Monitoring zaměstnanců je legální!

Ochrana soukromí a osobních dat je jedním z úkolů bezpečnostního manažera. Nicméně jeho prioritou by také měla být ochrana dat zaměstnavatele. Mezi činnosti CISO patří také sledování událostí, které se dějí v rámci informačního systému. Monitoring je jedním ze základních požadavků ISO 27001 (A10.10) a sběr a vyhodnocování událostí je zdrojem pro měření bezpečnosti (viz ISO 27004). Proč však Úřad na ochranu osobních údajů vydává stanoviska, která brání naplňování bezpečnostních standardů a nejlepších praktik?

Na začátek jednoduchý příklad: jsem zaměstnanec. Mám k dispozici služební auto, sekretářku, notebook, mobil a kancelář. Vše patří mému zaměstnavateli (kromě té sekretářky, tu jen platí) a jeho prostředky mohu neomezeně využívat, ale...

Lze předpokládat, že v jiných firmách panuje obdobná kultura. Zaměstnanci mají k dispozici řadu firemních prostředků, které mohou a musí využívat pro pracovní účely. České zákony v některých případech upravují soukromé použití firemního majetku, např. je povinné platit daň za soukromé cesty služebním autem. Na firemním notebooku je možné mít pouze legální obsah a software s licencí na zaměstnavatele. Úřad však nepřípustně rozšiřuje práva zaměstnanců na soukromé využívání firemních prostředků a zaměstnavatelům znemožňuje kontrolu využívání pracovní doby.

LEGÁLNÍ MONITORING POHYBU ZAMĚSTNANCŮ

Úřad (zatím) nemá nic proti monitoringu aut pomocí GPS nebo služby SherlogTrace. Oběma způsoby lze přesně určit, kde se fyzicky auto (a tedy i zaměstnanec) nachází. Lze detailně analyzovat jeho cestu od jednoho zákazníka k druhému. Zastavil se na hodinu na oběd? OK, v pořádku. Zajel si ve 2pm nakoupit do Makra? Toto asi nebude v souladu s pracovním řádem.

Za předpokladu, že auto je přiřazeno pouze jednomu řidičovi a lze přesně identifikovat komu, je možné po celou pracovní dobu sledovat jeho fyzický pohyb. Jak je tedy možné, že jeho virtuální pohyb po informačním systému sledovat nelze? Když je možné zjistit a postihnout zaměstnance za to, že strávil hodinu pracovní doby soukromým nákupem v Tescu, jak to, že není možné zjišťovat jeho "zastávku" na Alza.cz, kde si hodinu vybíral novou televizi do ložnice?

Anebo jsou data o fyzickém pohybu zaměstnance získaná pomocí GPS osobními údaji? Milý Úřade, jaké je tvoje stanovisko?

Problém je však někde jinde. Když se začal rozšiřovat internet a email, nikdo nedokázal na začátku odhadnout podíl firemní a soukromé komunikace. Nikdo nestanovil základní pravidla pro soukromé a firemní využívání. Je to logické, protože taková pravidla stanovit nešla a je otázkou, zda nyní stanovit jdou. Dnes, když zaměstnanec dostane firemní auto, musí jít povinně (ze zákona) na školení, musí podepsat, že ho bude-nebude využívat pro soukromé účely a je srozuměn s tím, že nepovolená soukromá cesta bude ihned zjištěna díky monitorování GPS. Lze toto aplikovat i na firemní notebook?

Pokud dostane zaměstnanec auto s povolením jeho využívání pro soukromé účely, strhává se mu část ze mzdy. Stát si tedy uvědomuje, že může vybírat daň za soukromé využívání firemních prostředků. Kdy přijde stát na to, že by měl danit i soukromé používání firemního notebooku? Úřad ve svých stanoviscích explicitně uznává soukromé využívání firemních prostředků IT, proto ke zdanění není daleko.

(NE)LEGÁLNÍ MONITOROVÁNÍ EMAILŮ

Ochraně zaměstnanecké emailové komunikace se detailně věnuje stanovisko 2/2009 Úřadu, kde je uvedeno: „Soukromý e‑mail zaměstnance smí zaměstnavatel na základě oprávnění daných mu novým zákoníkem práce otevřít a přečíst pouze výjimečně, v zájmu ochrany svých práv, především jestliže je zřejmé, že se jedná o pracovní e-mail, tj. lze-li tento závěr učinit na základě údajů uvedených v hlavičce, a jestliže je pravděpodobné, že z objektivních důvodů, jako je dlouhodobá nemoc zaměstnance, by k jejímu vyřízení zaměstnancem mohlo dojít natolik pozdě, že by zaměstnavatel mohl utrpět újmu na svých právech.“

Co to je "soukromý email zaměstnance?" Emailový účet vytvořený na poštovním serveru zaměstnavatele reprezentovaný emailovou adresou s firemní doménou nemůže být považován za soukromý. Zaměstnavatel má tady objektivní důvod předpokládat, že všechna data uložená na jeho poštovním serveru jsou firemní. A má také plné právo všechna uložená data analyzovat, zda se mezi nimi nenachází nelegální obsah.

A jak má zaměstnavatel poznat, že obsah emailu je soukromý, když není běžně oprávněn si přečíst ani hlavičku? I když ve výše uvedené citaci Úřad čtení hlavičky nezakazuje, v jiném odstavci stanoviska 2/2009 Úřad uvádí rozpor, kdy hlavičku emailu je možné přečíst pouze ve výjimečných případech: „Zaměstnavatel není oprávněn sledovat, monitorovat a zpracovávat obsah korespondence svých zaměstnanců. Zaměstnavatel případně smí u svých zaměstnanců pouze sledovat počet došlých a odeslaných e-mailů, případně (tj. zejména vznikne-li podezření ze zneužití pracovních prostředků, resp. využití k jiným než pracovním účelům) včetně hlavičky, tj. komu píší a od koho je dostávají.“ Inspektoři Úřadu musí být velmi zkušení bezpečnostní manažeři, když dokáží odhadnout zneužití pracovních prostředků pouze ze statistiky došlých a odeslaných zpráv.

Úřad se také ve stanovisku 2/2009 odkazuje na listovní tajemství a analogii emailu a papírové pošty. Zákon č. 29/2000 Sb., o poštovních službách v §5 odst. 7 uvádí: „Je-li v poštovní adrese uvedena na prvém místě právnická osoba a na druhém místě fyzická osoba, za adresáta se považuje právnická osoba. Je-li v poštovní adrese uvedeno na prvém místě jméno a příjmení fyzické osoby a na druhém místě označení právnické osoby, za adresáta se považuje fyzická osoba s tím, že poštovní zásilka nebo poštovní poukaz má být dodán prostřednictvím této právnické osoby. Je-li v poštovní adrese namísto jména a příjmení určité fyzické osoby uvedena pouze její funkce v právnické osobě, za adresáta se považuje právnická osoba.“

Analogicky však toto opatření nelze aplikovat na email, protože ten svou strukturou může být pouze jednořádkový a vždy je na prvním místě jméno. Pokud kdokoli píše email na firemní adresu, nemá možnost se rozhodnout, zda ho pošle jako soukromý (jmeno@firma.com) nebo firemní (firma@jmeno.com). Není možné ani využít pozice ve firmě. Kdo si může pamatovat, že zrovna Pepa Vopršálek je pracovnik27callcentrum2kolin@telefon.cz?

Úřad se snaží ve svém stanovisku nazvat osobními údaji téměř vše, co je spojeno s elektronickou komunikací. Dokonce samotná emailová adresa je podle něj osobní údaj: „Ačkoliv e-mailová adresa patří zaměstnavateli, je-li složena z jména a příjmení zaměstnance např. Jan.Svoboda@doména.cz, je e-mail na ni doručený soukromou elektronickou poštou a taková e-mailová adresa je sama o sobě vždy osobním údajem.“

Zde je však rozpor se samotnou definicí pojmu osobní údaj, viz §4 odst. a) zákona 101/2000 Sb.: „Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“

Opravdu lze podle emailu identifikovat konkrétní osobu? Ve velkých společnostech jsou běžné emailové adresy Josef.Novak1@firma.cz nebo Josef.Novak2@firma.cz nebo Josef.Novak3@firma.cz. A jak je to s emailem novak@firma.cz? Rozhodně lze pochybovat, že podle emailu, který je tvořen pouze na základě příjmení, je možné identifikovat konkrétní osobu. Je velmi pravděpodobné, že jestli je email ve tvaru novak@firma.cz, je v dané firmě pouze jeden konkrétní jednoznačně určitelný pan Novák. Pokud je však emailová adresa osobním údajem, pak jakékoli uvedení jména anebo příjmení je osobní údaj. Dojde snad úřad tak daleko, že zruší jmenovky na schránkách a zvoncích? Podle nich lze úplně stejnou logikou také jednoznačně určit subjekt údajů. Musí majitel mobilu, kde jsou v adresáři uvedené všechny kontakty na osobu, podávat na Úřad oznámení o zpracování osobních údajů?

MONITOROVÁNÍ PŘÍSTUPU NA WEB

Úřad ve stanovisku 2/2009 také uvádí, že zaměstnavatel nesmí sledovat používání webových stránek zaměstnanci: „Sledovat používání webových stránek zaměstnanci pro účely zaměstnavatele tedy možné není, pokud nejsou splněny zákonem stanovené podmínky, tj. závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele. Pod tím si lze představit například mezinárodní bankovní převody nebo dozor nad prací vězňů.“

I když lze věřit ve vysokou kompetentnost pracovníků Úřadu, není možné toto stanovisko nepovažovat za přehnané. Logování přístupů na web společně s ID uživatele a IP adresou konkrétní pracovní stanice je standardní funkcí každého firewalu a proxy. Podle vyjádření Úřadu však hrozí pokuta 10 000 000 Kč všem organizacím, které mají takto připojený systém na internet.

Úřad se ve svém stanovisku opírá o směrnici Evropského parlamentu a Rady 2002/58/ES, která mluví o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací. Ve stanovisku 2/2009 Úřad za směrnice cituje část článku 26: ...údaje o účastnících, které jsou zpracovávány v rámci sítí elektronických komunikací pro navázání spojení a přenos informací, obsahují informace o soukromém životě fyzických osob a dotýkají se práva na ochranu jejich korespondence nebo se dotýkají oprávněných zájmů právnických osob. Takové údaje je možno uchovávat pouze v rozsahu, který je nezbytný pro poskytování služby pro účely účtování a platby za propojení, a to po omezenou dobu.“

Pokud si ale pozorný čtenář přečte celý článek 26, pochopí, že Úřad vytrhává z kontextu věty, které se mu do jeho stanoviska hodí. Doplnění citace zní: „Jakékoli další zpracování takových údajů, které by poskytovatel veřejně dostupných služeb elektronických komunikací chtěl provádět pro potřeby marketingu služeb elektronických komunikací nebo pro poskytování služeb s přidanou hodnotou, je přípustné pouze za předpokladu...“ Úřad tedy ve svém stanovisku úspěšně zamlčuje, že celá směrnice je o ochraně soukromí, kterou musí zajistit poskytovatel veřejně dostupných služeb elektronických komunikací a tím zaměstnavatel pro své zaměstnance není (dokonce i v případě, že zaměstnavatel je ISP).

Zaměstnavatel může bez jakýchkoli obav před postihem Úřadu zaznamenávat všechny přístupy na všechny webové stránky ze všech firemních počítačů. Je zcela legální zaznamenávat události na proxy nebo firewallu a vyhodnocovat je, mj. i za účelem kontroly zaměstnanců a využívání pracovní doby. Log nemusí obsahovat ID uživatele (i když ID není osobní údaj), stačí zaznamenávat IP, z kterého jsou přístupy konány, a po vyhodnocení v potřebných případech spojit IP s konkrétním zaměstnancem.

ANO, JE MOŽNÉ LEGÁLNĚ MONITOROVAT EMAILY

Všechna data, která jsou uložena na zařízení zaměstnavatele, jsou v jeho vlastnictví, pokud smlouva nebo legislativní předpis nestanoví jinak. Není sporu v tom, že záznamy (logy) o aktivitě v systému jsou data, jejichž vlastníkem je zaměstnavatel. Rozsah záznamu o dané události je záležitostí nastavení nástroje pro log management, a pokud záznam neobsahuje osobní údaje, nelze na něj aplikovat zákon 101. V praxi tedy stačí, aby záznam o příchozím nebo odchozím emailu obsahoval celý obsah i hlavičku, kde však bude emailová adresa zaměstnance nahrazena anonymním identifikátorem. Tomuto se říká normalizace záznamů pro potřeby SIEM (Security Information and Event Management). Identifikátor bude možné zpětně spojit se jménem uživatele, ale přístup k této databázi bude přísně řízen a nemusí ho mít stejné osoby, jaké mají přístup k logům.

Analýza nad těmito logy (včetně obsahu emailů) může probíhat bez znalosti konkrétních osob a pouze v případech, kdy opravdu dochází k porušování pracovní smlouvy, tzn. že zaměstnanec nepracuje a řeší soukromou korespondenci, lze v jiném datovém zdroji (např. HR systém) identifikovat konkrétní osobu a zahájit například disciplinární řízení.

ZAMĚSTNAVATEL MUSÍ KONTROLOVAT EMAILOVOU KOMUNIKACI

Nový zákoník práce v § 316 odst. 2 poněkud nešťastně zmiňuje, že zaměstnavatel nemůže bez závažného důvodu kontrolovat elektronickou poštu: „Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.“

Otázkou zůstává, kdy má zaměstnavatel závažný důvod monitorovat emaily. Je to ochrana vlastního majetku (data), sledování spotřeby pracovní doby nebo kontrola dodržování legislativy (např. autorský zákon). Pokud by zaměstnanec využíval firemní prostředky k rozesílání spamové pošty, a zaměstnavatel by neměl možnost efektivně kontrolovat komunikaci, může se zaměstnavatel dostat do problémů, protože by neměl jak prokázat protiprávní jednání svého zaměstnance, resp. by o něm ani nevěděl. Bohužel pro zaměstnavatele by však v každém případě odpovídal za správní delikt rozesílání spamové elektronické pošty z firemního e-mailu (ust. § 118 odst. 1) písm. j) zákona o elektronických komunikacích). Možný postih pro zaměstnavatele je nemalý: až 10% z výnosů dosažených za poslední ukončený kalendářní rok, nejvýše 10.000.000,- Kč. Právní posouzení odpovědnosti zaměstnance nebo zaměstnavatele by bylo velmi složité a bez prováděné kontroly emailové komunikace by se zaměstnavatel mohl velmi jednoduše dostat do stavu důkazní nouze.

Zaměstnavatel může monitorovat a ukládat hlavičky i texty emailů pokud důvodně předpokládá, že obsahují čistě firemní komunikaci, neboť tak to určují vnitřní organizační předpisy a pravidla, které zaměstnanec akceptoval. Podle platné legislativy je možné, a v některých případech nutné, takovou komunikaci sledovat. A je spíše otázkou vkusu a etiky, kam až čtenář emailu zajde, když narazí na soukromé texty.

Není správné, aby zaměstnanec poslal soukromý papírový dopis na náklady zaměstnavatele a ještě k tomu zneužil jiných zaměstnanců, aby dopis odnesli na poštu. Stejně tak není možné explicitně povolovat soukromou elektronickou komunikaci realizovanou firemními prostředky na náklady zaměstnavatele. Zaměstnanci by neměli zneužívat benevolentnosti svých zaměstnavatelů. A pokud to dělají, měli by přijmout jím stanovené podmínky. Zaměstnavatel má plné právo sledovat všechny události v informačním systému a kontrolovat používání vlastních firemních prostředků.

Když se dostanu jako jednatel firmy k soudu za to, že z mých zařízení někdo (zaměstnanec) distribuoval nelegální obsah, můžu se pak u soudu vymluvit: "Sorry jako, ale já jsem nevěděl, že ta příloha emailu je nelegálně stažená MP3 nebo dětské porno. Úřad OOÚ mi zakázal monitoring komunikace mých zaměstnanců." Co si myslíte, že na to řekne soudce?

Článek byl publikován v Data Security Magazine 3/2010.

Použité zdroje

[1] Úřad na ochranu osobních údajů, Stanoviska úřadu, 30/6/2010
[2] Úřad na ochranu osobních údajů, Stanovisko č. 2/2009, Ochrana soukromí zaměstnanců se zvláštním zřetelem k monitoringu pracoviště, únor 2009
[3] Program ZÁKON verze 4.0, Vyhláška o základních službách držitele poštovní licence, 6/5/2010
[4] Úřad na ochranu osobních údajů, Zákon č. 101/2000 Sb., o ochraně osobních údajů, 4/4/2000
[5] Úřední věstník L 201, Směrnice Evropského parlamentu a Rady 2002/58/ES o soukromí a elektronických komunikacích 12/6/2002