Czy kontroler może zabrać dyrektorowi telefon?


Komisja Europejska opublikowała niepostrzeżenie unowocześnione wyjaśnienia dotyczące prowadzonych przez nią kontroli. Najważniejsze zmiany dotyczą narzędzi IT.

„Wyjaśnienia dotyczące upoważnienia do przeprowadzenia kontroli w wykonaniu decyzji Komisji na podstawie art. 20 ust. 4 Rozporządzenia rady nr 1/2003” zawierają zbiór podstawowych informacji i interpretacji uprawnień osób prowadzących kontrolę z przeszukaniem (tzw. z ang. „dawn raid”) z ramienia Komisji oraz osób je wspierających. Wyjaśnienia dotyczą:

  • obowiązku poddania się kontroli przez przedsiębiorcę (kontrolowanego),
  • treści upoważnień i dokumentów, jakie muszą mieć kontrolerzy i towarzyszące im osoby, oraz zasad przedstawienia ich kontrolowanemu,
  • zakresu kontroli,
  • praw i obowiązków kontrolerów,
  • praw i obowiązków kontrolowanego, w tym treści obowiązku pełnej współpracy kontrolowanego z kontrolującymi,
  • kwestii proceduralnych i technicznych związanych z kontrolą, m.in. co do zasad składania wyjaśnień ustnych przez pracowników kontrolowanego oraz zapisu tych wyjaśnień, przedmiotów i metod przeszukania, technik sporządzania kopii danych kontrolowanego, kopii dokumentów, pieczętowania pomieszczeń i dokumentów, sporządzania kopii i ochrony kopii danych przygotowanych na potrzeby dokończenia kontroli w siedzibie Komisji oraz sporządzania protokołów z poszczególnych czynności,
  • zasad zachowania poufności dokumentów i danych.

Nowa wersja Wyjaśnień – unowocześniona i dostosowana do dostępnych obecnie technik przechowywania i kopiowania danych – dostępna jest od zeszłego tygodnia. Nosi datę 18 marca 2013 roku. Najważniejsze zmiany dotyczą uprawnień kontrolerów w zakresie przeszukania zasobów informatycznych oraz związanych z tym technik.

Komisja ma prawo przeglądać nie tylko księgi i dokumenty wersji papierowej, ale też elektroniczne nośniki danych. W Wyjaśnieniach przedstawiono więc otwarty katalog nośników, które kontrolerzy mogą przeszukać. Obejmuje on „środowisko informatyczne oraz nośniki danych (laptopy, komputery stacjonarne, tablety, telefony komórkowe, CD-ROM, DVD, pendrive’y (klucze USB) itd.)” (pkt 10 Wyjaśnień). Nośniki danych, na czas przeglądu (przeszukania), zostaną zatrzymane przez kontrolerów. Mogą zostać zwrócone, jeżeli, na przykład, zostanie wykonana przez nich kopia na potrzeby ekspertyzy („forensic copy”).

Jak wynika z Wyjaśnień, kontrolerzy mogą zatem używać nie tylko narzędzi wyszukiwania wbudowanych w przeszukiwane urządzenia/nośniki oraz ich oprogramowanie, ale także własnego sprzętu i oprogramowania, tzw. „specjalistycznych narzędzi informatycznych” („Forensic IT tools”). Oznacza to, że w toku kontroli wszystkie ww. urządzenia i nośniki mogą zostać odebrane ich użytkownikom (menedżerowie muszą się np. liczyć z koniecznością oddania telefonów (smartfonów)) oraz, przy użyciu rzeczonych narzędzi, przeszukane i skopiowane „przy zachowaniu integralności systemów i danych przedsiębiorcy”.

W tym miejscu warto zaznaczyć, że po przeprowadzeniu kontroli dane kontrolowanego mają być usuwane ze specjalistycznego sprzętu kontrolerów „w sposób uniemożliwiający ich odtworzenie”.

Zgodnie ze zmienioną treścią Wyjaśnień obowiązek pełnej i aktywnej współpracy kontrolowanego z kontrolującymi obejmuje, oprócz zapewnienia asysty przedstawicieli i pracowników przedsiębiorcy, przedstawienia wyjaśnień co do organizacji przedsiębiorcy i jego systemów informatycznych, także m.in. określone działania, jak czasowa blokada dostępu do konkretnych kont poczty elektronicznej, czasowe odłączanie działających komputerów od sieci, demontaż i ponowny montaż twardych dysków oraz „zapewnianie wsparcia w zakresie »uprawnień dostępowych administratora«”. Podkreśla się przy tym, że kontrolujący mogą prosić o umożliwienie im skorzystania ze sprzętu komputerowego (dysków, nośników optycznych, kabli, skanerów, drukarek itp.) należącego do kontrolowanego przedsiębiorcy, jednakże nie można ich zobowiązać (ograniczyć) do używania sprzętu kontrolowanego.

Należy w tym kontekście zwrócić uwagę na koszty tzw. braku współdziałania w toku kontroli. Komisja Europejska i Prezes UOKiK nakładają z tego tytułu ostatnio wysokie kary (w przypadku polskiego organu sięgające 140 mln zł). W kontekście zmian Wyjaśnień, zwłaszcza w zakresie kontroli danych, urządzeń i systemów informatycznych, zalecamy zatem przedsiębiorcom przeprowadzenie szkoleń personelu, zwłaszcza IT, oraz kadry menedżerskiej pod kątem właściwego postępowania w przypadku kontroli prowadzonej przez organy antymonopolowe, w szczególności Komisję Europejską.

Marcin Kulesza, Zespół Prawa Konkurencji kancelarii Wardyński i Wspólnicy