Zasady ochrony informacji w przedsiębiorstwie

Opublikowane przezAntrabiz

Zasady ochrony informacji w spółce Ochrona informacji najczęściej jest kojarzona z ochroną tajemnic strategicznych i wiązana z informacjami niejawnymi. Zagadnienie to jest regulowane w Ustawie z 5 sierpnia 2010 roku o ochronie informacji niejawnych ogłoszonej w Dz.U. 2010 nr 182 poz. 1228 z dnia z dnia 5 sierpnia 2010 r. a jej zamknięty katalog podmiotów został zdefiniowany w

Art. 1 ust. 2 i są to:

1) organy władzy publicznej, w szczególności:

a. Sejmu i Senatu,

b. Prezydenta Rzeczypospolitej Polskiej,

c. organy administracji rządowej,

d. organy jednostek samorządu terytorialnego, a także innych podległych im jednostek organizacyjnych lub przez nie nadzorowanych,

e. sądy i trybunały,

f. organy kontroli państwowej i ochrony prawa;

2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowanych;

3) Narodowy Bank Polski;

4) państwowe osoby prawne i inne niż wymienione w pkt 1–3 państwowe jednostki organizacyjne;

5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te organy;

6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.

Wobec powyższego niepaństwowe spółki prawa handlowego nie zamierzające ubiegać się albo nie ubiegające się o zawarcie umów związanych z dostępem do informacji niejawnych lub nie wykonujące takich umów albo nie wykonujące na podstawie przepisów prawa zadań związanych z dostępem do informacji niejawnych, nie podlegają przepisom tejże ustawy. Zaznaczyć w tym miejscu należy, że zgodnie z literą prawa osobom nie posiadającym poświadczenia bezpieczeństwa, wydanego w wyniku przeprowadzonego przez ABW postępowania sprawdzającego, nie wolno otwierać ani przechowywać korespondencji sklasyfikowanej jako tajemnica państwowa lub służbowa. W przypadku wpływu przesyłek oznaczonych klauzulami takimi jak „ściśle tajne”, „tajne”, „poufne” czy „zastrzeżone” należy je odesłać do adresata lub zwrócić się do nadawcy z prośbą o zniesienie klauzuli. Nie wolno również – zgodnie z przepisami – przechowywać w instytucjach niepaństwowych korespondencji oznaczonej tymi klauzulami, gdyż brak w tych instytucjach kancelarii tajnej spełniającej stosowne wymogi.

Zatem przedsiębiorstwa niepaństwowe swoje informacje mogą chronić na podstawie przepisów Kodeksu Cywilnego oraz przepisów innych ustaw o ochronie tajemnicy zawodowej lub innych tajemnic prawnie chronionych i na tych podstawach prawnych budować swoje systemy bezpieczeństwa informacji. Wydaje się przy tym właściwe, by przy konstruowaniu tych systemów korzystać mimo wszystko z zasad już wypracowanych i zweryfikowanych w państwowych podmiotach.

Do dobrych praktyk w tym obszarze można zaliczyć np. rekomendacje Związku Banków Polskich* dla banków komercyjnych odnoszące się do opracowywania regulacji wewnętrznych w postaci instrukcji wprowadzających mechanizmy postępowania dostosowanych do indywidualnej specyfiki działania przedsiębiorstwa. Można tu zaadaptować np. określenia informacji chronionych jako „informacje wrażliwe” oraz przyjąć dwa rodzaje klauzul, tj.: „poufne spółki”, „do użytku służbowego”. Dodatkowo można wprowadzić określone zastrzeżenia na dokumentach zawierających informacje wrażliwe przez umieszczenie w stopce dokumentu adnotacji: „dokument zawiera informacje spółki prawnie chronione przeznaczone jedynie dla osób uprawnionych”, oraz zapis na kopertach tzw. „wewnętrznych”: „dokument zawiera informacje spółki prawnie chronione przeznaczone wyłącznie do użytku służbowego adresata”. Zagadnienie ochrony „informacji wrażliwych” dotyczą zarówno informacji zawartych w dokumentach papierowych, elektronicznych oraz w nośniku, urządzeniu albo innym elemencie składającym się na tę ochronę w spółce.

Tak więc ochrona informacji powinna polegać na:

  • zapoznawaniu pracowników z rodzajami informacji objętych tajemnicą,
  • dopuszczeniu do dostępu do informacji wrażliwych pracownika po nawiązaniu z nim stosunku pracy, jego przeszkoleniu z zakresu organizacji ochrony tajemnicy w spółce oraz podpisaniu przez niego oświadczenia o zachowaniu stanu poufności informacji wrażliwych,
  • przestrzeganiu procedur ochronnych przewidzianych przez regulacje wewnętrzne, w szczególności dotyczących
  • wytwarzania, klasyfikacji, ewidencjonowania, obiegu, archiwizowania i niszczenia dokumentów zawierających informacje wrażliwe,
  • ograniczaniu liczby osób mających dostęp do informacji wrażliwych,
  • kształtowaniu poczucia odpowiedzialności pracowników za ochronę informacji oraz nawyków stosowania zabezpieczeń, przechowywaniu i zabezpieczaniu dokumentów zawierających informacje wrażliwe w sposób gwarantujący zachowanie stanu poufności informacji zawartych w tych dokumentach,
  • przestrzeganiu zasad dostępu i przekazywania informacji odbiorcom zewnętrznym,
  • wprowadzaniu do umów z kontrahentami zapisów zobowiązujących do zachowania w tajemnicy informacji chronionych.

Natomiast na podstawie przepisów wyróżnia się następujące tajemnice:

  1. tajemnica zawodowa, m.in.: bankowa, przedsiębiorstwa, maklerska, radców prawnych i adwokatów,
  2. tajemnica pracodawcy,
  3. tajemnica handlowa,
  4. tajemnica oparta na prawie spółdzielczym.

Z tego katalogu za najważniejsze dla spółki prawa handlowego należy uznać tajemnicę zawodową, tajemnicę pracodawcy oraz tajemnicę handlową.

Tajemnica zawodowa,

czyli powinność zachowania w tajemnicy informacji związanych z pracą określonych grup pracowniczych. Przykładem tego typu tajemnicy jest tajemnica bankowa, przedsiębiorstwa, handlowa, lekarska, autorska, adwokacka, radcowska itd. Tajemnica przedsiębiorstwa to nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe oraz organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności, obowiązuje przez czas trwania stosunku pracy i w okresie trzech lat od jego ustania, chyba że umowa z pracodawcą stanowi inaczej lub ustał stan tajemnicy (art. 11 ust. 4 Ustawy o zwalczaniu nieuczciwej konkurencji; art. 100 & 2 pkt. 5 KP); Ustawa o zwalczaniu nieuczciwej konkurencji – w art. 2 – precyzuje pojęcie przedsiębiorcy jako osoby fizycznej, prawnej oraz jednostki organizacyjnej nie mającej osobowości prawnej, która prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową uczestniczy w działalności gospodarczej.

Tajemnica pracodawcy

dotyczy pracowniczego obowiązku zachowania w tajemnicy informacji, nie objętych ochroną na podstawie odrębnych przepisów, związanych z działalnością pracodawcy, w tym informacji technicznych, technologicznych, handlowych i organizacyjnych, których ujawnienie może narazić pracodawcę na szkodę (art. 100 § 2 pkt. 4 KP). W przypadku dostępu pracownika do szczególnie ważnych informacji należy stosować kwalifikowaną postać tajemnicy. Obowiązuje ona także po ustaniu stosunku pracy – art. 101 § 1 kp. Tajemnica pracodawcy chroni informacje nie objęte ochroną na zasadzie odrębnych przepisów. Informacja chroniona na zasadzie tajemnicy pracodawcy musi być związana z działalnością pracodawcy, niekoniecznie działalnością gospodarczą, grą konkurencyjną czy rywalizacją na rynku.

Za informacje chronione należy uznać takie które:

  • są istotne z punktu widzenia majątkowych interesów podmiotu zatrudniającego,
  • nie wchodzą do zakresu informacji, które stanowią element wiedzy ogólnej, wykształcenia czy kwalifikacji pracownika lub jego umiejętności naturalnych albo uzdolnień.

Brak jest wymogu sprecyzowania przez pracodawcę zakresu informacji objętych tajemnicą w danym zakładzie lub na stanowisku (tzw. wykazu informacji chronionych). Możliwość wyrządzenia szkody – w przypadku ujawnienia tajemnicy pracodawcy – powinna być zobiektywizowana, a nie wynikać z subiektywnego wartościowania pracodawcy.

Tajemnica przedsiębiorstwa dotyczy:

  • osób, które świadczą lub świadczyły pracę w ramach stosunku pracy,
  • pracowników, którzy „wytworzyli”, „dokonali” poufnej informacji stanowiącej tajemnicę przedsiębiorstwa jak i tych, którzy się z nią zapoznali przy okazji wykonywania swoich obowiązków.

Obowiązek zachowania stanu poufności informacji stanowiących tajemnicę przedsiębiorstwa podlega pewnym ograniczeniom ram czasowych, które wynikają ze względów mających na uwadze ochronę interesów pracowników – jeżeli godzą w interes poszczególnego pracownika np. stanowią przeszkodę uzyskania nowego miejsca pracy lub interes publiczny – blokują wykorzystanie potencjału intelektualnego danej osoby dla dobra społeczności – ograniczenie to wynika z zakazu wykorzystywania prawa w sposób niezgodny z jego gospodarczym przeznaczeniem, zasadami współżycia społecznego oraz celem i właściwością stosunku pracy. Do wyjątków od obowiązku zachowania tajemnicy przedsiębiorstwa należą również wynalazki lub utwory należące z mocy odpowiednich przepisów ustawowych do twórcy – pracownika. W razie sporu dotyczącego obowiązku zachowania stanu poufności informacji stanowiącej tajemnicę przedsiębiorstwa zaistniałego pomiędzy pracodawcą a pracownikiem na pracodawcy spoczywa ciężar dowodu, iż podjął niezbędne kroki w celu określenia granic zachowania tajemnicy przez pracowników, w interesie stron leży więc dokonanie wyraźnych ustaleń w kwestii ochrony tajemnicy przedsiębiorstwa. Ustawa o zwalczaniu nieuczciwej konkurencji – w art. 3 ust. 1 rozdziału 1 – określa również, iż działanie sprzeczne z prawem lub dobrymi obyczajami stanowi czyn nieuczciwej konkurencji, gdy zagraża lub narusza interes innego przedsiębiorcy lub klienta. Precyzuje także – w rozdziale 1 i 2 – przypadki naruszeń stanowiących czyny nieuczciwej konkurencji. Kolejnym istotnym rodzajem tajemnicy występującym w jednostkach komercyjnych jest tajemnica handlowa. Obowiązuje ona na podstawie Kodeksu spółek handlowych (Ustawa z 15 września 2000r.) i dotyczy jedynie określonych grup pracowników (władze spółki).

Reasumując należy podkreślić, iż niepaństwowe spółki prawa handlowego nie spełniające określonych warunków – nie podlegają Ustawie o ochronie informacji niejawnych, a jedynie informacji wrażliwych posiadających ochronę prawną z tytułu innych ustaw. Niezbędne jest zatem precyzyjne określenie i skrupulatne przestrzeganie procedur dotyczących organizacji ochrony tajemnic spółki, zwłaszcza wyznaczania osób odpowiedzialnych za przedmiotowe zagadnienia i algorytmie dopuszczania pracowników do informacji wrażliwych. Ponadto istotne jest ograniczanie liczby osób mających dostęp do poszczególnych informacji, zachowanie właściwej organizacji obiegu dokumentów tj.: sporządzania, klasyfikacji, rejestrowania i wysyłania korespondencji, wykonywania kopii, odpisów i wyciągów dokumentów oraz ich dystrybucja, archiwizacja i niszczenie. Dodatkowo należy zadbać również o wypracowanie zasad postępowania w przypadku utraty dokumentów lub ujawnienia informacji wrażliwych, a także regularne szkolenia pracowników i przeprowadzanie kontroli wewnętrznych.

Udostępniane danych osobowych pracownika.

Pracodawca ma uprawnienie do przetwarzania danych osobowych kandydatów do pracy (za ich zgodą, określającą zakres i cel przetwarzania danych), pracowników, byłych pracowników. Dane osobowe pracowników spółki korzystają z ochrony na podstawie ustawy o ochronie danych osobowych i pracodawca jest zobowiązany do tego, aby należycie je zabezpieczać oraz nie udostępniać ich osobom do tego nieupoważnionym. Inspektor ochrony danych może nakazać udostępnienie przez pracodawcę danych osobowych pracowników. Legalność przetwarzania danych osobowych pracowników spółki i ich udostępnianie podmiotom trzecim kontroluje Generalny Inspektor Ochrony Danych Osobowych. W przypadku stwierdzenia naruszenia przepisów w tym zakresie inspektor w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem. Obowiązek udostępniania danych pracowników jest możliwy tylko na pisemne żądanie odpowiednich organów, takich jak policja, prokuratura, sądy. Czasami tych danych potrzebują również osoby prywatne, które mają zamiar wystąpić na drogę postępowania sądowego przeciwko pracownikowi. Informacji obejmujących zakres danych osobowych pracowników nie można udzielać telefonicznie. W takim przypadku nie ma bowiem możliwości zweryfikowania rozmówcy i ustalenia, czy jest to podmiot uprawniony do pozyskania danych osobowych.

Aktualizacja danych członka zarządu w KRS.

Dane dotyczące członka zarządu widoczne w odpisie z Krajowego Rejestru Sądowego obejmują jego numer PESEL oraz imię i nazwisko. Pełne dane członka zarządu obejmują także jego adres. Wobec tego zgodnie z art. 168 ksh wszelkie zmiany danych wymienionych w art. 166 § 1 ksh zarząd powinien zgłosić sądowi rejestrowemu w celu wpisania do rejestru lub ujawnienia w aktach rejestrowych.