Blog prawniczy

Kradzież firmowej bazy danych przez pracownika – jak się chronić? Co robić w przypadku kradzieży bazy klientów?

⟨⟨ Powrót

Sytuacja w której pracownik odchodzący z firmy zabiera ze sobą dane o kluczowym znaczeniu dla przedsiębiorstwa może pozostawić swoje piętno zarówno na reputacji, jak i sytuacji finansowej firmy. Czy z takim działaniem można walczyć? Jakie przepisy regulują „wynoszenie” danych firmowych?

Czy kradzież bazy danych jest karalna?

Zachowanie pracownika, który – wykraczając poza swoje uprawnienia lub po prostu dzieląc się posiadaną wiedzą – kopiuje dane firmowe na dysk flash i zabiera je ze sobą należy ocenić jednoznacznie negatywnie niezależnie od pobudek, które nim kierują. Ustawodawca przewiduje surowe sankcje w tym przypadku i to na gruncie wielu aktów prawnych. Przyjrzyjmy się im po kolei.

Kradzież firmowej bazy danych jako czyn nieuczciwej konkurencji – odpowiedzialność karna

W pierwszej kolejności warto zwrócić uwagę na ustawę o zwalczaniu nieuczciwej konkurencji. Artykuł 23 tego aktu prawnego przewiduje karę grzywny, karę ograniczenia wolności lub pozbawienia wolności do lat 2 w przypadku ujawnienia lub wykorzystania we własnej działalności gospodarczej informacji stanowiącej tajemnicę przedsiębiorstwa, jeżeli w ślad za tym postępuje poważna szkoda dla przedsiębiorcy, którego dane zostały naruszone.

Ta sama kara grozi za ujawnienie innej osobie lub wykorzystanie we własnej działalności gospodarczej bezprawnie uzyskanej informacji stanowiącej tajemnicę przedsiębiorstwa.
Zgodnie z art. 11 powołanej ustawy pojęcie tajemnicy przedsiębiorstwa należy rozumieć szeroko, jako techniczne, technologiczne, organizacyjne lub inne posiadające wartość gospodarczą, o ile nie są powszechnie znane albo nie są łatwo dostępne, a przedsiębiorca podjął działania w celu zachowania ich poufności. Za tajemnicę przedsiębiorstwa można uznać w szczególności:

  • listy klientów;
  • biznesplany;
  • plany strategii marketingowych;
  • wzory pism;
  • listy intencyjne.

Co istotne ustawę o zwalczaniu nieuczciwej konkurencji stosuje się niezależnie od relacji jaka istnieje między pracownikiem, który dopuścił się nieuczciwego działania z pracodawcą (np. umowa cywilnoprawna, umowa B2B).

W orzecznictwie wskazuje się, że sam fakt ujawnienia bazy danych lub innych dokumentów pracownikom w okresie, kiedy byli zatrudnieni w firmie nie stanowi podania danych do wiadomości publicznej. Sądy stoją na stanowisku zgodnie z którym o tajemnicy przedsiębiorców można mówić tak długo, jak przedsiębiorca kontroluje krąg podmiotów mających dostęp do danych, niezależnie od szerokości tego kręgu (vide: wyrok Sądu Najwyższego z dnia 25 stycznia 2007 r., sygn. I PK 207/06).

Cywilnoprawny aspekt odpowiedzialności o zwalczaniu nieuczciwej konkurencji

Ustawa o zwalczaniu nieuczciwej konkurencji – obok odpowiedzialności prawnokarnej – przewiduje sankcje natury cywilnoprawnej. Zostały one przewidziane w art. 18 ustawy, zgodnie z którym przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać:

  • zaniechania niedozwolonych działań oraz usunięcia ich skutków;
  • złożenia jedno – lub wielokrotnego oświadczenia odpowiedniej treści i we właściwej formie;
  • naprawienia wyrządzonej szkody na zasadach ogólnych;
  • wydania bezpodstawnie uzyskanych korzyści na zasadach ogólnych;
  • zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny, jeżeli czyn nieuczciwej konkurencji jest zawiniony, a zwykle tak będzie.

Czy pracodawca musi poinformować pracownika o poufnym charakterze informacji?

Pracownik, który dopuścił się kradzieży danych firmowych, nie może bronić się przed zarzutami wskazując, że nie wiedział o poufnym charakterze informacji. Choć rzeczywiście w orzecznictwie często wskazuje się, że to na pracodawcy ciąży obowiązek powiadomienia członków zespołu o tym, że informacje mają charakter poufny, nie może wykluczyć również takiej konstatacji podjętej w sposób dorozumiany. Dotyczy to przede wszystkim tych sytuacji, kiedy do danych ma dostęp bardzo wąski krąg pracowników, np. managerowie wysokiego szczebla (vide: wyrok Sądu Najwyższego z dnia 3 października 2000 r., sygn. I CKN 304/00).

Jak zabezpieczyć swoją firmę przed kradzieżą danych?

Obowiązujące przepisy w żaden sposób nie precyzują, w jaki sposób przedsiębiorca powinien zadbać o zachowanie danych firmowych w tajemnicy. Ustawa o zwalczaniu nieuczciwej konkurencji wspomina jedynie o konieczności dochowania należytej staranności w tym zakresie. W praktyce więc należy dopasować procedury do skali i specyfiki prowadzonej działalności gospodarczej. Do popularnych sposobów ochrony informacji firmowych zalicza się:
zabezpieczanie komputerów, urządzeń mobilnych, serwerów czy dysków na których przechowywane są informacje przy użyciu hasła lub np. protokołu szyfrującego Bitlocker lub innego;

  • kontrolę dostępu do pomieszczeń archiwów i serwerowni (np. za pomocą technologii RFID);
  • stosowanie oprogramowania do monitoringu sieci lokalnej;
  • sporządzenie precyzyjnego protokołu obiegu informacji między działami przedsiębiorstwa.

Oczywiście w kontraktach z pracownikami, współpracownikami i kontrahentami powinny znaleźć się klauzule poufności NDA zabezpieczone odpowiednio wysoką karą umowną, która zniechęci przed podejmowaniem pochopnych działań.

Odpowiedzialność pracownika za kradzież danych na gruncie kodeksu pracy

Pracownik, który dopuścił się kradzieży danych firmowych, może zostać zwolniony dyscyplinarnie bez zachowania okresu wypowiedzenia w związku z rażącym naruszeniem obowiązków pracowniczych.

Do podstawowych obowiązków pracowniczych zalicza się zgodnie z brzmieniem art. 100 §2 pkt 4 k.p. obowiązek dbania o dobro zakładu pracy, chronienie jego mienia oraz zachowywanie w tajemnicy informacji, które mogłyby wyrządzić pracodawcy szkodę. Warto pamiętać, że przyczyna zwolnienia widnieje w wydanym pracownikowi świadectwie pracy, co stawia go w wyjątkowo niekorzystnej pozycji na rynku pracy.

Na marginesie wypada zwrócić uwagę na wyrok Sądu Najwyższego z dnia z dnia 6 czerwca 2000 r., sygn. I PKN 697/99, w którym wskazano, że zwolnienie dyscyplinarne uzasadnia również sam fakt pozyskania informacji do której pracownik nie ma uprawnień. Niekoniecznie trzeba wynosić ją ze sobą poza siedzibę firmy.

Odpowiedzialność prawnokarna za kradzież danych firmowych

Na zakończenie warto wskazać na art. 266 kodeksu karnego, który przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 dla osoby, która wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu ujawnia lub wykorzystuje informacje, które pozyskała m.in. w związku z pełnioną funkcją.

Choć pozornie art. 266 k.k. wygląda bardzo podobnie do art. 23 ustawy o zwalczaniu nieuczciwej konkurencji, w tym pierwszym przypadku nie jest wymagana poważna szkoda pracodawcy, wystarczy sam fakt naruszenia zobowiązania ciążącego na pracowniku. Kodeks karny przewiduje więc niejako odpowiedzialność uzupełniającą na wypadek, gdyby szkody pracodawcy nie dało się wykazać. Niemniej jednak pokrzywdzony ma prawo złożyć wniosek o naprawienie wyrządzonej szkody, a kiedy tej nie da się wykazać – o zasądzenie nawiązki. Wysokość szkody będzie obejmowała nie tylko realnie wyrządzony uszczerbek, ale także korzyści utracone w związku z utratą danych.

Kradzież firmowej bazy danych przez pracownika – Kancelaria Warszawa

Prowadząc działalność gospodarczą warto zabezpieczyć się przed nieuczciwym działaniem ze strony pracowników. Dzięki temu maleje ryzyko strat biznesowych i wizerunkowych w związku z utratą newralgicznych informacji. Kancelaria Linke Kulicki pomoże opracować niezbędne procedury, a także zadba o ochronę interesu przedsiębiorcy w razie naruszenia tajemnic firmowych.