+420 775 903 660

CS | EN

+420 775 903 660

CS | EN

CO DĚLAT, KDYŽ Z FIRMY DÍKY ZAMĚSTNANCŮM UNIKAJÍ DATA…

CO DĚLAT, KDYŽ Z FIRMY DÍKY ZAMĚSTNANCŮM UNIKAJÍ DATA…

Máte podezření, že vám z firmy unikají data a nevíte, jak to řešit? Bojíte se, že by uniklá data mohla být zneužita vašimi (bývalými) zaměstnanci či vaší konkurencí a že by takové zneužití mohlo vaše podnikání poškodit?

Pokud je tomu tak, pojďme si říct, jak je možné se proti únikům dat bránit.

 

JAKÁ DATA UNIKAJÍ A PROČ?

V dnešní době se velká část byznysů bez práce s počítačovými daty neobejde a u značné části byznysů mají určitá data zcela strategický význam pro úspěšné fungování daného byznysu. Typickým příkladem takových dat jsou například databáze zákazníků a cen, produktové a technické listy, vývojové či výrobní postupy, zdrojové kódy atd.

Pokud daný podnikatel chápe skutečný význam těchto dat pro své podnikání a má na to prostředky (zejména technické a finanční), jsou tato data u něj určitým způsobem chráněna, a to jak proti hrozbám zvenku, tak i proti hrozbám zevnitř (zaměstnanci daného podnikatele).

Řada podnikatelů však bezpečnost svých dat nijak neřeší, což z těchto dat samozřejmě dělá poměrně snadný cíl pro jejich zneužití, a to zejména ze strany zaměstnanců, kteří k těmto datům mají mnohdy velmi snadný přístup a také často vědí, jak s těmito daty naložit, aby to pro ně mělo nějaký pozitivní ekonomický efekt.

Pokud data zaměstnavatele nejsou dostatečně dobře chráněna, významně stoupá riziko, že:

  • zaměstnanec „ukrade“ data svého zaměstnavatele a tato použije k podpoře a akceleraci svého vlastního podnikání, které bude konkurovat zaměstnavateli, nebo
  • zaměstnanec se dohodne s jiným podnikatelem (konkurentem zaměstnavatele), že mu bude (protiprávně) „dodávat“ určitá data svého zaměstnavatele, aby podpořil a akceleroval podnikání tohoto konkurenta na úkor zaměstnavatele.

Tato data mohou zahrnovat např.:

  • podrobné, propracované a dlouhodobě budované databáze obchodních partnerů zaměstnavatele, tedy zákazníků a/nebo dodavatelů, v určitém zeměpisném regionu (např. Středočeský kraj, Česká republika, Německo atd.), včetně cen, za které se těmto partnerům dodává či se od nich nakupuje;
  • produktové/technické listy, které obsahují přesný technický popis určitých produktů;
  • výrobní či vývojové postupy, díky nimž je možno výrazně zjednodušit, zlevnit a urychlit výrobu či vývoj určitých produktů;
  • zdrojové kódy, které jsou základním stavebním prvkem nově vyvíjeného software.

Ne zřídka mohou taková data dokonce být chráněna autorským zákonem (např. databáze, zdrojové kódy, fotografie produktů atd.).

Není asi třeba složitě vysvětlovat, že pokud taková data zaměstnavatele začne zaměstnanec zneužívat tím, že je použije pro své podnikání či pro podnikání jiného podnikatele, hrozí zaměstnavateli významné riziko poklesu tržeb či ztráty zákazníků či dodavatelů.

V extrémních případech nelze ani vyloučit, že při úniku zvlášť citlivých dat, na základě nichž má například být spuštěn nový výrobní program nebo uveden na trh převratný produkt (a do jehož vzniku zaměstnavatel investoval značné prostředky), by zaměstnavatel mohl čelit obrovským ekonomickým ztrátám, které by dokonce mohly zaměstnavatele přivést na pokraj bankrotu.

Proto je potřeba určité skupiny dat zaměstnavatele pečlivě chránit a omezit tak možnost jejich úniku.

 

JAK ÚNIKŮM DAT PŘEDCHÁZET?

Data je potřeba chránit především preventivními organizačně-technickými opatřeními. Mezi taková opatření patří zejména zavedení bezpečnostních postupů ve firmě spočívajících například v:

  • Umožnění přístupů k určitým datům jen některým zaměstnancům (např. jen členům vývojového týmu „Alfa“, key-account managerovi pro region Slovensko, vedoucímu nákupu atd.), a to za pomocí omezených přístupů a hesel. Určitě není mnoho dobrých důvodů, proč by přístup ke všem datům ve firmě měli mít všichni zaměstnanci včetně například všech obchodních zástupců či všech administrativních pracovníků.
  • Informování zaměstnanců o povaze a významu určitých dat ve společnosti a upozornění na případné právní následky, které mohou v důsledku „krádeže“ a zneužití dat nastat (zde je vhodné zejména využití propracovaných vnitřních směrnic, pracovních řádů, školení atd.). Může se to zdát překvapivé, ale mnoho zaměstnanců nemá ani tušení, jaké ekonomické problémy může svému zaměstnavateli způsobit, pokud bude s určitými daty zaměstnavatele nakládat nesprávným (či dokonce přímo protiprávním) způsobem. Už vůbec si pak řada zaměstnanců ani neuvědomí, že takovým zacházením s daty se mohou dopustit třeba i trestného činu a/nebo významně ohrozit svou vlastní ekonomickou situaci (např. v důsledku možných žalob na náhradu škody a vydání bezdůvodného obohacení).
  • Provádění pravidelných bezpečnostních testů a prověrek systémů zaměstnavatele specializovanými firmami, které se zabývají bezpečností informací.

Každý trpí provozní slepotou a i při nejlepší snaze nedokážou vnitřní pracovníci firmy vidět veškerá významná bezpečnostní rizika, která v systému firmy existují. Nadto je třeba si uvědomit, že IT oddělení může často být samo o sobě významným rizikem a potencionálním bodem úniku dat z firmy. Proč? Protože IT oddělení nikdo obvykle ve firmě nekontroluje a naopak IT oddělení má obvykle přístup do celého systému ve firmě. Proto je potřeba, aby externí firma zmapovala celou strukturu systému a tok dat ve společnosti (samozřejmě ideálně tak, aby se o provádění testů zaměstnanci společnosti kromě vrcholového managementu nedozvěděli – tedy všechny testy by měly být prováděny ideálně v utajení).

DŮLEŽITÉ: Veškeré testovací/monitorovací aktivity samozřejmě musí být prováděny plně v souladu s právními předpisy, tedy zejména v souladu se zákoníkem práce, předpisy na ochranu osobních údajů atd. a nesmí nepřiměřeně zasahovat do osobnostních práv a soukromí zaměstnanců ani jiných osob. Jinak by hrozilo riziko porušení příslušných právních předpisů a s tím souvisejících kontrol z inspektorátu práce, Úřadu na ochranu osobních údajů anebo třeba žalob na ochranu osobnosti atd. Následkem by pak mohly být např. nepříjemné pokuty či negativní publicita, které by zaměstnavatel musel čelit.

Upozorňuji, že „schytat“ kontrolu např. od inspektorátu práce není vůbec složité a tato kontrola vůbec nemusí být vyvolána monitoringem zaměstnanců ani s ním zpočátku nemusí nijak souviset (ve své praxi jsem se setkal např. s tím, že důvodem pro kontrolu z inspektorátu práce u jednoho zaměstnavatele bylo anonymní udání, že u zaměstnavatele je provozován švarcsystém, přičemž toto udání pravděpodobně učinila partnerka jednoho ze zaměstnanců poté, co ji tento zaměstnanec opustil a našel si partnerku jinou). Inspektorát práce navíc disponuje poměrně slušným počtem „kontrolorů“, proto obecně není dobré brát dodržování předpisů ve vztahu k zaměstnancům na lehkou váhu.

Uvedená organizačně-technická opatření jsou preventivním nástrojem ochrany, a proto lze těmito nástroji předejít k tomu, aby k nějakému úniku dat vůbec došlo. Veškerá ostatní opatření, které popisuji níže, jsou už jen „hašením vzniklého požáru“, tedy snahou o minimalizaci již vniklé škody. Z tohoto důvodu doporučuji věnovat výše uvedeným organizačně-technickým opatřením zvlášť velkou pozornost – je to v každém případě pro zaměstnavatele výhodnější, bezpečnější a ve výsledku i levnější.

 

CO DĚLAT, KDYŽ K ÚNIKU DAT DOJDE?

Když zjistíte, že k úniku dat ve vaší firmě už došlo, nejpodstatnější jsou dvě věci: abyste jednali velmi rychle a velmi nenápadně. V co nejkratší době totiž musíte zajistit co nejvíce důkazů, které vám ideálně pomohou následně prokázat, že k úniku dat došlo, kdo je za něj odpovědný (je velmi důležité odhalit pokud možno všechny osoby, které se na úniku dat podílely) a co se s daty dělo (tedy zejména kdy, odkud a kam byla data přenesena).

Čas zde hraje velmi podstatnou roli nejen z toho důvodu, že zaměstnanec, který je za únik dat zodpovědný může po velmi krátké době za sebou zametat stopy (např. mazat e-maily, data na serveru atd.), ale jde také o to, že čím dříve unik dat a jejich následné zneužití zastavíte, tím více omezíte potenciální škodu, která vaší firmě hrozí.

Prakticky tedy doporučuji při zjištění, že data z vaší firmy unikají, učinit následující kroky:

  1. ZMAPOVÁNÍ SITUACE

Předně je potřeba zmapovat co nejrychleji vaše systémy a datové toky na těchto systémech. Tímto byste při troše štěstí měli být schopni získat alespoň určitá vodítka k tomu, jaká data unikají a přes koho k tomuto dochází.

Ačkoli to může znít neuvěřitelně, řada zaměstnanců „citlivá“ data dostává ven z firmy prostě tak, že je odešle e-mailem ze svého pracovního emailu na svůj soukromý e-mail (přičemž o této emailové komunikaci obvykle existuje záznam v logu e-mailového serveru zaměstnavatele). Tento způsob je samozřejmě obvykle kombinován s tím, že zaměstnanec data stahuje ze svého pracovního PC či notebooku na různá datová uložiště (přenosný hard-disk, mobilní telefon, flash disk atd.) – zde obecně doporučuji softwarově znemožnit připojování datových uložišť k pracovnímu PC či notebooku – tímto poměrně efektivně ztížíte možnost zaměstnance dostat ven z firmy velký objem dat za krátkou dobu.

DŮLEŽITÉ: Upozorňuji však, že současná právní úprava (včetně rozhodovací praxe Úřadu na ochranu osobních údajů) obsahuje řadu pravidel a limitů týkajících monitoringu zaměstnanců a přístupu k jejich (soukromým) datům (včetně např. přístupu do e-mailové schránky zaměstnance, resp. do jednotlivých e-mailů). I proto je potřeba v případě mapování datových toků na systémech zaměstnavatele postupovat velmi opatrně, abyste se vyhnuli pokutám, soudním žalobám a negativní publicitě.

Pokud tedy nejste zrovna IT firma, která se perfektně orientuje v pracovním právu a ochraně osobních údajů, doporučuji najmout si kvalitní poradce zabývající se dlouhodobě bezpečností informací, kteří tuto problematiku budou dopodrobna znát.

  1. PRÁVNÍ VYHODNOCENÍ VĚCI A DALŠÍHO POSTUPU

Dále je potřeba prodiskutovat celou věc co nejrychleji s advokátem, který má s touto oblastí dostatek zkušeností, abyste mohli kvalifikovaně vyhodnotit, jaké právní následky by únik dat mohl mít a jaké právní prostředky v dané situaci máte na svou obranu.

Jednaní zaměstnance, který únik dat způsobil, může být posouzeno například jako:

  • porušení pracovněprávních předpisů,
  • nekalá soutěž,
  • porušení autorskoprávních předpisů či
  • jako jeden či více trestných činů (např. trestný čin Neoprávněného přístupu k počítačovému systému a nosiči informací dle § 230 trestního zákoníku, trestný čin Porušení předpisů o pravidlech hospodářské soutěže dle § 248 trestního zákoníku, trestný čin Porušení autorského práva, práv souvisejících s právem autorským a práv k databázi dle § 270 trestního zákoníku atd.).

Pokud by jednání zaměstnance mohlo být posouzeno jako některý z trestných činů, otevírá se zaměstnavateli možnost, aby protiprávní jednání zaměstnance prošetřila policie, která (ideálně v absolutním utajení) je schopna za poměrně krátkou dobu nasbírat dostatek důkazů k tomu, aby protiprávní jednání zaměstnance mohlo být dostatečně důkazně podloženo. V důsledku toho se pak může velmi významně zvýšit šance, že zaměstnanec (a případně i další osoby, které se na protiprávním jednání zaměstnance podílely) budou nuceni čelit negativním následkům svého jednání (ať už např. trestu za spáchaný trestný čin či např. povinnosti nahradit vzniklou škodu), což by je od dalšího pokračování v protiprávním jednání mělo spolehlivě odradit (alespoň na nějakou dobu).

Policejní vyšetřování může být v určitých případech pro zaměstnavatele relativně efektivním způsobem, jak se legálně dostat k důkazům dokladujícím, že daný zaměstnanec se určitého protiprávního jednání dopustil (což je obvykle pro zaměstnavatele jinak velmi obtížné). Je však zároveň důležité říct, že zdaleka ne každý únik informací musí být trestným činem a že bezhlavé podávání trestních oznámení se může zaměstnavateli vymstít, protože nelze vyloučit, že následně by sám zaměstnavatel mohl čelit trestnímu oznámení pro trestný čin Křivého obvinění dle § 345 trestního zákoníku, a také může být ze strany ostatních zaměstnanců či veřejnosti velmi negativně vnímáno, že daný zaměstnavatel řeší (zdánlivě) relativně neškodné jednání zaměstnance hned trestním oznámením.

Proto je potřeba celou záležitost skutečně dobře po právní stránce posoudit a vyhodnotit, jaký postup je efektivní a jaká případná rizika jsou ve hře.

  1. UČINĚNÍ KONKRÉTNÍCH KROKŮ

No a nakonec je nutné učinit potřebné právní a faktické kroky k řešení situace – tedy podle charakteru a právního vyhodnocení jednání přichází v úvahu zejména:

  • zamezit zaměstnanci přístup k pracovnímu počítači či serveru, kde se citlivá data nacházejí (poté, co už máte k dispozici dostatek důkazů o zaměstnancově protiprávním jednání, protože je jasné, že jakmile zamezíte zaměstnanci přístup, bude mu zřejmé, že jste mu na stopě a může důkazy začít likvidovat),
  • se zaměstnancem okamžitě zrušit pracovní poměr (pokud máte dostatečné podklady a důkazy k tomu, aby byly podmínky pro okamžité zrušení pracovního poměru naplněny a nehrozily tedy žaloby na neplatnost okamžitého zrušení pracovního poměru),
  • podat žalobu např. na náhradu škody či vydání bezdůvodného obohacení (pokud máte dostatek důkazů, kterými své nároky podložíte),
  • podat na zaměstnance trestní oznámení (pokud máte dostatečné indicie, že se zaměstnanec určitého trestného činu dopustil).

V mnoha případech nebude efektivní postupovat podle výše uvedené souslednosti a prvním krokem v řadě situací bude nejprve podání trestního stíhání a teprve poté zamezení přístupu k datům a ukončení pracovního poměru. Jak jsem ale zmiňoval, celá strategie postupu by měla vždy být podrobně naplánována dopředu, aby se maximalizovala efektivita zvoleného postupu a minimalizovala rizika.

 

*          *          *

 

V případě, že máte podezření, že ve vaší společnosti k úniku dat dochází nebo pokud již k úniku dat u vás došlo a chcete to řešit, jsem připraven Vám pomoci nastavit strategii dalšího postupu a poskytnout Vám právní podporu při činění potřebných právních kroků.

 

 

Mgr. Radan Janoš, advokát

JAK SE BRÁNIT (NEJEN) POČÍTAČOVÉ KRIMINALITĚ?Předchozí novinka
JSOU DATA UŽIVATELŮ SOCIÁLNÍCH SÍTÍ OPRAVDU V BEZPEČÍ?Další novinka