Službeni mail, ko odideš

AndrejO - glede na to, da delaš za podjetje, ki je eden največjih svetovnih zbiralcev osebnih podatkov, ki je v večnem sporu z evropsko komisijo, bi rad vsem ostalim očital, da kršijo ZVOP - dvojna merila?

Če govorimo o kateremkoli logiranem podatku znotraj nekega podjetja, je tak podatek VEDNO možno povezati oz. je že direktno povezan) z neko osebo. Če vemo IP naslov računalnika, tudi vemo, kdo sedi za tem računalnikom.
Prav nobene 'povezave z osebnimi podatki' tu ni potrebno ustvarjati, ker ta že sama po sebi obstaja na osnovi IP naslova. Izjema so tu le omrežja, kjer se uporablja DHCP, kjer je dejansko potrebno vzpostaviti neko povezavo med IP naslovom in računalnikom, ki ga je dobil dodeljenega v določenem času.

Omrežje podjetja pač ni možno enačiti z omrežji operaterjev, kjer takšna povezava sam po sebi ni nujno podana in se mora nekdo potruditi, da bi jo ustvaril.

Če ti nakladaš o teoriji, jaz govorim o praksi. Neka Ljubljanska banka, ki ima celo stotniko informatikov, si morda lahko privošči teoretitzirati o skladnosti z ZVOP. Podjetje z manj kot 200 zaposlenimi in enim ali dvema informatikoma, pa si to ne more privoščiti. Svoje delo opravljajo v skladu z 'dobro prakso' in večina jih to delo opravlja v smislu ZVOP - koneckoncev so večinoma preobremenjeni z rednimi nalogani in jim še na pamet ne pada, da bi šli brskati, kaj neki konkretni uporabnik počne.
Ti fantje in dekleta se trudijo, da bi obdržali omrežja funkcionalna, in samo to še rabijo, da jim bo nekdo očital, da so neke vrste kriminalci, ki bi jih moral obiskati IP-RS in pregajati, ker niso vsak log na svojem omrežju registrirali kot 'zbirko osebnih podatkov'.

Drugače pa se z Lakotnikom že enkrat zmenita, ali se pogovarjamo o logiranju podatkov ali o dostopu do logiranih podatkov - najprej nakladata, da se ne sme logirati, potem pa obrneta zadevo in meni očitata, da jaz ne ločim zlorabe logiranih podatkov - v isti sapi pa omenjata kot zlorabo, če obstaja povezava z nekim osebnim podatkom. Taka povezava VEDNO obstaja - brez nje bi koneckoncev logirani podatki bili (vsaj deloma) neuporabni.

Kaj pa kdo potem v praksi s temi podatki počne, pa je čisto druga zgodba, o kateri jaz sploh nisem govoril, zato mi tega tudi ne podtikajta!

Invictus je 29. sep 2014 ob 14:35 izjavil:

KAkorkoli že.

Ampak v tvojem primeru nobena banka ne bi mogla implementirati audita, kjer se beleži dostop do aplikacij. Ta audit je pa zahteva s strani regulatornih inštitucij. Kar pomeni da nobena slovenska banka sploh ne sme delovati, ker teh podatkov ne sme zbirati.

Zakon je pač napisan v veri da resnica ni ena, ampak jih je več.

V času, ko je Identity Management eden večjih 'buzzword-ov' v velikih podjetjih in se vse upravljanje čedalje bolj pomika na nivo 'vemo, KDO je bil', sploh nima smisla o tem razpravljati.

Ni poanta zakona v tem, KAJ je osebni podatek, temveč kako je varovan, kdo ima do njega dostop in pod kakšnimi pogoji.
Po pravilu že tako 'navadni uporabniki' nimajo dostopa do logiranih podatkov, ampak zgolj administratorji. Bi pa zelo rad videl podjetje, ki točno vodi knjigo o tem, kdaj je kateri admin vpogledal v mail.log datoteko, zaradi česa je vpogledal oz. kaj je notri iskal in kdo mu je za to dodelil posebno dovoljenje - tako si to namreč nekako predstavlja ZVOP in razni teoretiki. Pri tem pa bi ti isti teoretiki radi še videli, da admin pri tem ne bo videl ostalih zapisov. Skratka totalno skregano s prakso.
Direktor, ki bi mu prišel admin 10x na dan po podpis, da sme vpogledati v nek določen log, bi se mu verjetno tudi kmalu enkrat strgal film.

Pri operativnem delu upravljanja varnosti, te ne zanima zgolj kako pogosto je bil FB obiskan - če si postavil pravilo, da se FB blokira, te zanima predvsem, če se je kdo izmuznil temu pravilu in moraš podvzeti popravke. Anonimizirana diagnostika pa pri tem ne koristi veliko, ker boš moral tudi preveriti, če se morda na računalniku določenega uporabnika ne nahajajo posebna orodja, s katerimi lahko zaobide zastavljena pravila - in to ne zaradi FB, temveč zato, ker taka orodja že sama po sebi predstavljajo varnostno tveganje za organizacijo.

Kako nesmiselna je anonimizacija podatkov, pa lahko ponazorim v primeru opozorila, da imaš nek računalnik okužen s trojancem, da je del botneta in podobno.
Kako naj izgleda reševanje takega problema pri anonimiziranih podatkih (da tudi IP naslova ni poleg, ker bi ta neposredno pokazal na uporabnika)? Bi zaradi enega računalnika šel izvajati čistilno akcijo na sto in več računalnikih, v upanju, da bo uporabljeno AV orodje tudi dejansko zaznalo tisto zlonamerno kodo?

'Obdelava osebnih podatkov' je zelo širok pojem - tako širok, da noter pada Google, ki spremlja vsak naš korak, da bi nam prodal reklame, ki jih baje želimo videti, pa vse tja do navadnega vpogleda v mail.log datoteko.
Vse tlačiti v isti koš ne velja - točno to pa nekateri v tej diskusiji počno.

Ločiti je treba med podatki, ki jih operativa (upravljalec omrežja, 'mailmaster', upravljalec varnosti, itd.) potrebujejo za profesionalno izvajanje svojega dela in podatki, ki se jih v obliki poročil posreduje nadrejenim, ki s samo operativo nimajo direktnega opravka (npr. poslovodstvo podjetja). Mislim, da je vsakomur jasno, da poročila, ki jih IT periodično posreduje poslovodstvu ne smejo vsebovati osebnih podatkov. Je pa to teško zagotoviti, če ima poslovodstvo dostop do analitičnih orodij, kjer se ne da izključiti možnosti 'drill down-a', tako da se vidi še kaj več, kot zgolj kumulativne (anonimne) podatke.

Problem pri tem je tudi to, da je IT kader zgolj 'delovna sila' in se lahko znajde pod pritiskom vodstva. Čeprav prepovedano in kaznivo, se lahko administrator v IT-ju znajde v nevšečnem položaju, da vodstvo od njega zahteva podatke, ki jih po zakonu nebi smel posredovati. Kdo je tu potem tisti, ki nosi odgovornost za prekršek zoper ZVOP - poslovodstvo, ki je zahtevo podalo, ali administrator, ki je nekakšen 'varuh' teh podatkov?
Seveda lahko administrator poda kazensko prijavo zoper takšno zahtevo - s tem pa tudi svoje ime zapiše na vrh seznama delavcev, ki bodo postali tehnološki presežek (nagradno vprašanje: koliko administratorjev pri nas je že podalo takšne ovadbe?).

Zelo preprosto je svetovati, da naj administratorji delajo zgolj z anonimiziranimi podatki. Analitična orodja, ki se danes po večini uporabljajo, takšno opcijo ne omogočajo. Me res zanima, kako naj bi to potem v praksi izgledalo.

AndrejO je 29. sep 2014 ob 14:55 izjavil:

Zmota, da "osebni podatek" avtomatično pomeni, da se ga ne sme obdelovati ali pa, da se ga ne sme obdelovati brez predhodnega strinjanja osebe na katero se podatek nanaša, je zelo pogosta.

Ampak točno to zmoto še poglabljate s takšnim pisarjenjem!

Bolj, ko jaz trdim, da operativa potrebuje 'obdelavo osebnih podatkov', saj brez tega ne more izpolnjevati svojih nalog, bolj nakladate da jaz kao nimam prav, pa vse tja do tega, da naj bi se anonimizoralo podatke. Ko se pa Invictus oglasi, pa zasuk za 180 stopinj in kar na enkrat to postane zmotno prepričanje. WTF?!? Ali sploh preberete, kar jaz napišem, ali kar pavšalno mal udrihate?

ZVOP pa je za moje pojme glede 'obdelave osebnih podatkov' dokaj meglen, vsaj zame, ki nisem pravnik.
Že res, da 10. člen opredeljuje, kdaj se sme 'obdelovati osebne podatke', ampak v bistvu tretji odstavek na koncu odpira več vprašanj:

"Ne glede na prvi odstavek tega člena se lahko v zasebnem sektorju obdelujejo osebni podatki, če je to nujno zaradi uresničevanja zakonitih interesov zasebnega sektorja in ti interesi očitno prevladujejo nad interesi posameznika, na katerega se nanašajo osebni podatki."

Tu se potem lahko kregamo ure in ure, kdaj konkretno "očitno prevladujejo interesi podjetja nad interesi posameznika". Točno zaradi tega se potem nekateri tožarijo po sodiščih, itd.
Potem pa sodišča v eni državi odločijo tako, v drugi državi pa drugače, medtem ko pri nas neke hude pravne prakse s tega področja ni. Ko vprašaš IP-RS, ta nekaj mutivodari, kvasi o sorazmernosti, kao 'načeloma smeš, če ne pretiravaš', potem na koncu pa spet to isto izpoved deloma negira s primerom z evropskega sodišča, ki je v nekem konkretnem primeru (katerega širše okoliščine se ne navaja) ugodilo tožbi zaposlenega.

Zame je popolnoma nesporno, da nihče v podjetju nima kaj brati elektronske pošte posameznika - pač področje, kjer je nesporno interes zasebnosti posameznika nad interesom podjetja, tudi če je ta posameznik osumljen, da iz podjetja preko elektronske pošte pošilja zaupne podatke. Tu se potem že nahajamo na področju kaznivih dejanj, kjer podjetje lahko zgolj zavaruje dokaze, ostalo pa opravi policija z ustreznimi pooblastili.

Precej sivo področje je tu še uporaba DLP rešitev, za katere bi nekateri spet radi trdili, da predstavljajo nedopusten poseg v zasebnost, vendar to je že spet druga zgodba.

Toda govora je o elektronski pošti po odhodu posameznika iz podjetja. V primeru zasebnega podjetja, je povsem ustrezen način, da se posamezniku pove, da ima v času odpovednega roka možnost, da si na primeren način shrani svojo zasebno pošto, in jo izbriše.

Problem je le v poslovni korespondenci. V času 'papirnate pošte' se je ta sproti arhivirala v fasciklih. Ko je delavec odšel, je fascikel ostal na svojem mestu.
Danes, ko je papir zamenjala elektronska pošta, pa je zadeva postala komplicirana, saj jo lahko zaposleni pred odhodom izbriše, kar lahko podjetju brez centralnega arhiviranja elektronske pošte (večina malih podjetij!) bistveno oteži kasnejše dokazovanje, kaj se je podjetje dogovarjalo s strankami.

Kjer vladajo fer in profesionalni odnosi, do takih vprašanj sploh nebi smelo prihajati - problem so vedno tisti primeri, kjer takšni razhodi potekajo na umazan ali neprijeten/nepošten način.

Jah razen nekakšne prijave ne moreš narediti ničesar.

Nas je ravno zapustil en sodelavec in ker pač je imel pomembno funkcijo v podjetju, so se njegovi mali posredovali sodelavcu v pisarni, po 3 tednih pa se je mailbox izbrisal.
Zna biti zelo nerodna reč, če je veliko aktivnih projektov in nekdo pomemben odide. Brati njevovih mailov pa načeloma nebi smel.

Ubistvo bi bilo najbolje, da bi uslužbencem dodelil nova službena imena, ki bi jih uporabljali v službenem času.

Ne vem, glede da opravljaš službeno komunikacijo s službenim mailom je pač nelogično, da je tvoje delo, ki si ga opravil za službo tvoja last oz. delodajalec ne sme brati vsebine. Nek uslužbenec bo potem sklenil neko pogodbo preko emaila in ko odide ne smeš niti pogledat pisnega dogovora, ki ga je sklenil?

Že po defaultu bi se morala vsa službena komunikacija pač nekam shranjevati. Če imaš pa zraven odprt privat email na nekem web mailu je pa pač tvoje.

kuall je 22. jul 2020 ob 11:56 izjavil:

lonz je 26. sep 2014 ob 09:05 izjavil:

Kaj pa v primeru da je mail naslov "generičen" kot npr.: racunovodstvo@imefirme.si in ga zaposleni uporablja za časa zaposlenosti za določen čas?

Heh če je ta zaposleni tako zabit, da ne zna predvidevat, da bo šel enkrat lahko ven iz firme in da ne sme takih emailov uporabljat za privatne zadeve potem mu ni pomoči.

Verjel ali ne, imaš celo tako zabite ljudi, ki gredo odpirati account na portale kot ona-on s takšnim 'alias' naslovom.
Seveda je potem pestro, ko nesojene 'ljubice' pišejo mailčke na ta naslov....

Ali sme firma prejemati maile za janez.novak@firma.si, ce v njej ni nobenega Janeza Novaka? Zakaj da oziroma zakaj ne?

Ja, se strinjam. Tehnicno so stvari dokaj enostavne, zakonsko/moralno pa pojma nimam, kaj je prav. Se najlazje bi verjetno bilo, da bi bili vsi naslovi @firma.si pac last tistega, ki je lastnik te domene. Je @gmail.com naslov, ki ga imate, vas? So bili tudi @email.si naslovi vasi in zakaj sedaj niso vec ;) ? Kaj storiti, ko en Janez Novak zapusti firmo, pa na njegovo mesto (no ja, v isto podjetje, ne nujno na isto pozicijo) pride drugi, ki je prav tako Janez Novak?

Uporabnik je 26. sep 2014 ob 08:41 izjavil:

Mislil da lahko, če te prej obvesti, al nekaj takega. Je kakšen zakon glede tega?

Ne sme jih. Nikoli...

Butast zakon o varstvu osebnih podatkov...

Pa butast folk, ki služben email uporablja za privat zadeve...