aspekty prawne zarządzania bezpieczeństwem informacji w biznesie

Pl. Komuny Paryskiej 1/1 | 90-007 Łódź
P: +48 42 662 22 22 | F: +48 42 632 22 20
E: [email protected] | www.bnadwokaci.pl
ASPEKTY PRAWNE ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI W BIZNESIE
WYSTĄPIENIE PRZYGOTOWANE PRZEZ ADW. MIROSŁAWA NAROLSKIEGO W RAMACH PANELU
„ADWOKAT PARTNEREM W BIZNESIE – KLASYCZNE I INNOWACYJNE MODELE WSPARCIA
PRAWNEGO DLA PRZEDSIĘBIORCÓW I SAMORZĄDÓW”.
PODCZAS VIII EUROPEJSKIEGO FORUM GOSPODARCZEGO – ŁÓDZKIE 2015
W tak zwanym globalnym społeczeństwie informacyjnym informacja stała się kategorią samą w sobie,
towarem i dobrem, które jest przedmiotem obrotu gospodarczego. Gwałtowny wzrost znaczenia
informacji, wynikający przede wszystkim z rozwoju nowych technologii, w tym w szczególności
Internetu, spowodował, że coraz częściej mówi się o Nowej Gospodarce (New Economy), w której
podstawowe znaczenie ma właśnie nowo powstały sektor gospodarki – sektor informacyjny.
Brak jest jednolitej definicji słowa „informacja”. Z punktu widzenia matematyki, czy fizyki pojęcie to
oznacza określoną właściwość fizyczną lub strukturalną. Z innego punktu widzenia uznawana jest za
efekt tego, co umysł ludzki jest w stanie przetworzyć i wykorzystać do własnych celów. Na użytek
przedmiotu niniejszego wystąpienia najbardziej właściwym będzie przyjęcie rozumienia „informacji”,
jako synonimu słowa „wiedza”. W tym znaczeniu można przyjąć, że informacja oznacza zbiór danych,
które zostały uporządkowane (przetworzone) w sposób, który umożliwia wyprowadzenie z ich treści
wniosków mogących służyć za podstawę decyzji biznesowych.
Powszechna dostępność informacji nie powoduje dewaluacji jej wartości. Wydaje się, że jest wręcz
przeciwnie. Przewaga konkurencyjna w biznesie związana jest, bowiem z dostępem do informacji
unikalnej, z założenia niedostępnej dla konkurencji. Informacja, jako coraz częściej kluczowe aktywo
w biznesie, staje się obszarem wymagającym szczególnej ochrony.
Zapewnienie bezpieczeństwa informacji to pierwszoplanowe wyzwanie nie tylko dla podmiotów
prowadzących własne, wysoko budżetowe badania naukowe (R&D – research and development), czy
eksploatujących zaawansowane technologicznie rozwiązania w oparciu o kosztowne know-how. To
coraz częściej potrzeba ochrony informacji, które zostały pozyskane przez przedsiębiorstwa w toku
prowadzonej przez nie działalności, dzięki pracy oraz kreatywności ich właścicieli i personelu.
Informacje te to często oryginalna wiedza i umiejętności, które decydują o rynkowej przewadze
konkurencyjnej tych przedsiębiorstw. W ocenie autora, potwierdzonej m.in. badaniami kancelarii
Ślązak Zapiór i Wspólnicy w Katowicach, ciągle jednak brak jest dostatecznej świadomości w tym
zakresie.
Ochrona informacji coraz częściej jest biznesową koniecznością. Może ona wynikać wprost z woli
kontrahentów, którzy świadomi wagi wymienianych informacji, wzajemnie zobowiązują się wobec
siebie zachować je w tajemnicy, zawierając umowy o poufności (non disclosure agreements). Niekiedy
natomiast, jest to kwestia kultury informacyjnej w danej branży i dbałości o klienta, a przede wszystkim
poszanowania zaufania, jakim obdarza przedsiębiorcę powierzając informacje o sobie, czy o swojej
działalności.
Prezentując problematykę bezpieczeństwa (ochrony) informacji nie można zapomnieć o obowiązkach
w tym zakresie wynikających wprost z przepisów prawa. To obszar wyznaczony regulacjami, które
nakładają na zindywidualizowane w przepisach prawa podmioty ściśle określone obowiązki.
W literaturze przedmiotu wskazuje się, iż w polskim systemie prawa obowiązuje aktualnie około dwustu
Pl. Komuny Paryskiej 1/1 | 90-007 Łódź
P: +48 42 662 22 22 | F: +48 42 632 22 20
E: [email protected] | www.bnadwokaci.pl
aktów prawnych różnej rangi, które regulują problematykę bezpieczeństwa informacji w omawianym
kontekście.
Aktem prawa, który jak się wydaje, w ostatnim okresie jest najczęściej komentowanym w powyższym
kontekście, jest ustawa z dnia 29.08.1997 r. o ochronie danych osobowych. Wydawać by się mogło, iż
regulacja z uwagi na datę jej przyjęcia powinna być już mocno osadzona w świadomości adresatów jej
norm. Praktyka wskazuje, iż jest wprost przeciwnie. W ocenie autora to właśnie ta dziedzina prawa
będzie podlegała w najbliższych latach intensywnemu rozwojowi. Będzie to związane ze wzrostem
świadomości obowiązków nałożonych przepisami prawa na podmioty dokonujące przetwarzania
danych osobowych, jak również ze wzrostem świadomości praw osób, których przetwarzanie danych
osobowych dotyczy. Z tego też powodu obszar ochrony danych osobowych stanowić powinien jeden
z bardziej istotnych elementów całego systemu ochrony informacji w organizacji.
Warto zwrócić uwagę również na inne regulacje prawa, które nakładają restryktywne obowiązki
w zakresie ochrony informacji. Jednym z tych aktów jest ustawa z dnia 22 stycznia 1999 r. o ochronie
informacji niejawnych. Co do zasady akt ten dotyczy informacji stanowiących chronioną prawem
tajemnicę państwową lub służbową. Zakres regulacji jest jednak zdecydowanie szerszy niż mogłoby się
pozornie wydawać. Nakłada on, bowiem szereg obowiązków nie tylko na podmioty (instytucje) mające
bezpośredni dostęp do informacji niejawnych, ale także na podmioty świadczące na rzecz tych jednostek
określone kategorie usług. Zasadą jest, iż podmioty chcące świadczyć pewne usługi na rzecz instytucji
(podmiotów) objętych działaniem ustawy o ochronie informacji niejawnych są zobowiązane do
dostosowania swoich procedur do wymogów prawa i zastosowania takich rozwiązań prawnych
i organizacyjnych, które pozwolą im na uzyskanie formalnych uprawnień do wykonywania tego rodzaju
zleceń, w postaci świadectwa bezpieczeństwa przemysłowego.
Nie można także zapominać o obowiązkach ochrony informacji ukształtowanych na gruncie przepisów
„branżowych”, to jest np.: ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej, ustawy
z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, ustawy z dnia 22 maja 2003 r.
o działalności ubezpieczeniowej, ustawy z dnia 29 sierpnia 1997 r. prawo bankowe i szeregu innych.
Nie bez znaczenia powinna być także świadomość obowiązków szczególnej ochrony informacji
nałożonych przepisami prawa na przedstawicieli pewnych grup zawodowych np.: w zakresie ochrony
informacji w ramach „tajemnicy zawodowej” lekarzy, adwokatów, radców prawnych, etc.
Truizmem będzie dodanie, iż opisanym wyżej obowiązkom prawnym w zakresie ochrony informacji
odpowiada ściśle określony katalog sankcji prawnych, których stosowanie ma zapewnić realizacje
(wykonanie) tychże, ustawowo określonych obowiązków. Zakres tej odpowiedzialności nie pozostaje
oczywiście poza zakresem odpowiedzialności odszkodowawczej, która może być konstruowana na
podstawie ogólnych przepisów prawa cywilnego w przypadku, gdyby wskutek naruszenia obowiązków
ustawowych w zakresie bezpieczeństwa informacji doszło do powstania szkody po stronie podmiotu
trzeciego lub naruszenia jego prawem chronionych dóbr osobistych. Trzeba jednak zwrócić uwagę, że
ryzyko odpowiedzialności odszkodowawczej może powstać nie tylko wówczas, gdy dojdzie do
naruszenia obowiązku ustawowego. Standardem są w tej chwili wysokie kary umowne przewidziane w
umowach o zachowaniu poufności. Niezależną grupę ryzyk stanowią konsekwencje biznesowe, które
mogą polegać na utracie klientów, reputacji, a w rezultacie na stratach finansowych. Warto w tym
miejscu zwrócić uwagę na raport PricewaterhouseCoopers z 2013 r. („The Global State of Information
Security Survey 2013” - http://www.pwc.com/gx/en/issues/cyber-security/information-securitysurvey.html), z którego wynika, że takie konsekwencje poniosła ponad 1/3 podmiotów, które doznały
naruszenia bezpieczeństwa informacji. Wynik ten jest zgodny z zawartą w raporcie deklaracją, że aż
61% badanych zrezygnowałoby z usług firmy w przypadku uzyskania informacji, że doszło do
włamania do jej systemów informatycznych.
Pl. Komuny Paryskiej 1/1 | 90-007 Łódź
P: +48 42 662 22 22 | F: +48 42 632 22 20
E: [email protected] | www.bnadwokaci.pl
Informacja może uzyskać status prawnie chronionej tajemnicy przedsiębiorstwa, z czym wiążą się
dodatkowe mechanizmy ochronne przewidziane prawem. Aby tak się stało muszą zostać spełnione
warunki, o których mowa w ustawie z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
(dalej: UZNK). Zgodnie z art. 11 ust. 4 UZNK tajemnicę przedsiębiorstwa stanowią nieujawnione do
wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne, co do
których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Ustawodawca nie
udziela instrukcji, co do tego, jakie działania przedsiębiorcy należy uznać za działania niezbędne w celu
zachowania ich poufności.
Wydaje się, że walor takich działań będą miały niektóre z czynności podejmowanych przez
przedsiębiorcę w celu zrealizowania szerzej określonego celu, jakim jest zapewnienie bezpieczeństwa
informacji w organizacji, za której działanie odpowiada.
Przyjmuje się, iż informacja jest bezpieczna wówczas, gdy zapewniona została:
 jej poufność - zapewniono ograniczenie dostępu do informacji wyłącznie dla osób (podmiotów)
uprawnionych;
 jej integralność (nienaruszalność informacji) – zabezpieczono informację przed jej
niekontrolowanym usunięciem lub modyfikacją, a w konsekwencji zapewniono kompletność
i wiarygodność informacji;
 jej dostępność – zapewniono osobom (podmiotom) uprawnionym dostęp do informacji, który
odpowiada potrzebom tych osób (podmiotów) i pozostaje w zgodzie z ustalonym zakresem tego
dostępu.
Zarządzanie bezpieczeństwem informacji, o którym mowa w tytule niniejszego wystąpienia to przyjęty
w danej organizacji zbiór regulacji prawnych i rozwiązań organizacyjnych, których celem jest
zapewnienie najwyższego poziomu bezpieczeństwa informacji.
Powszechnie przyjmuje się, że jednym z najbardziej efektywnych sposobów zapewnienia
bezpieczeństwa informacji jest przyjęcie przez organizację zbioru regulacji (standardów, zasad),
mających charakter obowiązującego w organizacji prawa, którego przedmiotem będzie określenie zasad
gromadzenia, przetwarzania i wykorzystywania informacji znajdujących się w jej zasobach. Zasady te
najczęściej przybierają formę jednolitego dokumentu określanego, jako „Polityka Bezpieczeństwa
Informacji” (PBI).
W organizacjach o rozbudowanej strukturze organizacyjnej PBI bywa często częścią bardziej złożonego
i rozbudowanego systemu regulacji obejmujących wszystkie obszary działalności organizacji,
nazywanego Systemem Zarządzania Bezpieczeństwem Informacji (SZBI lub ISMS od ang. Information
Security Management System). System ten najczęściej konstruowany jest w zgodzie
z międzynarodowym standardem ISO/IEC 27001:2013.
Przyjęcie PBI jest wieloetapowym procesem, w który zaangażowany jest najczęściej zespół ekspertów
reprezentujących rożne dziedziny. Szczególną rolę w tym zespole odgrywają prawnicy. Ich zadaniem
jest nie tylko aktywny udział w definiowaniu rzeczywistych potrzeb organizacji w zakresie ochrony
informacji, ale przede wszystkich dbałość, aby zaprojektowane rozwiązania były skutecznym prawnie
narzędziem do egzekucji obowiązków w zakresie ochrony informacji i pozostawały w zgodzie
z powszechnie obowiązującymi przepisami prawa (compliance).
Zaprojektowanie PBI wymaga precyzyjnego określenia:
Pl. Komuny Paryskiej 1/1 | 90-007 Łódź
P: +48 42 662 22 22 | F: +48 42 632 22 20
E: [email protected] | www.bnadwokaci.pl
1) zakresu PBI poprzez zidentyfikowanie obowiązków organizacji wynikających
z powszechnie obowiązujących przepisów prawa i regulacji wewnętrznych, a także
uwarunkowań biznesowych i ekonomicznych, wizerunku organizacji oraz założonego
poziomu kultury ochrony informacji;
2) potencjalnych źródeł zagrożeń (identyfikacja i ocena poziomu ryzyka);
3) optymalnych, z punktu widzenia elementów opisanych w punktach 1 i 2 powyżej, sposobów
zabezpieczeń o charakterze prawnym i technicznym;
4) sposobu monitorowania przyjętych rozwiązań prawnych i organizacyjnych pod kątem ich
skuteczności oraz zgodności ze zmieniającymi się uwarunkowaniami prawnymi
i technicznymi.
Wydaje się, że dokonanie przez organizację identyfikacji i zdefiniowanie w procesie pracy nad PBI
zbioru konkretnych informacji, które organizacja zamierza chronić, jako tajemnicę przedsiębiorstwa
będzie pierwszym krokiem w kierunku uzyskania takiej ochrony. Ponadto, opracowanie przez
organizację procedur i instrukcji, określenie zasad zarządzania informacjami oraz wskazanie kręgu osób
odpowiedzialnych za strzeżenie ich poufności będzie, co do zasady dopełnieniem obowiązków,
o których mowa w art. 11 ust. 4 UZNK. Otwiera to drogę do skutecznego ubiegania się przez organizację
o ochronę prawną przed czynami nieuczciwej konkurencji, o których mowa w art. 11 UZNK. Jest to
niewątpliwe element strategicznego zarządzania organizacją. Bez wątpienia, opracowanie PBI, jej
wdrożenie i przestrzeganie pozwala nie tylko zminimalizować ryzyko incydentu utraty informacji, ale
także zaplanować działanie na wypadek zdarzenia kryzysowego. Procedury alarmowania o zagrożeniu
oraz reakcji na jego realizację pozwalają uniknąć przyczynienia się do zwiększenia szkody.
Ramy niniejszego wystąpienia nie pozwalają na szersze omówienie problematyki prawnej ochrony
bezpieczeństwa informacji. Celem powyższych uwag jest raczej próba uświadomienia słuchaczom wagi
problemu. W ocenie autora niniejszego wystąpienia brak świadomości obowiązków prawnych
w zakresie bezpieczeństwa informacji jest jedną z głównych przyczyn naruszeń prawa w powyższym
zakresie. Podobnie, brak świadomości konsekwencji i ryzyka biznesowego po stronie organizacji jest
jedną z głównych przyczyn niedostatecznego ich zaangażowania w stworzenie sprawnych funkcjonalnie
systemów ochrony bezpieczeństwa informacji. Niedostatek świadomości osób uprawnionych do
podejmowania decyzji w organizacji, powoduje, iż ten brak dotyka zatrudniony przez organizację
personel. W efekcie, jak pokazują wyniki badań ponad połowa przypadków naruszenia bezpieczeństwa
informacji (incydentu bezpieczeństwa informacji) jest wynikiem po prostu błędu ludzkiego (powołany
już raport PwC).
Łódź, dn. 29 września 2015 r.