Były pracownik zabrał bazę klientów. Co możesz zrobić i kto odpowiada.

Były pracownik zabrał bazę klientów. Co możesz zrobić i kto odpowiada.

Zanim zadzwonisz na policję – zadzwoń do IOD. Nie dlatego że kradzież bazy klientów to nie jest sprawa dla policji. Dlatego że policja ma obowiązek poinformować UODO. A lepiej żeby UODO dowiedziało się o tym od Ciebie.

Pracownik odchodzi. Tydzień później zaczyna pracę u konkurencji lub zakłada własną firmę. Miesiąc później Twoi klienci dostają oferty od nowej firmy – z dokładnymi danymi które tylko Ty powinieneś mieć. Imiona, nazwiska, adresy, historia zakupów, indywidualnie negocjowane ceny.

Nie ma wątpliwości co się stało. Pytanie brzmi co teraz.

Pierwsza rzecz którą musisz zrozumieć: to jest naruszenie ochrony danych

Zanim wejdziesz w tryb "ścigam byłego pracownika" – zatrzymaj się na chwilę.

Kradzież bazy klientów przez byłego pracownika jest naruszeniem ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Nieautoryzowany dostęp do danych osobowych i ich ujawnienie osobie trzeciej – a były pracownik pracujący dla konkurencji jest osobą trzecią – spełnia definicję naruszenia.

To oznacza że jako administrator masz 72 godziny na ocenę czy naruszenie wymaga zgłoszenia do UODO.

Przy bazie klientów zawierającej dane osobowe dziesiątek czy setek osób – próg dla zgłoszenia jest prawie zawsze przekroczony. Ryzyko dla osób których dane wyciekły jest realne – mogą być targetowani przez nieautoryzowane działania marketingowe (i mamy pierwsze dowody złej woli), ich dane handlowe mogą być wykorzystywane bez ich wiedzy i zgody.

Obowiązek informacyjny wobec UODO powstaje niezależnie od tego czy zdecydujesz się złożyć zawiadomienie na policję.

Pamiętajmy jednak że 72h biegnie od chwili stwierdzenia naruszenia - zbieg dziwnych zdarzeń i komunikatów u klientów to jeszcze nic pewnego. Jeżeli pojawia się dużo wątpliwości i "ale" to możemy tłumaczyć się że czekaliśmy ze zgłoszeniem aż otrzymamy ustalenia Policji.

Dlaczego lepiej zgłosić do UODO samemu niż czekać aż zrobi to policja

Gdy składasz zawiadomienie o popełnieniu przestępstwa na policji – kradzież bazy danych to przestępstwo z art. 267 Kodeksu karnego – policja prowadzi postępowanie. W ramach tego postępowania policja ma obowiązek poinformować UODO jeśli sprawa dotyczy naruszenia ochrony danych osobowych.

Innymi słowy: jeśli zadzwonisz najpierw na policję a nie do UODO – UODO i tak się dowie. Tylko że dowie się ze źródła które nie jest Tobą. I które nie przedstawia sprawy z Twojej perspektywy. I które nie zawiera informacji o działaniach zaradczych które podjąłeś.

Organ nadzorczy który dowiaduje się o naruszeniu od Ciebie – widzi administratora który działa odpowiedzialnie, który podjął działania naprawcze i który współpracuje z organem. To jest okoliczność łagodząca.

Organ nadzorczy który dowiaduje się o naruszeniu z postępowania policyjnego – widzi administratora który nie zgłosił naruszenia w terminie 72 godzin. To jest osobne naruszenie RODO nakładające się na pierwotne.

Kolejność działań ma znaczenie. UODO – potem policja. Nie odwrotnie.

Kto odpowiada i dlaczego administrator rzadko dostaje karę

Tutaj jest dobra wiadomość – relatywna.

Naruszenie ochrony danych przez działanie byłego pracownika to sytuacja gdzie odpowiedzialność rozkłada się inaczej niż przy klasycznym wycieku z powodu błędu technicznego.

UODO oceniając naruszenie bierze pod uwagę czy administrator podjął odpowiednie środki techniczne i organizacyjne żeby zapobiec nieautoryzowanemu dostępowi do danych. I tu jest klucz.

Jeśli firma miała:

Politykę zarządzania dostępem która przewiduje odbieranie uprawnień przy rozwiązaniu stosunku pracy. Udokumentowany proces off-boardingu który obejmuje deaktywację konta i odebranie dostępów. Umowę o zachowaniu poufności i zakaz konkurencji.  Monitoring dostępu do systemów CRM i baz danych - i co najważniejsze ograniczenia w możliwości pobierania CAŁYCH baz danych...

To administrator działał z należytą starannością. Były pracownik złamał zasady do których był zobowiązany. Odpowiedzialność spoczywa na nim a nie na administratorze.

Jeśli firma nie miała nic z powyższej listy – sytuacja jest trudniejsza. UODO może uznać że brak odpowiednich środków technicznych i organizacyjnych stanowi osobne naruszenie art. 32 RODO.

W praktyce: przy kradzieży danych przez byłego pracownika trudno jest udowodnić winę administratora jeśli ten podjął rozsądne środki bezpieczeństwa. UODO to rozumie i kary w takich przypadkach są rzadkością. "Rzadkość" to nie "niemożliwość" – i zależy od tego jak wyglądała Twoja dokumentacja i procedury przed incydentem.

Co konkretnie zrobić w pierwszych 72 godzinach

Krok pierwszy: zabezpiecz dowody.

Zanim cokolwiek innego – zabezpiecz logi dostępu do systemu CRM. Historię logowań byłego pracownika. Daty i godziny eksportu danych. Wszelkie maile w których mógł przesyłać dane na prywatne adresy. To jest materiał dowodowy który może zniknąć jeśli nie zostanie zabezpieczony natychmiast.

Krok drugi: oceń skalę naruszenia.

Ile rekordów mogło być objętych naruszeniem. Jakie dane – tylko dane kontaktowe czy też dane finansowe, historia zamówień, ceny. Czy dane mogą być już w obiegu.

Krok trzeci: zgłoś do UODO.

Formularz na stronie UODO. Opisujesz co się stało, jakie dane były objęte, jakie działania podjąłeś. Podajesz rząd wielkości rekordów a nie precyzyjną liczbę jeśli jej nie znasz. Wskazujesz że dochodzenie wewnętrzne jest w toku i uzupełnisz informacje.

Krok czwarty: oceń czy informować poszkodowanych.

Przy bazie klientów której dane trafiły do konkurencji – ryzyko dla poszkodowanych jest wysokie. Klienci powinni być poinformowani że ich dane były przedmiotem naruszenia i co robisz żeby ograniczyć skutki.

Krok piąty: zawiadomienie na policję.

Dopiero teraz. 

Podstawa prawna po stronie byłego pracownika

Były pracownik który zabrał bazę klientów odpowiada na kilku poziomach jednocześnie.

Art. 267 Kodeksu karnego – nieuprawniony dostęp do systemu informatycznego i przejęcie danych. Kara do 3 lat pozbawienia wolności.

Ustawa o zwalczaniu nieuczciwej konkurencji – jeśli baza klientów spełnia definicję tajemnicy przedsiębiorstwa a umowa zawierała klauzulę poufności. Tu są roszczenia cywilne – odszkodowanie za szkodę i utracone korzyści.

RODO – były pracownik który przetwarza dane osobowe bez podstawy prawnej jest w świetle RODO osobą naruszającą przepisy. Jeśli nowy pracodawca wie że baza pochodzi z kradzieży – też odpowiada jako współadministrator lub podmiot przetwarzający bez umowy.

Klauzula zakazu konkurencji – jeśli umowa ją zawierała i były pracownik pracuje teraz dla konkurencji – osobne roszczenie pracownicze.

Każda z tych ścieżek jest niezależna i można je prowadzić równolegle.

Jak udowodnić że dane zostały skradzione

To jest najtrudniejsza część i warto to powiedzieć wprost.

Samo to że klienci dostają oferty od byłej firmy pracownika nie jest dowodem kradzieży bazy. Były pracownik może twierdzić że część kontaktów to jego relacje biznesowe które zbudował prywatnie.

Mocne dowody to:

Logi systemu CRM pokazujące masowy eksport danych w ostatnich tygodniach przed odejściem. Maile w których pracownik przesyłał dane na prywatny adres. Klienci którzy dostali oferty zawierające informacje które były wyłącznie w firmowej bazie – np. specyficzne szczegóły zamówień, indywidualnie negocjowane warunki, notatki z rozmów.

Słabe dowody to:

Zbieżność czasowa między odejściem pracownika a aktywnością konkurencji. Podobieństwo targetu sprzedażowego. Zeznania klientów że "skontaktowała się z nimi ta sama osoba."

Dlatego tak ważne jest zabezpieczenie logów natychmiast po odkryciu naruszenia. Każdy dzień zwłoki to potencjalnie utracony dowód.

Co zrobić żeby to się nie powtórzyło

Trzy rzeczy które powinny być standardem a często nie są.

Zarządzanie dostępem z zasadą need-to-know. Pracownik sprzedaży powinien widzieć swoich klientów – nie całą bazę. Ograniczenie zakresu dostępu ogranicza skalę potencjalnej kradzieży.

Procedura off-boardingu z checklistą. Deaktywacja konta w dniu rozwiązania umowy – nie tydzień później gdy IT znajdzie czas. Odebranie dostępów do CRM, maila firmowego, dysków chmurowych. Zmiana haseł do kont wspólnych.

Monitoring eksportu danych. Systemy CRM zazwyczaj pozwalają na logowanie masowych eksportów danych. Włącz tę funkcję i ustaw alert gdy ktoś eksportuje więcej niż X rekordów jednorazowo.

Każda z tych rzeczy jest tania w implementacji i droga w braku gdy coś pójdzie nie tak.

Jak szybko powinienem odebrać dostępy byłemu pracownikowi po rozwiązaniu umowy?

Natychmiast – w dniu rozwiązania stosunku pracy a nie kilka dni później gdy IT znajdzie czas. To jest jeden z najczęstszych błędów organizacyjnych który zamienia się w dowód braku odpowiednich środków bezpieczeństwa przy ewentualnej kontroli UODO. Jeśli pracownik odszedł w piątek i dostępy odbrano w poniedziałek – przez weekend miał pełny dostęp do bazy klientów i logów które to potwierdzą. Procedura off-boardingu powinna być checklistą uruchamianą automatycznie w dniu rozwiązania umowy – nie inicjatywą działu IT realizowaną przy okazji.

Czy były pracownik może twierdzić że klienci z bazy to jego prywatne kontakty biznesowe?

Tak i to jest najczęstsza linia obrony. Dlatego tak ważne jest żebyś miał dokumentację która pokazuje że konkretne dane były wyłącznie w firmowej bazie i że dostęp do nich był możliwy tylko przez systemy firmowe. Umowa o pracę która jasno określa że baza klientów jest własnością pracodawcy. Klauzula poufności która obejmuje dane klientów. Logi CRM które pokazują że pracownik aktywnie korzystał z tych danych w ramach obowiązków służbowych. Bez tej dokumentacji granica między "firmową bazą" a "prywatnymi kontaktami" jest rozmyta i trudna do wyegzekwowania.

Nowy pracodawca byłego pracownika aktywnie korzysta z ukradzionych danych. Czy odpowiada z RODO?

Tak – jeśli wiedział lub powinien był wiedzieć że dane pochodzą z kradzieży. Firma która zatrudnia kogoś kto przychodzi z gotową bazą klientów z poprzedniej pracy i bez pytania zaczyna ją wykorzystywać – przetwarza dane osobowe bez podstawy prawnej. To jest naruszenie RODO po stronie nowego pracodawcy jako administratora. W praktyce udowodnienie że nowy pracodawca wiedział o nielegalnym źródle danych jest trudne – ale nie niemożliwe. Szczególnie gdy skala i specyfika danych jednoznacznie wskazują na ich firmowe pochodzenie.

Czy muszę informować klientów których dane zostały skradzione?

Przy bazie klientów z danymi osobowymi – prawie zawsze tak. Obowiązek informowania osób poszkodowanych powstaje gdy naruszenie może powodować wysokie ryzyko dla ich praw i wolności. Dane klientów które trafiły do konkurencji i są wykorzystywane do nieautoryzowanych działań handlowych spełniają ten próg. Informacja powinna być bezpośrednia – nie wystarczy ogłoszenie na stronie. Powinna wyjaśniać co się stało, jakie dane były objęte, co robisz żeby ograniczyć skutki i jak klient może się z Tobą skontaktować jeśli ma pytania.

Co jeśli nie mam żadnych logów dostępu do CRM bo system ich nie prowadził?

To jest poważna luka w bezpieczeństwie którą UODO może zakwalifikować jako brak odpowiednich środków technicznych z art. 32 RODO. Brak logów nie uniemożliwia zgłoszenia naruszenia – opisujesz to co wiesz na podstawie dostępnych dowodów. Ale brak możliwości udokumentowania kto i kiedy miał dostęp do danych komplikuje zarówno postępowanie karne jak i ocenę przez UODO. Po incydencie pierwsza rzecz do wdrożenia to właśnie logowanie dostępu i eksportu danych w systemach CRM. Na przyszłość – nie na wypadek kolejnej kradzieży ale dlatego że bez logów nie możesz zarządzać bezpieczeństwem danych w żaden sensowny sposób.

Czy mogę żądać odszkodowania od byłego pracownika i jak to wyliczyć?

Tak – na podstawie ustawy o zwalczaniu nieuczciwej konkurencji jeśli baza spełnia definicję tajemnicy przedsiębiorstwa oraz na podstawie ogólnych przepisów o odpowiedzialności odszkodowawczej. Wyliczenie szkody jest najtrudniejszą częścią tego postępowania. Możesz dochodzić szkody rzeczywistej – koszty odtworzenia bazy, koszty obsługi prawnej, koszty powiadomienia klientów. Oraz utraconych korzyści – jeśli udowodnisz że klienci odeszli do konkurencji wskutek działań byłego pracownika. To drugie jest znacznie trudniejsze do udowodnienia w sądzie i wymaga eksperta który wyliczy związek przyczynowy między kradzieżą a utratą przychodów. Warto skonsultować się z prawnikiem przed złożeniem pozwu żeby ocenić realność roszczeń.

Czy zgłoszenie naruszenia do UODO zaszkodzi nam wizerunkowo?

Zgłoszenia do UODO nie są automatycznie publikowane. UODO nie wydaje komunikatu prasowego przy każdym zgłoszeniu naruszenia – robi to tylko przy decyzjach o nałożeniu kar lub przy naruszeniach dużej skali które uzna za ważne publicznie. Większość zgłoszeń kończy się bez żadnej publicznej informacji. Ryzyko wizerunkowe jest natomiast realne gdy naruszenie wyjdzie na jaw innymi kanałami – przez klientów którzy odkryją że ich dane były używane nielegalnie albo przez media jeśli sprawa trafi do sądu. W takim scenariuszu fakt że zgłosiłeś naruszenie i podjąłeś działania naprawcze jest argumentem na Twoją korzyść – nie przeciwko Tobie.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.