Image Image Image Image Image Image Image Image Image Image
Scroll to top

Top

Komentarų nėra

Advokato Andriaus Pranckevičiaus atsakymai į „ESET Security Day Lietuva 2017“ dalyvių klausimus

Advokato Andriaus Pranckevičiaus atsakymai į „ESET Security Day Lietuva 2017“ dalyvių klausimus
Sigita
  • Paskelbta 2017-10-25
  • http://www.sprendimaiverslui.lt

2017 m. rugsėjo 7 d. įvykusi verslo konferencija „ESET Security Day Lietuva“ suteikė dalyviams vertingų įžvalgų ir patarimų besiruošiant kitais metais įsigaliosiančio ES Bendrojo asmens duomenų apsaugos reglamento (BDAR) laikymuisi. Šįkart dalinamės advokatų profesinės bendrijos Balticlaw Pranckevičius, Valiulis ir partneriai vadovaujančio partnerio Andriaus Pranckevičiaus atsakymais į konferencijos dalyvių klausimus, į kuriuos nespėta atsakyti renginio metu.

 

1. Kokie įstatymai reikalauja programinės įrangos tvarkos?
Programinės įrangos naudojimo tvarka yra įmonės vidaus teisės aktas, kurį sudaro pati įmonė atsižvelgdama į vykdomos ekonominės veiklos specifiką bei LR įstatymų keliamus reikalavimus. Prieš ruošiant programinės įrangos naudojimo įmonėje tvarką reikėtų būtinai susipažinti su LR Autorių teisių ir gretutinių teisių įstatymo, LR Vyriausybės patvirtintų Inventorizacijos taisyklių, Bendrųjų dokumentų saugojimo terminų rodyklės ir kt. teisės aktų reikalavimais, susijusius su kompiuterių programomis ir (ar) jų licencijomis.

Programinės įrangos naudojimo tvarka turėtų reguliuoti visą jos gyvavimo įmonėje ciklą. T.y., nuo poreikio įgyti programas atsiradimo iki jų išdiegimo ar pašalinimo iš įmonės IT ūkio. Į programinės įrangos naudojimo tvarkos rengimo procesą rekomenduojame įtraukti ne tik teisininkus, bet ir vadovybę, asmenis atsakingus už įmonės IT ūkio priežiūrą bei finansus (buhalteriją). Tai leis užtikrinti tinkamą procesų sureguliavimą bei atsakomybių už programinės įrangos naudojimą paskirstymą.

Andrius Pranckevičius

Iš praktikos pastebime, jog vidaus darbo tvarka programinės įrangos atžvilgiu paprastai apsiriboja tik tam tikrais draudimais (diegti, naudoti nelegalias programas ir pan.). Visgi, ne mažiau svarbu tokioje tvarkoje numatyti ir apibrėžti auditų ir (ar) inventorizacijų atlikimo, programų teisėtumą patvirtinančių dokumentų saugojimo tvarkas, paskiriant už tai atsakingus asmenis.

Ruošiant vidaus darbo tvarką taip pat būtina atsižvelgti ir į kibernetines grėsmes, susijusias su neteisėtų ar laiku neatnaujintų programų naudojimu ir pan.

2. Koks LR Vyriausybės nutarimas reikalauja programinės įrangos inventorizacijos?
Programinės įrangos licencijų inventorizacija įmonės veikloje reglamentuojama pagal Inventorizacijos taisykles, patvirtintas LR Vyriausybės 1999 m. birželio 3 d. nutarimu Nr. 719 (LR Vyriausybės 2014 m. spalio 3 d. nutarimo Nr. 1070 redakcija).

Taisyklių 40 punktas numato, kad inventorizuojant programinę įrangą, tikrinami faktiniai jos įsigijimo dokumentai ir turimos licencinės sutartys, nustatomas naudojamos programinės įrangos faktinis kiekis, jo atitiktis turimiems įsigijimo dokumentams ir licencinėms sutartims.

3. Kas kiek laiko turi būti atliekami programinės įrangos auditai?
Įvairūs tyrimai rodo, kad su nelegalia programine įranga kartu įdiegiami ir įvairūs kenkėjai, kurie suteikia prieigą prie vartotojo konfidencialių duomenų ar leidžia perimti jo įrenginių kontrolę. Atsižvelgiant į tai, kad neteisėtos programinės įrangos naudojimas kelia ne tik teisines, bet ir saugumo grėsmes, rekomenduotume auditus atlikti reguliariai ir kuo dažniau, atsižvelgiant įmonės ekonominę veiklą bei IT infrastruktūrą.

Visgi, pagal LR Vyriausybės patvirtintas Inventorizacijos taisykles, įmonės turto (įskaitant programinės įrangos licencijas) inventorizacija turi būti atliekama ne rečiau, kaip kartą per metus.

4. Ar būna programinės įrangos audito duomenų patikros? Kaip jos vykdomos?
Audito duomenų vertinimas ir lyginimas su faktine situacija gali būti atliekamas teisėsaugos pareigūnų įmonės patikrinimo metu.

Mokesčių administratoriai mokestinio patikrinimo metu taip pat gali vertinti įmonės turto inventorizacijos aktą ir jei jame nebus duomenų apie programinės įrangos licencijas, galite būti paprašyti patikslinti turto inventorizacijos aktą. Mokesčių administratoriai taip pat gali perduoti informaciją apie licencijų neįtraukimą į turto inventorizacijos aktą policijos pareigūnų vertinimui (trišalio susitarimo tarp Valstybinės mokesčių inspekcijos, Policijos departamento ir Lietuvos kompiuterių programų gamintojus ir platintojus vienijančia asociacijos VPĮA pagrindu). Pastaruoju atveju policijos pareigūnai vertintų naudojamų programų teisėtumą Jūsų įmonės patikrinimo metu.
Į Jus gali kreiptis ir BSA ǀ The Software Alliance (BSA) atstovai Lietuvoje, prašydami bendradarbiauti ir atlikti naudojamos BSA narių programinės įrangos auditą. Tokiu atveju būsite paprašyti pasidalinti BSA narių programinės įrangos audito rezultatais, o rezultatų atitikimą BSA narių licencijavimo taisyklėms įvertins BSA ekspertai. Vertinimo metu nustačius neatitikimus, būsite paprašyti juos pašalinti.

5. Apdraudimo nuo kibernetinių atakų, duomenų nutekinimo, virusų ir kt. grėsmių IT saugumo srityje galimybės ir praktika?

Andrius Pranckevičius

Draudimas nuo kibernetinių rizikų yra priemonė galinti sumažinanti nuostolius dėl jau patirto kibernetinio incidento pačiai organizacijai ir tretiesiems asmenimis. Mūsų turimais duomenimis, Lietuvoje tokia draudimo rūšimi dar tik pradedama domėtis, todėl tokią paslaugą siūlo tik vienas Lietuvoje registruotas draudikas. Nepaisant to, yra bendradarbiavimo galimybių su tarptautiniais draudikais.

6. Ar nemokamą WINRAR gali naudoti įmonė?
Kompiuterių programos WINRAR panaudojimas yra reguliuojamas licencine sutartimi, pagal kurią ši programa yra platinama „išbandyk prieš įgyjant“ principu. Tai reiškia, jog autorių teisių turėtojas bet kuriam vartotojus leidžia neatlygintinai naudoti programą maksimaliai 40 dienų. Praėjus šiam bandomajam laikotarpiui, vartotojas privalo įgyti licenciją, tam, kad galėtų toliau ją naudoti.

7. Jei licencija neleidžia jos naudoti būtent tik komerciniais tikslais, ar galima ją naudoti valstybinėse įstaigose?
Paprastai nekomerciniai tikslai yra siejami su asmeniniais tikslais, t.y., naudojimu savoms reikmėms. Todėl naudojant tokias programas valstybinėse įstaigose gali būti pažeidžiamos autorių teisės. Visgi, konkretus atsakymas priklausytų nuo konkrečios kompiuterių programos ir jos licencinės sutarties nuostatų.

8. Ar tikrinami bei baudžiami fiziniai asmenys? Kiek jų yra nubaustų?

Teisėsaugos institucijos dėl galimai nelicencijuotų programų panaudojimo gali patikrinti tiek fizinius, tiek juridinius asmenis. Svarbu pažymėti, jog juridinio asmens atsakomybė laikoma išvestine, todėl visuomet su juridiniu asmeniu atsako ir fizinis asmuo, atsakingas už neteisėtų programų įdiegimą ir naudojimą.
Vertindami turimus duomenis apie atliekamus teisėsaugos institucijų patikrinimus dėl autorių teisių pažeidimo, pastebime, kad teisėsaugos pareigūnai ypatingą dėmesį skiria tiems pažeidimas fiksuoti ir užkardyti, kurie yra daromi siekiant komercinės naudos, nepriklausomai nuo to, kas juos atlieka – fiziniai ar juridiniai asmenys.

9. Kaip apskaičiuojama programinės įrangos kaina, jei nelegaliai naudojamos senos versijos, kurių įsigyti jau negalima, pvz., Microsoft Office Professional 2003?

Andrius Pranckevičius

Tais atvejais, kai pažeidimo nustatymo dieną atitinkama kompiuterių programą nėra platinama, teismų praktika leidžia remtis analogiškų pagal funkcionalumą programų teisėto pardavimo kainomis. Tokiu atveju pvz., Microsoft Office Professional 2003 teisėto pardavimo kaina šiomis dienomis būtų nustatoma pagal Microsoft Office Professional 2016 kainą.

10. Kaip patikrinimo metu elgiasi teisėsaugos pareigūnai su kompiuteriu, kuris nepriklauso tikrinamai įmonei, bet jame randama nelegali programinė įranga?
Teisėsaugos pareigūnai, įtardami, jog vykdomi teisės pažeidimai ar atliekama nusikalstama veika turi teisę imtis priemonių tokiai veikai užkirsti. Todėl, mūsų nuomone, net ir įmonei nepriklausantis kompiuteris gali būti apžiūrimas patikrinimo metu. Atlikus pirminę apžiūrą ir nustačius galimai neteisėtų programų panaudojimą, toks kompiuteris yra paimamas tolimesniam tyrimui atlikti, gali būti taikoma teisinė atsakomybė už nelicencijuotų programų panaudojimą.

11. Kada atsakomybė taikoma IT vadovui, o kada įmonės vadovui? Kada darbuotojui?
Vadovaujantis LR Akcinių bendrovių įstatymu (37 str.), įmonėms vadovas turi pareigą savo veikloje vadovautis teisės aktais ir yra atsakingas už įmonės veiklos organizavimą. Mūsų nuomone, yra keletas faktorių, kurie gali leisti tikėti, kad įmonės vadovas iš tikrųjų dėjo pastangas užtikrinti teisės aktų reikalavimus, susijusius su teisėtų programų panaudojimu.

Pirmasis faktorius būtų lokalūs teisės aktai, paskiriantys už įmonės IT ūkį atsakingus asmenis bei draudžiantys neteisėtų programų diegimą, naudojimą įmonės veikloje. Visi darbuotojai su šia tvarka turėtų būti supažindinti pasirašytinai. Antrasis faktorius, kuris taip pat turėtų būti reguliuojamas ir lokaliuose teisės aktuose – reguliarių naudojamų programų auditų ir (ar) inventorizacijos atlikimas. Trečias faktorius – techninių (programinių) priemonių, ribojančias savavališkų programų diegimam taikymas. Tokių faktorių buvimas leistų tikėti, kad įmonės vadovybės politika nėra nukreipta į autorių teisių pažeidimus ar nusikalstamų veikų darymą.

Sprendžiant dėl atsakomybės už neteisėtų programų panaudojimą įmonės veikloje svarbios konkrečios situacijos faktinės aplinkybės. Pvz., jei įmonė įgyvendina aukščiau nurodytas priemones, neteisėtos programos rastos viename įmonės kompiuteryje, o visuose kituose kompiuteriuose naudojamos tik teisėtos programos, mūsų nuomone, būtų galima daryti prielaidą, jog tai papuola po darbuotojo atsakomybe. Visgi, jei tame viename ar keliuose kompiuteryje yra sudiegtos programos, be kurių įmonės veikla nėra įmanoma, gali kilti įtarimų, kad neteisėtos programos įmonės veikloje buvo naudojamos, visgi, su vadovo žinia.

IT vadovui teisinė atsakomybė taikoma visais atvejais, kai nėra įrodoma, jog buvo duotas tiesioginis ar netiesioginis įmonės vadovo nurodymas diegti ir naudoti neteisėtas programas. Atsakomybė taikoma IT vadovui, kaip asmeniui kurio IT ūkio priežiūra yra tiesioginės darbo funkcijos.

12.    Ar reikia saugoti senų (10 metų) PĮ įsigijimo dokumentus?

ESET Security Day Lietuva 2017

Atsižvelgiant į Bendrųjų dokumentų saugojimo terminų rodyklę, patvirtintą Lietuvos vyriausiojo archyvaro 2011 m. kovo 9 d. įsakymu Nr. V-100, programinės įrangos licencijos turi būti saugomos iki galiojimo pabaigos. Todėl tais atvejais, kai įgijote neterminuotas programinės įrangos licencijas, rekomenduojame jas arba jų įgijimą patvirtinančius dokumentus (pvz., sąskaita faktūra, kt.) saugoti tol, kol faktiškai naudojate atitinkamą programą.

13. Nelicencijuotos programinės įrangos identifikavimo būdai?
Nelicencijuotas kompiuterių programas padeda identifikuoti reguliarūs auditai ir inventorizacijos.

14. Ar yra galimybė susiderinti žalos atlyginimo klausimą taikos būdu? Kokia praktika?
Taip, tokia galimybė yra. Pažeidėjai norintys atlyginti žalą taikiu būdu, turėtų kreiptis į atitinkamos kompiuterių programos autorių teisių turėtoją su pasiūlymu.
Taikūs ginčo sprendimo būdai tarp autorių teisių turėtojų ir pažeidėjų yra pakankamai dažna praktika Lietuvoje, o tokių taikių sutarimų sąlygos priklauso nuo konkrečios bylos ir jos šalių abipusio susitarimo.

15. Ar galima į darbo kompiuterį įrašyti icloud, google drive, dropbox, onedrive?
Atsakymas priklauso nuo įmonės ar organizacijos, kurioje dirbate, vidaus darbo tvarkos.

Rašyti komentarą