Złodzieje firmowych tajemnic
SHUTTERSTOCKStrata poufnych danych potrafi być dla firmy ciosem w samo serce. Do tego nawet jeśli zabezpieczy się ona prawnie przed ich kradzieżą, nie musi to powstrzymać złodzieja, który i tak ma duże szanse na bezkarność. Jak więc utrudnić mu działanie i co zrobić, żeby pracownicy nie zdradzali też sekretów swej firmy bezmyślnie?
We wrześniu 2014 r. Sąd Najwyższy rozpatrywał sprawę kobiety, która, będąc marketingowcem w jednej ze spółek produkcyjnych na Mazowszu, została zwerbowana przez konkurencję. Złożyła wymówienie i okres wypowiedzenia spędzała na zwolnieniu lekarskim, ale na jeden dzień zjawiła się w biurze, by ze służbowego e-maila przesłać na swój prywatny adres bazę danych klientów. Pracodawca się o tym dowiedział i wręczył jej dyscyplinarkę. Zależało mu bowiem, by podkreślić, jakie znaczenie ma zachowanie poufności takich informacji. Kobieta odwołała się do sądu, który niespodziewanie nakazał, by firma wypłaciła jej odszkodowanie w wysokości 22 tys. zł za bezprawne zwolnienie w trybie dyscyplinarnym. Uzasadnił to tym, że nie chodziło przecież o tajemnice, skoro dane teleadresowe klientów są w internecie.
W pewnym sensie spółka mogła mieć pretensję do siebie, ponieważ nie zadbała o podpisanie z pracownicą, mającą dostęp do wrażliwych informacji, umowy o zakazie konkurencji po ustaniu zatrudnienia ani nie zablokowała możliwości wyeksportowania bazy danych. Niemniej złożyła apelację od niekorzystnego dla siebie wyroku i tym razem sąd uznał dyscyplinarkę za uzasadnioną. Wobec tego pracownica złożyła skargę kasacyjną do SN, twierdząc, że pliki potrzebne jej były do pracy, bo przebywała głównie poza biurem i korzystała z domowego komputera. Firma z kolei podkreślała, że do ich wysłania doszło tuż przed jej przejściem do konkurencji. Kto wygrał? Spółka, po czterech latach batalii, ale musiała się zadowolić tylko tym, że nie wypłaci odszkodowania. Ile straciła z powodu wycieku cennych informacji, można się tylko domyślać.
Inna firma, tym razem spedycyjna, działająca w Trójmieście, nawet nie musiała się domyślać, gdyż utratę pierwszych sześciu najważniejszych klientów i pół miliona złotych szybko skojarzyła z odejściem czterech pracowników, którzy zatrudnili się w przedstawicielstwie szwedzkiej konkurencji. Posługiwali się oni szczegółami dotyczącymi kontraktów, jakie ich były pracodawca zawarł z kontrahentami, tras przejazdów itd., mimo że podpisali wcześniej umowy o zakazie konkurencji i zachowaniu poufności informacji przez trzy lata od ustania stosunku pracy. Niestety, prokuratura odmówiła wszczęcia dochodzenia, gdyż firma nie mogła przedstawić „twardych dowodów”. Jej pliki, znalezione przez policję w komputerach konkurencji, nie miały znaczenia, bo podejrzani po prostu zaprzeczyli, że je wykradli. W Szwecji samo posługiwanie się takimi plikami wystarczyłoby, aby zamknąć nieuczciwe przedsiębiorstwo, ale u nas prawo o konkurencji jest tak skonstruowane, że bardzo trudno pociągnąć kogoś do odpowiedzialności karnej (prokuratura wszczyna dochodzenie tylko w kilku procentach zgłoszonych przypadków). Pozostaje droga cywilna, której firmy zazwyczaj unikają, gdyż jest długa i kosztowna. Przez to właśnie kradzież poufnych danych jest w Polsce tak nagminna – złodzieje często czują się bezkarni.
Jedyną obroną są systemy i procedury, które utrudnią im zadanie oraz sprawią, że niełatwo będzie zachować anonimowość. To w dużej mierze rozwiązania informatyczne pozwalające stwierdzić, kto z jakimi plikami pracował, ile danych ściągnął, w jakich godzinach łączył się z systemem itd., a także praca działu handlowego w systemie CRM, który uniemożliwia wyeksportowanie bazy danych. Można też np. uniemożliwić podłączenie do komputera płyty CD lub pendrive’a albo zablokować dostęp do prywatnych skrzynek e-mailowych czy serwisów społecznościowych. Czasem potrzebna może być nawet kamera. Oczywiście ochrona prawna (patrz ramka) też jest konieczna.
W przerwie na papierosa
Systemy, procedury i umowy przydają się również dlatego, że dane wyciekają, bo pracownicy po prostu często nie uważają. Rozprawiają o sprawach firmy choćby w windzie czy pod biurem, podczas „przerwy na papierosa”. – Co to za problem dla kogoś podejść bliżej i posłuchać – mówi Marzena Sawicka, dyrektor zarządzająca Hillway Training and Consulting, i dodaje, że tego typu sytuacji, gdy pracownicy mogą nieświadomie ujawnić tajemnice przedsiębiorstwa, jest bardzo dużo. Np. podczas rozmów kwalifikacyjnych, które wiele firm prowadzi po to, aby dowiedzieć się, „co słychać” u konkurencji – jakie panują nastroje w zespole, jakie zmiany są wprowadzane, jakie kontrakty i z kim są realizowane, jak są ustawione systemy prowizyjne. – Kandydaci do pracy zazwyczaj chętnie opowiadają o tym, co robią i w jakim otoczeniu, bo chcą się jak najlepiej zaprezentować – mówi Sawicka.
Informacje wyciąga się także podczas tzw. eventów czy konferencji, gdy pod przykrywką rozmowy biznesowej wykorzystuje się techniki komunikacji perswazyjnej i manipuluje drugą stroną, szczególnie podczas wieczornych bankietów.
Czasem wystarczy być we właściwym czasie na właściwym miejscu. Na LinkedIn krążyła niedawno anegdota o tym, jak to w Pendolino siedziała grupa osób jadąca na prezentację do kontrahenta i głośno omawiała, jakie strategie negocjacyjne zastosuje i na jakie rabaty jest w stanie przystać, a wszystkiemu przysłuchiwała się osoba z konkurencyjnej firmy, która jechała na spotkanie z tym samym klientem.
Marzena Sawicka uczula, że świadomość prawna, związana z ochroną firmowych tajemnic i nie tylko, jest wśród Polaków naprawdę rażąco niska. – Cały obowiązek edukacji spoczywa na pracodawcy – mówi. Według niej pracownicy często nie mają pojęcia, jakie są formy zatrudnienia i co się z nimi łączy. Zawierając umowę o pracę, nawet nie są świadomi, co podpisują, a już tym bardziej nie wiedzą, do czego zobowiązuje ich kodeks pracy. – Dlatego wiele firm coraz częściej dokładnie wskazuje, co jest chronione, dodaje załącznik z wykazem konkretnych przepisów i konsekwencji, jakie grożą za ich złamanie – zauważa Sawicka.
Walka ze spiskiem przyczyn
Wyjątkowo ważna jest w tym wszystkim rola bezpośredniego przełożonego. Dobra okazja, by wprowadzić daną osobę w reguły i etykę pracy, nadarza się np. wtedy, gdy się ją zatrudnia. – Zaczynamy od omówienia z nowym pracownikiem, co jest w firmie objęte poufnością, z czym będzie miał do czynienia w sensie prawnym, poruszamy każdy zapis, np. co to są informacje organizacyjne podlegające ochronie, jasno dajemy do zrozumienia, że polityka wynagrodzeń jest objęta tajemnicą, że np. w przypadku działu handlowego proces sprzedaży, dane klientów czy strategie są poufne – opisuje Sawicka. – Wskazujemy, do czego konkretnie zobowiązujemy go w ramach ochrony: że np. będzie musiał zmieniać hasła dostępu do komputera, że nie wolno mu będzie kopiować danych i przenosić ich na prywatne nośniki, a także z jakimi to się wiąże karami.
Należy zadbać też o takie rzeczy, jak nauczenie pracowników, jak niszczyć poufne dokumenty czy trwale wykasowywać informacje z twardego dysku, gdy zmieniane są komputery. Żeby nie skończyło się jak kiedyś w mBanku, gdy na biurowym śmietniku walały się kartki z danymi personalnymi kilkuset jego klientów, a także z numerami ich rachunków, bieżącym stanem kont i posiadanymi limitami.
Lepiej też nie poprzestać na jednym „pouczeniu”, ale regularnie do kwestii bezpieczeństwa wracać, aby pracownikom łatwiej było przyswoić sobie i utrwalić pożądane zachowania.
Generalnie chodzi o cały zestaw działań o różnym charakterze: informowanie i przypominanie, konsekwentnie przestrzegany system kar i nagród, apelowanie do morale i wyobraźni oraz wsparcie w zastosowaniu się do wymogów (szkolenia, szafki zamykane na klucz, urządzenia do usuwania danych z twardych dysków, procedury bezpieczeństwa, poczynając od dawania dostępu tylko do informacji niezbędnych na danym stanowisku itp.). Wielu psychologów podkreśla, że same rozmowy nie wystarczą, bo niewłaściwe zachowania często są nawykowe i trudno je zmienić na stałe. Stoi za nimi nie jedna przyczyna, którą wystarczyłoby usunąć (np. nieświadomość prawa i firmowych reguł), ale cały ich spisek. Najlepiej zatem stworzyć odpowiednią kulturę firmową, której powstaniu sprzyjają działania wielostronne – co wymaga wysiłku od szefostwa, ale warto go podjąć.
Niestety, wiele firm to zaniedbuje, nawet takie, po których nikt by się tego nie spodziewał. Tak jak pewna renomowana agencja doradztwa personalnego. Jej pracownice wracały przed kilku laty ekspresem Intercity (ach, te pociągi) z Krakowa do Warszawy. Przy pozostałych pasażerach szczegółowo omawiały sprawę swego klienta, średniej wielkości firmy farmaceutycznej poszukującej menedżerów produktu. Pech chciał, że jednym z tych współpasażerów był prezes owej spółki...
Prawo i tajemnice
Ochrona tajemnic firmy wynika z Ustawy o przeciwdziałaniu nieuczciwej konkurencji, w myśl której „przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności”. Za ich ujawnienie przez osobę świadczącą pracę grożą prawne konsekwencje, niezależnie od tego, czy była ona zatrudniona na etacie czy na podstawie innej umowy.
Z niedotrzymaniem tajemnicy firmy przez pracownika mamy do czynienia wtedy, gdy ten wynosi z niej ważne informacje finansowe, pracownicze czy bazy danych klientów, a przy tym był poinstruowany, że są to dane poufne, chronione, stanowią tajemnicę pracodawcy, który jednocześnie podjął aktywne działania związane z ochroną tych dóbr.
Przedsiębiorstwo chronione jest też przez kodeks pracy, wedle którego podstawowym obowiązkiem pracownika jest dbanie o dobro zakładu pracy i zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić na szkodę pracodawcę (art. 100 § 2 pkt. 4 kp). Ale w dzisiejszych czasach wiele osób jest zatrudnionych nie na podstawie kodeksu pracy, lecz umów cywilno-prawnych, dlatego do ochrony swoich tajemnic firmy powinny podejść bardziej skrupulatnie.
Marzena Sawicka, dyrektor zarządzająca Hillway Training and Consulting
Warto mieć w firmie politykę ochrony tajemnic przedsiębiorstwa, która jest częścią jej kultury organizacyjnej, ale też pamiętać, że w tym wszystkim najważniejszy jest jednak człowiek i zaufanie. Świadomi potrzeby ochrony informacji pracownicy stanowią o przewadze konkurencyjnej przedsiębiorstwa. Dlatego budujmy zaufanie i edukujmy, dbajmy o bezpieczeństwo pracowników i ochronę swych danych. Wspólny interes jednoczy. Jeżeli firma dba o swój personel i go szanuje, rośnie prawdopodobieństwo, że on też będzie szanować ją i jej tajemnice.
Marta Derewicz, grupa adwokacka Tomczak i Partnerzy
Spotkaliśmy się z przypadkiem, kiedy pracownik niedługo po zrezygnowaniu z pracy założył własną działalność, konkurencyjną wobec dotychczasowego pracodawcy, w której posługiwał się nabytą u niego wiedzą w zakresie technologii. Wytwarzane przez niego wyroby były łudząco podobne do tych produkowanych przez jego byłą firmę. Jednakże wobec braku ochrony informacji i rozwiązań technologicznych – które nie były zabezpieczone i nie zostały zebrane w określony zbiór, a więc nie były tajemnicą przedsiębiorstwa w sensie prawnym – były pracodawca nie mógł się bronić, zarzucając mu ujawnienie swych tajemnic.
Coraz częściej występują również przypadki, kiedy pracownicy ujawniają dane dotyczące wartości i technik sprzedaży firm z branży FMCG, przez co narażonych na szkodę jest wiele przedsiębiorstw. Warto więc wprowadzać w takich firmach tzw. dokumenty compliance, które określałyby, które informacje mają pozostać poufne oraz w jaki sposób pracownicy powinni obchodzić się z informacjami niepodlegającymi ujawnieniu.