Analiza Darka Dundovića: Mogu li poslodavci radnicima čitati e-mailove? (3. dio)

Piše: Darko Dundović, PhD, Security manager, BAT

Objavljujemo rad “Nadzor poslovne elektroničke pošte i interneta kod provođenja korporativnih (internih) istraga nasuprot prava na privatnost zaposlenika” (3. dio)

Opća načela koja se primjenjuju za nadzor elektroničke pošte i interneta zaposlenika

Izvješću o nadzoru na radnom mjestu od Trades Union Congress[1] (2018) iz Londona pokazuje da više od polovice radnika (56 %) smatra da je vjerojatno da su nadzirani na poslu a njih 66 % zabrinuto je da bi se nadzor na radnom mjestu mogao koristiti na diskriminirajući način ako se ne regulira. Prema istom istraživanju zaposlenici (njih 70 %) smatraju  da će nadzor vjerojatno postati češći u budućnosti. „Radni dokument o nadzoru elektroničkih komunikacija na radnom mjestu“ iz 2002. godine usvojenom od Europske komisije (u nastavku- Radni dokument),  navodi sedam osnovnih načela koja se primjenjuju za aktivnosti nadzora elektroničke pošte i interneta i to:

1. Nužnost. Prema ovom načelu poslodavac mora provjeriti je li bilo koji oblik praćenja koji se planira koristiti apsolutno neophodan za određenu svrhu prije nego započne s takvom aktivnošću. Tradicionalne metode nadzora, koje manje narušavaju privatnost pojedinaca, trebalo bi pažljivo razmotriti i, prema potrebi, takve metode provesti prije početka bilo kakvog nadzora elektroničkih komunikacija. Ovdje se dodatno naglašava da se samo u iznimnim okolnostima nadzor elektroničke pošte zaposlenika ili korištenja interneta smatra potrebnim. Primjer u kojem se nadzor smatra nužnim je nadzor elektroničke pošte zaposlenika kako bi se prikupio dokaz da je zaposlenik uključen u kriminalne aktivnosti, ali samo u mjeri u kojoj je potrebno da poslodavac zaštiti vlastite interese u situacijama kada je poslodavac posredno odgovaran za postupke zaposlenika.
2. Konačnost. Podaci se moraju prikupljati u određenu, izričitu i legitimnu svrhu, i ne dalje obrađivati na način koji nije u skladu s tim svrhama. U tom kontekstu načelo “kompatibilnosti” znači, na primjer, da ako je obrada podataka opravdana na temelju zaštite sigurnosti sustava, ti se podaci ne bi mogli obrađivati u drugu svrhu, kao što je na primjer nadzor ponašanja zaposlenika.
3. Transparentnost. Ovo načelo znači da poslodavac mora biti jasan i otvoren u pogledu svojih aktivnosti. Nije dopušteno tajno praćenje elektroničke pošte zaposlenika, osim u slučajevima kada je to dopušteno zakonom države a potrebno je za zaštitu važnih javnih interesa kao što su nacionalna sigurnost ili prevencija, istraživanje, otkrivanje i progon kaznenih djela. Jedan od primjera načela transparentnosti je praksa poslodavaca da obavijestiti i/ili konzultira predstavnike zaposlenika prije uvođenja politika i pravila koja reguliraju ovo područje. Dodatno, načelo transparentnosti treba uključivati i:

3.1. Obaveza pružanja informacija ispitaniku. Poslodavac mora svojim zaposlenicima pružiti lako dostupnu, jasnu i točnu izjavu o svojoj politici/politikama u pogledu nadzora elektroničke pošte i nadzora interneta. Zaposlenicima je potrebno pružiti potpune informacije o tome koje bi posebne okolnosti opravdale takvu iznimnu mjeru kao i o opsegu takvog nadzora. Elementi te informacije trebali bi sadržavati:

– Politika elektroničke pošte/interneta unutar kompanije detaljno opisuje opseg u kojem se komunikacijska sredstva u vlasništvu kompanije mogu koristiti za osobnu/privatnu komunikaciju od strane zaposlenika (npr. ograničenje vremena i trajanja korištenja).

– razlozi i svrhe zbog kojih se nadzor, ako postoji, provodi. Ako je poslodavac dopustio uporabu komunikacijskih sredstava kompanije u privatne svrhe, takve privatne komunikacije mogu u vrlo ograničenim okolnostima biti podložne nadzoru, npr. kako bi se osigurala sigurnost informacijskog sustava (provjera virusa).

– pojedinosti o poduzetim mjerama nadzora, odnosno tko? što? kako? kada?

– pojedinosti o svim provedbenim postupcima u kojima se navodi kako i kada će zaposlenici biti obaviješteni o kršenju internih politika i pružiti im se prilika da odgovore na sve takve zahtjeve protiv njih. U spomenutom Radnom dokumentu (2002)) naglašava se da je  preporučljivo da poslodavac odmah obavijesti zaposlenika o svakoj otkrivenoj zlouporabi elektroničkih komunikacija, osim ako važni razlozi opravdavaju nastavak nadzora, što obično nije slučaj.

3.2. Obveza obavješćivanja nadzornih tijela prije provođenja bilo kojeg potpuno ili djelomično automatskog postupka obrade ili skupa takvih postupaka obrade. To je još jedan način osiguravanja transparentnosti jer zaposlenici uvijek mogu provjeriti u registrima za zaštitu podataka, koje kategorije podataka, u koje svrhe i za koje primatelje poslodavac treba obrađivati osobne podatke svojih zaposlenika. Obzirom da se ovdje radi o potpuno ili djelomično automatskom postupku obrade ili skupa takvih postupaka obrade poslodavac je i u zakonskoj obavezi prijaviti takve baze podataka.

3.3. Pravo pristupa. Zaposlenik ima pravo pristupa osobnim podacima koji se odnose na njega i koje obrađuje njegov poslodavac i, prema potrebi, zatražiti njihov ispravak, brisanje ili blokiranje ako nisu u skladu s odredbama Direktive[2] (2016).

4. Legitimnost. Svaki postupak obrade podataka može se provesti samo ako ima legitimnu svrhu. Svaka takva aktivnost poslodavca mora biti u svrhu legitimnih interesa poslodavca i ne smije povrijediti temeljna prava zaposlenika. Potreba poslodavca da zaštiti svoje poslovanje od značajnih prijetnji, kao što je sprečavanje prijenosa povjerljivih informacija konkurentu, može biti takav legitimni interes.
5. Proporcionalnost. Ovo načelo zahtijeva da osobni podaci, uključujući one koji su uključeni u praćenje, moraju biti primjereni, relevantni i ne pretjerani u pogledu postizanja navedene svrhe. Politika kompanije u ovom području trebala bi biti prilagođena vrsti i stupnju rizika s kojim se određena kompanija suočava. Načelom proporcionalnosti stoga se isključuje opće praćenje pojedinačnih poruka elektroničke pošte i upotreba interneta od strane svih zaposlenika, osim ako je to potrebno u svrhu osiguravanja sigurnosti sustava. Ako se utvrđeni cilj može postići na manje nametljiv način, poslodavac bi trebao razmotriti tu mogućnost (na primjer, trebao bi izbjegavati sustave koji prate automatski i kontinuirano).
6. Točnost i zadržavanje podataka. Svi podaci koje poslodavac zakonito pohranjuje (nakon razmatranja svih ostalih spomenutih načela) koji se sastoje od podataka s računa e-pošte ili koji su povezani s računom e-pošte zaposlenika ili njihovim korištenjem interneta moraju biti točni i ažurirani te se ne čuvaju dulje nego što je potrebno.
7. Sigurnost. Ovo načelo obvezuje poslodavca da provede odgovarajuće tehničke i organizacijske mjere kako bi osigurao da su svi osobni podaci koje posjeduje sigurni i osigurani od vanjskih upada. Također uključuje pravo poslodavca da zaštiti svoj sustav od virusa i može uključivati automatizirano skeniranje e-pošte i podataka o mrežnom prometu. U spomenutom Radnom dokumentu (2002), naglašena je važnost održavanja sigurnog sustava i zato se takvo automatizirano otvaranje elektroničke pošte ne bi trebalo smatrati kršenjem prava radnika na privatnost, pod uvjetom da su uspostavljene odgovarajuće mjere zaštite.

Kada se govori o korištenju interneta u privatne svrhe na informatičkoj infrastrukturi kompanije Radni dokument (2002) navodi da je na kompaniji da odluči hoće li dopustiti da zaposlenici smiju koristiti internet za osobne potrebe i u kojoj mjeri je to dopušteno. Nadalje je navedeno mišljenje da se opća zabrana korištenja interneta za privatne svrhe od strane zaposlenika može smatrati nepraktičnom i nerealnom. I kod nadzora interneta Radni dokument (2002) navodi neka načela koja se mogu primijeniti pri razmatranju pitanja praćenje pristupa zaposlenika internetu. Naglasak je stavljen na prevenciju pa bi gdje god je to moguće prevencija trebala biti važnija od otkrivanja. U interesu je poslodavca da koristi preventivne mjere za sprječavanje zlouporabe interneta tehničkim sredstvima, nasuprot trošenju resursa u otkrivanju zlouporabe. U mjeri u kojoj je razumno moguće, politika korištenja interneta u kompaniji trebala bi se oslanjati na tehnička sredstva za ograničavanje pristupa a ne na nadziranje ponašanja. Neke tvrtke koriste programske alate koje se može konfigurirati kako bi se blokirao bilo kakvu vezu s unaprijed određenim kategorijama internetskih stranica. Poslodavac može, nakon pregleda zbirnog popisa internetskih stranica koje posjećuju njegovi zaposlenici, odlučiti dodati neke stranice na popis već blokiranih. Jedan od primjera dobre prakse je i davanje trenutne informacije zaposleniku da njegovo korištenje interneta nije u skladu s politikom/pravilima o korištenju interneta u kompaniji. I ovdje treba primijeniti načelo proporcionalnosti ukoliko je potrebna mjera nadzora korištenja interneta na način da svaki nadzor mora biti proporcionalan odgovor na rizik s kojim se poslodavac suočava. U većini slučajeva zlouporaba interneta može se otkriti bez potrebe za analizom sadržaja posjećenih stranica.

Sva navedena načela važno je razmatrati i primijeniti kod donošenja politika i pravila u kompaniji koja uređuju korištenje elektroničke pošte zaposlenika i interneta, kako u privatne tako i u poslovne svrhe.

 Osnovni preduvjeti za nadzor elektroničke pošte i interneta zaposlenika tijekom provođenja korporativne (interne istrage)

U prethodnom dijelu ovog rada navedena su osnovna načela koja trebamo primijeniti kod nadzora elektroničke pošte i interneta zaposlenika. U nastavku ćemo detaljnije opisati situacije u kojima se provodi korporativna (interna) istraga dio koje je i  uvid u nadzor elektroničke pošte i korištenja interneta od strane zaposlenika. Postavlja se pitanje koji opći uvjeti trebaju biti ispunjeni da bi se ovakva radnja mogla provesti kao dio korporativne istrage? Kao što je već navedeno, svaka kompanija ima pravo poduzimati aktivnosti s ciljem zaštite zaposlenika, imovine kompanije, poslovnih partnera i klijenata te poduzimati preventivne aktivnosti kako bi smanjila rizike koji mogu utjecati na sigurnost. Jedna od takvih aktivnosti vrlo često je provođenje korporativne istrage. Prema mišljenju autora ovog rada, da bi se unutar provođenja korporativne istrage mogle poduzeti aktivnosti koje podrazumijevaju uvid u elektroničku poštu ili korištenje interneta od strane zaposlenika potrebno je ispuniti slijedeće preduvjete:

• Kompanija mora imati dokument koji uređuje korištenje elektroničke pošte i interneta (i u privatne svrhe ako je to dopušteno) odnosno informatičke infrastrukture kompanije u kojem je jasno navedeno u koje se svrhe može koristiti informatička infrastruktura kompanije i što je zabranjeno
• Kompanija mora imati dokument koji uređuje provođenje korporativnih (internih) istraga u kompaniji ili u nekom drugom dokumentu opisati provođenje korporativnih istraga (npr. Politika sigurnosti, Pravilnik/uputa o sigurnosti i sl.)
• Kompanija mora imati dokument koji uređuje zaštitu osobnih podataka (to je i zakonska obaveza)

Navedeni dokumenti trebaju biti napisani u skladu s načelima koja smo ranije spomenuli i odredbama zakona koje se odnose na nadzor elektroničke pošte zaposlenika i korištenja interneta. Svi zaposlenici moraju biti upoznati s detaljima navedenih dokumenata i potpisati privolu kojom potvrđuju da pristaju na takvu obradu njihovih podataka odnosno da su upoznati da se provodi nadzor. U privoli bi trebala biti navedena svrha takvog postupka, koji podaci će se nadzirati ali i mogućnost povlačenja privole. Obavijest da poslodavac može provoditi takve aktivnosti mora biti predočena zaposlenicima prije nego je takva aktivnost započela. Osnovni preduvjet za uvid u elektroničku poštu zaposlenika treba biti provođenje korporativne istrage unutar koje je potrebno poduzeti i nadzor/uvid u elektroničku poštu zaposlenika. Uvid u elektroničku poštu zaposlenika a da nije „otvorena“ (i odobrena!) korporativna istraga ne bi trebalo biti dopušteno. Dokument koji uređuje korporativne istrage trebao bi sadržavati odredbe koje se odnose na nadzor i/ili uvid u elektroničku poštu zaposlenika u kojima treba biti jasno navedeno:

• tko odobrava takvu aktivnost (odobravatelj bi trebala biti osoba koja nije istovremeno i odobravatelj za provođenje korporativne istrage)
• tko vrši nadzor elektroničke pošte (voditelj istražnog tima, član istražnog tima, netko drugi)
• obrazloženje u kojem bi se obrazložilo zašto nije moguće na drugi način prikupiti podatke koji su nužni za provođenje korporativne istrage[5]. Prije nego se donese odluka o nadzoru elektroničke pošte trebalo bi razmotriti postoje li metode koje manje narušavaju privatnost zaposlenika a koje se mogu provesti prije početka nadzora elektroničke pošte
• u kojem opsegu se može vršiti nadzor/uvid elektroničke pošte zaposlenika (u pravilu, nadzor bi trebao biti ograničen na podatke o prometu pošiljatelja, pretrazi po naslovu elektroničke pošte, pojmu u elektroničkoj pošti, točnom vremenu kada je elektronička pošta upućena/primljena, pošiljatelju kojem je upućena)
• plan provođenja nadzora elektroničke pošte (vrijeme, mjesto, tko vrši nadzor, točna adresa elektroničke pošte, što će se pretraživati, kako će se izuzeti i druge detalje)

Važno je naglasiti da pregled sadržaja komunikacije u elektroničkoj pošti treba biti iznimka obzirom na zaštitu privatnosti osoba ili kompanija izvan kompanije koje primaju/šalju elektroničku poštu na nadziranu adresu. Na to upozorava i već spomenuti Radni dokument u kojem se navodi da bi poslodavac u situacijama da vrši uvid u sadržaj komunikacije trebao uložiti razumne napore kako bi obavijestio osobe izvan kompanije o postojanju aktivnosti praćenja (u ovom slučaju elektroničke pošte) u mjeri u kojoj bi one mogle utjecati na osobe izvan kompanije. Kao primjer navodi se mogućnost dodavanje obavijesti o  postojanju nadzora a koje se mogu dodati svim odlaznim elektroničkim porukama kompanije.

Kada govorimo o nadzoru korištenja interneta od strane zaposlenika, odnosno pristupa različitim mrežnim stranicama uputno je koristiti tehnička rješenja koja koriste mehanizme blokiranja pristupa pojedinim mrežnim stranicama ili onemogućavanje pristupa svemu osim internim stranicama kompanije, a ne provođenju nadzora. Dobro rješenje su i korištenje upozorenja koja se pojavljuju na ekranu svaki puta kada zaposlenik pokuša pristupiti mrežnim stranicama kojima nije dopušten pristup ili taj zaposlenik nema ovlasti pristupa. Moguća opcija je i prikaz upozorenja/obavijesti svaki puta kada zaposlenik upali računalo. Mogući sadržaj jednog takvog upozorenja je u nastavku, uz naglasak da sadržaj ovisi o odluci svake kompanije koja primjenjuje takav način upozorenja.

“Ovo računalo je vlasništvo kompanije. Korištenje ovog računala namijenjeno je samo za ovlaštene korisnike i u strogo propisanu svrhu. Neovlašteni pristup, izmjene postavki,…. može rezultirati disciplinskim postupkom i/ili kaznenim/sudskim progonom. Svi računalni sustavi kompanije mogu biti nadzirani kako bi se osigurala propisani sigurni načini korištenja i svrhe korištenja. U slučaju pitanja obratite se…..“

Radni dokument (2002) upozorava da poslodavci kod uvida u korištenje interneta od strane zaposlenika  i procjene zlouporabe moraju biti oprezni kod donošenja zaključaka obzirom na lakoću kojom se mrežnim stranicama može pristupiti nesvjesno (klikom na hiperveze, oglasi, krivi upis i sl.). Obzirom na takvu situaciju zaposlenicima se treba dati prilika da obrazlože ili ospore zaključke poslodavca.

Iz naslova ovog rada vidljivo je da smo se najviše bavili nadzorom elektroničke pošte i korištenja interneta od strane zaposlenika za potrebe provođenja korporativne istrage. Uz ove vrste nadzora treba spomenuti i mogućnosti nadzora zaposlenika uz korištenje lokacija (službenih) mobilnih telefona, GPS podataka dobivenih iz kretanja (službenih) vozila, pristupa različitim bežičnim mrežama (eng.. wireless network), lokaciji pametnog sata (službenog) koji koristi zaposlenik, uz dodatno kompliciranje ovakvog nadzora kada se on provodi za vrijeme rada od kuće ili kada zaposlenik koristi sve navedeno u privatno vrijeme. Ove teme nisu bile predmet ovog rada i mogu biti predmet nekih budućih istraživanja ili radova.

Također u ovom radu se nismo bavili obrazlaganjem detalja na koji tehnički način (npr. udaljeni pristup, direktan pristup memoriji uređaja koji koristi zaposlenik, podaci u „oblaku“) se može vršit uvid u elektroničku poštu što ovisi o tehničkim rješenjima svake kompanije.

Zaključak

Razvoj tehnologije koja će se primjenjivati u svakodnevno sve većoj digitalizaciji poslovanja kompanija dodatno će usložiti nadzor korištenja elektroničke pošte i interneta zaposlenika ali i povećati rizike kompanija kod takvih aktivnosti. Za vjerovati je da će se zbog sve većeg razvoja tehnologije i sve težeg jasnog razgraničenja između privatnog i poslovnog života doći do sve veće zaštite privatnosti zaposlenika. Istovremeno će se opravdavati sve veći intenzitet ugroze interesa poslodavca a sve kako bi poslodavac mogao opravdati (i primijeniti) ograničenja prava zaposlenika na poštivanje zaposlenikovog privatnog života i privatne komunikacije na radnom mjestu. U takvim aktivnostima kompanija se osim reputacijskih rizika izlaže i mogućim  financijskim rizicima od kazni u slučaju tužbi nadzornih tijela ili samih zaposlenika. Od kompanija se zahtjeva da dokažu da je takav nadzor zakonit, nužan i proporcionalan u odnosu na ostvarivanje legitimnog prava kompanije u ostvarivanju svojih ciljeva zaštite zaposlenika i imovine kompanije. Kompanije će imati sve veću potrebu provoditi korporativne istrage s ciljem ne samo utvrđivanja činjenica u određenim incidentima, već i s ciljem osmišljavanja i predlaganja načina na koji se određeni incidenti ne bi ponavljali, što možemo promatrati kao preventivnu aktivnost. Treba naglasiti da svako istraživanje kod provođenja  korporativne istrage narušava redovni radni proces i troši resurse kompanije pa bi preventivni efekt provođenja korporativnih istraga trebao biti prioritet.