Pe langa masurile tehnice care se pot implementa de catre companii (parolare, securizare acces, solutii de software si altele), exista o serie de parghii care tin exclusiv de cunoasterea si aplicarea unor prevederi legale care permit companiei sa isi protejeze informatia in relatia cu proprii angajati, cu autoritatile publice sau cu furnizorii.
Astfel, in ceea ce priveste limitarea accesului autoritatilor publice cu atributii de inspectie la informatiile companiei, problemele companiilor provin din doua directii: companiile nu isi cunosc drepturile in cazul unor astfel de inspectii, iar la randul lor, angajatii care intra in contact cu inspectorii sunt insuficient instruiti pentru a raspunde acestor situatii intr-un mod care sa nu prejudicieze interesele companiei. Referirea nu se face neaparat la top management, ci la personalul administrativ - angajatii din receptie sau asistentii personali - categorie deosebit de vulnerabila in aceste de situatii, a caror lipsa de instruire este identificata usor de inspectori.
Cele mai sensibile situatii sunt generate de inspectiile inopinate, iar cele mai temute astfel de inspectii vin de obicei din zona ANAF – prin Directia Generala Antifrauda, Consiliului Concurentei, ORDA – pentru inspectarea drepturilor de utilizare de software. In urma unor astfel de inspectii, companiile se pot confrunta cu amenzi usturatoare sau cu un prejudiciu de imagine greu de cuantificat, dar de multe ori, mult mai costisitor. „Angajatii din biroul administrativ trebuie sa cunoasca ce documente trebuie prezentate de organele de control (legitimatii, mandat, ordin de control, etc.) si ce documente pot fi studiate sau ridicate de catre organele de control de la sediu, care sunt consecintele refuzului de a permite desfasurarea inspectiei si multe alte detalii care pot face diferenta intre aplicarea si neaplicarea unei sanctiuni”, declara Radu Ionescu, managing partner, Casa de Avocatura Ionescu si Sava.
In ceea ce priveste protejarea informatiilor in relatia cu angajatii proprii, un prim instrument al companiei, prin care se pot acoperi bresele de securitate, este reprezentat de contractul individual de munca. Clauzele de protectie a informatiei cuprinse intr-un astfel de contract pot varia de la unele generale si neinsotite de sanctiuni, pana la clauze extrem de specifice, pentru intarirea carora sunt prevazute si diverse sanctiuni, in functie de pozitia angajatului in companie si de drepturile acestuia de acces la informatii.
Pe langa clauzele inserate in contractele de munca, care pot fi modelate usor in functie de angajatul caruia i se adreseaza, o companie mai poate stabili limitele de acces si utilizare a informatiei, precum si sanctiunile aferente incalcarii acestora prin intermediul Regulamentului Intern sau a politicilor interne. Regulamentul Intern este un instrument comun, aplicabil oricarui tip de business, care insa se modifica mai des decat contractul de munca si ale carui modificari sunt aduse la cunostinta angajatilor, fara sa implice acceptarea expresa a acestora de angajati. Politicile interne sunt utilizate in special de companii mai mari, multinationale al caror set de valori se stabileste la nivel central. In cadrul acestui set, prevederile cu privire la securitatea informatiilor pot fi incluse in politici adiacente (politica departamentului informatic sau politica departamentelor juridic sau de resurse umane), dar pot face si obiectul unei politici de sine statatoare. Aceste politici nu stabilesc sanctiuni per se, de cele mai multe ori urmand a fi completate cu prevederile legale aplicabile, insa descriu in amanunt conduita asteptata de la angajat.
“O situatie sensibila este cea a incetarii colaborarii cu un angajat la initiativa angajatorului, de cele mai multe ori prin desfiintarea postului acestuia. Pentru noi, este destul de suprinzator faptul ca multe companii se lasa intimidate de fostii angajati pe baza argumentului ca incepand cu momentul concedierii sau chiar anterior acestuia, le-a fost restrictionat accesul la computer, telefon sau la anumite zone din cadrul companiei. Avand in vedere ca raporturile de munca urmeaza sa inceteze, angajatul poate fi chiar scutit de obligatia de a se prezenta la locul de munca, angajatorul achitandu-i insa toate drepturile de natura salariala pana la data incetarii efective a raporturilor de munca. Chiar in cazul in care exista o ingradire a accesului la munca, angajatul va trebui sa demonstreze un prejudiciu adus de o astfel de restrictionare. Asa cum a demonstrat practica, angajatul va avea dificultati in a demonstra existenta unui prejudiciu si, prin urmare, sunt putine situatiile in care angajatorul ar putea fi obligat in instanta la plata unor daune”, subliniaza Alina Neagu, liderul departamentului de dreptul muncii din cadrul Casei de Avocatura Ionescu si Sava.
In cele din urma, o sursa frecventa de acces la informatiile sensibile ale unei companii este reprezentata de colaborarea cu diversi furnizori. De multe ori, pentru a presta serviciile la care se obliga contractual, furnizorilor li se faciliteaza accesul la diverse informatii de tipul bazelor de date (clienti, furnizori, preturi, etc.), iar la momentul intreruperii relatiilor contractuale sau chiar pe parcursul desfasurarii acestora, compania nu are control asupra modului de utilizare si diseminare. Din nou, in zona de preventie, contractele incheiate cu acestia trebuie sa includa clauze care sa acopere protectia acestor informatii. Pentru astfel de cazuri, sanctiunile contractuale trebuie gandite astfel incat sa acopere un eventual prejudiciu, dar si sa descurajeze partenerul contractual de la a utiliza informatiile obtinute in alte scopuri decat cele contractuale, precum si pentru a-l determina sa asigure protectia eficienta a acestora.