Jedna nieostrożna rozmowa, źle zabezpieczony plik czy przypadkowo wysłany e-mail – tyle wystarczy, by poufne informacje firmy trafiły w niepowołane ręce. To może kosztować bardzo dużo nie tylko organizację. Dla pracownika może się to skończyć poważnymi konsekwencjami – w skrajnych przypadkach nawet pozbawieniem wolności. Zapytaliśmy ekspertów co grozi za złamanie zasad i jak uchronić się przed wyciekiem informacji.
Zachowanie poufności w miejscu pracy ma znaczenie zwłaszcza w przypadku takich informacji jak dane finansowe, informacje o klientach, kontrahentach, strategiach biznesowych, planach rozwoju, rozwiązaniach technologicznych czy wewnętrznych procedurach. To obowiązek, który dotyczy wszystkich zatrudnionych, niezależnie od stanowiska czy branży.
– Naruszenie go przez pracownika może kosztować firmę nawet kilka milionów złotych. Do tego dochodzi potencjalna utrata przychodów, koszty naprawcze np. związane z modernizacją systemów bezpieczeństwa, koszty prawne, utrata klientów, a także szkody wizerunkowe – uważa Artur Kornatowski, Legal and Administrative Managera w Smart Solutions HR.
Co jest tajemnicą firmy?
Według eksperta Smart Solutions HR, poufność to nie tylko wielkie sekrety strategiczne.
– Często są to drobne informacje, które pracownik uważa za nieistotne, a dla konkurencji mogą mieć ogromną wartość np. listy dostawców i partnerów, harmonogramy czy sposoby komunikacji z klientami – twierdzi Artur Kornatowski. – Wysyłka maila do złego adresata, rozmowy o poufnych projektach w miejscach publicznych, przechowywanie dokumentów w prywatnych chmurach, nawet zrzut ekranu czy notatka na prywatnym telefonie – wszystko to może być podstawą do pociągnięcia pracownika do odpowiedzialności.
Czy można przesłać służbowy e-mail na prywatną skrzynkę?
– Złamanie zasad poufności nie zawsze wynika ze złej woli. Bardzo często dzieje się to nieświadomie np. przez nieuwagę lub brak wiedzy – mówi Bankier.pl Magda Dąbrowska, wiceprezeska Grupy Progres. – Typowym przykładem jest przesyłanie służbowych dokumentów na prywatne skrzynki e-mailowe, co wydaje się wygodnym rozwiązaniem, ale w praktyce stanowi poważne ryzyko naruszenia bezpieczeństwa danych.
Jak wynika z badania Grupy Progres, aż 30 proc. Co istotne, ponad połowa badanych (58 proc.) uważa, że wysyłanie służbowych dokumentów na prywatny adres jest niedopuszczalne, ale aż 42 proc. uznaje takie zachowanie za usprawiedliwione w wyjątkowych sytuacjach np. podczas pracy po godzinach, w razie awarii systemu firmowego lub braku dostępu do służbowej poczty.
– Tymczasem nawet jednorazowe przesłanie plików z danymi osobowymi czy informacjami o kontrahentach może narazić firmę na poważne konsekwencje, zarówno prawne, jak i wizerunkowe – twierdzi Magda Dąbrowska.
Jedno słowo „za dużo” może przysporzyć wielu problemów
Według Łukasza Ozimka, dyrektora operacyjnego w Exea Data Center, w wielu firmach, a zwłaszcza tych małych, panuje przekonanie, że poufność i bezpieczeństwo danych to tematy, którymi nie muszą się zajmować.
– Tymczasem dane pokazują coś zupełnie innego. Obecnie większość danych przechowywana jest cyfrowo. Dlatego nie wystarczą systemowe zabezpieczenia ani lokalna infrastruktura, gdy 43 proc. wszystkich udanych cyberataków jest skierowane przeciwko małym przedsiębiorstwom. Każda organizacja, niezależnie od rozmiaru, musi poważnie podejść do bezpieczeństwa swoich danych, szczególnie cyfrowych i ochrony przed wyciekiem danych osobowych – mówi Bankier.pl Łukasz Ozimek. – Nie możemy również zapominać, że do wycieków dochodzi bardzo często w codziennych rozmowach, czasami przez zwykłą nieuwagę, a czasami brak świadomości. Jedno słowo „za dużo” może przysporzyć wielu problemów – podkreśla ekspert.
Uwaga na zakaz konkurencji!
Oprócz zachowania poufności, równie ważną kwestią jest zakaz konkurencji, który może obowiązywać nie tylko w trakcie trwania zatrudnienia, ale często także po jego zakończeniu, o ile w umowie o pracę jest taki zapis. Pracownik nie może więc prowadzić własnej działalności w tej samej branży ani przejść do organizacji, która rywalizuje z jego dotychczasowym pracodawcą. Chroni to firmę przed wykorzystaniem zdobytej w niej wiedzy na rzecz konkurencji.
Zarówno zachowanie poufności, jak i zakaz konkurencji są jasno umocowane w polskim prawie pracy (art. 100 §2 pkt. 4 Kodeksu pracy) oraz w ustawie o zwalczaniu nieuczciwej konkurencji. Bardzo często znajdują się też w samej umowie o pracę czy dodatkowej umowie o zachowaniu poufności, które pracownik podpisuje przy zatrudnieniu.
Co grozi za wyjawienie tajemnicy firmowej?
Wyjawienie tajemnic firmy czy złamanie zakazu konkurencji to poważne sytuacje, które mogą skończyć się upomnieniem lub naganą, a w poważniejszych przypadkach koniecznością zapłaty dużej kwoty, utratą pracy, a nawet sprawą karną w sądzie.
Jeśli pracownik naruszy poufność i wyrządzi tym szkodę
firmie, musi liczyć się
z obowiązkiem rekompensaty. W praktyce może to oznaczać konieczność zapłaty
odszkodowania w wysokości trzymiesięcznego wynagrodzenia w przypadku
nieumyślnego działania, a jeśli zrobił to celowo – nawet pokrycie strat w
całości.
Z kolei w wyjątkowo poważnych przypadkach pracodawca ma prawo rozwiązać umowę o pracę w trybie dyscyplinarnym ze skutkiem natychmiastowym. Może mu również grozić grzywna, ograniczenie wolności, a nawet kara pozbawienia wolności do dwóch lat.
– Aby uniknąć przykrych konsekwencji, warto kierować się prostą zasadą: jeśli masz wątpliwości, czy coś można powiedzieć, lepiej tego nie rób – radzi Artur Kornatowski. – Dobrą praktyką jest też nieudostępnianie żadnych firmowych informacji w mediach społecznościowych, nawet w prywatnych rozmowach czy zamkniętych grupach. Warto również pamiętać o podstawach bezpieczeństwa, czyli nie zostawiać dokumentów na biurku, nie przesyłać plików na prywatne maile i nie omawiać szczegółów pracy w miejscach publicznych, jak kawiarnie czy komunikacja miejska. Te proste zasady naprawdę potrafią uchronić przed dużymi kłopotami – podsumowuje ekspert.
Firma może ponieść ogromne straty
Wyjawienie poufnych informacji może mieć również bardzo poważne konsekwencje finansowe dla firmy. Urząd Ochrony Danych Osobowych może nałożyć na firmę karę administracyjną.
– Zgodnie z przepisami RODO jej wysokość może sięgać nawet 20 mln euro lub 4 proc. rocznego obrotu, w zależności od tego, która kwota jest wyższa – ostrzega Łukasz Ozimek. – Jednak jednym z najbardziej długotrwałych skutków wycieku danych i utraty poufności jest utrata zaufania i pogorszenie wizerunku firmy. Klienci, partnerzy biznesowi oraz inwestorzy mogą zacząć postrzegać firmę jako nierzetelną i narażoną na ryzyko. To z kolei może prowadzić do utraty kontraktów, zmniejszenia liczby klientów oraz trudności w pozyskiwaniu nowych. Wizerunek firmy, na który pracuje się latami, może zostać zniszczony w ciągu kilku dni.
Szyfrowanie, kontrola dostępu i... wiedza pracowników
Zdaniem Magdy Dąbrowskiej, aby uchronić firmę przed kłopotami związanymi z ujawnieniem poufnych danych pracodawcy coraz częściej stawiają na kompleksowe podejście do ich ochrony.
– Poza formalnymi umowami o poufności, inwestują w rozwiązania techniczne jak szyfrowanie, kontrola dostępu, monitoring sieci, a także w szkolenia z zakresu cyberhigieny i bezpieczeństwa informacji – mówi przedstawicielka Grupy Progres. – Kluczowe jest w tej sytuacji prowadzenie skutecznej komunikacji wewnętrznej i edukacji pracowników. Nie każda firma to robi. Brak świadomości, dlaczego nie należy wykorzystywać prywatnej poczty w celach zawodowych, to poważne zagrożenie dla bezpieczeństwa całej firmy. Pracodawcy powinni regularnie szkolić zespoły, jasno określać procedury i zapewniać narzędzia umożliwiające bezpieczne wykonywanie obowiązków, również w sytuacjach awaryjnych – dodaje.
Również ekspert Exea Data Center uważa, że nawet najlepsze systemy ochrony nie wystarczą, jeśli pracownicy nie wiedzą, jak unikać zagrożeń.
– Dlatego szkolenia z zakresu cyberbezpieczeństwa są bardzo ważne. Należy regularnie szkolić zespoły IT rozpoznawać phishingowe wiadomości e-mail czy podejrzane linki. Warto również wprowadzić jasne zasady dotyczące korzystania z firmowych urządzeń i danych, czyli ograniczyć dostęp do poufnych informacji tylko do osób, które ich naprawdę potrzebują oraz wprowadzić uwierzytelnianie wieloskładnikowe wykorzystujące np. dodatkową aplikację zatwierdzającą dostęp lub fizyczny klucz – radzi Łukasz Ozimek.
