The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

23 octombrie 2010

Abuzul de drept si sintagma "fara drept" in infractiunile informatice - Sfaturi pentru angajati

Sunt inca multe companii din Romania in care modul de utilizare a internetului si a tehnicii de calcul a fost introdus si s-a dezvoltat pornind de la "baiatul de la IT" - un personaj ceva mai priceput decat ceilalti angajati in utilizarea computerului si care a pus la punct reteaua si a "stabilit" din aproape in aproape un mod de utilizare a infrastructurii IT a firmei. Vorbesc aici in special de firmele mici si medii autohtone (chiar si de unele mari), care au crescut in ultimii 10 ani si in care nu s-a implementat neaparat la nivel profesional o infrastructura IT cu tot cu politici de utilizare si manipulare a datelor si cu fise ale postului clare pentru operatorii PC. "Obiceiurile" de utilizare functie de necesitatea de moment au tinut si mai tin inca loc de politici structurate in domeniu.  

Daca in articolul intitulat "Protejati-va afacerea! Sfaturi simple pentru intreprinzatori." dezbateam aceasta situatie prin prisma firmei care se supune la riscuri, astazi a venit randul punctului de vedere al angajatului, la ce riscuri se supune el acceptand o astfel de stare de fapt si cum s-ar putea proteja...

Legea 161/2003 care de la art. 42 incolo incrimineaza faptele de criminalitate informatica a fost creata prin implementarea directa a Conventiei Europene privind Criminalitatea Informatica, la care s-au atasat pedepse importante, menite sa descurajeze astfel de fapte deoarece criminalitatea informatica mare, parte din crima organizata, este un fenomen major in societate si are nevoie de un raspuns juridic pe masura.

Acelasi este si motivul pentru care astfel de fapte sunt in competenta DIICOT, organism care se ocupa de crima organizata. 

Pentru multe firme si pentru multi angajati, aceasta lege nu pare sa existe inca, societatea nerealizand in ansamblul sau faptul ca anumite moduri de comportament privitor la infrastructura IT in relatiile de munca au devenit infractiuni si inca unele pedepsite destul de aspru, cu ani grei de inchisoare.

Angajatii si angajatorii continua sa utilizeze tehnica de calcul de multe ori dupa "obiceiurile impamantenite" pana la un punct, la care relatiile dintre cei doi se strica, iar cineva rauvoitor realizeaza ca modul de utilizare poate fi privit si ca fapta penala.

Ca urmare gasim cazuri in justitia romana in care un angajat, dupa ani de zile in care a pus la punct spre exemplu site-ul firmei desi nu avea prevazut in fisa postului acest lucru dar "se pricepea la HTML" - ajunge sa fie dat in judecata de angajator spre exemplu pentru acces ilegal la sistem informatic, pe baza dovezii (usor de obtinut de altfel) ca accesa in afara orelor de program serverul firmei si mai administra paginile site-ului. Asta in conditiile in care oricum aceasta administrare, "de obicei" se facea in afara orelor de servici in care avusese alte sarcini.

Chiar daca in unele cazuri angajatorul poate vrea doar sa-l sperie pe angajat, fara a-i face rau, este de multe ori trecut cu vederea aspectul urmator: actiunea penala odata pornita, nu se mai poate retrage plangerea in aceste cazuri si, daca exista dovezi, chiar daca judecatorul are mijloace de a stabili gradul mic de pericol social al faptei si reduce mult pedeapsa, angajatul nu poate scapa fara cazier penal si consecinte pentru anii urmatori derivate din aceasta. In cazul infractiunilor informatice, intimidarea cu plangerea penala ulterior retrasa nu poate fi facuta. 

Este izbitor faptul ca astfel de cazuri de multe ori pornesc de la un "obicei" de utilizare dealtfel curent in firma/organizatia respectiva, dar netrecut intr-o fisa a postului.

Cazuri similare am intalnit si in privinta angajatilor workoholici - care si-au luat de lucru acasa dupa orele de program, pentru ca "asa se obisnuia in firma", sau din dorinta lor de a da bine prin eficienta in fata sefului. 

Putem spune ca este un abuz de drept in multe situatii intalnite - in care prin plangerea depusa, consecintele asupra angajatului si vietii lui ulterioare sunt disproportionat de mari comparativ cu fapta reala comisa. Dar infractiunea este definita asa cum este si pedepsita ca atare. Nu avem cai alternative de solutionare a astfel de mici incidente. Spun mici comparandu-le cu fenomenul mare al criminalitatii informatice.

Procurorii trebuie sa investigheze, sa adune dovezile si sa trimita dosarul spre instanta. Intr-o expertiza EnCase a unui hard disk de computer vom gasi dovezi de accesare la anumite ore a serviciilor, sau urme ale documentelor luate de la firma. Dar nu vom gasi de cele mai multe ori dovada ca de fapt exista acordul patronului pentru ca respectivele documente sa fie acolo.

Analiza tehnica este rece si indica o latura "palpabila digital" a faptelor. Dar atat. Daca ancheta nu se concentreaza din lipsa de timp si resurse pe investigarea modului real in care firma lucra, sansele sunt ca angajatul sa fie condamnat disproportionat cu fapta iar munca de individualizare in instanta sa fie anevoioasa.

Cum dovedesti starea de fapt? Vor depune ceilalti colegi marturie impotriva sefului? Intrebari cu raspuns concret doar de la caz la caz.

Totusi: Ce poate face angajatul? Cum se poate feri sau apara?

Doar cateva masuri de prevedere minimale:
De regula expresia cheie in aceste infractiuni este sintagma "fara drept". Dreptul sa accesezi site-ul, serverul, sa iti iei acasa materiale de lucru, sa accesezi alte conturi de email ale firmei, sa administrezi servicii web, etc... daca nu este trecut in fisa postului tau, trebuie dovedit prin orice alte mijloace.

Adunati orice fel de dovada, chiar si emailuri: Cereti spre exemplu detalii printr-un email sefului despre sarcina respectiva. Sau trimiteti-i inapoi materialele cu mentiunea in emailul trimis ca ati facut la ele cutare sau cutare modificari. Orice poate dovedi faptul ca conducerea avea cunostinta despre sarcina respectiva. Computerul este riguros in a pastra dovezi. Fiti riguros in modul de a-l opera.

In lipsa unei politici de securitate IT in firma, cu atat mai mult este necesar sa documentati orice cerinta venita de la conducere intr-un mod in care sa puteti dovedi mai tarziu acordul. Sanse sunt sa nu fie nevoie. Dar am vazut situatii in care ar fi fost de dorit astfel de dovezi.

Daca exista politica IT sau o fisa a postului cu prevederi referitoare la tehnica de calcul iar cerinta iese din cadrul acesteia, iarasi, este necesara documentarea.

Afara de a dovedi "dreptul" de a accesa serviciul respectiv sau de a face sarcina cutare, nu mai ramane decat un alt sfat: lasati pentru acasa orice alte activitati de la computerul firmei care nu tin de munca de acolo.

Faptul ca nu este interzisa o activitate nu este neaparat o scuza.
Daca spre exemplu utilizati Facebook la servici pentru ca nu s-a interzis acest lucru si descarcati un virus venit prin reteaua sociala care compromite datele importante ale firmei de pe computerul la care lucrati sau din retea, se poate ca in viitor sa se lase cu plangere penala si nu cu chemarea baiatului de la IT sa repare defectiunea. Cum raspundeti atunci?

Un ultim sfat in incheiere: nu luati in usor o astfel de plangere daca vi s-a facut. Acordati-i atentia cuvenita si neaparat cereti ajutorul unui avocat pe parcursul anchetei, inca de la inceput, de cand ati luat la cunostinta de faptul ca vi s-a depus o astfel de plangere.

Un comentariu:

  1. Nu doresc sa insist in legatura cu cele mentionate de Dvs. Totusi, nu pot sa nu precizez faptul ca unele observatii sunt mai degraba lacunare decat folositoare. Ma refer aici indeosebi la paragraful "Faptul ca nu este interzisa o activitate nu este neaparat o scuza.". Nu am inteles in ce masura reprezinta o problema faptul ca angajatul a "descarcat" un virus de pe un site referitor la care nu exista o interdictie expresa de accesare. In masura in care aceasta "descarcare" se realizeaza din culpa, fapta nu este tipica. Poate era indicata o analiza mai nuantata.

    RăspundețiȘtergere