Επιχειρήσεις και Εμπιστευτικότητα

Επιχειρήσεις και Εμπιστευτικότητα

  1. Η σημασία της διασφάλισης της εμπιστευτικότητας

Κάθε επιχείρηση αντιμετωπίζει σωρεία προκλήσεων για να καταστεί και παραμείνει υγιής αλλά και για να διατηρήσει τα υψηλά standards τα οποία έχει ενδεχομένως επιτύχει, όσον αφορά τη λειτουργία, την αποτελεσματικότητα και την κερδοφορία της. Η διατήρηση (και, πολύ περισσότερο, η επαύξηση) του μεριδίου της αγοράς της στις γεωγραφικές περιοχές της δραστηριοποίησής της προϋποθέτει υπερπήδηση, καθημερινά, σειράς εμποδίων.

Η επίτευξη και διατήρηση της υγιούς επιχειρηματικότητας είναι πάντοτε όχι μόνον ένα ζητούμενο αλλά και μια καθημερινή πρόκληση. Μια από τις προϋποθέσεις της μάλιστα συναρτάται με την διασφάλιση πως εκείνες οι πληροφορίες που η επιχείρηση προσδιορίζει ως εμπιστευτικές θα διατηρηθούν ως τέτοιες και, μεταξύ άλλων, δεν θα διαχυθούν στον ανταγωνισμό.

Σε κάποιες, ειδικές, περιπτώσεις η υποχρέωση διαφύλαξης της εμπιστευτικότητας των πληροφοριών τις οποίες διακινεί η επιχείρηση επιβάλλεται από το θεσμικό πλαίσιο (ιδ. κατωτέρω σχετικά με τα προσωπικά δεδομένα). Στις περιπτώσεις αυτές οι συνέπειες δεν αναφέρονται στην ομαλή λειτουργία και ανάπτυξη της επιχείρησης. Οι συνέπειες μπορεί να αναφέρονται σε απροσδιόριστα υψηλά πρόστιμα και ποινικές κυρώσεις!

  1. Πρόσωπα που καταλαμβάνει η υποχρέωση εμπιστευτικότητας

Η υποχρέωση διαφύλαξης της εμπιστευτικότητας είναι μια υποχρέωση που καταλαμβάνει όλους. Ανεξαιρέτως!

Όπως δεν εξαιρείται ο εργάτης ή ο κλητήρας μιας επιχείρησης έτσι (αυτονοήτως) δεν εξαιρούνται τα στελέχη, το ανώτερο management, ο Διευθύνων Σύμβουλος ή ακόμα και ο βασικός μέτοχος. Είναι σημαντικό, όμως, να τονισθεί πως η συγκεκριμένη υποχρέωση καταλαμβάνει και οποιονδήποτε τρίτο που γίνεται κοινωνός εμπιστευτικών πληροφοριών, λ.χ. ένας στενός συνεργάτης ή σύμβουλος μιας επιχείρησης.

  1. Μορφή και τρόπος γνώσης των προστατευόμενων πληροφοριών

Δεν έχει οποιαδήποτε σημασία για την προστασία τους η μορφή των πληροφοριών: Μπορεί να πρόκειται για έγγραφα, για ηλεκτρονικά αρχεία ακόμα και για προφορική πληροφόρηση που διαχέεται σε συγκεκριμένο αριθμό προσώπων και αφορά συγκεκριμένη επιχείρηση ή όμιλο επιχειρήσεων.

Δεν έχει όμως οποιαδήποτε σημασία και ο τρόπος περιέλευσης σε γνώση των πληροφοριών τις οποίες καταλαμβάνει η υποχρέωση εμπιστευτικότητας. Μπορεί να πρόκειται για πληροφορίες των οποίων (λ.χ.) ένα στέλεχος καθίσταται κοινωνός κατά την ενάσκηση των καθηκόντων του στον χώρο εργασίας του ή ακόμα και εκτός αυτού (λ.χ. στις εγκαταστάσεις πελατών της επιχείρησης). Μπορεί ακόμα να πρόκειται για πληροφορίες που αφορούν θέματα που χειρίζεται ο υπόχρεος, συνάδελφοί του, συνεργάτες ή σύμβουλοι της επιχείρησης. Μπορεί, τέλος, να πρόκειται για θέματα που αφορούν ακόμα και πελάτες της τελευταίας.

  1. Προστατευόμενες πληροφορίες

Οι πληροφορίες που καταλαμβάνονται από την υποχρέωση εμπιστευτικότητας μπορεί να αναφέρονται στο εμπορικό know-how (εμπορικής φύσεως πληροφορίες: λ.χ. κατάλογοι πελατών και προμηθευτών, κοστολόγια και υπολογισμοί τιμών, στρατηγικές πωλήσεων, μέθοδοι marketing κ.ο.κ.) ή/και στο τεχνικό know-how (τεχνογνωσία-πληροφορίες τεχνικής φύσεως). Μπορεί να αφορούν μεθοδολογία, διαδικασίες, σχεδιασμό, στοιχεία, εξέλιξη και αποτελέσματα οποιασδήποτε επιχειρηματικής δραστηριότητας, διαδικασίας, έρευνας, παραγωγή προϊόντος ή παροχή υπηρεσίας, Μπορεί να αφορούν διαδικασίες, πολιτικές, έγγραφα εποπτικών αρχών που συνδέονται με την επιχείρηση. Μπορεί, εν τέλει, να αφορούν οτιδήποτε σημαντικό για την επιχείρηση.

  1. Ειδικά για τα προσωπικά (απλά και ευαίσθητα) δεδομένα

Κάποιες όμως από τις προστατευόμενες πληροφορίες είναι μάλιστα δυνατό να συνδέονται με προσωπικά δεδομένα-απλά και ευαίσθητα. Το ενδεχόμενο αυτό δημιουργεί επιπρόσθετες υποχρεώσεις για τις επιχειρήσεις όπως προβλέπεται τόσο με βάση το υφιστάμενο θεσμικό πλαίσιο (Οδηγία ΕΕ/1995/46 που ενσωματώθηκε με τον ν. 2472/1997) όσο και μ’ εκείνο του νέου Κανονισμού (ΕΕ/2016/679) ο οποίος θα τεθεί σε εφαρμογή από 25.5.2018 και εντεύθεν-ανεξάρτητα από την ψήφιση ή μη (του αναμενόμενου) εφαρμοστικού νόμου.

Το σημαντικό όμως δεν είναι μόνον οι επιπρόσθετες υποχρεώσεις των επιχειρήσεων που δημιουργούνται από υφιστάμενο και νέο θεσμικό πλαίσιο όσον αφορά τα απλά και ευαίσθητα δεδομένα αλλά και, ιδίως, οι επαπειλούμενες κυρώσεις σε περίπτωση μη συμμόρφωσης ή/και παραβίασης (περί όλων αυτών όμως ιδ. στη σχετική δημοσίευση “Προστασία Προσωπικών δεδομένων και Επιχειρήσεις“)

  1. Οι υποχρεώσεις των στελεχών και των συνεργατών

Στις συμβάσεις που συνδέουν τους κάθε λογής εργαζόμενους κι εξωτερικούς συνεργάτες με μια επιχείρηση (πρέπει να) εμπεριέχονται ρυθμίσεις τέτοιες που να περιορίζουν τη χρήση των πληροφοριών των οποίων γίνονται κοινωνοί κατά τη διάρκεια και στο πλαίσιο της συνεργασίας τους και μόνον. Κι ακόμα περισσότερο: (οφείλουν να) ρυθμίζουν τις υποχρεώσεις των εργαζομένων και συνεργατών κατά το χρονικό διάστημα μετά τη λήξη της συνεργασίας τους (λ.χ. επιστροφή εντύπων, εγγράφων, σημειώσεων, διαγραφή ή επιστροφή ηλεκτρονικών αρχείων) καθώς και τις κυρώσεις από την παραβίαση των σχετικών (συμβατικών και μετασυμβατικών) υποχρεώσεών τους (συνήθως υψηλές ποινικές ρήτρες-πέραν των γενικής φύσεως αξιώσεων αποζημίωσης).

 

  1. Ειδικά η ΑΠ 1/2017

Απόφαση-σταθμός για το συγκεκριμένο θέμα υπήρξε η συγκεκριμένη απόφαση.

Mε αυτήν έγινε δεκτό πως συνταγματικά κατοχυρωμένα δικαιώματα (μεταξύ άλλων και των εργαζομένων) όπως αυτά του απορρήτου των επιστολών και της επικοινωνίας (19Σ), του απαραβίαστου της ιδιωτικής και οικογενειακής ζωής (9Σ) και της προστασίας των προσωπικών δεδομένων (9Α Σ) είναι δυνατόν να περιοριστούν με βάση την επίσης συνταγματικά κατοχυρωμένη αρχή της αναλογικότητας (25Σ).

Στο πλαίσιο, λοιπόν, της εκδίκασης της συγκεκριμένης απόφασης κρίθηκε πως το δικαίωμα της έννομης προστασίας (20 παρ. 1 Σ) και της επιχειρηματικής ελευθερίας (5 & 106 παρ. 2. Σ) ενός εργοδότη/μιας επιχείρησης είναι δυνατό να υπερισχύσουν των προαναφερθέντων δικαιωμάτων των εργαζομένων.

Τι σήμαινε όμως πρακτικά ο περιορισμός συνταγματικά κατοχυρωμένων δικαιωμάτων των εργαζομένων στην συγκεκριμένη και αντίστοιχες υποθέσεις;

Αναγνωρίστηκε το δικαίωμα του Εργοδότη (του οποίου τα προαναφερθέντα-αντίστοιχα συνταγματικά κατοχυρωμένα δικαιώματα θεωρήθηκε ότι, στην συγκεκριμένη περίπτωση και υπό τις συγκεκριμένες συνθήκες, υπερτερούσαν):

  • Να παρακολουθεί την ηλεκτρονική (επαγγελματική και προσωπική) αλληλογραφία των εργαζομένων του όπως αυτή αποτυπώνεται στους υπολογιστές και λοιπά μέσα της επιχείρησής του
  • Να ανασύρει τη διαγραφείσα αλληλογραφία από τους εν λόγω υπολογιστές ιδιοκτησίας του
  • Να καταγράφει τα στοιχεία που αντλούνται από τους υπολογιστές της επιχείρησής του και, ιδίως,
  • Να ασκεί νόμιμα δικαιώματά του με βάση στοιχεία που εμπεριέχονται σε επαγγελματική ή προσωπική αλληλογραφία των εργαζομένων του η οποία έλαβε χώρα μέσα από υπολογιστές της επιχείρησης ακόμα και αν αυτά είχαν εντωμεταξύ διαγραφεί.

Δεν απομένει οποιαδήποτε αμφιβολία πως η συγκεκριμένη απόφαση είναι εξαιρετικά σημαντική: Η Επιχείρηση δεν παραμένει (νομικά) απροστάτευτη έναντι κακοπροαίρετων εργαζομένων οι οποίοι, υπό το πρόσχημα συνταγματικώς κατοχυρωμένων δικαιωμάτων τους επιχειρούν να την βλάψουν προσδοκώντας σε ίδιον όφελος.

  1. Πότε υποχωρεί η υποχρέωση εμπιστευτικότητας;

Η υποχρέωση εμπιστευτικότητας υποχωρεί:

  • όταν οι πληροφορίες στις οποίες αναφέρεται είναι δημόσια (και εκ των προτέρων) γνωστές
  • όταν υπάρχει υποχρέωση αποκάλυψης των συγκεκριμένων πληροφοριών από το υφιστάμενο θεσμικό πλαίσιο ή επιβάλλεται από αρμόδια αρχή ή το αρμόδιο δικαστήριο.
  1. Ρυθμίσεις σχετικά με την εμπιστευτικότητα στο επίπεδο της επιχείρησης

Σε επίπεδο επιχείρησης οι διατάξεις που αφορούν την εμπιστευτικότητα εμπεριέχονται κατά κανόνα (ή πρέπει να εμπεριέχονται):

  • στις συμβάσεις εργασίας, ανεξαρτήτων υπηρεσιών, έργου κ.λ.π. της επιχείρησης
  • στον Κανονισμό Εργασίας της επιχείρησης (όταν υφίσταται)
  • στον Code of Ethics (ή, κατ’ άλλους, Code of Conduct)-Κώδικα Ηθικής και Δεοντολογίας της επιχείρησης
  • στα NDA’s (ή συμβάσεις εμπιστευτικότητας) τόσο της επιχείρησης όσο και των πελατών της (στο μέτρο που οι τελευταίες καλύπτουν και την ίδια την επιχείρηση και, αυτονοήτως, τους εργαζόμενούς της)
  1. Ρυθμίσεις σχετικά με την εμπιστευτικότητα στο επίπεδο της νομοθεσίας-γενικά

Στις περιπτώσεις που (αντίθετα από όσα έχουν συμφωνηθεί ή όσα ο νόμος επιτάσσει) εκείνος που παραβιάζει την υποχρέωση εμπιστευτικότητας προξενεί ζημία, ο υπαίτιος υποχρεούται να την αποκαταστήσει στο σύνολό της (θετική και αποθετική-αρθρ. 914 ΑΚ, ηθική βλάβη-932ΑΚ)

Ανεξάρτητα όμως από τις αστικές αξιώσεις που διατηρεί εκείνος που ζημιώθηκε σε βάρος του υπαίτιου υπάρχει σωρεία ποινικών διατάξεων που αναφέρονται στον ποινικό κολασμό του παραβάτη [ενδ.: 370 ΠΚ (παραβίαση απορρήτου επιστολών), 370Α ΠΚ (παραβίαση απορρήτου τηλεφωνικής συνομιλίας και της προφορικής συνομιλίας), 370Γ ΠΚ (παράνομη πρόσβαση σε πληροφοριακό σύστημα) και οι συναφείς 370Β ΠΚ, 370Δ ΠΚ, 370Ε ΠΚ]

Υπάρχουν βέβαια και οι διατάξεις που αναφέρονται σε ειδικά θέματα που δημιουργούνται από την παραβίαση της εμπιστευτικότητας, όπως (ενδεικτικά):

11.Ειδικότερες ρυθμίσεις:

(α) Όσον αφορά παραβίαση των προσωπικών δεδομένων

Κάθε φορά που η παραβίαση της υποχρέωσης εμπιστευτικότητας συνδέεται με παραβίαση προσωπικών δεδομένων συντρέχουν διοικητικές, ποινικές και αστικές κυρώσεις που άμεσα ή έμμεσα βαρύνουν (και) τον παραβάτη.

Με βάση το υφιστάμενο θεσμικό πλαίσιο (ν. 2472/1997) που ισχύει μέχρι τις 25.5.2018-οπότε και τίθεται σε εφαρμογή ο Κανονισμός 2016/679- https://koumentakislaw.gr/prostasia-prosopikon-dedomenon-kai-epixeirhseis/ σε περίπτωση παραβίασης προσωπικών δεδομένων προβλέπονται συγκεκριμένες διοικητικές κυρώσεις (αρθρ. 21), ποινικές κυρώσεις (αρθρ. 22) αλλά και αστική ευθύνη του παραβάτη (αρθρ. 23).

Στον Κανονισμό βέβαια 2016/679 προβλέπονται αντίστοιχα πολύ σοβαρές διοικητικές κυρώσεις (αρθρ. 83και αστική ευθύνη εκείνου που παραβιάζει προσωπικά δεδομένα (αρ. 82). Αναμένεται από τον εφαρμοστικό νόμο που τελεί ήδη υπό επεξεργασία να εξειδικεύσει περαιτέρω τις εν λόγω κυρώσεις ή επιβάλλει και επιπρόσθετες (λ.χ. ποινικές) για τους παραβάτες (αρ. 84).

(β) Όσον αφορά τον αθέμιτο ανταγωνισμό

Στις περιπτώσεις που μέσω της παραβίασης της εμπιστευτικότητας έχουμε παραβίαση των διατάξεων του αθέμιτου ανταγωνισμού (ν. 146/1914) προβλέπονται τόσο ποινικές κυρώσεις (αρθρ. 16 & 17) όσο αστικές (αρθρ. 18) κυρώσεις.

(γ) Όσον αφορά Κώδικες Δεοντολογίας

Δεν είναι ασύνηθες την λειτουργία επιμέρους επιχειρηματικών κλάδων να διέπουν Κώδικες Δεοντολογίας. Στους Κώδικες αυτούς συχνά συναντούμε διάφορες διατάξεις που αφορούν την υποχρέωση διασφάλισης εμπιστευτικών δεδομένων και κυρωτικές διατάξεις για το ενδεχόμενο της παραβίασής τους. (Ενδ.: Κώδικας Ελληνικής Φαρμακευτικής Δεοντολογίας-διατάξεις των αρθρ. 26-κεφ. Α και 4 του κεφ. Γ)

  1. Κυρώσεις από την παραβίαση της εμπιστευτικότητας: Νομικής, επιχειρηματικής φύσεως και όχι μόνον…

Γενικά θα μπορούσε να πει κανείς, λαμβάνοντας υπόψη του τα ανωτέρω δεδομένα, πως η υποχρέωση διαφύλαξης της εμπιστευτικότητας βρίσκει άμεσα ή έμμεσα ερείσματα σε όλο, σχεδόν, το φάσμα του δικαίου (λ.χ. αστικό, ποινικό, διοικητικό). Ειδικότερες διατάξεις του υφισταμένου θεσμικού πλαισίου όσο και των εκάστοτε δημιουργούμενων συμβατικών σχέσεων εξειδικεύουν τόσο την εν λόγω υποχρέωση όσο και τις πολυποίκιλες συνέπειες από την παραβίασή της.

Οι προβλεπόμενες κυρώσεις αφορούν τους παραβάτες-φυσικά πρόσωπα αλλά και, κάποιες φορές, τις αμέσως ή εμμέσως εμπλεκόμενες επιχειρήσεις: Αυτές που δεν έπραξαν τα δέοντα για να προφυλάξουν τους θιγόμενους κι εκείνες που ώθησαν τους παραβάτες στις έκνομες ενέργειές τους.

Οι κυρώσεις όμως δεν είναι μόνον νομικές:

Όσον αφορά τα φυσικά πρόσωπα-παραβάτες της εν λόγω υποχρέωσης συνοδεύονται και από την αντίστοιχη προσωπική και επαγγελματική απαξία.

Όσον αφορά όμως τις επιχειρήσεις στις οποίες οι παραβάτες απασχολούνταν οι συνέπειες είναι, ενίοτε, δυσβάστακτες: Πόση ζωή μπορεί, άραγε, να έχει μια επιχείρηση όταν δει στοιχεία, προσωπικά δεδομένα (ή, ακόμα, χειρότερα ευαίσθητα προσωπικά δεδομένα) πελατών της να διακινούνται στο διαδίκτυο; Πόση ζωή μπορεί να έχει μια επιχείρηση που κρίσιμα επιχειρηματικά μυστικά της (είτε αφορούν συνταγές είτε πελατολόγιο είτε μεθόδους παραγωγής ή marketing είτε ό,τι άλλο) διαχέονται στον ανταγωνιστές της;

  1. Αναγκαιότητα τήρησης και συνέπειες από τη μη εφαρμογή της εμπιστευτικότητας-ο ρόλος του Νομικού Συμβούλου

Η αποθήκευση και διάχυση της πληροφορίας (και σε επίπεδο επιχείρησης) αποτελεί στοιχείο της καθημερινότητας-τέτοιο που μοιάζει να μην διαφοροποιείται από ζωτικές, ανθρώπινες, λειτουργίες.

Η διαφύλαξη της ακεραιότητας και εμπιστευτικότητας των πληροφοριών, ανεξάρτητα από την αποφυγή των εκάστοτε επαπειλούμενων κυρώσεων, διασφαλίζει την ύπαρξη υψηλών επαγγελματικών προτύπων (ιδίως) για τις επιχειρήσεις τις οποίες αφορά. Το γεγονός αυτό, κατ’ αναπόδραστη συνέπεια, αντανακλάται στην ύπαρξη και ανάπτυξή της, στις σχέσεις με τους πελάτες και προμηθευτές της. Αντανακλάται στους μετόχους, εργαζόμενους, συνεργάτες και οικογένειές τους.

Δεν χωρεί οποιαδήποτε αμφιβολία πως η διασφάλιση της εμπιστευτικότητας αποτελεί υποχρέωση όλων όσων αμέσως ή εμμέσως εμπλεκόμαστε στη λειτουργία της επιχείρησης. Η ευθύνη όμως του νομικού συμβούλου είναι λίγο περισσότερο ιδιαίτερη καθώς φέρει το βάρος : (α) της ενημέρωσης των εμπλεκομένων, (β) της δημιουργίας ενός, συναφούς, αποτρεπτικού για την παραβίασή της πλέγματος συμβατικών και λοιπών ρυθμίσεων και (γ) της διαχείρισης των κρίσιμων καταστάσεων που δημιουργούνται στην περίπτωση της παραβίασης των πάσης φύσεως εμπιστευτικών πληροφοριών.

Δεν είναι εξάλλου ήσσονος σημασίας και η εμπλοκή του Νομικού σας Συμβούλου στα θέματα Κινδύνων Κυβερνοχώρου (Cyber Risk), για τα οποία έχει ήδη προβλέψει η Οδηγία 2016/1148 που αφορά τα Μέτρα για Υψηλό Κοινό Επίπεδο Ασφαλείας Συστημάτων Δικτύου και Πληροφοριών σε ολόκληρη την Ένωση (Network and Information Security Directive 2016/1148-η γνωστή και ως NIS)-περί αυτών όμως θα ακολουθήσει εξειδικευμένη εξέταση και αποτύπωσή του στο ίδιο site.

  1. Η πρόκληση (αντί επιλόγου)

Σε κάθε περίπτωση, είναι περισσότερο από προφανές πως η διασφάλιση της εμπιστευτικότητας αποτελεί μία από τις προκλήσεις της σύγχρονης επιχείρησης. Εναπόκειται σ’ εμάς, τους αμέσως και εμμέσως εμπλεκόμενους (ιδίως στους εξ ημών Νομικούς Συμβούλους), να συνδράμουμε και ανταποκριθούμε θετικά στη συγκεκριμένη πρόκληση βάζοντας το δικό μας λιθαράκι στην από όλους ευκταία διασφάλιση και ανάπτυξη της υγιούς επιχειρηματικότητας.

Σταύρος Κουμεντάκης
Senior Partner

0

Δείτε επίσης