Poradnik Przedsiębiorcy

Powered by

wFirma.pl

Poznaj
niezbędne narzędzia
do zarządzania
Twoją firmą!

Dostępne
na wszystkie
platformy

Apple Windows Android BlackBerry

Cyberslacking a ochrona zasobów przedsiębiorstwa i danych osobowych

W dzisiejszych czasach korzystanie z internetu w czasie pracy jest czymś zupełnie normalnym, a w przypadku niektórych stanowisk - niezbędnym. Internet wspomaga funkcjonowanie przedsiębiorstw, jednak z drugiej strony może być też źródłem obniżającym efektywność w pracy. Dlaczego? Z powodu wykorzystywania go nie do celów pracodawcy, ale do celów prywatnych. Takie postępowanie doczekało się profesjonalnego terminu - cyberslacking.

Czym jest cyberslacking?

Cyberslacking jest angielskim terminem, który tłumaczy się jako “cyberlenistwo”, “cyberpróżniactwo” lub “lenistwo internetowe”. Polega na wykorzystywaniu przez pracownika w czasie pracy zasobów systemu internetowego pracodawcy do celów prywatnych takich jak sprawdzanie prywatnej poczty, przeglądanie stron internetowych niezwiązanych z wykonywaną pracą, granie w gry internetowe, oglądanie filmów czy ściąganie plików. Na temat cyberslackingu możemy przeczytać i usłyszeć skrajne opinie - jako coś normalnego traktują go młodzi pracownicy, którzy albo wychowywali się już w epoce internetu, albo mają z nim styczność od wielu lat. Jako zjawisko negatywne oceniane jest przede wszystkim przez pracowników starszych i oczywiście również przez pracodawców. Badania na temat cyberslackingu przeprowadzone kilka lat temu przez firmę Gemius ujawniły, że aż 93% polskich pracowników korzysta z zasobów internetu w godzinach pracy dla celów prywatnych. Niektórzy deklarowali, że wykorzystują w ten sposób aż 20% czasu pracy.

Z czym wiąże się cyberslacking?

Głównym negatywnym skutkiem cyberslackingu jest spadek efektywności pracownika, a co za tym idzie - ponoszenie strat finansowych przez pracodawcę. Pracownicy bowiem nie są w stanie wykonywać powierzonych im zadań na czas, powoduje to opóźnienia w wykonaniu projektów, trzeba zostawać po godzinach. Z drugiej jednak strony pracownicy utrzymują, że korzystanie z internetu w pracy pozwala im się rozluźnić, traktują to jako przerwę, odpoczynek, dzięki którym mogą potem wrócić do zadań i pracować efektywniej - jest bowiem oczywiste, że niewielu pracowników jest w stanie pracować wydajnie bez przerwy przez 8 godzin.

Abstrahując od tego, po czyjej stronie leży racja - pracownika czy pracodawcy - należy zwrócić uwagę na niebezpieczeństwa związane z cyberslackingiem, które nie mają nic wspólnego z efektywnością pracy, ale z bezpieczeństwem informacji, systemów informatycznych, a także ochroną danych osobowych. Nie ma bowiem wątpliwości, że w tym obszarze cyberslacking zawsze będzie stanowił zagrożenie dla pracodawcy oraz dla całego przedsiębiorstwa.

Cyberslacking a ochrona zasobów przedsiębiorstwa

Bezpieczeństwo informacji, systemów informatycznych oraz danych osobowych

Cyberslacking może doprowadzić do zagrożenia bezpieczeństwa systemów informatycznych pracodawcy. Jeśli pracownicy wchodzą na podejrzane strony, ściągają różnego rodzaju pliki (często nielegalne, typu mp3), czy też grają w gry za pomocą przeglądarek internetowych, może to doprowadzić do zainfekowania systemu informatycznego przedsiębiorstwa przez wirusy. Jako że bardzo popularny jest proceder przesyłania wiadomości e-mail z zainfekowaną zawartością w postaci załączników, nawet zwykłe sprawdzenie prywatnej poczty przez pracownika niesie ze sobą ryzyko dla pracodawcy. Systemy zainfekowane przez wirusy czy oprogramowanie szpiegujące są łatwym celem dla cyberprzestępców. Wirusy oraz ataki hakerów mogą też doprowadzić do wycieku informacji ważnych dla przedsiębiorstwa, często poufnych, a przede wszystkim danych osobowych przetwarzanych przez firmę.

Do wycieku informacji czy danych może dojść także w skutek przesyłania za pomocą poczty prywatnej dokumentów firmowych lub umieszczania ich na prywatnych nośnikach danych (np. jeśli pracownik chce wykonywać pracę w domu).

Naruszenie praw własności intelektualnej

Należy pamiętać, że odpowiedzialność za ściąganie za pomocą internetu nielegalnych plików naruszających prawa własności intelektualnej (pliki mp3, filmy itp.) oraz zapisywanie ich przez pracowników na dysku komputera służbowego poniesie pracodawca. To właśnie właściciel firmy odpowiada za treść przechowywaną na dyskach twardych przedsiębiorstwa. Nielegalna zawartość dysku, naruszająca prawa autorskie, może ściągnąć na przedsiębiorcę nie tylko odpowiedzialność cywilną, ale także karną.

Sposoby na ograniczanie cyberslackingu

Wszystkie firmy, które przetwarzają dane osobowe, na mocy § 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, są obowiązane stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentacja ta powinna opisywać sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Rozporządzenie ponadto zawiera informacje o podstawowych warunkach technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych.

Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemami Informatycznymi zawiera postanowienia, których realizacja powinna zapewnić ochronę systemów informatycznych, bezpieczeństwo informacji i ochronę danych osobowych. Ograniczenia, mające na celu zabezpieczenie przed wyciekiem danych osobowych (np. blokowanie dostępu do niektórych stron internetowych oraz niektórych typów plików), powinny być opisane w Polityce i stosowane przez pracodawcę.

Ponadto pracodawca powinien stworzyć regulamin korzystania z internetu, oprogramowania i sprzętu komputerowego w firmie. Ma on prawo umieścić w takim regulaminie zakazy dotyczące m.in.:

- wykorzystania internetu, oprogramowania i sprzętu do celów prywatnych,

- korzystania z poczty prywatnej,

- korzystania z prywatnych nośników danych (w tym umieszczania na nich plików dotyczących spraw biznesowych).

Należy podkreślić, że pracownik jest obowiązany przestrzegać postanowień takiego regulaminu tak samo, jak powinien przestrzegać regulaminu pracy. Zgodnie bowiem z art. 100 k.p.:

 

Art. 100. § 1. Pracownik jest obowiązany wykonywać pracę sumiennie i starannie oraz stosować się do poleceń przełożonych, które dotyczą pracy, jeżeli nie są one sprzeczne z przepisami prawa lub umową o pracę.

§ 2. Pracownik jest obowiązany w szczególności:

1)   przestrzegać czasu pracy ustalonego w zakładzie pracy;

2)   przestrzegać regulaminu pracy i ustalonego w zakładzie pracy porządku;

3) przestrzegać przepisów oraz zasad bezpieczeństwa i higieny pracy, a także przepisów przeciwpożarowych;

4)  dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę;

5)   przestrzegać tajemnicy określonej w odrębnych przepisach;

6)   przestrzegać w zakładzie pracy zasad współżycia społecznego.

 

Wszelkie więc naruszenia zasad obowiązujących w zakładzie pracy mogą być podstawą do wypowiedzenia pracownikowi umowy o pracę.

Cyberslacking a monitoring działań pracownika

Innym sposobem na ograniczenie cyberslackingu jest zainstalowanie na komputerach pracowników oprogramowania monitorującego ruch w internecie.

Monitoring pracowników (wszelkiego rodzaju) może wzbudzać kontrowersje, zwłaszcza że kodeks pracy nie reguluje tej kwestii wprost. Należy jednak pamiętać, że pracodawca ma prawo kontrolować przebieg pracy, aby móc oceniać jej efektywność, ponieważ obowiązkiem pracownika jest pozostawanie do dyspozycji pracodawcy w godzinach pracy i świadczenie pracy na jego rzecz - w sytuacjach zaś, kiedy pracownik nie świadczy pracy, tylko wykonuje działania w celach prywatnych, będzie to naruszeniem art. 22 § 1 kodeksu pracy. Podejmowanie czynności kontrolnych przez pracodawcę jest dodatkowo uzasadnione tym, że ponosi on odpowiedzialność za działania pracowników w stosunku do osób trzecich (art. 120 k.p.). Jak więc widać, kontrola działań pracowników może być usprawiedliwiona, jednak pracodawca musi pamiętać o podstawowej sprawie: w swoich działaniach nie może naruszać dóbr osobistych pracownika.

Aby móc monitorować pracowników, muszą być spełnione pewne warunki. Przede wszystkim monitoring może być wprowadzony jedynie w określonym, usprawiedliwionym celu (czyli należy uzasadnić potrzebę wprowadzenia monitoringu, np. ochrona systemu informatycznego przedsiębiorcy czy zapobieżenie takim działaniom pracowników, które mogłyby narazić pracodawcę na szkodę). Ponadto pracodawca, wprowadzając monitoring, musi kierować się zasadą adekwatności (proporcjonalności) - podjęte środki muszą być proporcjonalne do celu, jaki chce osiągnąć pracodawca i w sposób jak najmniej uciążliwy ingerować w sferę prywatną pracownika. Wprowadzając monitoring, pracodawca musi również spełnić przesłanki przetwarzania danych osobowych określonych w ustawie o ochronie danych osobowych. Pracodawca, stosując monitoring, musi poinformować pracowników o tym fakcie (np. poprzez umieszczenie odpowiedniego zapisu w regulaminie oraz ustnie czy za pomocą wiadomości e-mail - chodzi o to, aby pracownik na pewno był świadomy istnienia takiego monitoringu oraz aby wiedział dokładnie, co mu wolno, a czego nie). Należy jednak podkreślić, jak już zostało wskazane powyżej, że konieczne jest przestrzeganie zasady adekwatności. Pracodawca więc, nawet jeśli poinformował pracownika o zakazie używania telefonu służbowego do celów prywatnych, nie powinien sięgać do takich środków kontroli jak nagrywanie rozmów, kiedy wystarczy np. sprawdzenie numerów, pod które pracownik dzwonił. W takiej bowiem sytuacji, gdyby pracodawca nagrał prywatną rozmowę pracownika, może to zostać uznane za naruszenie dóbr osobistych pracownika.

Monitoring działalności pracownika w internecie, który przede wszystkim ma na celu zmniejszenie zjawiska cyberslackingu w zakładzie pracy, również powinien spełniać pewne warunki, a także opierać się na zasadzie adekwatności. Pracodawca przede wszystkim nie ma prawa monitorować prywatnej poczty pracownika - nie tylko wiąże się z to zakazem naruszania dóbr osobistych, ale także tajemnicy korespondencji. Wydaje się więc, zgodnie z zasadą proporcjonalności, że rejestrowanie ruchu w internecie (czyli wykaz, na jakie strony pracownik wchodził i ile czasu na nich spędzał) powinno być wystarczające - pracodawca nie będzie miał zaś prawa do “nagrywania” wszystkiego, co dzieje się na ekranie, bowiem to mogłoby naruszyć np. tajemnicę korespondencji, gdyby pracownik pomimo zakazu skorzystał z prywatnej poczty. Warto podkreślić, że za naruszenie tajemnicy korespondencji mogłoby być uznane także zapoznanie się z prywatnym mailem pracownika otrzymanym na pocztę służbową. Pracodawca nie ma prawa bowiem przeczytać takiej korespondencji, mimo że znajduje się ona na skrzynce biznesowej, jeśli np. po samym adresie e-mail lub tytule maila można stwierdzić, że jest to wiadomość prywatna.

Co do zasady, na monitoring w zakładzie pracy pracownik powinien wyrazić zgodę (zwłaszcza chodzi o monitorowanie poczty czy nagrywanie rozmów). Warto jednak wskazać, że brak takiej zgody ze strony pracownika może być podstawą wypowiedzenia umowy o pracę, jeśli pracodawca udowodni, że taka forma monitoringu była niezbędna do właściwego funkcjonowania zakładu pracy. Zgoda zaś nie będzie wymagana, jeśli pracodawca wykaże, że przetwarzanie danych jest niezbędne dla osiągnięcia usprawiedliwionych celów i adekwatne do ich osiągnięcia (czyli np. zapobiegnięcie kradzieżom).


Monitoring działań pracownika jest dozwolony, jednak nie można stosować wszelkich form monitoringu w nieograniczonym zakresie.