W 40 proc. firm na świecie pracownicy zatajają incydenty związane z cyberbezpieczeństwem, do których doprowadzili – wynika z badań firmy Kaspersky. Dzieje się tak przede wszystkim ze strachu przed odpowiedzialnością oraz wstydu, że profesjonalista nabrał się na sztuczkę hakerów (np. otworzył załącznik do e-maila udający fakturę czy informację o oczekującej na odbiór przesyłce, który zawierał złośliwe oprogramowanie).
Czym to grozi
– Za spowodowanie wycieku danych pracownik może być ukarany karą porządkową, wypowiedzeniem, a w skrajnych przypadkach zwolnieniem dyscyplinarnym – mówi radca prawny Sławomir Paruch, partner z kancelarii Raczkowski Paruch. – Pracodawca może się też domagać odszkodowania, choć trudne może być wykazanie szkody spowodowanej naruszeniem zasad bezpieczeństwa danych – dodaje.
Każdy cyberatak grozi utratą nie tylko danych, ale i zaufania klientów, a nawet całkowitym paraliżem firmy.
– Ponadto od 25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (tzw. RODO), które wprowadza obowiązek zgłoszenia incydentu zarówno organowi ochrony danych (w ciągu 72 godzin od jego stwierdzenia), jak i osobom, których dane wyciekły (bez zbędnej zwłoki), jeśli istnieje wysokie ryzyko zagrożenia ich praw i wolności – podkreśla Paruch.
– Co jednak oznacza „stwierdzenie” wycieku i kto powinien to stwierdzić? – pyta dr Arwid Mednis z Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. I odpowiada: – Moim zdaniem chodzi o dowolnego członka organizacji, niekoniecznie na stanowisku kierowniczym. Dlatego ważny jest system efektywnego wykrywania incydentów.
– Obecnie firmy zwykle dowiadują się o naruszeniach po trzech miesiącach, z gazet lub innych źródeł zewnętrznych – mówi Maciej Gawroński partner zarządzający w Gawroński & Partners.
Za brak zgłoszenia wycieku RODO przewiduje karę do 10 mln euro lub 2 proc. rocznego światowego obrotu, podobnie za sam wyciek.
– Prawnie zawsze odpowiada administrator danych, ale możliwe, że krajowe regulacje wprowadzą sankcje karne, które mogą dotknąć indywidualnie pracownika, który doprowadził do wycieku – uważa Arwid Mednis.
– Jeśli pracownik działał umyślnie, w złej wierze chciał ujawnić dane osobowe, to pracodawca może dochodzić naprawienia szkody w całej rozciągłości, w tym podnieść roszczenie regresowe odpowiadające wysokości kary nałożonej na pracodawcę – podkreśla Sławomir Paruch.
Warto tłumaczyć
Zdaniem Macieja Gawrońskiego firmom opłaca się zachęcać pracowników do informowania o wyciekach. – Potrzebna jest jednak gradacja kar. Za zgłoszony szybko incydent nie powinno się ponosić odpowiedzialności finansowej, np. za sprzęt powierzony, a za brak zgłoszenia kara powinna być surowa, aż do zwolnienia dyscyplinarnego – dodaje.
Tomasz Thiede z PGE Polskiej Grupy Energetycznej, odpowiedzialny za realizację programu RODO, zwraca uwagę, że otwartość zarządzających w tej kwestii oraz nastawienie na pomoc pracownikom może przynieść firmie wiele korzyści. – Błędy w tym obszarze nie muszą być wyłącznie powodem do karania, ważna jest zdolność do umiejętnego wyciągania wniosków i dalszego rozwoju. Stawiamy na jak najszybsze wykrycie incydentu i podjęcie stosownych działań zmierzających do rozwiązania powstałego problemu – dodaje.
Często powodem naruszenia bezpieczeństwa danych jest też wykorzystywanie przez pracowników prywatnych urządzeń do celów służbowych. Sławomir Paruch zaznacza, że choć pracodawcy nie mogą tego wymagać, często to dopuszczają, narażając mechanizm ochrony danych na zagrożenia wynikające z dostępu do nich za pomocą niezabezpieczonych urządzeń, routerów, publicznych sieci wi-fi itp. – Pracodawcy, którzy godzą się na korzystanie z prywatnych urządzeń, powinni drobiazgowo zadbać o zapewnienie bezpieczeństwa danych przetwarzanych w swoich zasobach – dodaje.
