Evropa gleda na zasebnost drugače kot ZDA

Iz urada informacijske pooblaščenke je pred kratkim prišla informacija o vse številnejših prijavah, ki se nanašajo na nezakonite obdelave osebnih podatkov. Delodajalci vse pogosteje kršijo zakon z vpogledom in prebiranjem elektronske pošte zaposlenih brez njihove vednosti oziroma soglasja.

Takšen poseg ne pomeni le grobe kršitve zakona, ampak je tudi temelj za kazensko in odškodninsko odgovornost, pravi nekdanja informacijska pooblaščenka Nataša Pirc Musar, ki je veliko svojega časa namenila varovanju osebnih podatkov na delovnem mestu in vdorom v zasebnost s pomočjo sodobnih informacijskih tehnologij. Kmalu bo o tej temi končala tudi doktorski študij na dunajski pravni fakulteti.

Skorajda polovico vseh pritožb na pooblaščenca v zadnjih letih prihaja prav zaradi zlorab zasebnosti na delovnem mestu in zlorab pri vpogledih v elektronsko pošto. V Evropi gledamo na pravico do zasebnosti popolnoma drugače kot v ZDA, kljub temu pa je ravnanje slovenskih menedžerjev, kar zadeva spoštovanje osebnih podatkov, marsikdaj podobno ameriškemu: ko prestopiš prag podjetja, zasebnosti nimaš več. To v evropskem pravnem redu ne vzdrži. Največ zlorab je prav zaradi miselnosti delodajalcev, ki menijo, da jim lastništvo nad sredstvi za delo omogoča tudi nadzor nad zaposlenimi.

»Takšna filozofija slovenskih menedžerjev ni skladna z evropsko zakonodajo o varstvu zasebnih podatkov. Po drugi strani niti delavec ne more reči, da ima popolno pravico do zasebnosti na delovnem mestu. Obe skrajni stališči sta zmotni. Treba je najti zlato sredino, kjer se bodo pristojnosti in pravice delodajalcev srečale s pravicami delavca. V slovenski ustavi je pravica do zasebnosti zelo visoko zaščitena, vendar je ustavna pravica tudi pravica do lastnine, kar pomeni, da ima delodajalec pravico postavljati pogoje, na kakšen način se bodo uporabljala delovna sredstva,« pojasnjuje Pirc Musarjeva.

V katerih primerih ima delodajalec pravico do vpogleda v elektronsko pošto zaposlenih?

V začetku je treba najti modus operandi, da bo zadoščeno obema stranema: pravici do lastnine in pravici do zasebnosti. Kot informacijska pooblaščenka sem deset let učila obe strani, naj se ne postavljata na skrajni stališči. Postavlja se vprašanje, ali ima delodajalec v primeru smrti delavca pravico do vpogleda v njegovo elektronsko pošto oziroma do vseh dokumentov na pokojnikovem računalniku. Dejstvo je, da je lastnik računalnika delodajalec, ki ima pravico, da to delovno sredstvo preda novozaposlenemu, ki bo nadomestil pokojnega delavca.

Pri tem je treba biti izjemno pozoren, saj v Sloveniji še nimamo zakona o zasebnosti na delovnem mestu. Čeprav sem ga sama predlagala že pred petimi leti, zanj ni bilo posluha ne na ministrstvu za pravosodje ne na ministrstvu za delo. Če zakona ni, je kljub temu treba najti neko rešitev. V podjetju je treba ustanoviti tričlansko komisijo, v kateri naj bodo predstavniki zaposlenih in vodstva podjetja. Pri pregledu dokumentov je velikokrat že na prvi pogled jasno, da gre za zasebno zadevo. V tem primeru naj se zasebni dokumenti uničijo, pokojnikovi svojci nimajo pravice do njegovih osebnih podatkov. Vse, kar je službenega, pa naj ostane na računalniku, ki gre v roke na novo zaposlenemu.

Še bolj občutljiva je elektronska pošta, po kateri se ne sme brskati kar vsevprek. Delodajalce, predvsem v zasebnem sektorju (v javnem sektorju so te zadeve bolje urejene) sem večkrat opozorila, da je dolžnost delavcev, da svojega nadrejenega obveščajo, kaj počnejo na delovnem mestu. Pravica delodajalca pa je, da od delavca zahteva, naj vso službeno elektronsko pošto prepošilja na neki skupni naslov podjetja. Vse službene zadeve naj se zbirajo na nekem skupnem službenem predalu, do katerega imajo dostop vodilni v podjetju.

V javnem sektorju obstajata tako imenovani dokumentni sistem Spis in uredba o upravnem poslovanju, ki zavezuje vse zaposlene v javnem sektorju, da se vse dokumente, ki so del neke zadeve, ki jo obravnava javni sektor, spravijo v spis zadeve (ali v e-Spis). Ko neki zaposleni odide ali umre, je službena korespondenca dostopna brez težav.

Delavci, predvsem v gospodarstvu, so delodajalcem večinoma na razpolago tudi zunaj službenega časa, zato bi bilo pravilo, da se službeni poštni naslov lahko uporablja le v službene namene in da lahko delodajalec kadar koli pogleda v poštni predal, nezakonito. Informacijski pooblaščenec takšne odločbe v pravilniku pri inšpekcijskem nadzoru odpravi. Treba je poiskati drugačne rešitve.

Velikokrat pa se zgodi, da je delavec dalj časa odsoten. Kako ravnati v takšnem primeru?

Najlažje je, da se zaposlenega pokliče in vpraša, ali dovoli, da se pogleda v njegov računalnik, se po napotkih zaposlenega najde iskani dokument in se ga natisne, ali, še bolje, da se zaposleni prek oddaljenega elektronskega dostopa sam priklopi na službeni računalnik od doma in v službo posreduje potrebne informacije. Če je zaposlen sprt s svojimi nadrejenimi, kar ni redkost in zaradi spora zapusti podjetje, lahko zagrozi, da bo delodajalca prijavil informacijskemu pooblaščencu, če se bo na kakršen koli način dotaknil njegove službene pošte.

V takšnem primeru naj delodajalec sestavi tričlansko komisijo, zaposlenega pa obvesti, kdaj bodo pregledali njegov računalnik. Povabijo naj ga zraven in mu izročijo njegove osebne dokumente. Če zaposleni ne pride, naj delo opravi komisija sama. Zasebne zadeve naj zapečati na posebni disk, ki se post festum izroči zaposlenemu oziroma se ga uniči, če delavec ne pride ponj. Zasebna elektronska pošta naj se ne odpira, saj se že iz naslova zadeve vidi, ali gre za službeno ali za zasebno pismo.

Zaposleni se pogosto sprašujejo, ali informatiki v podjetju lahko prebirajo njihovo elektronsko pošto. Razširjeno je mnenje, da je to pogost pojav, da smo zaposleni tarča vohunjenja in vdora v zasebnost. Ali je to realna nevarnost in kako pogosto se to v resnici dogaja?

To se dogaja, zato se je treba zavedati, da so informatiki tako imenovani »superuserji«, ki imajo dostop do vsega, kar je v informacijskem sistemu nekega podjetja, razen tega znajo za seboj zabrisati sledi. V zakonu o varstvu osebnih podatkov sicer obstaja tako imenovano načelo sledljivosti, kar pomeni, da mora sistem omogočati vpogled v to, kdo je kdaj gledal določen dokument.

V Sloveniji je znan primer ene od slovenskih fakultet, ko je informatik bral elektronsko pošto profesorjev in jih je potem izsiljeval z njihovo zasebno korespondenco. Informatikom morajo zaposleni zaupati – vendar pa, za koga lahko damo roko v ogenj? A tudi za preveč radovedne informatike obstaja zdravilo – to so sistemi, ki omogočajo sledljivost tega, kar počnejo. Ta sistem sledljivosti je v neki črni skrinjici zunaj dosega upravljavca informacijskega sistema. Na takšen način delajo velike organizacije, kot so banke, zavarovalnice in podobni, ki morajo zelo paziti, da jim podatki ne uhajajo.

Ali lahko sami posumimo, da nam nekdo prebira zasebno elektronsko pošto?

Težko, zato so posegi v človekovo zasebnost, ko nam vdirajo v elektronsko pošto, lahko zelo kruti in boleči za posameznika, saj smo nevede popolnoma razgaljeni. Pomembno je, da si v dobi, ko nam vladajo informacijske tehnologije, prizadevamo za ozaveščanje vodilnih v podjetju, da postanejo občutljivi za tovrstne probleme. Ne nazadnje se to lahko zgodi tudi njim.

Zavedati se moramo, da stoodstotne varnosti ni. Tudi če se odločimo, da službenega naslova ne bomo uporabljali v zasebne namene, lahko vsakdo v prosti prodaji kupi posebne programe za nekaj sto evrov, ki omogočajo popoln nadzor nad tem, kar se dogaja na določenem računalniku. To so programi, ki beležijo obiske spletnih strani. Mnogi, še bolj zlobni programi znajo krasti celo gesla in omogočajo vpogled v zasebno elektronsko pošto.

Kolikokrat se zaposleni odločijo za tožbo, ko ugotovijo, da so jim brali elektronsko pošto?

Pri informacijskem pooblaščencu je vse več prijav. Pregleda nad tem, kolikokrat se zgodi sodni epilog, pa nimam.

Kaj je dolžan narediti delodajalec, ko gre za utemeljen sum storitve kaznivega dejanja zlorabe poslovne skrivnosti ali tajnega podatka?

V takšnem primeru mora delodajalec takoj zapečatiti sobo in računalnik, za katerega sumi, da je vpleten v zlorabo, in poklicati policijo. Ta bo lahko s sodno odredbo zakonito posegla v komunikacijsko zasebnost.

Kako razširjena je praksa, da delodajalec prepove zaposlenim brskanje po internetu in zasebno komunikacijo iz službenega elektronskega naslova?

Kot informacijska pooblaščenka sem v pravilnikih podjetij velikokrat naletela na takšno določbo; z dodatkom, da lahko delodajalec kadar koli tudi nadzira. A ta nadzorna določba je nična in jo informacijski pooblaščenec razveljavi, ker ni skladna z zakonom o varstvu osebnih podatkov. Delodajalec ima pravico blokirati določene spletne strani, podobno kot ima pravico na službenih telefonih blokirati številke 090. Delodajalec ima tudi pravico, da posameznemu delavcu, ki pri svojem delu ne potrebuje interneta, dodeli računalnik brez dostopa do spleta.