Nielegalne oprogramowanie w firmie – jak się bronić?

Wezwanie do zapłaty za nielegalne oprogramowanie

Wezwania kierowane przez producentów albo ich przedstawicieli zwykle opierają się na twierdzeniu, że program komputerowy był uruchamiany bez licencji z urządzenia powiązanego z daną firmą, jej adresem IP, siecią, kontem użytkownika albo innym identyfikatorem technicznym. Taka informacja może być istotnym sygnałem, ale nie zawsze wystarcza do przypisania odpowiedzialności konkretnemu przedsiębiorcy.

W opisanej sytuacji kluczowe jest ustalenie, czy nielegalne oprogramowanie było zainstalowane lub używane na sprzęcie firmowym, sprzęcie pracownika, urządzeniu gościa albo urządzeniu osoby trzeciej, która uzyskała dostęp do firmowej sieci. Znaczenie ma również to, czy dostęp odbywał się przez sieć przewodową, Wi-Fi, sieć gościnną, VPN, zdalny pulpit albo inny kanał dostępu.

Nie należy odpowiadać emocjonalnie ani wysyłać wiadomości, które mogą zostać odczytane jako uznanie roszczenia. Prośba o numer rachunku, pytanie o wysokość odszkodowania albo negocjowanie ceny licencji mogą w sporze zostać wykorzystane jako argument, że firma dopuszczała możliwość naruszenia. Jeżeli takie wiadomości już wysłano, warto w kolejnej odpowiedzi jasno zastrzec, że firma nie uznaje odpowiedzialności i prowadzi wyłącznie weryfikację sprawy.

Jakie dowody powinien przedstawić właściciel praw?

Właściciel oprogramowania albo jego pełnomocnik powinien wskazać, na jakiej podstawie twierdzi, że naruszenie pochodziło z infrastruktury firmy. W praktyce warto żądać co najmniej dat i godzin wykrytych połączeń, identyfikatorów technicznych, zakresu zarzucanego użycia programu, sposobu detekcji, informacji o wersji programu oraz wyjaśnienia, dlaczego dane mają wskazywać właśnie na firmę, a nie na osobę trzecią korzystającą z tej samej sieci.

Zgodnie z art. 6 Kodeksu cywilnego ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne. Oznacza to, że podmiot dochodzący zapłaty powinien wykazać naruszenie, związek naruszenia z firmą oraz wysokość dochodzonego roszczenia. Nie oznacza to jednak, że firma może pozostać bierna. W sporze sądowym sąd ocenia cały materiał dowodowy, w tym zachowanie przedsiębiorcy, jakość zabezpieczeń i wyniki wewnętrznego audytu.

Jeżeli właściciel praw żąda zapłaty kwoty odpowiadającej wielokrotności wynagrodzenia licencyjnego, trzeba zweryfikować, czy prawidłowo ustalono podstawę naliczenia. Przy programach komputerowych zastosowanie mogą mieć przepisy ustawy o prawie autorskim i prawach pokrewnych, w tym regulacje dotyczące ochrony programów komputerowych i roszczeń cywilnych. Sama wysokość cennika producenta nie zawsze przesądza o zasadności całego żądania.

Co firma powinna zrobić od razu?

Pierwszym krokiem powinno być zabezpieczenie stanu systemów, a nie czyszczenie komputerów. Usuwanie plików, reinstalacja systemów albo kasowanie logów może utrudnić obronę i zostać potraktowane niekorzystnie. Warto przygotować protokół czynności, wskazać osoby obecne przy audycie i zachować kopie danych, które mogą mieć znaczenie dowodowe.

Audyt powinien objąć komputery firmowe, konta administratorów, konta pracowników, stacje robocze, serwery, maszyny wirtualne, dyski sieciowe, urządzenia prywatne dopuszczone do pracy, a także logi routerów, punktów dostępowych, zapór sieciowych, serwerów DHCP, VPN i systemów zdalnego dostępu. Jeżeli zarzut dotyczy kilkuletniego okresu, trzeba ustalić, jakie urządzenia były wtedy używane i czy część sprzętu nie została już wycofana.

W rozmowach z pracownikami należy ustalić, czy ktokolwiek instalował program do celów prywatnych, testowych, edukacyjnych albo poza zakresem obowiązków. Warto przypomnieć, że używanie programu bez licencji na komputerze firmowym albo w czasie wykonywania obowiązków może rodzić konsekwencje dla przedsiębiorcy, a następnie ewentualne roszczenia regresowe wobec pracownika, zależnie od okoliczności.

Czy logowanie z firmowej sieci wystarczy do odpowiedzialności?

Logowanie z adresu IP przypisanego do firmy nie jest równoznaczne z dowodem, że program był używany na firmowym komputerze. Adres IP może wskazywać punkt dostępu do internetu, ale nie zawsze pozwala jednoznacznie zidentyfikować konkretne urządzenie i użytkownika. Szczególnie istotne jest to przy sieciach Wi-Fi, sieciach gościnnych, współdzielonych łączach, pracy zdalnej i urządzeniach prywatnych.

Jednocześnie przedsiębiorca powinien liczyć się z pytaniem, czy jego sieć była należycie zabezpieczona. Jeżeli sieć była otwarta, hasło było powszechnie znane, nie prowadzono ewidencji urządzeń ani logów, a dostęp do internetu mieli goście lub kontrahenci, obrona może być trudniejsza. Nie oznacza to automatycznej odpowiedzialności, ale zwiększa ryzyko sporu dowodowego.

Jeżeli firma podejrzewa włamanie do sieci albo nieuprawnione wykorzystanie jej infrastruktury, należy rozważyć zgłoszenie incydentu organom ścigania oraz zabezpieczenie dowodów technicznych. Samo zgłoszenie nie przesądza jeszcze o braku odpowiedzialności wobec właściciela praw, ale może być ważnym elementem wykazania, że firma podjęła racjonalne działania po wykryciu problemu.

Odpowiedzialność cywilna i karna za program bez licencji

Program komputerowy jest chroniony prawem autorskim. Uprawniony może dochodzić roszczeń cywilnych, w szczególności zaniechania naruszeń, usunięcia ich skutków, naprawienia szkody albo zapłaty odpowiedniej kwoty przewidzianej w przepisach. Zakres roszczeń zależy od tego, co dokładnie zarzucono: instalację, korzystanie, kopiowanie, rozpowszechnianie, obejście zabezpieczeń albo uzyskanie programu bez zgody uprawnionego.

Nie każde naruszenie ma taki sam ciężar prawny. Inaczej należy oceniać sytuację, w której pracownik zainstalował program na firmowym komputerze i używał go do pracy, inaczej użycie programu prywatnie na własnym laptopie, a jeszcze inaczej połączenie pochodzące od osoby trzeciej, która bezprawnie skorzystała z firmowej sieci. W sprawach pracowniczych znaczenie ma też to, czy działanie nastąpiło przy wykonywaniu obowiązków, za wiedzą przełożonych lub z korzyścią dla pracodawcy.

W określonych przypadkach nielegalne uzyskanie lub rozpowszechnianie programu komputerowego może wiązać się także z odpowiedzialnością karną. Nie należy jednak automatycznie przyjmować, że każde podejrzenie braku licencji oznacza przestępstwo. Ocena zależy od sposobu wejścia w posiadanie programu, celu działania, skali naruszenia, winy i materiału dowodowego.

Jak odpowiedzieć na wezwanie?

Odpowiedź powinna być rzeczowa, krótka i ostrożna. Jeżeli audyt nie potwierdził instalacji lub użycia programu w firmie, można wskazać, że roszczenie nie jest uznawane, a dotychczasowe dane nie wykazują, aby naruszenia dopuściła się firma albo jej pracownicy. Jednocześnie warto zażądać pełniejszej dokumentacji technicznej i prawnej, na której oparto żądanie.

W piśmie dobrze jest zaznaczyć, że firma zabezpieczyła sprzęt i logi, przeprowadziła wewnętrzną weryfikację oraz nie stwierdziła obecności programu ani śladów jego używania na urządzeniach objętych audytem. Jeżeli istnieje realna możliwość wykorzystania sieci przez osobę trzecią, należy opisać tę okoliczność ostrożnie, bez stwierdzania faktów, których nie da się udowodnić.

Nie należy podpisywać oświadczeń przygotowanych przez drugą stronę bez analizy. Szczególnie ryzykowne są dokumenty zawierające przyznanie naruszenia, zobowiązanie do zapłaty całej kwoty, zgodę na audyt bez określenia jego zakresu albo zrzeczenie się zarzutów na przyszłość.

Kiedy warto rozważyć ugodę?

Ugoda może być rozsądnym rozwiązaniem, jeżeli audyt potwierdzi, że program był używany bez licencji albo ryzyko procesowe jest wysokie. Nie oznacza to jednak, że trzeba akceptować pierwszą zaproponowaną kwotę. W negocjacjach warto oddzielić cenę ewentualnej przyszłej licencji od kwoty mającej zamknąć roszczenia za przeszłość.

Dobra ugoda powinna być pisemna i wskazywać strony, opis zdarzenia, kwotę, termin płatności, zakres zrzeczenia się roszczeń cywilnych, brak przyznania odpowiedzialności, zasady poufności oraz to, czy i na jakich warunkach firma może korzystać z programu w przyszłości. Jeżeli zapłata ma definitywnie zakończyć spór, musi to wynikać wprost z treści ugody.

Nie można natomiast traktować ugody cywilnej jako gwarancji wyłączenia odpowiedzialności karnej w każdej sytuacji. Strona może zobowiązać się do określonych działań w relacji cywilnej, ale skutki na gruncie postępowania karnego zależą od rodzaju czynu i decyzji uprawnionych organów.

Praktyczna lista działań dla przedsiębiorcy

• Nie uznawać roszczenia i nie deklarować zapłaty przed analizą dowodów.
• Zabezpieczyć komputery, nośniki, logi, konfigurację sieci i korespondencję.
• Ustalić, kto korzystał z sieci i sprzętu w okresie wskazanym w wezwaniu.
• Przeprowadzić audyt legalności oprogramowania oraz sporządzić protokół.
• Zażądać od wzywającego szczegółów technicznych i prawnych zarzutu.
• Przygotować pisemną odpowiedź z wyraźnym zastrzeżeniem braku uznania odpowiedzialności.
• Rozważyć ugodę tylko wtedy, gdy jej treść realnie zamyka spór i nie zawiera niekorzystnych przyznań.

FAQ

Czy trzeba zapłacić, jeżeli właściciel programu wskazuje firmowy adres IP?

Nie zawsze. Adres IP może być ważną poszlaką, ale zwykle trzeba jeszcze ustalić, kto używał programu, na jakim urządzeniu i w jakich okolicznościach. Przed zapłatą należy zażądać szczegółów i przeprowadzić audyt.

Czy firma odpowiada za prywatne działania pracownika?

To zależy od związku działania pracownika z obowiązkami służbowymi, użytego sprzętu, czasu i celu korzystania z programu. Jeżeli program był używany na sprzęcie firmowym albo do realizacji zadań pracodawcy, ryzyko odpowiedzialności przedsiębiorcy jest większe.

Czy można usunąć program przed audytem?

Nie jest to bezpieczne. Usuwanie plików lub czyszczenie historii może utrudnić ustalenie faktów i zostać ocenione niekorzystnie. Lepiej zabezpieczyć komputer, sporządzić protokół i zlecić analizę osobie technicznej.

Co powinno znaleźć się w odpowiedzi na wezwanie?

Odpowiedź powinna zawierać zastrzeżenie, że firma nie uznaje roszczenia, opis podjętych czynności sprawdzających oraz żądanie przedstawienia pełniejszych danych technicznych i podstaw prawnych. Nie należy składać oświadczeń o winie bez pewności co do faktów.

Czy ugoda zamyka również ryzyko karne?

Ugoda może zamknąć roszczenia cywilne między stronami, jeżeli tak ją sformułowano. Nie zawsze jednak wyłącza ryzyko postępowania karnego, dlatego jej treść trzeba ocenić ostrożnie przed podpisaniem.

Podsumowanie

Firma, która otrzymała wezwanie za rzekome korzystanie z nielegalnego oprogramowania, powinna działać spokojnie i dowodowo. Najpierw należy zabezpieczyć dane, sprawdzić sprzęt oraz sieć, ustalić możliwy związek naruszenia z firmą i dopiero potem odpowiedzieć właścicielowi praw.

Jeżeli audyt nie potwierdza naruszenia, odpowiedź powinna wyraźnie kwestionować roszczenie i żądać wykazania podstaw odpowiedzialności. Jeżeli naruszenie mogło mieć miejsce, warto negocjować ugodę, ale tylko taką, która jasno określa zakres zakończenia sporu i nie zawiera zbędnych przyznań.

Źródła:

1. Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny - Dz.U. 1964 nr 16 poz. 93

2. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych

3. Ustawa z dnia 6 czerwca 1997 r. - Kodeks karny

Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę wypełniając formularz poniżej  ▼▼▼ Zadanie pytania do niczego nie zobowiązuje.