ASPEKTY PRAWNE ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI W BIZNESIE
ASPEKTY PRAWNE ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI W BIZNESIE
WYSTĄPIENIE PRZYGOTOWANE PRZEZ ADW. MIROSŁAWA NAROLSKIEGO W RAMACH PANELU
„ADWOKAT PARTNEREM W BIZNESIE – KLASYCZNE I INNOWACYJNE MODELE WSPARCIA PRAWNEGO DLA PRZEDSIĘBIORCÓW I SAMORZĄDÓW”.
PODCZAS VIII EUROPEJSKIEGO FORUM GOSPODARCZEGO – ŁÓDZKIE 2015
W tak zwanym globalnym społeczeństwie informacyjnym informacja stała się kategorią samą w sobie, towarem i dobrem, które jest przedmiotem obrotu gospodarczego. Gwałtowny wzrost znaczenia informacji, wynikający przede wszystkim z rozwoju nowych technologii, w tym w szczególności Internetu, spowodował, że coraz częściej mówi się o Nowej Gospodarce (New Economy), w której podstawowe znaczenie ma właśnie nowo powstały sektor gospodarki – sektor informacyjny.
Brak jest jednolitej definicji słowa „informacja”. Z punktu widzenia matematyki, czy fizyki pojęcie to oznacza określoną właściwość fizyczną lub strukturalną. Z innego punktu widzenia uznawana jest za efekt tego, co umysł ludzki jest w stanie przetworzyć i wykorzystać do własnych celów. Na użytek przedmiotu niniejszego wystąpienia najbardziej właściwym będzie przyjęcie rozumienia „informacji”, jako synonimu słowa „wiedza”. W tym znaczeniu można przyjąć, że informacja oznacza zbiór danych, które zostały uporządkowane (przetworzone) w sposób, który umożliwia wyprowadzenie z ich treści wniosków mogących służyć za podstawę decyzji biznesowych.
Powszechna dostępność informacji nie powoduje dewaluacji jej wartości. Wydaje się, że jest wręcz przeciwnie. Przewaga konkurencyjna w biznesie związana jest, bowiem z dostępem do informacji unikalnej, z założenia niedostępnej dla konkurencji. Informacja, jako coraz częściej kluczowe aktywo w biznesie, staje się obszarem wymagającym szczególnej ochrony.
Zapewnienie bezpieczeństwa informacji to pierwszoplanowe wyzwanie nie tylko dla podmiotów prowadzących własne, wysoko budżetowe badania naukowe (R&D – research and development), czy eksploatujących zaawansowane technologicznie rozwiązania w oparciu o kosztowne know-how. To coraz częściej potrzeba ochrony informacji, które zostały pozyskane przez przedsiębiorstwa w toku prowadzonej przez nie działalności, dzięki pracy oraz kreatywności ich właścicieli i personelu. Informacje te to często oryginalna wiedza i umiejętności, które decydują o rynkowej przewadze konkurencyjnej tych przedsiębiorstw. W ocenie autora, potwierdzonej m.in. badaniami kancelarii Ślązak Zapiór i Wspólnicy w Katowicach, ciągle jednak brak jest dostatecznej świadomości w tym zakresie.
Ochrona informacji coraz częściej jest biznesową koniecznością. Może ona wynikać wprost z woli kontrahentów, którzy świadomi wagi wymienianych informacji, wzajemnie zobowiązują się wobec siebie zachować je w tajemnicy, zawierając umowy o poufności (non disclosure agreements). Niekiedy natomiast, jest to kwestia kultury informacyjnej w danej branży i dbałości o klienta, a przede wszystkim poszanowania zaufania, jakim obdarza przedsiębiorcę powierzając informacje o sobie, czy o swojej działalności.
Prezentując problematykę bezpieczeństwa (ochrony) informacji nie można zapomnieć o obowiązkach w tym zakresie wynikających wprost z przepisów prawa. To obszar wyznaczony regulacjami, które nakładają na zindywidualizowane w przepisach prawa podmioty ściśle określone obowiązki. W literaturze przedmiotu wskazuje się, iż w polskim systemie prawa obowiązuje aktualnie około dwustu aktów prawnych różnej rangi, które regulują problematykę bezpieczeństwa informacji w omawianym kontekście.
Aktem prawa, który jak się wydaje, w ostatnim okresie jest najczęściej komentowanym w powyższym kontekście, jest ustawa z dnia 29.08.1997 r. o ochronie danych osobowych. Wydawać by się mogło, iż regulacja z uwagi na datę jej przyjęcia powinna być już mocno osadzona w świadomości adresatów jej norm. Praktyka wskazuje, iż jest wprost przeciwnie. W ocenie autora to właśnie ta dziedzina prawa będzie podlegała w najbliższych latach intensywnemu rozwojowi. Będzie to związane ze wzrostem świadomości obowiązków nałożonych przepisami prawa na podmioty dokonujące przetwarzania danych osobowych, jak również ze wzrostem świadomości praw osób, których przetwarzanie danych osobowych dotyczy. Z tego też powodu obszar ochrony danych osobowych stanowić powinien jeden z bardziej istotnych elementów całego systemu ochrony informacji w organizacji.
Warto zwrócić uwagę również na inne regulacje prawa, które nakładają restryktywne obowiązki w zakresie ochrony informacji. Jednym z tych aktów jest ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych. Co do zasady akt ten dotyczy informacji stanowiących chronioną prawem tajemnicę państwową lub służbową. Zakres regulacji jest jednak zdecydowanie szerszy niż mogłoby się pozornie wydawać. Nakłada on, bowiem szereg obowiązków nie tylko na podmioty (instytucje) mające bezpośredni dostęp do informacji niejawnych, ale także na podmioty świadczące na rzecz tych jednostek określone kategorie usług. Zasadą jest, iż podmioty chcące świadczyć pewne usługi na rzecz instytucji (podmiotów) objętych działaniem ustawy o ochronie informacji niejawnych są zobowiązane do dostosowania swoich procedur do wymogów prawa i zastosowania takich rozwiązań prawnych i organizacyjnych, które pozwolą im na uzyskanie formalnych uprawnień do wykonywania tego rodzaju zleceń, w postaci świadectwa bezpieczeństwa przemysłowego.
Nie można także zapominać o obowiązkach ochrony informacji ukształtowanych na gruncie przepisów „branżowych”, to jest np.: ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej, ustawy z dnia 29 sierpnia 1997 r. prawo bankowe i szeregu innych. Nie bez znaczenia powinna być także świadomość obowiązków szczególnej ochrony informacji nałożonych przepisami prawa na przedstawicieli pewnych grup zawodowych np.: w zakresie ochrony informacji w ramach „tajemnicy zawodowej” lekarzy, adwokatów, radców prawnych, etc.
Truizmem będzie dodanie, iż opisanym wyżej obowiązkom prawnym w zakresie ochrony informacji odpowiada ściśle określony katalog sankcji prawnych, których stosowanie ma zapewnić realizacje (wykonanie) tychże, ustawowo określonych obowiązków. Zakres tej odpowiedzialności nie pozostaje oczywiście poza zakresem odpowiedzialności odszkodowawczej, która może być konstruowana na podstawie ogólnych przepisów prawa cywilnego w przypadku, gdyby wskutek naruszenia obowiązków ustawowych w zakresie bezpieczeństwa informacji doszło do powstania szkody po stronie podmiotu trzeciego lub naruszenia jego prawem chronionych dóbr osobistych. Trzeba jednak zwrócić uwagę, że ryzyko odpowiedzialności odszkodowawczej może powstać nie tylko wówczas, gdy dojdzie do naruszenia obowiązku ustawowego. Standardem są w tej chwili wysokie kary umowne przewidziane w umowach o zachowaniu poufności. Niezależną grupę ryzyk stanowią konsekwencje biznesowe, które mogą polegać na utracie klientów, reputacji, a w rezultacie na stratach finansowych. Warto w tym miejscu zwrócić uwagę na raport PricewaterhouseCoopers z 2013 r. („The Global State of Information Security Survey 2013” – http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html), z którego wynika, że takie konsekwencje poniosła ponad 1/3 podmiotów, które doznały naruszenia bezpieczeństwa informacji. Wynik ten jest zgodny z zawartą w raporcie deklaracją, że aż 61% badanych zrezygnowałoby z usług firmy w przypadku uzyskania informacji, że doszło do włamania do jej systemów informatycznych.
Informacja może uzyskać status prawnie chronionej tajemnicy przedsiębiorstwa, z czym wiążą się dodatkowe mechanizmy ochronne przewidziane prawem. Aby tak się stało muszą zostać spełnione warunki, o których mowa w ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (dalej: UZNK). Zgodnie z art. 11 ust. 4 UZNK tajemnicę przedsiębiorstwa stanowią nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Ustawodawca nie udziela instrukcji, co do tego, jakie działania przedsiębiorcy należy uznać za działania niezbędne w celu zachowania ich poufności.
Wydaje się, że walor takich działań będą miały niektóre z czynności podejmowanych przez przedsiębiorcę w celu zrealizowania szerzej określonego celu, jakim jest zapewnienie bezpieczeństwa informacji w organizacji, za której działanie odpowiada.
Przyjmuje się, iż informacja jest bezpieczna wówczas, gdy zapewniona została:
– jej poufność – zapewniono ograniczenie dostępu do informacji wyłącznie dla osób (podmiotów) uprawnionych;
– jej integralność (nienaruszalność informacji) – zabezpieczono informację przed jej niekontrolowanym usunięciem lub modyfikacją, a w konsekwencji zapewniono kompletność i wiarygodność informacji;
– jej dostępność – zapewniono osobom (podmiotom) uprawnionym dostęp do informacji, który odpowiada potrzebom tych osób (podmiotów) i pozostaje w zgodzie z ustalonym zakresem tego dostępu.
Zarządzanie bezpieczeństwem informacji, o którym mowa w tytule niniejszego wystąpienia to przyjęty w danej organizacji zbiór regulacji prawnych i rozwiązań organizacyjnych, których celem jest zapewnienie najwyższego poziomu bezpieczeństwa informacji.
Powszechnie przyjmuje się, że jednym z najbardziej efektywnych sposobów zapewnienia bezpieczeństwa informacji jest przyjęcie przez organizację zbioru regulacji (standardów, zasad), mających charakter obowiązującego w organizacji prawa, którego przedmiotem będzie określenie zasad gromadzenia, przetwarzania i wykorzystywania informacji znajdujących się w jej zasobach. Zasady te najczęściej przybierają formę jednolitego dokumentu określanego, jako „Polityka Bezpieczeństwa Informacji” (PBI).
W organizacjach o rozbudowanej strukturze organizacyjnej PBI bywa często częścią bardziej złożonego i rozbudowanego systemu regulacji obejmujących wszystkie obszary działalności organizacji, nazywanego Systemem Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS od ang. Information Security Management System). System ten najczęściej konstruowany jest w zgodzie z międzynarodowym standardem ISO/IEC 27001:2013.
Przyjęcie PBI jest wieloetapowym procesem, w który zaangażowany jest najczęściej zespół ekspertów reprezentujących rożne dziedziny. Szczególną rolę w tym zespole odgrywają prawnicy. Ich zadaniem jest nie tylko aktywny udział w definiowaniu rzeczywistych potrzeb organizacji w zakresie ochrony informacji, ale przede wszystkich dbałość, aby zaprojektowane rozwiązania były skutecznym prawnie narzędziem do egzekucji obowiązków w zakresie ochrony informacji i pozostawały w zgodzie z powszechnie obowiązującymi przepisami prawa (compliance).
Zaprojektowanie PBI wymaga precyzyjnego określenia:
1) zakresu PBI poprzez zidentyfikowanie obowiązków organizacji wynikających z powszechnie obowiązujących przepisów prawa i regulacji wewnętrznych, a także uwarunkowań biznesowych i ekonomicznych, wizerunku organizacji oraz założonego poziomu kultury ochrony informacji;
2) potencjalnych źródeł zagrożeń (identyfikacja i ocena poziomu ryzyka);
3) optymalnych, z punktu widzenia elementów opisanych w punktach 1 i 2 powyżej, sposobów zabezpieczeń o charakterze prawnym i technicznym;
4) sposobu monitorowania przyjętych rozwiązań prawnych i organizacyjnych pod kątem ich skuteczności oraz zgodności ze zmieniającymi się uwarunkowaniami prawnymi i technicznymi.
Wydaje się, że dokonanie przez organizację identyfikacji i zdefiniowanie w procesie pracy nad PBI zbioru konkretnych informacji, które organizacja zamierza chronić, jako tajemnicę przedsiębiorstwa będzie pierwszym krokiem w kierunku uzyskania takiej ochrony. Ponadto, opracowanie przez organizację procedur i instrukcji, określenie zasad zarządzania informacjami oraz wskazanie kręgu osób odpowiedzialnych za strzeżenie ich poufności będzie, co do zasady dopełnieniem obowiązków, o których mowa w art. 11 ust. 4 UZNK. Otwiera to drogę do skutecznego ubiegania się przez organizację o ochronę prawną przed czynami nieuczciwej konkurencji, o których mowa w art. 11 UZNK. Jest to niewątpliwe element strategicznego zarządzania organizacją. Bez wątpienia, opracowanie PBI, jej wdrożenie i przestrzeganie pozwala nie tylko zminimalizować ryzyko incydentu utraty informacji, ale także zaplanować działanie na wypadek zdarzenia kryzysowego. Procedury alarmowania o zagrożeniu oraz reakcji na jego realizację pozwalają uniknąć przyczynienia się do zwiększenia szkody.
Ramy niniejszego wystąpienia nie pozwalają na szersze omówienie problematyki prawnej ochrony bezpieczeństwa informacji. Celem powyższych uwag jest raczej próba uświadomienia słuchaczom wagi problemu. W ocenie autora niniejszego wystąpienia brak świadomości obowiązków prawnych w zakresie bezpieczeństwa informacji jest jedną z głównych przyczyn naruszeń prawa w powyższym zakresie. Podobnie, brak świadomości konsekwencji i ryzyka biznesowego po stronie organizacji jest jedną z głównych przyczyn niedostatecznego ich zaangażowania w stworzenie sprawnych funkcjonalnie systemów ochrony bezpieczeństwa informacji. Niedostatek świadomości osób uprawnionych do podejmowania decyzji w organizacji, powoduje, iż ten brak dotyka zatrudniony przez organizację personel. W efekcie, jak pokazują wyniki badań ponad połowa przypadków naruszenia bezpieczeństwa informacji (incydentu bezpieczeństwa informacji) jest wynikiem po prostu błędu ludzkiego (powołany już raport PwC).
Łódź, dn. 29 września 2015 r.
|
