Piše: Darko Dundović, PhD, Security manager, BAT
Objavljujemo rad “Nadzor poslovne elektroničke pošte i interneta kod provođenja korporativnih (internih) istraga nasuprot prava na privatnost zaposlenika” (2. dio)
Nadzor poslovne elektroničke pošte i interneta tijekom provođenja korporativne (interne) istrage
Korporativne istrage kao dio poslova korporativne sigurnosti
Svaka kompanija nastoji biti što uspješnija u svom poslovanju. Prema Dundoviću (2022), jedan od preduvjeta uspješnog poslovanja u današnjem poslovnom okruženju je sigurnost. Sigurnost zaposlenika i imovine kompanije, poslovnih partnera i poslovnih procesa u kompaniji legitiman je predmet zaštite od strane kompanije.
Pojedine kompanije takvu zaštitu provode kroz različite sustave tehničke zaštite (najčešće sustavima video nadzora, alarma i kontrole prolaza), koristeći usluge zaštitara ili čuvara (tjelesna zaštita), kao i koristeći različite sustave zaštite informatičke infrastrukture od kibernetičkih napada.
Kompanije kroz svoje dokumente nastoje definirati kako će osigurati visoki stupanj sigurnosti svojih zaposlenika, imovine, poslovnih procesa i svega što utječe na uspješnost poslovanja. “Politika sigurnosti” jedan je od temeljnih dokumenata koji bi svaka kompanija, bez obzira na veličinu, trebala donijeti. Ovisno o specifičnostima djelatnosti kojom se kompanija bavi, veličini, broju zaposlenih i broju lokacija na kojima posluje, kompanija donosi i druge dokumente koji pridonose sigurnosti poslovanja. Jedan od takvih dokumenata može biti i “Pravilnik o sigurnosti”, gdje bi se na jednom mjestu definirali svi važni postupci i procedure sigurnosti.
Dio kompanija, naročito velike kompanije (za potrebe ovog rada razvrstavanje poduzetnika preuzeto je iz čl. 5 Zakona o računovodstvu, NN 85/2024), imaju posebne organizacijske oblike koji se brinu o cjelokupnom sustavu sigurnosti u kompaniji. Ovisno o unutarnjoj organizaciji, to mogu biti sektori za sigurnost, službe sigurnosti, grupe za sigurnost, a s obzirom na poslovne aktivnosti kojima se bave, možemo ih nazvati zajedničkim terminom – korporativna sigurnost.
Mikro, male, pa i neke srednje kompanije uglavnom nemaju specijalizirane organizacijske oblike, već za te poslove koriste specijalizirane zaposlenike (menadžeri sigurnosti) ili ad hoc organizirane timove zaposlenika. Prema Dundoviću (2022), poslovi i zadaci korporativne sigurnosti značajno ovise o veličini poduzeća, broju zaposlenika, djelatnosti kojom se poduzeće bavi, mjestu obavljanja djelatnosti te sigurnosnim rizicima poslovnog okruženja.
Obzirom na predmet ovog rada, nećemo ulaziti u detaljniju analizu mogućih poslova i organizacijske strukture korporativne sigurnosti u različitim kompanijama. Unutar poslovnih aktivnosti korporativne sigurnosti pojavljuje se i potreba provođenja korporativnih ili internih istraga.
Svaka kompanija ima pravo vršiti određene postupke nadzora svojih zaposlenika i istraživanja određenih incidenata, ali bi pri tome trebala uzeti u obzir određena ograničenja. Kada govorimo o provođenju korporativnih istraga, ta se ograničenja odnose na legitimitet, supsidijarnost, proporcionalnost i pravo na privatnost (Meerts, 2016).
Prema Dundoviću (2022), bez obzira postoji li zasebna funkcija u kompaniji koja se bavi korporativnim istragama, jedan zaposlenik ili ad hoc timovi unutar poslova korporativne sigurnosti koji provode korporativne istrage, svaka kompanija bi trebala imati dokument ili definirane detalje unutar nekog drugog dokumenta (politika sigurnosti, pravilnik o sigurnosti i sl.) kojima se uređuje postupak unutarnjih istraga.
Većina današnjeg poslovanja odvija se u digitalnom okruženju, što podrazumijeva korištenje digitalnih platformi i alata, tehnologija i procesa koji omogućuju ili poboljšavaju poslovne aktivnosti – uz korištenje interneta, softverskih rješenja, umjetne inteligencije, “oblaka” (eng. cloud computing), društvenih mreža, elektroničke pošte i drugih digitalnih tehnologija koje pridonose optimalizaciji i uspješnosti poslovanja.
Sve navedeno utječe na povremenu potrebu nadzora korištenja dijela ili svih navedenih tehnologija koje koriste zaposlenici tijekom obavljanja poslova. Ukoliko poslodavac smatra da se zaposlenik ne pridržava propisanih pravila i postupaka kod korištenja ovakvih tehnologija, poslodavac ima pravo istražiti takvo postupanje.
Prema autoru ovog rada, istraživanje takvog postupanja može se provesti prvenstveno kroz provođenje korporativne (interne) istrage, pod pretpostavkom da je takav proces definiran internim dokumentima kompanije.
Obzirom na temu rada, u nastavku će se detaljnije obraditi prvenstveno nadzor elektroničke pošte, a u manjoj mjeri i korištenje interneta, odnosno pristupa internetskim stranicama. Dio postupaka kojima se bavimo u nastavku može se primijeniti i na nadzor drugih podataka koji se nalaze u digitalnom okruženju, kao što su specifične poslovne aplikacije, pohrana podataka (i privatnih?) u “oblaku”, dijeljenje podataka u zajedničkim mapama i dr.
Korištenje poslovne informatičke infrastrukture u privatne svrhe
Prema Komanovics (2023), zaposlenici imaju pravo na privatnu komunikaciju na radnom mjestu, čak i ako se ta komunikacija odvija na opremi poslodavca ili tijekom radnog vremena. Autorica ovu tvrdnju potkrepljuje presudom Europskog suda za ljudska prava u predmetu Bărbulescu (Europski sud za ljudska prava, 2017), gdje sud smatra da “upute poslodavca ne mogu svesti privatni društveni život na radnom mjestu na nulu” (čl. 80 presude). Nadalje, u presudi se navodi da većina ljudi tijekom svog radnog vijeka ima značajnu, ako ne i najveću priliku za razvoj odnosa s vanjskim svijetom (čl. 71 presude).
Većina kompanija internim dokumentima regulira korištenje poslovne informatičke infrastrukture na način da dokumentom (politika informatičke sigurnosti, pravilnik o informatičkoj sigurnosti, upute o informatičkoj sigurnosti i sl.) jasno definira svrhu, pojmove, način korištenja, odgovornosti i druge detalje u vezi korištenja informatičke infrastrukture kompanije.
Generalno, postoje dva glavna pristupa reguliranju korištenja informatičke infrastrukture kompanije u privatne svrhe. Prvi je potpuna zabrana korištenja kompanijske infrastrukture za privatne svrhe, a drugi je reguliranje i propisivanje pod kojim se uvjetima i u kojem opsegu infrastruktura može koristiti i u privatne svrhe.
Autor ovog rada smatra da potpuna zabrana korištenja informatičke infrastrukture za povremene privatne svrhe nije dobro rješenje. Mogući izuzetak mogle bi biti kompanije čija je djelatnost povezana sa sigurnosno-vojnim aktivnostima. U prilog takvom stavu ide i činjenica da današnja tehnologija omogućuje visoki stupanj zaštite informatičke infrastrukture kompanije unatoč povremenom korištenju u privatne svrhe.
Propisivanjem i reguliranjem korištenja informatičke infrastrukture u privatne svrhe podrazumijeva se donošenje dokumenata koji to reguliraju, ali i način na koji će svi zaposlenici biti informirani o takvim mogućnostima. Neke kompanije u svojim dokumentima navode da se službena elektronička pošta može koristiti i u privatne svrhe, pod uvjetom da se ne razmjenjuju poruke oglašavanja, poruke koje promoviraju određene političke stavove, fotografije i videozapisi uznemiravajućeg sadržaja ili drugi sadržaji koji nisu u skladu s etičkim kodeksom poslovanja kompanije. Također, zabranjuje se automatsko prosljeđivanje poruka službene elektroničke pošte na privatni račun.
Druge kompanije imaju tehnička rješenja koja ne dopuštaju pristup privatnim računima elektroničke pošte s kompanijske infrastrukture. U dokumentima se definiraju i pravila o pohrani podataka na prijenosne medije ili privatne uređaje.
Poslodavac bi u takvom dokumentu trebao jasno navesti da će u potpunosti poštivati privatnost zaposlenika, ali i da će povremeno poduzimati mjere nadzora s ciljem utvrđivanja poštuju li se poslovne procedure i zakonske odredbe, čije bi nepoštivanje moglo nanijeti štetu kompaniji. Svrha nadzora mora biti jasno određena i s njom mora biti upoznat zaposlenik.
Uz već naglašenu potrebu postojanja dokumenta koji regulira uporabu informatičke infrastrukture općenito, ali i u privatne svrhe, kako bi se dodatno potvrdilo da je zaposlenik informiran o mogućnosti nadzora, uobičajeno je da zaposlenik potpisuje privolu.
Promatrano sa stajališta Opće uredbe o zaštiti podataka (GDPR), privola je “svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose” (čl. 4., t. 11 Uredbe). Zahtjev za privolu mora biti predstavljen u razumljivom i lako dostupnom obliku, koristeći jasan i jednostavan jezik, te mora postojati pravo na povlačenje privole.
Uz sve navedeno, Radna skupina za članak 29. Uredbe, kao i Europski odbor za zaštitu podataka, tvrdili su da zaposlenici gotovo nikad nisu u poziciji slobodno dati, odbiti ili opozvati privolu, s obzirom na ovisnost koja proizlazi iz odnosa poslodavac/zaposlenik (Radna skupina, 2017). Isto je tijelo usvojilo i posebne smjernice o pristanku (revidirane 2018.), naglašavajući da je malo vjerojatno da zaposlenik može uskratiti privolu svom poslodavcu bez straha ili stvarnog rizika od štetnih posljedica. Smatra se da je problematično da poslodavci obrađuju osobne podatke zaposlenika na temelju privole, jer je mala vjerojatnost da je ona slobodno dana.
Za većinu takvih obrada podataka na radnom mjestu zakonska osnova ne može i ne smije biti samo privola zaposlenika, zbog prirode odnosa između poslodavca i zaposlenika. Opća uredba o zaštiti podataka (2016) ne propisuje oblik u kojem se informacije moraju pružiti kako bi se ispunio zahtjev informiranog pristanka, što znači da se informacije mogu predstaviti na različite načine – pisanim ili usmenim izjavama, audio ili video porukama.
Nadzor na radnom mjestu ne bi se trebao temeljiti isključivo na pristanku, s obzirom na neravnotežu moći između poslodavaca i zaposlenika. Zbog toga se generalno ne može pretpostaviti da pristanak čini valjanu pravnu osnovu. Najprihvatljivija osnova bila bi legitimni interes poslodavca da zaštiti svoje imovinske interese i osigura sigurno radno okruženje (Komanovics, 2023).
Nasuprot tome, u danskom kontekstu pristanak zaposlenika nije se tumačio tako strogo. Smatra se da se privola može dati slobodno iako postoji neravnoteža moći između poslodavca i zaposlenika. Ovo tumačenje posljedica je danskog sustava koji njeguje uravnotežen odnos i opće povjerenje između zaposlenika i poslodavca.
Izostanak privole ili obavijesti o praćenju elektroničke pošte razmatran je i u predmetu Copland protiv Ujedinjenog Kraljevstva. Europski sud za ljudska prava zaključio je da podnositeljica nije bila upozorena da bi njezini pozivi i elektronička pošta mogli biti nadzirani te je imala razumno očekivanje privatnosti. Sud je zaključio da je došlo do povrede njezinih prava i naložio Ujedinjenom Kraljevstvu isplatu naknade za nematerijalnu štetu (Copland protiv Ujedinjenog Kraljevstva, 2007).
Autori Ray i Rojot u svom radu iz 1995. navode da je poslodavac zaposlenika doživljavao kao roditelj dijete, pa zaposlenik nije imao više privatnosti nego dijete u odnosu na roditelja (Ray i Rojot, 1995, str. 61). Ovo samo pokazuje koliko je snažno evoluirala svijest o pravima zaposlenika.
Treba naglasiti da se priroda nadzora na radnom mjestu bitno razlikuje po svom opsegu i intenzitetu od onog kojem smo izloženi u svakodnevnom životu – tijekom transakcija ili drugih privatnih aktivnosti. Mobilni telefoni prate naše kretanje, kreditne kartice bilježe transakcije, a kartice vjernosti prate potrošačke navike. Ipak, bilo bi pogrešno nadzor na radnom mjestu promatrati kao produžetak tog nadzora. Podaci prikupljeni na radnom mjestu dostupni su isključivo poslodavcu, s kojim zaposlenik ima odnos zavisnosti. To je suprotno slobodi odlučivanja o dijeljenju podataka u drugim kontekstima.
Zbog svega navedenog, svaki nadzor zaposlenika na radnom mjestu mora se provoditi s posebnom pažnjom, uz poštivanje osnovnih načela i pravila – o čemu više u nastavku.
(Nastavlja se)
