Zamiast edukować, firmy karzą za wyciek danych

W 40 proc. firm na świecie pracownicy zatajają incydenty związane z cyberbezpieczeństwem, do których doprowadzili – wynika z badań firmy Kaspersky. Dzieje się tak przede wszystkim ze strachu przed odpowiedzialnością oraz wstydu, że profesjonalista nabrał się na sztuczkę hakerów (np. otworzył załącznik do e-maila udający fakturę czy informację o oczekującej na odbiór przesyłce, który zawierał złośliwe oprogramowanie).

Czym to grozi

– Za spowodowanie wycieku danych pracownik może być ukarany karą porządkową, wypowiedzeniem, a w skrajnych przypadkach zwolnieniem dyscyplinarnym – mówi radca prawny Sławomir Paruch, partner z kancelarii Raczkowski Paruch. – Pracodawca może się też domagać odszkodowania, choć trudne może być wykazanie szkody spowodowanej naruszeniem zasad bezpieczeństwa danych – dodaje.

Każdy cyberatak grozi utratą nie tylko danych, ale i zaufania klientów, a nawet całkowitym paraliżem firmy.

– Ponadto od 25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (tzw. RODO), które wprowadza obowiązek zgłoszenia incydentu zarówno organowi ochrony danych (w ciągu 72 godzin od jego stwierdzenia), jak i osobom, których dane wyciekły (bez zbędnej zwłoki), jeśli istnieje wysokie ryzyko zagrożenia ich praw i wolności – podkreśla Paruch.

– Co jednak oznacza „stwierdzenie" wycieku i kto powinien to stwierdzić? – pyta dr Arwid Mednis z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. I odpowiada: – Moim zdaniem chodzi o dowolnego członka organizacji, niekoniecznie na stanowisku kierowniczym. Dlatego ważny jest system efektywnego wykrywania incydentów.

– Obecnie firmy zwykle dowiadują się o naruszeniach po trzech miesiącach, z gazet lub innych źródeł zewnętrznych – mówi Maciej Gawroński partner zarządzający w Gawroński & Partners.

Za brak zgłoszenia wycieku RODO przewiduje karę do 10 mln euro lub 2 proc. rocznego światowego obrotu, podobnie za sam wyciek.

– Prawnie zawsze odpowiada administrator danych, ale możliwe, że krajowe regulacje wprowadzą sankcje karne, które mogą dotknąć indywidualnie pracownika, który doprowadził do wycieku – uważa Arwid Mednis.

– Jeśli pracownik działał umyślnie, w złej wierze chciał ujawnić dane osobowe, to pracodawca może dochodzić naprawienia szkody w całej rozciągłości, w tym podnieść roszczenie regresowe odpowiadające wysokości kary nałożonej na pracodawcę – podkreśla Sławomir Paruch.

Warto tłumaczyć

Zdaniem Macieja Gawrońskiego firmom opłaca się zachęcać pracowników do informowania o wyciekach. – Potrzebna jest jednak gradacja kar. Za zgłoszony szybko incydent nie powinno się ponosić odpowiedzialności finansowej, np. za sprzęt powierzony, a za brak zgłoszenia kara powinna być surowa, aż do zwolnienia dyscyplinarnego – dodaje.

Tomasz Thiede z PGE Polskiej Grupy Energetycznej, odpowiedzialny za realizację programu RODO, zwraca uwagę, że otwartość zarządzających w tej kwestii oraz nastawienie na pomoc pracownikom może przynieść firmie wiele korzyści. – Błędy w tym obszarze nie muszą być wyłącznie powodem do karania, ważna jest zdolność do umiejętnego wyciągania wniosków i dalszego rozwoju. Stawiamy na jak najszybsze wykrycie incydentu i podjęcie stosownych działań zmierzających do rozwiązania powstałego problemu – dodaje.

Często powodem naruszenia bezpieczeństwa danych jest też wykorzystywanie przez pracowników prywatnych urządzeń do celów służbowych. Sławomir Paruch zaznacza, że choć pracodawcy nie mogą tego wymagać, często to dopuszczają, narażając mechanizm ochrony danych na zagrożenia wynikające z dostępu do nich za pomocą niezabezpieczonych urządzeń, routerów, publicznych sieci wi-fi itp. – Pracodawcy, którzy godzą się na korzystanie z prywatnych urządzeń, powinni drobiazgowo zadbać o zapewnienie bezpieczeństwa danych przetwarzanych w swoich zasobach – dodaje.




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych