiście chęć przeznaczenia na ten cel określonego zasobu środków.

Jak się zabezpieczyć zgodnie z prawem

Warto bowiem podkreślić, iż zabezpieczeniu informatycznemu towarzyszyć musi określona profilaktyka prawna. Wszystkie podejmowane przez przedsiębiorców działania muszą pozostawać w zgodzie z obecnym prawodawstwem tak, aby to przedsiębiorca nie naraził się na zarzut, iż swoimi działaniami niedopuszczalnie narusza dobra osobiste pracowników, bądź też akty prawne regulujące całkowicie odrębną materię.

Nieprzemyślane posunięcia mogą skutkować licznymi negatywnymi następstwami – od odpowiedzialności karnej poczynając (art. 267 k.k., art. 49 – 54 ustawy o ochronie danych osobowych), poprzez odpowiedzialność cywilną (odszkodowanie, zadośćuczynienie), a na powstaniu uszczerbku, w tworzonym przez lata wizerunku, kończąc. Z drugiej natomiast strony, o ile zabezpieczeniu informatycznemu towarzyszyć będzie zabezpieczenie prawne, wówczas działania podejmowane przez przedsiębiorców mogą przynieść, w dłuższej perspektywie czasu, same niemalże korzyści.

Pierwszą i najistotniejszą rzeczą jest zdanie sobie sprawy z istniejących ograniczeń, co zostało zasygnalizowane już powyżej – tj. praw posiadanych przez pracowników oraz możliwości (a w zasadzie braku możliwości) ich naruszania. Obowiązujący system prawny przewiduje szeroki katalog regulacji, które gwarantują pracownikom (jako osobom fizycznym), w szczególności:

  • prawo do ochrony życia prywatnego, dobrego imienia (art. 47 Konstytucji RP),
  • prawo do wolności komunikowania się (art. 49 Konstytucji RP),
  • prawo do ochrony danych osobowych (art. 1 ust. 1 ustawy o ochronie danych osobowych)
  • obowiązek poszanowania ich godności oraz innych dóbr osobistych przez pracodawcę (art. 11 (1) kodeksu pracy),
  • ochronę posiadanych dóbr osobistych – których katalog jest w zasadzie nieograniczony (art. 23 kodeksu cywilnego), oraz wiele innych uprawnień, mających swoje źródło w odrębnych aktach prawnych.

W/w prawa pracowników, w istotny sposób zawężają pracodawcy dopuszczalne możliwości działania. Wszelkie bowiem kroki pracodawcy, prowadzące do zwiększenia poziomu ochrony własności przedsiębiorstwa, naruszać mogą prawnie chronione interesy pracowników. Przykładowo, pracodawcy często próbują uzyskać wgląd w całość prowadzonej przez pracowników korespondencji (w tym prywatnej).

Technika nie tylko daje możliwość archiwizacji wszelkich przychodzących oraz wychodzących e-maili, lecz również uzyskiwania wglądu w treść wiadomości szyfrowanych, które wysyłane są za pośrednictwem służbowego komputera. Działania takie, jakkolwiek często uzasadniane słusznymi pobudkami, w niedopuszczalny sposób wkraczają w sferę prywatności zatrudnionych osób. Odpowiednio przygotowany regulamin pracy może jednakże zapobiec wykorzystywaniu sprzętu służbowego do celów prywatnych (np. pod groźbą kar dyscyplinarnych, bądź rozwiązania stosunku pracy).

Świadomość istniejących ograniczeń oraz respektowanie prawnie chronionych interesów pracowników spowoduje, iż pracownicy Ci nabiorą przekonania, że pracodawca dostrzega oraz szanuje ich prawa. Z drugiej strony, ograniczenia te uświadomią samemu przedsiębiorcy, że liczba skutecznych sposobów ochrony jego interesów jest istotnie ograniczona.

Monitoring pracowników

Szeroko pojmowany monitoring, bo do niego zmierzam, wydaje się jedynym środkiem łączącym prewencję oraz możliwość skutecznej reakcji na pojawiające się incydenty. Kolejny wpis poświęcę właśnie pojęciu monitoringu, korzyściach jakie ze sobą niesie oraz potrzebie przygotowania przedsiębiorstwa od strony prawnej na jego wprowadzenie.

3 kwietnia 2007 roku, Europejski Trybunał Praw Człowieka orzekł w sprawie skargi złożonej przez Lynnette Copland przeciwko Wielkiej Brytanii. Wyrok dotyczył kwestii monitoringu stosowanego przez jedną z Brytyjskich wyższych uczelni pań- stwowych (pracodawcy) wobec skarżącej (pracownika). W stanie faktycznym, który analizował Trybunał, pracodawca uzyskał dostęp do całości korespondencji e-mail prowadzonej przez skarżącą oraz podsłuchiwał prowadzone przez nią rozmowy telefoniczne. Co więcej, celem ustalenia tożsamości rozmówców, pracodawca niejednokrotnie sam łączył się z wybranymi przez Lynette Copland numerami.

Przez cały okres tak prowadzonej inwigilacji skarżąca nie posiadała wiedzy co do podejmowanych wobec niej działań, rząd brytyjski uzasadniał natomiast podejmowane działania koniecznością ustalenia czy skarżąca nie nadużywa urządzeń szkoły do celów prywatnych. Orzeczenie, poza swoim zakresem pozostawiło kwestię oceny tego czy skarżąca mogła, w godzinach pracy, wykorzystywać infrastrukturę pracodawcy do celów prywatnych oraz czy postępując w ten sposób naruszała obowiązki pracownicze. Trybunał wskazał natomiast jednoznacznie, iż takie postępowanie pracodawcy, wobec faktu, iż pracownik nie został o nim poinformowany, stanowi naruszenie prawa do prywatności i w żadnej mierze nie powinno korzystać z ochrony obowiązujących regulacji.

Przytoczony wyrok jest o tyle istotny, iż w momencie jego wydawania, Wielka Brytania nie posiadała prawnie uregulowanej kwestii monitoringu. Jego treść Trybunał wyprowadził bezpośrednio z art. 8 Europejskiej Konwencji Praw Człowieka, gwarantującego każdemu prawo do poszanowania życia prywatnego, rodzinnego, mieszkania oraz korespondencji. Ostatecznie Trybunał przyznał rację skarżącej oraz zasądził na jej rzecz kwotę niemalże 10.000 funtów. Omawiane orzeczenie natychmiast prze- łożyło się na stosowanie prawa we wszelkich krajach uznających jurysdykcję Europejskiego Trybunały Praw Człowieka, w tym w Polsce.

Wprawdzie nie skutkowało one uchwaleniem odrębnego aktu prawnego regulującego kwestię monitoringu, nie mniej usankcjonowało podstawową zasadę dotyczącą jego stosowania, jaką jest jawność. Aby bowiem pracodawca mógł stosować monitoring, powinien w pierwszej kolejności poinformować pracowników o jego wprowadzeniu oraz podstawowych zasadach, które regulują jego funkcjonowanie. Co więcej, w zależności od rodzaju monitoringu, obowiązek informacyjny powinien objąć także osoby postronne, które mogą zostać poddane działaniom pracodawcy – np. klientów wszelakich instytucji, w którym zainstalowane zostały kamery.

Wszystko jasno na papierze

W takich przypadkach obowiązek informacyjny wypełniany jest z reguły poprzez piktogramy opatrzone jednozdaniowym komentarzem, z jednej strony mające na celu odstraszenie potencjalnych złodziei, z drugiej natomiast poinformowanie klientów o stosowanych zabezpieczeniach. Obowiązek informacyjny nie musi zostać natomiast dotrzymany w sytuacji, w której pracodawca doświadcza działań godzących w jego interesy, a wprowadzenie monitoringu ma na celu wykrycie sprawcy takich zachowań. Nie będzie więc naruszeniem prawa, monitoring sieci komputerowej, który doprowadzić ma do wskazania pracownika wykradającego tajemnice przedsiębiorstwa, bądź instalacja ukrytych kamer w hotelowej recepcji, o ile ich przeznaczeniem będzie ustalenie tożsamości, działającego w jej obszarze, złodzieja. W takich przypadkach ważne jest natomiast, aby podejmowane działania spełniały dwa dodatkowe kryteria, którymi są adekwatność (proporcjonalność) oraz usprawiedliwiony cel.

Oba w/w pojęcia mają co prawda charakter uznaniowy, nie mniej intuicyjnie jesteśmy w stanie określić czy stosowane przez pracodawcę środki nie mają charakteru nadmiernej ingerencji w prawnie chronione dobra pracowników oraz czy ich wprowadzeniu towarzyszy realna i uzasadniona przyczyna. Warto także pamiętać, ze większość podejmowanych działań może zostać dokonana w asyście prokuratury, bądź policji, które wspólnie z pracodawcą mogą (a często wręcz powinny) zainstalować monitoring, a następnie analizować zgromadzony za jego pomocą materiał dowodowy.

Złożenie zawiadomienia o popełnieniu przestępstwa skutkować powinno także przerzuceniem na organ ścigania odpowiedzialności za podejmowane decyzje oraz zakres wprowadzonej kontroli. Co więcej, o ile złożone zawiadomienie skutkować będzie wszczęciem postępowania przygotowawczego, wówczas wszelkie działania, mające na celu wykrycie sprawcy określonego przestępstwa, najprawdopodobniej przeprowadzone zostaną na koszt Skarbu Państwa. Z drugiej natomiast strony, uczciwie należy podkreślić, iż Prokuratura nie posiada odpowiednich narzędzi, umożliwiających identyfikację sprawcy wycieku tajemnicy przedsiębiorstwa, w szczególności, w spółce zatrudniającej kilkudziesięciu, bądź kilkuset pracowników. Co więcej, często okres dzielący złożenie zawiadomienia o popełnieniu przestępstwa od pierwszych czynności procesowych, jest na tyle odległy, ze straty poniesione przez przedsiębiorcę mogą okazać się już nieodwracalne.

W takim przypadku znacznie skuteczniejszymi działaniami, okazać powinny się te, podejmowane na własną rękę przez samego pracodawcę. Może on bowiem stosowny monitoring wprowadzić bezpośrednio po uzyskaniu wiedzy o naruszeniach prawa. Przez cały czas, przedsiębiorca, nie może natomiast z pola widzenia stracić dwóch kryteriów, które zostały wskazane powyżej, tj. adekwatności i usprawiedliwionego celu podejmowanych działań. Samodzielnie gromadząc materiał dowodowy musimy także pamiętać, aby został on zabezpieczony w odpowiedni sposób oraz aby nie zgromadzić niczego ponad to, na co zezwala nam prawo. Innymi słowy, wskazanym jest, aby działania pracodawcy podejmowane były przy pomocy biegłego z zakresu informatyki śledczej oraz w asyście prawnika. Tak zgromadzony materiał można z powodzeniem przedstawić prokuraturze oraz wykorzystać jako podstawę do wyciągnięcia wobec pracownika konsekwencji służbowych (włącznie z rozwiązaniem stosunku pracy bez okresu wypowiedzenia). Wreszcie, w toku postępowania karnego, bądź cywilnego można starać się odzyskać od sprawcy środki, które utracone zostały celem jego wykrycia