Poradnik Przedsiębiorcy

Cyberslacking a ochrona zasobów przedsiębiorstwa i danych osobowych

W dzisiejszych czasach korzystanie z internetu w czasie pracy jest czymś zupełnie normalnym, a w przypadku niektórych stanowisk - niezbędnym. Internet wspomaga funkcjonowanie przedsiębiorstw, jednak z drugiej strony może być też źródłem obniżającym efektywność w pracy. Dlaczego? Z powodu wykorzystywania go nie do celów pracodawcy, ale do celów prywatnych. Takie postępowanie doczekało się profesjonalnego terminu - cyberslacking.

Czym jest cyberslacking?

Cyberslacking jest angielskim terminem, który tłumaczy się jako “cyberlenistwo”, “cyberpróżniactwo” lub “lenistwo internetowe”. Polega na wykorzystywaniu przez pracownika w czasie pracy zasobów systemu internetowego pracodawcy do celów prywatnych takich jak sprawdzanie prywatnej poczty, przeglądanie stron internetowych niezwiązanych z wykonywaną pracą, granie w gry internetowe, oglądanie filmów czy ściąganie plików. Na temat cyberslackingu możemy przeczytać i usłyszeć skrajne opinie - jako coś normalnego traktują go młodzi pracownicy, którzy albo wychowywali się już w epoce internetu, albo mają z nim styczność od wielu lat. Jako zjawisko negatywne oceniane jest przede wszystkim przez pracowników starszych i oczywiście również przez pracodawców. Badania na temat cyberslackingu przeprowadzone kilka lat temu przez firmę Gemius ujawniły, że aż 93% polskich pracowników korzysta z zasobów internetu w godzinach pracy dla celów prywatnych. Niektórzy deklarowali, że wykorzystują w ten sposób aż 20% czasu pracy.

Z czym wiąże się cyberslacking?

Głównym negatywnym skutkiem cyberslackingu jest spadek efektywności pracownika, a co za tym idzie - ponoszenie strat finansowych przez pracodawcę. Pracownicy bowiem nie są w stanie wykonywać powierzonych im zadań na czas, powoduje to opóźnienia w wykonaniu projektów, trzeba zostawać po godzinach. Z drugiej jednak strony pracownicy utrzymują, że korzystanie z internetu w pracy pozwala im się rozluźnić, traktują to jako przerwę, odpoczynek, dzięki którym mogą potem wrócić do zadań i pracować efektywniej - jest bowiem oczywiste, że niewielu pracowników jest w stanie pracować wydajnie bez przerwy przez 8 godzin.

Abstrahując od tego, po czyjej stronie leży racja - pracownika czy pracodawcy - należy zwrócić uwagę na niebezpieczeństwa związane z cyberslackingiem, które nie mają nic wspólnego z efektywnością pracy, ale z bezpieczeństwem informacji, systemów informatycznych, a także ochroną danych osobowych. Nie ma bowiem wątpliwości, że w tym obszarze cyberslacking zawsze będzie stanowił zagrożenie dla pracodawcy oraz dla całego przedsiębiorstwa.

Cyberslacking a ochrona zasobów przedsiębiorstwa

Bezpieczeństwo informacji, systemów informatycznych oraz danych osobowych

Cyberslacking może doprowadzić do zagrożenia bezpieczeństwa systemów informatycznych pracodawcy. Jeśli pracownicy wchodzą na podejrzane strony, ściągają różnego rodzaju pliki (często nielegalne, typu mp3), czy też grają w gry za pomocą przeglądarek internetowych, może to doprowadzić do zainfekowania systemu informatycznego przedsiębiorstwa przez wirusy. Jako że bardzo popularny jest proceder przesyłania wiadomości e-mail z zainfekowaną zawartością w postaci załączników, nawet zwykłe sprawdzenie prywatnej poczty przez pracownika niesie ze sobą ryzyko dla pracodawcy. Systemy zainfekowane przez wirusy czy oprogramowanie szpiegujące są łatwym celem dla cyberprzestępców. Wirusy oraz ataki hakerów mogą też doprowadzić do wycieku informacji ważnych dla przedsiębiorstwa, często poufnych, a przede wszystkim danych osobowych przetwarzanych przez firmę.

Do wycieku informacji czy danych może dojść także w skutek przesyłania za pomocą poczty prywatnej dokumentów firmowych lub umieszczania ich na prywatnych nośnikach danych (np. jeśli pracownik chce wykonywać pracę w domu).

Naruszenie praw własności intelektualnej

Należy pamiętać, że odpowiedzialność za ściąganie za pomocą internetu nielegalnych plików naruszających prawa własności intelektualnej (pliki mp3, filmy itp.) oraz zapisywanie ich przez pracowników na dysku komputera służbowego poniesie pracodawca. To właśnie właściciel firmy odpowiada za treść przechowywaną na dyskach twardych przedsiębiorstwa. Nielegalna zawartość dysku, naruszająca prawa autorskie, może ściągnąć na przedsiębiorcę nie tylko odpowiedzialność cywilną, ale także karną.

Sposoby na ograniczanie cyberslackingu

Wszystkie firmy, które przetwarzają dane osobowe, na mocy § 3 ust. 1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, są obowiązane stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentacja ta powinna opisywać sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Rozporządzenie ponadto zawiera informacje o podstawowych warunkach technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych.

Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemami Informatycznymi zawiera postanowienia, których realizacja powinna zapewnić ochronę systemów informatycznych, bezpieczeństwo informacji i ochronę danych osobowych. Ograniczenia, mające na celu zabezpieczenie przed wyciekiem danych osobowych (np. blokowanie dostępu do niektórych stron internetowych oraz niektórych typów plików), powinny być opisane w Polityce i stosowane przez pracodawcę.

Ponadto pracodawca powinien stworzyć regulamin korzystania z internetu, oprogramowania i sprzętu komputerowego w firmie. Ma on prawo umieścić w takim regulaminie zakazy dotyczące m.in.:

- wykorzystania internetu, oprogramowania i sprzętu do celów prywatnych,

- korzystania z poczty prywatnej,

- korzystania z prywatnych nośników danych (w tym umieszczania na nich plików dotyczących spraw biznesowych).

Należy podkreślić, że pracownik jest obowiązany przestrzegać postanowień takiego regulaminu tak samo, jak powinien przestrzegać regulaminu pracy. Zgodnie bowiem z art. 100 k.p.:

Art. 100. § 1. Pracownik jest obowiązany wykonywać pracę sumiennie i starannie oraz stosować się do poleceń przełożonych, które dotyczą pracy, jeżeli nie są one sprzeczne z przepisami prawa lub umową o pracę.

§ 2. Pracownik jest obowiązany w szczególności:

1)   przestrzegać czasu pracy ustalonego w zakładzie pracy;

2)   przestrzegać regulaminu pracy i ustalonego w zakładzie pracy porządku;

3) przestrzegać przepisów oraz zasad bezpieczeństwa i higieny pracy, a także przepisów przeciwpożarowych;

4)  dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę;

5)   przestrzegać tajemnicy określonej w odrębnych przepisach;

6)   przestrzegać w zakładzie pracy zasad współżycia społecznego. 

Wszelkie więc naruszenia zasad obowiązujących w zakładzie pracy mogą być podstawą do wypowiedzenia pracownikowi umowy o pracę.