Arhiviranje elektronske pošte bivših zaposlenih

Imam eno uprašanje za poznavalce zakona.

Podjetje je vodil direktor, ki je bil odpuščen s strani lastnika.
Ker je bil na sumu zaradi nepravilnega poslovanja, se kmalu za tem začnejo tožbe, nato sledi kriminalistična preizkava.
Kriminalisti z nalogom zahtevajo od službe Informatike poštni arhiv omenjenega direktorja.

Sedaj me pa zanima:

Ali je Informatiki sploh dovoljeno hraniti arhiv elektronske pošte bivšega zaposlenega, brez da bi imela za to z njegove strani soglasje oz. brez da bi bil obveščen, da se bo arhiv hranil na strežnikih( ne glede na interne akte, varnostno politiko )?

Hvala za informacije :)

Stvar je namreč takšna, do našega zaposlenega, ki je odgovoren za elektronsko pošto je pristopila pravnica in mu svetovala, naj ne predaja poštnih arhivov, saj bivši zaposleni ni dal soglasja za uporabo oziroma arhiviranje elektronske pošte in mu ni bila dana možnost izbrisa osebnih zadev iz poštnega predala.
Zdaj me pa zanima, če je to res oziroma če je lahko v tem primeru administrator kazensko odgovoren?

Hramba arhiva elektronske pošte po odhodu zaposlenega

Jaz ne zastopim nečesa drugega. Iz zgoraj linkanega odgovora IP izhaja, da podjetje lahko razpolaga s pošto (poštnim predalom) bivšega zaposlenega kot z arhivskimi dokumenti podjetja... Če me spomin ne vara, je bilo pred tem nekoč izdano mnenje taistega IP, da podjetje nima kaj brskati po poštnem predalu bivšega zaposlenega, češ da je to nesorazmerni poseg v zasebnost. Kje je zdaj tista odločba/mnenje IP-ja, se mi ne da brskat, a se mi zdi, da sem kar prav ujel.

Z drugimi besedami, torej, je bilo predhodno razumeti, da podjetje mora poštni predal bivšega zaposlenega ukiniti, kakor hitro je to mogoče (določen čas se lahko na predalu pusti še avtomatski odzivnik, ki obvešča o tem, da predal ni več aktiven, da pošte nihče ne bo bral in podaja alternativni poštni naslov za pošiljatelja). Ali še drugače: po preteku nekega doglednega časa naj bi se poštni predal skupaj z vso vsebino izbrisal.

Razumem, da lahko delodajalec še naprej uporablja poštni predal oz. vsebino le-tega, če zaposleni ob prenehanju delovnega razmerja pregleda svojo pošto in izbriše vse osebne podatke, vso privatno pošto. V praksi utegne biti to izjemno težko, komercialist lahko na leto prejme in pošlje tudi preko 10.000 poštnih sporočil (250 delovnih dni X 40 sporočil)... Kdo bo to pregledoval? Hkrati pa zaposleni ne bi smel niti pomotoma niti nalašč brisati pomembne poslovne komunikacije...? Torej bi mu ves čas moral nekdo gledati pod prste? In če na koncu zaposleni ne pristane na to, da se njegov poštni predal po njegovem odhodu uporablja, ker zavrne možnost brisanja zasebnih sporočil, hkrati pa ne dovoli vpogleda vanje?

Skratka - kako razrešiš to dilemo? IMO bi interni pravilniki podjetja že tako ali tako morali nalagati zaposlenim, da vso ključno dokumentacijo (tudi dogovore preko mailov) hranijo na namenski lokaciji. Poštni predal pa bi moral ostati nedotakljiv. V nasprotnem primeru nenadoma odpremo Pandorino skrinjico; če zaposleni ne pristane na pregledovanje deset tisočev sporočil in brisanje "občutljive" komunikacije, potem nenadoma daje sodelavcem in nadrejenim soglasje za brskanje po tem?

@mat_xxl - se bojim, da ne moreš zaposlenim kar tako prepovedati uporabe službenega maila tudi v zasebne namene. Mislim, da so bile neke sodbe na EU sodišču glede tega, ki so se izšle v korist 'neposlušnega' zaposlenega.

Je pa res, da bi takšna prepoved vsaj navidezno rešila zagato.
NAVIDEZNO - problem je namreč, ko zaposleni krši prepoved in vseeno izvaja zasebno korespondenco. Zakon ne loči med dovoljeno in prepovedano zasebno korespondenco. Lahko jo še tako prepoveduješ, pa še vedno ne smeš posegati vanjo. Brez posega pa jo boš tudi težko karkoli dokazoval.
Poleg tega, kaj je in kaj ni zasebna korespondenca? Če npr. ženo po mailu obvesti, da bo pozen, ker ima še delo - je to še službena ali že poslovna korespondenca?

Gremo po vrsti:
- prepovedat uporabe emaila za privatne namene ne smeš oziroma to nima pravne veljave. O tem so se večkrat izrekla sodišča tako pri nas kot v EU.
- emaile, ki so sestavljeni iz imena in priimka zaposlenega (oziroma drugega unikatnega identifikatorja) je potrebno obravnavati kot zbirko osebnih podatkov. V izogib tega nekatera podjetja striktno uporabljajo nepersonalizirane emaile (logistika@...., info@...).
- po odhodu zaposlenega je potrebno nemudoma deaktivirati pesonalizirani poštni predal. Z obstoječo pošto pa ravnati v skladu z internim pravilnikom. Tam se določi koliko časa se arhiv hrani, da mora zaposleni pred odhodom izbrisati vso zasebno pošto itd... Arhiv je potrebno hranit samo dokler je nujno potreben. Če pravilnika ni bi načeloma morali pošto čim prej po odhodu zbrisat.
- ne glede na prejšnjo točko, pa admin v tem trenutku NE SME zbrisat ali skrit arhiva, če je podjetje s strani policije prejelo navodilo, da mora to zbirko predat. To bi, ne glede na to, da arhiva načeloma ne bi smeli imeti, pomenilo kaznivo dejanje po 290. členu kazenskega zakonika.

Vmes najdejo truplo v predalu in ga ne smejo obravnavati, ker jim ne piše v nalogu? Veš da ne bo šlo skozi. V zakonu celo piše, da če vmes ugotovijo kako drugo kd, da so tako pridobljeni dokazi ok in ga seveda obravnavajo.

K0l1br1 je 27. okt 2017 ob 08:58 izjavil:

Vmes najdejo truplo v predalu in ga ne smejo obravnavati, ker jim ne piše v nalogu? Veš da ne bo šlo skozi. V zakonu celo piše, da če vmes ugotovijo kako drugo kd, da so tako pridobljeni dokazi ok in ga seveda obravnavajo.

Mešate hruške in jabolka. Napačno ravnanje s poštnimi predali in osebnimi podatki je v najslabšem primeru prekršek.

Administrator je v tem primeru v zelo nerodnem položaju in jaz bi na njegovem mestu bil izjemno previden. Glede na to, da je seznanjen s tem da policija te podatke želi pridobit (ne glede na to ali ima v tem trenutku odredbo ali ne) bi se vsako šarjenje po teh podatkih lahko smatralo kot kaznivo dejanje preprečitve dokazovanja. Predvsem pa bi bil naravnost nor, da bi šel sedaj kakorkoli brisat ali skrivat na podlagi nekega ustnega navodila nadrejenih.

Ni tako, kot če te ustavi policija, napihaš nulo, potem pa rečejo, "a, nimate gum dosti napumpanih, evo kazen".

V bistvu je.

St235 je 27. okt 2017 ob 09:04 izjavil:

Administrator je v tem primeru v zelo nerodnem položaju in jaz bi na njegovem mestu bil izjemno previden. Glede na to, da je seznanjen s tem da policija te podatke želi pridobit (ne glede na to ali ima v tem trenutku odredbo ali ne) bi se vsako šarjenje po teh podatkih lahko smatralo kot kaznivo dejanje preprečitve dokazovanja. Predvsem pa bi bil naravnost nor, da bi šel sedaj kakorkoli brisat ali skrivat na podlagi nekega ustnega navodila nadrejenih.

Zadeva je zelo preprosta.

Administrator podatke lepo zavaruje (to lahko vključuje tudi forenzično kopiranje) in to je to. Takšna obdelava osebnih podatkov v tem primeru nikakor ne more biti nezakonita.

Če pa mu nadrejeni kaj naročajo, pa naj mu dajo to pisno. Meni ni problem izbrisati podatkov, seveda hočem ustrezno dokumentirano navodilo. Ampak če bi pa vedel, da obstaja odredba za te podatke, pa seveda takega navodila ne bi izvršil, tudi če bi bilo pisno.

V glavnem, stavit grem, da se bo nekdo zaštrikal. Zato še enkrat - dobite odvetnika in mu plačajte znesek, ki bo v primerjavi s clustefuckom, ki bo sicer nastal, navaden drobiž.

poweroff je 27. okt 2017 ob 09:00 izjavil:

Kot je bilo že rečeno je seveda smiselno uporabljati maile logistika@..., itd. Vendar pa ne drži, da so e-mail predali ki so sestavljeni iz imena in priimka zaposlenega kar avtomatično zbirka osebnih podatkov. Konec koncev obstaja zakonodaja, ki podjetju nalaga hrambo določenih podatkov, revizijsko sled, hrambo poslovne dokumentacije,... ne moreš kar avtomatično reči da je e-predl pa kar naenkrat zbirka osebnih podatkov.

Prepovedat uporabo e-maila v neslužbene namene je pa tudi nezakonito. Poleg tega ti ne moreč vedet, če ti ne bo tretja oseba na tvoj službeni mail poslala kakšno zasebno sporočilo - in tretja oseba lahko pri e-mailu ime.priimek@... upravičeno pričakuje da bo imel višjo stopnjo zasebnosti kot logistika@...

Če gremo v konkretno situacijo. Zelo pomaga, če ima podjetje te stvari PREDHODNO urejene s pravnimi akti. Če pa jih nima, in če se takih preiskav lotevajo ljudje s premalo izkušnjami (sorry, "pravnica v podjetju" praviloma pojma nima o teh postopkih), se pa zna na koncu zgoditi katastrofa. Izločanje dokazov, še kakšna odškodninka zna pasti s strani bivšega zaposlenega...

Meni se zdi, da med prvim in drugim citiranim odstavkom nujno pride do konflikta. Če e-predal ni zbirka osebnih podatkov, potem podjetje lahko (vsaj v določenih primerih) brska po njem? Ta "v določenih primerih" je pa lahko zelo raztegljiva stvar in lahko prihaja do zlorab. Ko je škoda enkrat narejena, prizadetemu moralno zadovoljstvo ali pa sodna pot pomenita zgolj obliž na rano. Seveda se ne želim pretvarjat, da sem pravno podkovan - samo nadaljujem razpravo in upam, da se bom kaj naučil.

Si lahko še malo bolj natančen? (Enako povabilo tudi Lakotniku29) Tudi v delu, ko omenjaš interne akte? Ali ni dovolj samo interni zapis, ki predpisuje, da se vsa dokumentacija v zvezi s poslovanjem podjetja hrani na točno določeni lokaciji in da ta dokumentacija vključuje tudi relevantne e-maile ali dogovore iz e-mailov?

Ne razumem, npr., zakaj bi podjetje npr. prejeto fakturo hranilo samo v e-predalih? Komercialist dobi fakturo preko e-maila, nato jo preko e-maila pošlje v računovodstvo in tam je niti ne natisnejo, niti je ne vložijo v e-arhiv, ampak ostane samo v e-obliki? IMO je to fail. Enako recimo pogodbe, dogovori o dobavnih rokih... Vse to mora biti zavedeno še kje drugje, ne samo na email sporočilu. Enako pomembna interna komunikacija: odgovor razvojnika, kdaj bo končal neko fazo razvoja mora biti zabeležen tudi v Projektni mapi, v Excel datoteki ali v nekem "Tracker" programu...

Jaz verjamem, da bi bilo po odhodu kakega komercialista marsikdaj zanimivo npr. videt, kdaj se je prvič dogovarjal s partnerjem, kaj se je dogovarjal, kakšne cene, ipd... A po drugi strani, če ima podjetje poslovanje zastavljeno tako, da take podatke hrani izključno v e-predalih posameznih zaposlenih, ima IMO hude probleme v temelju organizacije dela.

imagodei je 26. okt 2017 ob 23:34 izjavil:

Jaz ne zastopim nečesa drugega. Iz zgoraj linkanega odgovora IP izhaja, da podjetje lahko razpolaga s pošto (poštnim predalom) bivšega zaposlenega kot z arhivskimi dokumenti podjetja... Če me spomin ne vara, je bilo pred tem nekoč izdano mnenje taistega IP, da podjetje nima kaj brskati po poštnem predalu bivšega zaposlenega, češ da je to nesorazmerni poseg v zasebnost. Kje je zdaj tista odločba/mnenje IP-ja, se mi ne da brskat, a se mi zdi, da sem kar prav ujel.

V tem primeru to ni problem, ker lahko kriminalisti dobijo sodni nalog, ki jim dovoljuje vpogled v vso pošto z namenom odkrivanja kaznivih dejanj. Podjetje pa jim lahko vse to preda, brez da bi bralo zasebna sporočila bivšega zaposlenega, ki mu zasebnost ni kršena nič drugače, kot če bi prišli kriminalisti k njemu z nalogom za pregled njegove osebne pošte.

Nastopi pa problem, če želi podjetje samo prebrati določene službene reči iz poštnega predala bivšega zaposlenega, ki pa iz njega ni prej pobrisal vse osebne pošte.

imagodei je 27. okt 2017 ob 09:57 izjavil:

Meni se zdi, da med prvim in drugim citiranim odstavkom nujno pride do konflikta. Če e-predal ni zbirka osebnih podatkov, potem podjetje lahko (vsaj v določenih primerih) brska po njem? Ta "v določenih primerih" je pa lahko zelo raztegljiva stvar in lahko prihaja do zlorab.

Ne, ker je ESČP razmeroma jasno povedalo kakšna so pravila okrog tega.

imagodei je 27. okt 2017 ob 09:57 izjavil:

Ne razumem, npr., zakaj bi podjetje npr. prejeto fakturo hranilo samo v e-predalih?

Ne gre samo za fakturo, pač pa tudi za npr. komunikacijo s stranko. Recimo helpdesk, mogoče stranka kasneje zavrne račun, češ da helpdesk ni bil odziven, itd...

Meni se zdi, da med prvim in drugim citiranim odstavkom nujno pride do konflikta. Če e-predal ni zbirka osebnih podatkov, potem podjetje lahko (vsaj v določenih primerih) brska po njem? Ta "v določenih primerih" je pa lahko zelo raztegljiva stvar in lahko prihaja do zlorab. Ko je škoda enkrat narejena, prizadetemu moralno zadovoljstvo ali pa sodna pot pomenita zgolj obliž na rano. Seveda se ne želim pretvarjat, da sem pravno podkovan - samo nadaljujem razpravo in upam, da se bom kaj naučil.

Enoznačna definicija, ki bi jasno predpisala kako in kaj je vedno problematična. Po eni strani je potrebno zagotavljat varstvo zasebnosti in varovanje osebnih podatkov, po drugi pa gre za to, da taka stvar ne sme nesorazmerno ovirat poslovanja.

Vedno pa lahko največ zase naredi človek s tem, da ima stvari urejene v glavi.

Zato je smiselno, da so takšne stvari vedno urejene na papirju v naprej. Ko enkrat pride do konflikta je težko najti jasna pravila igre.
Pri nas je zadeva rešena z internim aktom, ki delavcu nalaga, da vso komunikacijo, ki je poslovne narave striktno knjiži v dokumentarni sistem. Tako praviloma do situacije kjer bi kakorkoli morali šarit po epošti ni. Izpostavljene točke kot sta recimo helpdesk, naročila in marketing pa uporabljajo generečne elektronske naslove, do katerih dostopa več ljudi in ne morejo pričakovat zasebnosti komunikcije. Dodatno imajo zaposleni navodilo, da zasebno elektronsko pošto označujejo in arhivirajo ločeno od službene pošte. Privatni arhiv se hrani lokalno, medtem ko poslovni na strežniku. Tako poskušamo doseči dve stvari. Prvo kot prvo eliminirat potrebo, da bi sploh kdo (razen imetnika) dostopal do arhiva, ker je praviloma vse v dokumentarnem gradivu. In kot drugo, če bi bil dostop do arhiva iz kakršnegakoli razloga nujen, da v njem praviloma ni zasebne pošte. Do sedaj tudi pri pregledu s strani IP s tem ni bilo težav.

kunigunda je 27. okt 2017 ob 11:27 izjavil:

Invictus je 27. okt 2017 ob 09:37 izjavil:

Administrator tako ali ali take bi smel imeti dostopa do vsebine elektronske pošte, če je zadeva pravilno nastavljena. Ker ga to nič ne briga in ker ni njegova naloga da brska po elektronski pošti in išče izgubljene maile za uporabnike.

Če je policija po pravilnih postopkih (kar zna biti dostikrat bolj izjema kot pravilo) zahtevala arhiv, preprosto skopira zadevo in jo da policiji. On ni naredil nič narobe.

Kaj pa potem dela policija s tem, pa ni njegov problem...

Administrator pomoje tud sodne odredbe ne sme dobiti. Kvecjemu kdo drug (ala pravni oddelek,fraud oddelek itd), ki da potem naprej navodila v IT.

Lahko, odvisno od postopka. Praviloma bi sodno odredbo dobilo podjetje oziroma odgovorna oseba, lahko pa bi s sodnim nalogom neposredno od te in te osebe zahtevali podatke.

poweroff je 27. okt 2017 ob 11:14 izjavil:

imagodei je 27. okt 2017 ob 09:57 izjavil:

Meni se zdi, da med prvim in drugim citiranim odstavkom nujno pride do konflikta. Če e-predal ni zbirka osebnih podatkov, potem podjetje lahko (vsaj v določenih primerih) brska po njem? Ta "v določenih primerih" je pa lahko zelo raztegljiva stvar in lahko prihaja do zlorab.

Ne, ker je ESČP razmeroma jasno povedalo kakšna so pravila okrog tega.

Vem, da sem len, ampak, a lahko kratek povzetek? V obče dobro?

poweroff je 27. okt 2017 ob 11:14 izjavil:

imagodei je 27. okt 2017 ob 09:57 izjavil:

Ne razumem, npr., zakaj bi podjetje npr. prejeto fakturo hranilo samo v e-predalih?

Ne gre samo za fakturo, pač pa tudi za npr. komunikacijo s stranko. Recimo helpdesk, mogoče stranka kasneje zavrne račun, češ da helpdesk ni bil odziven, itd...

Ja, ampak menda je tudi to treba ustrezno zabeležit? V podjetjih, kjer ne poznajo e-arhivov, računovodje take e-maile ponavadi sprintajo in jih pripnejo k zavrnjeni fakturi, nakar vse skupaj vložijo v fascikel.

Zanašat se na email kot poslovni arhiv je že tako malo off. Danes je moderen npr Office 365, pri čemer pa Microsoft jasno pove, da za podatke v oblaku ne garantirajo in da zanje nimajo nobenega backupa (ne govorim o replikaciji). V maloverjetnem, a možnem scenariju, podjetje lahko na ta način izgubi vso pošto, vso poslovno komunikacijo...

Dvomim sicer, da sploh katero podjetje uporablja email kot edini arhiv komunikacije s strankami. Potem je naslednje vprašanje, kje zarisati mejo, kaj vlagamo v fascikle ali shranjujemo v sistemu za upravljanje z dokumenti, ali v mapi projekta/stranke na nivoju FS, in kaj ostaja v e-predalu.

misek je 27. okt 2017 ob 11:55 izjavil:

poweroff je 27. okt 2017 ob 09:20 izjavil:

Če pa mu nadrejeni kaj naročajo, pa naj mu dajo to pisno. Meni ni problem izbrisati podatkov, seveda hočem ustrezno dokumentirano navodilo. Ampak če bi pa vedel, da obstaja odredba za te podatke, pa seveda takega navodila ne bi izvršil, tudi če bi bilo pisno.

Torej če administrator ni seznanjen s kakšno odredbo ga pisno navodilo nadrejenih odrešuje kakršnihkoli kasnejših težav? Malce dvomim v to.

Če ima administrator navodilo nadrejenega, da mora neko delo odpravit in nima razloga, da bi dvomil v to navodilo, ne more odgovarjat. Drugo pa je, če on ve, da policija te podatke želi ali če ve, da ti podatki vsebujejo določena dejstva ali če je takšno navodilo v nasprotju z internimi pravili ali celo zakonodajo. V tem primeru pa je seveda lahko odgovoren tudi za kazniva dejanja.

eno je xx.xx@****.***
naj xx. xx bi imel neke pravice znotraj ****. ***
ampak ***. ***@yyyy.yyy ja pa samo nekdo kateri naj bi sprejel pravila kominiciranja znotraj poslovnega subjekta yyyy. kar ne pomeni da se lahko špijonira za njim definitivno pa njegov email naslov spada pod poslovno korespondenco.

ne v lrimopredajni zapisnik. to mora vsebovat pogodba o zaposlitvi in statut podjetja. sicer pride do dvoumnosti.

Ja, ampak tudi če je zaposleni (domnevno) izločil zasebno pošto je še vedno problem, kaj pa če je kaj pozabil?

Kaj če se podjetje odloči, da bo svojo poslovno korespondenco objavilo? Saj je njihova, imajo pravico... ali morajo arhiv bivšega zaposlenega vseeno pregledati, ali ni treba? Konec koncev lahko pride do posega v pravice tretjih oseb.

Gre predvsem za to, da ima zaposleni možnost neke kontrole nad svojimi podatki in da so posegi transparentni in vnaprej definirani. To je bistvo.

Ne pa popolna prepoved, kar nekateri tukaj skušajo razlagati.

Pa kaj nabijas s to pogodbo? Take stvari podjetje ureja z internimi prailniki na nivoju vseh zaposlenih, ne pa z individualnimi pogodbami.

ko bi bil sposoben napisat kak koheziven sestavek, ki bi imel rep in glavo, bi se vsaj pogovarjat dalo. Tako je pa samo zguba časa. Seveda si z internimi pravilniki seznanjen ob podpisu in veljajo za vse enako. Cel point le teh pa je, da so pravila igre določena v naprej tako, da ob morebitnem kasnejšem konfliktu ni prostora za filozofiranje.

aja, ker evidentno mešaš pojme: interni pravilniki NISO enako statutu podjetja. In v statut podjetja se ne zapisuje načine ravnanja z elektronsko pošto ali načina dela z arhivskim gradivom.

St235 je 27. okt 2017 ob 12:36 izjavil:

misek je 27. okt 2017 ob 11:55 izjavil:

poweroff je 27. okt 2017 ob 09:20 izjavil:

Če pa mu nadrejeni kaj naročajo, pa naj mu dajo to pisno. Meni ni problem izbrisati podatkov, seveda hočem ustrezno dokumentirano navodilo. Ampak če bi pa vedel, da obstaja odredba za te podatke, pa seveda takega navodila ne bi izvršil, tudi če bi bilo pisno.

Torej če administrator ni seznanjen s kakšno odredbo ga pisno navodilo nadrejenih odrešuje kakršnihkoli kasnejših težav? Malce dvomim v to.

Če ima administrator navodilo nadrejenega, da mora neko delo odpravit in nima razloga, da bi dvomil v to navodilo, ne more odgovarjat. Drugo pa je, če on ve, da policija te podatke želi ali če ve, da ti podatki vsebujejo določena dejstva ali če je takšno navodilo v nasprotju z internimi pravili ali celo zakonodajo. V tem primeru pa je seveda lahko odgovoren tudi za kazniva dejanja.

Tud ce ve, odredba ni naslovljena nanj. Ce mu nadrejeni rece da zbrise, bo odgovarjal nadrejeni oz. tisti, ki je dobil odredbo in ni posredoval to naprej. Ni dokazljivo da je admin vedel. Lohk bi tud na TV videl npr.

Ne vem, ampak odvetniki so tisti, ki se potem oprejo na nedvoumne dokaze. Ce ravno ni medijsko odmevni projekt, gre to zgolj od ust do ust ob kavici, sploh ce je velika firma.