Sprawdzanie legalności oprogramowania w praktyce uczelni

28 czerwca 2007 roku JM Rektor Politechniki Warszawskiej wydał "Pismo okólne Rektora Politechniki Warszawskiej (...) w sprawie obowiązku posiadania legalnego oprogramowania zainstalowanego w komputerach Politechniki Warszawskiej". W piśmie tym "zobowiązuje się kierowników jednostek organizacyjnych do przeprowadzenia przeglądów oprogramowania wykorzystywanego w komputerach Politechniki Warszawskiej pod względem jego legalności i zgodności z warunkami posiadanych licencji". W praktyce zaś pracownikom uczelni przedstawiono do podpisu oświadczenie o legalności oprogramowania zainstalowanego na wykorzystywanych komputerach". Jaki charakter ma takie oświadczenie? A poza tym, czy to nie jest pójście "na łatwiznę" ze strony kierowników jednostek organizacyjnych?

Pismo okólne Rektora Politechniki Warszawskiej dostępne jest w internecie: PDF. W Piśmie tym czytamy m.in., że "Ewentualne konsekwencje wynikające z nieuprawnionego korzystania z oprogramowania komputerowego ponoszą pracownicy, którzy korzystając z przydzielonych lub udostępnionych im do pracy komputerów lub odpowiadający za użytkowanie komputerów dokonują w zainstalowanym oprogramowaniu zmian nieobjętych licencją, albo samodzielnie instalują oprogramowanie bez odpowiedniej licencji lub wbrew jej warunkom".

Pismo zobowiązujące do przeprowadzenia kontroli zostało przefiltrowane przez administrację uczelni na różnych poziomach i w efekcie pracownicy zderzyli się z sytuacją, w której kierownicy uczelni zażądali od nich podpisania oświadczenia.

Pracownicy uczelni mają jednak pewne wątpliwości (por. poniżej). Ja sam się zastanawiam nad charakterem takiego oświadczenia o legalności oprogramowania zainstalowanego na wykorzystywanych komputerach...

Zastanawiam się nad charakterem prawnym takiego oświadczenia. Na pierwszy rzut oka jest to sposób na zdjęcie z siebie ewentualnej odpowiedzialności za działania swoich podwładnych. Samo pismo okólne nie stwarza podstaw do odpowiedzialności prawnej z tytułu naruszenia prawa autorskiego, bo ta odpowiedzialność wynika z przepisów powszechnie obowiązującego prawa. JM Rektor zobowiązał kierowników jednostek organizacyjnych "do przeprowadzenia przeglądów oprogramowania" - można sobie zatem wyobrazić, że chodziłoby tu o sytuację, w której ktoś (kto ma do tego stosowne przygotowanie merytoryczne) dokona sprawdzenia każdego komputera, sprawdzi jakie oprogramowanie jest tam zainstalowane, sprawdzi licencje, na których to oprogramowanie można użytkować, zostanie przeprowadzona inwentaryzacja oprogramowania (która - siłą rzeczy - powinna objąć również oprogramowanie zainstalowane na dyskach komputerów aktualnie nie używanych, np. przestarzałych, które czasem w wielu miejscach leżą na różnych składzikach pod schodami). W efekcie powinien powstać jakiś system zarządzania prawami autorskimi w uczelni.

Jeden z czytelników podzielił się ze mną swoimi wątpliwościami na temat przedstawionego mu do podpisu oświadczenia:

1) Czy w ogóle można żądać oświadczenia o pozostawaniu w zgodzie z prawem? Czuję się podejrzany. Co jutro - narkotyki, broń? :/

2) Oprogramowanie komercyjne jest kupowane przez Wydział i chyba to Wydział jest licencjobiorcą w świetle prawa? Pracownik tylko używa narzędzia należącego do pracodawcy?

3) Nie wiem, czy mój Linux jest legalny. Przejaskrawiam, ale M$ straszy rzekomymi naruszeniami.

4) Obawiam się, że podpisując takie coś pracownik bierze na siebie pełną odpowiedzialność za to co ma zainstalowane zdejmując całą odpowiedzialność z instytucji. Wielu i ja również mamy naukowy soft komercyjny na który "Wydział ma licencje" grupową.

No właśnie. W jakich sytuacjach pracodawca może żądać od pracownika oświadczenia czegokolwiek? Czy pracownik składając stosowne oświadczenie może w takiej sytuacji, jak opisana powyżej, podlegać odpowiedzialności z tytułu poświadczenia nieprawdy (art. 271. kodeksu karnego)? Czy takie oświadczenie faktycznie zdejmuje ewentualną odpowiedzialność cywilną lub prawną z kierowników jednostek organizacyjnych Uczelni, w przypadku, gdyby pracownik jednak rozmijał się z prawdą, a doszłoby do postępowania związanego z naruszeniem praw autorskich do programów komputerowych zainstalowanych na komputerach uczelni?

W przypadku uczelni na relacje pracownik-pracodawca ma wpływ nie tylko Kodeks pracy. Jest jeszcze Prawo o szkolnictwie wyższym... Na podstawie art. 126 ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym Rektor może rozwiązać stosunek pracy z mianowanym nauczycielem akademickim bez wypowiedzenia w przypadku dopuszczenia się czynu określonego w art. 115 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych stwierdzonego prawomocnym wyrokiem sądowym. W tym przepisie mowa również o możliwości rozwiązania stosunku pracy, gdy komisja dyscyplinarna stwierdzi prawomocnym orzeczeniem przypadki naruszeń prawa autorskiego.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

art. 271 Kk

Jak dla mnie, to odpowiedzialność z art. 271 Kk nie wchodzi w grę, bo pracownik nie jest uprawniony do wystawiania dokumentów o legalności softu, gdyż co do zasady nie należy to do zakresu jego obowiązków.

Wygląda na to, że nic się

Wygląda na to, że nic się tam nie zmieniło. Nadal nie ma żadnej polityki odnośnie IT i nie ma jakiegoś konkretnego systemu informatycznego - skoro każdy sobie instaluje co chce. Szkoda, że uczelnia nie postarała się o jakieś licencje kampusowe od MS, przynajmniej na Windows i Office. Ułatwiłoby to bardzo zapanowanie nad licencjami.
Pewnie JM chce się w ten sposób zabezpieczyć - tyle się słyszy o nalotach na piratów. Może warto zamówić w jakiejś firmie audyt oprogramowania?

a bo to jest tak...

Uczenia broni się przed sytuacją, w której pracownik przyniesie coś, zainstaluje na swoim stanowisku a posadzą za to dyrektora administracyjnego/dziekana/rektora. Oczywiście powinno być tak, że pracownik odpowiada za swoje miejsce pracy i narzędzia i że nie musi w tym celu podpisywać żadnych dziwnych deklaracji, tylko ma to w zakresie obowiązków (choć i to nie jest konieczne, bo obowiązek postępowania zgodnie z prawem ciąży na nas na mocy bodajże konstytucji ;) a już na pewno KK). Nikt nie nakazuje elektrykowi podpisywać deklaracji, że nie będzie na przykład podłączał 230 kV zamiast 230 V do gniazdek w instalacji domowej, że nie będzie bezpieczników łatał gwoździami ani zostawiał w pomieszczeniu na podłodze końcówek niezaizolowanych przewodów pod napięciem. Kucharz nie podpisuje deklaracji, że nie będzie mył marchewki Cilitem Bang, a księgarz - że nie będzie kserował książek i oferował kopii za pół ceny bez rachunku. Pracownik dostaje komputer do użytku, kwituje odbiór i odpowiada za to co na nim jest i do czego go wykorzystuje (podobnie jak odpowiada za to co ma na komputerze domowym i do czego go wykorzystuje). Odpowiedni zapis powinien się znaleźć z jednej strony w polityce bezpieczeństwa informacji, z drugiej - w zakresie obowiązków pracownika (żeby nie było, że nie wiedział). Jeśli pracownik nie jest administratorem swojego komputera (tj ktoś inny mu coś tam instaluje bez jego wiedzy/zgody) to trzeba dokładnie rozdzielić kto za co odpowiada (wydziałowy administrator za legalność systemu operacyjnego, pakietu biurowego, klienta sieciowego, użytkownik za resztę - opisuje się to w jakiejś procedurze bądź instrukcji stanowiącej element systemu zarządzania bezpieczeństwem informacji i drugostronnie - odnotowuje w zakresie obowiązków obu panów (lub Pań oczywiście)). I po sprawie. Deklaracja zachowywania się zgodnie z prawem (widzę tu poniekąd analogię do deklaracji lustracyjnej ;)) ma średni sens. Można od razu napisać "Deklaruję, że będę postępował zgodnie z obowiązującym prawem" (jak w PRLowskiej lojalce dla internowanych)

Pracownik zaznajamia się z

Pracownik zaznajamia się z zakresem swoich obowiązków – z obowiązków tych wynika między innymi nakaz dbania o powierzone mienie w tym narzędzia pracy. Wiąże się to też z odpowiedzialnością majątkową za powierzony sprzęt.

Pracodawca udostępnia narzędzie sprawne technicznie oraz w stanie zgodnym z przepisami obowiązującego prawa. W przypadku komputera: z legalnym oprogramowaniem niezbędnym do realizowania powierzonych obowiązków. Za taki sprzęt wraz z oprogramowaniem pracownik odpowiada materialnie – oczywiście w określonym zakresie.

Konfiguracje uprawnień, kont, politykę haseł, dostępu do internetu etc. definiuje polityka bezpieczeństwa teleinformatycznego obowiązująca w danej organizacji – ma on bardzo ważną funkcje do spełnienia: chroni administratorów przed nadużyciami użytkownika a użytkownika przed lenistwem administratorów wymuszając obustronne spełnienie konkretnych warunków pracy. Administracją, konserwacją i naprawą sprzętu zajmuje się inna komórka lub firma zewnętrzna.

Czy bezpośrednio w zakresie obowiązków należy umieszczać szczegółowe zasady korzystania z powierzonego pracownikowi narzędzia? Trudno jest w praktyce o taki zapis gdyż byłby on silnie uzależniony od aktualnej polityki bezpieczeństwa oraz faktem że często sprzęt komputerowy migruje po różnych komórka w zależności od pojawiających się potrzeb lub nowych zakupów.

W przypadku sprzętu komputerowego mamy do czynienia z sytuacją nieco bardziej złożoną niż z innym sprzętem – bardzo łatwo dokonać nadużycia kopiując na dysk twardy pliki chronione prawem autorskim, użytkując oprogramowanie niezgodnie z jego licencją (shareware) lub wprost łamiąc licencje użytkując scrackowane wersje nie wymagające instalacji.

Jedyną ochroną wydaje się być: narzucenie odpowiedniej polityki na systemy operacyjne komputerów (nieskuteczne np. w przypadku oprogramowania nie wymagającego instalacji) lub ciągły audyt wymagający jednak zaangażowania zasobów ludzkich oraz stosowania sankcji. Poważnym problemem jest brak świadomości pracownika – darmowe do użytku domowego oprogramowanie (lub shareware) z gazety, nieumiejętność czytania warunków licencji czy też zwykła niewiedza wymuszają podjęcie jakichkolwiek działań zanim wyniknie potrzeba stosowania sankcji.

Dlatego też mogą pojawić sie zobowiązania takie jak powyższe, jednak w tej postaci funkcję taką wypełnia w zupełności obowiązek dbałości o powierzony sprzęt, przy czym wdrażana przez organizację polityka powinna w jak największym stopniu zapewniać rozliczalność użytkownika w przypadku wystąpienia nadużyć.

Dodatkowym elementem może być przeszkolenie z zasad (może być też zapoznanie się) wykorzystania sprzętu pod kontem realizowanej polityki bezpieczeństwa – poświadczone podpisem – co zastąpiło by oświadczenie o przestrzeganiu prawa ;)

Podsumowując – warto we właściwy sposób uregulować kwestie zasad postępowania i granic odpowiedzialności a przede wszystkim warto zadbać przeszkolenie o pracownika i przez to własne poczucie spokoju...

Dlatego na stacjach roboczych powinno instalować sie GNU/Linuks

We wszystkich systemach operacyjnych poza windowsami chyba tylko, istnieje enkapsulacja uprawnień użytkownika. Daje to po pierwsze możliwość zablokowania (realnego zablokowania, a nie tak jak w szkolnych pracowniach informatycznych hehe) praw do instalacji oprogramowania z repozytorium (zalecana droga instalacji pod GNU/Linuksem), a jeśli userzy zaczną kombinować to i można zabrać im uprawnienia do gcc (właściwie i tak powinno się żeby nam ktoś nie zeksploitował stanowiska) więc nawet jeśli pracownik będzie na tyle inteligentny by ściągnąć sobie źródła oprogramowania to i tak na nic mu one. Za samemu pobrane binarki odpalone przez użytkownika to już na pewno może odpowiadać tylko sam użytkownik więc można mu zostawić uprawnienie do nadawania uprawnień na execute, albo... nie też mu bym zabrał bo niby do czego może mu się to przydać w pracy, pomijając firmy w których tworzy się oprogramowanie (ale tam ludzie są już świadomi, poukładani i nie ma z nimi problemów).

Na koniec odinstalował bym wszelkie karcianki i saperopodobne gry - tak wiem jestem złym człowiekiem.

zgadzam się

Na koniec odinstalował bym wszelkie karcianki i saperopodobne gry - tak wiem jestem złym człowiekiem.

Wszelka władza deprawuje...

Rozumiem, że mój komentarz jest mało merytoryczny ale z etycznego punktu widzenia - nie można przejść spokojnie nie piętnując takiego zachowania jako zueeeee. ;)

GNU/Linux nie jest odpowiedzią

Często najcenniejsze oprogramowanie, szczególnie w warunkach akademickich, to rzadkie, specjalistyczne narzędzia, a nie system operacyjny czy pakiet MS Office. Nie każdy z nich ma darmowy odpowiednik.

Inna sprawa, że oprogramowanie na licencji GPL też może zostać uznane za nielegalne szkoda-na-rzecz-gnu (pół-żartem, pół-serio)

Prawdopodobnie lepszym rozwiązaniem są zbiorowe licencje, które pozwalają jednostce dydaktycznej na używanie N kopii jednocześnie, nie przywiązując ich do konkretnych stacji roboczych. Np. popularny Matcad jest oferowany z taką opcją licencjonowania, z instalacją centralnego serwera licencji autoryzującego użycie (raczej niż instalację) każdej instancji.

Wg. mnie największym problemem -- i częstą winą uczelni -- jest wymaganie od pracowników, oraz studentów, aby użyli jakiegoś konkretnego programu, bez oglądania się, czy wystarczająca ilość licencji jest zakupiona. Nie raz doświadczyłem tego jako student, gdy prowadzący zajęcia mocno 'zasugerował' wykonanie kopi na własny użytek, i wymagał dostarczenia prac wykonanych w tym akurat programie. Na poważanych, państwowych uczelniach. Obawiam się, że władze uczelni chciały się ochronić przed skutkami właśnie takich działań, każąc pracownikom podpisać oświadczenie.

I trochę technikalizmów:

We wszystkich systemach operacyjnych poza windowsami chyba tylko, istnieje enkapsulacja uprawnień użytkownika.(...)

Trudno się zgodzić z taką tezą, uprawnienia są konceptem typowym dla systemu wielodostępowego (Unix i pochodne, Windows NT, ...), natomiast systemy jednodostępowe generalnie ich nie mają, bo i nie potrzebują. Przykłady: BeOS, na ile pamiętam to również Mac OS Classic.

Wszelkie próby blokowania czy ograniczania dostępu są tylko półśrodkami.

Zablokowanie GCC nie jest żadną ochroną, gdyż plik wykonywalny można utworzyć choćby ręcznie, hexedytorem, albo zwyczajnie skopiować z innej maszyny. Zresztą, wielu pracowników akademickich *potrzebuje* pisać i wykonywać programy.

Koniec końców, gdy użytkownik ma *fizyczny* dostęp do maszyny, nie ma możliwości zabezpieczenia przed ingerencją. Przynajmniej bez użycia wyłącznie komponentów pracujących w technologii Trusted Computing, która z kolei jest zbyt ograniczająca, aby ją szeroko zaakceptować.

Pewnym rozwiązaniem jest użycie centralnego serwera i lekkich klientów lub terminali do pracy, ale wymaga to sporych zmian w infrastrukturze i odpowiednich szkoleń dla administratorów.

To nie jest zart

Inna sprawa, że oprogramowanie na licencji GPL też może zostać uznane za nielegalne szkoda-na-rzecz-gnu (pół-żartem, pół-serio)

To nie jest zart. Taki zarzut przedstawil prokurator w postepowaniu karnym.

Legalność oprogamowania GPL, i innego Open Source

Ooops, to był autentyk? Podejrzewałem photoshop, widać, że niedoceniłem inwencji któregoś z pp. prokuratorów lub rzeczoznawców.

W każdym razie, chodziło mi raczej o kwestie legalności z punktu widzenia fiskusa -- poruszane m. in. w artykule Jak zaksięgować darmowe oprogramowanie?

Czy uczelni państwowych też dotyczy ta kwestia? Z pewnością dotyczyłaby uczelni prywatnej. Zacytowane fragmenty oświadczenia nie wskazują, aby była ona w nim poruszona.

Na marginesie, nie chcę zostawiać wrażenia, że jestem przeciwnikiem Open Source. Połowa komputerów firmy w której pracuję, w tym moja stacja robocza, `chodzi na' GNU/Linux, a i pozostałe mają zainstalowane różne otwarte programy. Wybór w przypadku każdego użytkownika był przeprowadzany indywidualnie. Oznacza to również, że nikt nie był zmuszany do przesiadki na GNU/Linux.

odosze wrażenie, że

odosze wrażenie, że odbiegamy od temtu - pradcodawca dostarcza sprzed z oprogramowaniem - i nie musi wymagac ododatkowego oswiadczenia o przestrzeganiu prawa podczas jego uzytkowania.

Zasady korzystania można wpisac do polityki bezpieczeństwa teleinf. - szkolenie z jej zakresu lub poswiadczenie zapoznania sie z jej trescia oraz pozniejsze jej przestrzeganie powinno zabezpieczyc obie strony przed wzajemnym nadużywaniem - czy to ze strony pracownika (np. nielegalne oprogramowanie instalowane we własnym zakresie) czy pracodawcy (np. brak skladnikow licencji)

A odbiegając od tematu w przypadku zajęć ze studentami często wytwarzają oni oprogramowanie zalegające dyski - czy wykładowca ma prawo je przechowywać lub użytkować?

Co do systemow operacyjnych dla stacji roboczych to w organizacjach które wydają potężne pieniądze na ten cel Windows sprawdza się (np armia amerykańska) - tylko że te organizacje napełniają swoje własne kieszenie (podatki) i własną gospodarkę. Wdrożenia z którymi można się spotkać w Polsce najczęściej nie są najlepszą reklamą firmy - budżet jest nieporównywalny. Naprawdę wolę w firmie wydać 100 PLN na pakiet openoffice (+support) wiedząc że pieniądze dostanie firma krajowa (zatrudniająca polskich informatyków) - nawet ostatnia promocyjna cena pakietu MS Office nie skłoniła mnie do zmiany zdania - naprawde jak policzy się liczbę licencji kupowanych w urzędach, przeliczy to na konkretne kwoty to włosy stają dęba.
Czy linux sie sprawdzi? - oczywiście ale oczywiście nie wszędzie. Stanowiska dostępowe do internetu, biblioteki, magazyny, stanowiska do tworzenia dokumentacji nie wspominając o funkcjach serwerów. Jest to możliwe przy planowym rozwoju infrastruktury IT. Nie zapewniony help-desk, brak supportu, źle dobrany sprzęt, narzucone rozwiązania jednoplatformowe - to wszystko elementy ryzyka które w przypadku wprowadzania infrastruktury opartej o produkty microsoftu beda pominiete - wszyscy akceptują fakt ze windows sie nie uruchamia, że siec nie działa, że pliki zaginęły a backupy są nie do odzyskania. W takiej sytuacji rozwiązanie alternatywne np. Linux byłby pierwszym kozłem ofiarnym, w przypadku Windowsa jest to po prostu siła wyższa!

Czy chodzi o MS Office 2007 za 200 PLN?

Nie wiem czy dobrze kojarzę, ale...

nawet ostatnia promocyjna cena pakietu MS Office nie skłoniła mnie do zmiany zdania

Na pudełku tego pakietu MS Office 2007 za 200 PLN jest napisane, że tylko do użytku domowego. Zatem niby jak do firmy?

Chyba, że jest jeszcze inny pakiet.

przepraszam - nie skonkretyzowałem

Oczywiście chodziło mi o promocyjną cenę oprogramowania MS Office 2007 - 3 instalacje w ramach jednego gospodarstwa domowego za 199 PLN - oczywiście do użytku niekomercyjnego. (ale kto ma w domu trzy komputery stacjonarne? chwyt marketingowy?)

Chodziło mi oczywiście o to, że nie skorzystam z tej oferty w domu. Oczywistym wydało mi się że wszyscy wiedzą iż cena pakietu przeznaczonego dla firmy (nie molp lub tym podobne) oscyluje w okolicach 1 000 PLN (jest mnóstwo wariantów licencji więc podaje cene za Office 2007 Professional PL MLK + nośnik)

Warto zauważyć, że cykl życia oprogramowania biurowego wynosi do czterech lat - word 98, word 2000 (office xp), office 2003, office 2007. Tak należałoby przewidywać kolejne zakupy - zwłaszcza w dużej organizacji gdzie ważny jest obieg dokumentów gdyż w praktyce oprogramowanie firmy Microsoft nie gwarantuje zachowania poprawnego jego formatu w przypadku różnych wersji oprogramowania.
Przyjmując cenę 1000 PLN za produkt przydatny przez 4 lata - płacimy około 21 PLN za miesiąc użytkowania.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>