V večjih podjetjih je pogosto slišati opozorila glede komunikacije prek službene elektronske pošte. Krožijo tudi zgodbe, kako naj bi sporna elektronska pošta skrivnostno izginila in kljub poizvedovanju "nihče" ne ve, kam je popihala.
Pravica do komunikacijske zasebnosti je ustavno varovana pravica, ki jo najdemo v 37. členu ustave. To pravico zagotavlja tudi Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin. Po besedah informacijske pooblaščenke Nataše Pirc–Musar je tovrstno varstvo priznano vsem osebam, saj slovenska ustava ne razlikuje med zasebnostjo v zasebni ali službeni sferi.
Obrnili smo se tudi na SI–CERT in strokovnjake povprašali o tehničnih možnostih oziroma izvedbi branja elektronske pošte. Matej Breznik nas je podučil, da za dostop do predala elektronske pošte potrebujemo neko vrsto ugotavljanja istovetnosti. V večini primerov se za ta namen uporablja kombinacijo uporabniškega imena in gesla, s poznavanjem obeh se pridobi dostop do elektronskega predala – in izvede prebiranje sporočil.
A ker IT–jevci v nekem večjem podjetju seveda niso "priplavali po juhi", lahko do nabiralnika posredno dostopajo na mnogo lažji način, ki ne vključuje (precej retro) ugibanja pravilnega gesla. Breznik pravi, da do naše pošte lahko posredno dostopa tudi skrbnik strežnika, seveda v primeru neuporabe višjih nivojev zaščite naših sporočil – na primer šifriranja z digitalnimi potrdili ali sistema medsebojnega zaupanja PGP.
"Vedeti moramo, da ima skrbnik sistema lahko vedno vpogled nad celotnim delovanjem sistema in tako dostopa do vseh datotek, shranjenih na sistemu. Zato se poskuša s pomočjo različnih mehanizmov uvesti sisteme nadzora nad dejanji sistema, tudi tistih, ki jih vrši skrbnik," pravi Breznik in opozarja, da je tovrstno beleženje lahko popolnoma brezpredmetno, saj ga lahko (zaupanja nevreden) skrbnik sistema brez večjih težav zaobide.
Kako delodajalca zvabiti v past
Načinov, kako izvemo, da poleg nas službeno pošte spremlja še kdo, je po Breznikovih besedah več. Strokovnjak svetuje, da je eden boljših ta, da v sporočilo podtaknemo unikatno povezavo, ki se bo zdela našemu vdiralcu zanimiva. "Povezava vodi na strežnik, ki je pod našim nadzorom. V primeru, da ga premami, lahko na tak način zberemo podatke o vdiralcu v naš nabiralnik," je povedal. Za ustrezno sporočilo pa lahko poskrbimo sami, predvsem z vpeljavo zgoraj opisanih metod šifriranja.
Vpliva gesla na možnost vdora
Z izmišljevanjem zapletenih gesel za službeni elektronski nabiralnik si ne povzročajte sivih las, saj je vaš trud odveč. Geslo pri teh je po Breznikovem zatrjevanju namreč obrobnega pomena. Izpostavil je dvoje: naj ne bo prelahko, obvezno ga ne smemo zaupati nikomur. A kot že rečeno, skrbnik ima za izvajanje posodobitev na voljo svoje, skrbniško geslo in načeloma našega ne potrebuje, pravi Breznik. "Z našim geslom v večini postavitev, ki jih uporabljajo v večjih podjetjih, oseba, ki geslo pozna, pridobi dostop do vseh naših podatkov, skupaj z našim elektronskim poštnim predalom," je pojasnil.
Drugi načini za branje elektronske pošte
Pazljivo, poleg omenjenih je geslo po Breznikovih besedah moč pridobiti na še nekaj preostalih načinov:
– geslo je bilo prestreženo pri dostopu do vašega elektronskega predala prek okuženega javnega ali tujega računalnika, ki je beležil pritiske tipk (t. i. keylogger),
– geslo je bilo zajeto prek t.i. phishing sporočila, ki vas je obveščalo, o nadgradnji vašega elektronskega predala, za uspešno nadgradnjo, pa je bilo potrebno posredovati vaše geslo (primer na
http://www.cert.si/varnostne-groznje/phishing/primeri.html),
– geslo je bilo prestreženo ob nezaščitenem (nešifriranem) dostopu do vašega predala prek nezaščitenega oziroma tujega omrežja.
Breznik izpostavlja, da lahko za preprečevanje vdora v predal storimo veliko, če upoštevamo splošne nasvete za zaščito sistema in obenem poskrbimo za premišljeno delovanje na medmrežju. Skrbeti je treba za sprotne nadgradnje sistema z varnostnimi popravki, posebej je treba biti pozoren tudi na brskalnik in njegove vtičnike, saj ravno slednji v zadnjem času predstavljajo pogosto vstopno točko napadalcev. Svojih gesel ne zaupajte nikomur, poleg tega ne odgovarjajte na sporočila, v katerih nekdo pod pretvezo česarkoli prosi za geslo.
Informacijska pooblaščenka z le malo prijavami
Na uradu informacijskega pooblaščenca letno prejmejo približno pet prijav vdorov oziroma nepooblaščenega branja službene elektronske pošte, veliko več pa prejmejo vprašanj, precej s strani delodajalcev. Nataša Pirc Musar priznava, da je najverjetneje razlika med številom prijav in vprašanj ravno zato, ker uporaba informacijskih tehnologij oziroma nadzor njihove uporabe v nobenem slovenskem zakonu ni izrecno reguliran, zato na tem področju prihaja do zmedenosti tako s strani delodajalcev kot s strani zaposlenih.
Pirc–Musarjeva je izpostavila, da je urad informacijskega pooblaščenca pristojen zgolj za en vidik pregledovanja e–pošte, in sicer za pregledovanje t. i. prometnih podatkov. Gre za elektronske naslove, na katere je posameznik poslal elektronsko sporočilo oziroma od katerih je sporočilo prejel, pri tem vidijo na primer zadevo sporočila, datum in čas pošiljanja oziroma sprejema ter druge tehnične podatke v povezavi s sporočilom, npr. priponko, velikost … Niso pa pristojni za pregledovanje same vsebine sporočil.
Po kazenskem zakoniku gre za kaznivo dejanje, če se nekdo z uporabo tehničnih sredstev neupravičeno seznani s sporočilom, ki se denimo prenaša po telefonu ali s kakšnim drugim elektronskim komunikacijskim sredstvom. Pirc–Musarjeva opozarja, da je za pregon tega kaznivega dejanja pristojno državno tožilstvo. "Morda ni odveč omeniti, da je kaznivo dejanje tudi, če nekdo omogoči drugemu, da se neposredno seznani z vsebino sporočila. Teoretično bi torej lahko kazensko odgovarjal tudi administrator, ki je delodajalcu omogočil seznanitev z vsebino pošiljke," opozarja Pirc–Musarjeva.
V katerem primeru lahko delodajalec bere sporočila?
Po besedah informacijske pooblaščenke lahko delodajalec elektronsko pošto pregleduje le pod točno določenimi pogoji. "Velja, da mora zaposleni vnaprej vedeti, v kakšnih primerih in pod kakšnimi pogoji se bo dostopalo do pošte. Delodajalec pa mora omogočiti, da pred morebitnim pregledom pošte oziroma datotek zasebno korespondenco in druge zasebne zadeve zaposleni sam odstrani," pravi pooblaščenka. Če torej delodajalec zaposlenega predhodno seznani, da se lahko v prometne podatke njegovega službenega nabiralnika ob utemeljeni potrebi (kot jo določa interni akt delodajalca) tudi vpogleda, bi bil vpogled v prometne podatke ob njegovi prisotnosti – ali po izjavi, da v službenem predalu ni zasebnih pisanj, datotek ipd. – dopusten.
Pirc–Musarjeva ob tem dodaja, da je treba biti pozoren tudi na načelo sorazmernosti, po katerem lahko delodajalec pregleda le tiste podatke, ki jih resnično potrebuje za dosego namena. "Zagotovo pa tovrstno pregledovanje ni dopustno početi tako, da zaposleni tega niti ne ve, da nekdo pregleduje njegovo elektronsko pošto, ali da se pošta pregleduje redno, torej ne samo v konkretnih, vnaprej določenih primerih," je povedala Pirc–Musarjeva.
Zagrožene kazni za "zlikovce"
Zagrožene kazni za kršitev določb zakona o varstvu osebnih podatkov so naslednje:
– od 4.170 do 12.510 evrov za pravne osebe,
– od 830 do 2.080 evrov za odgovorno osebo pravne osebe, državnega organa ali organa samoupravne lokalne skupnosti, za samostojnega podjetnika posameznika ali za posameznika, ki samostojno opravlja dejavnost,
– od 200 do 830 evrov se kaznuje za posameznika – "navadno" fizično osebo.
Za kaznivo dejanje kršitve tajnosti občil po drugi točki drugega odstavka 139. člena kazenskega zakonika je zagrožena denarna kazen ali zapor do enega leta, enaka kazen pa velja tudi za tistega, ki omogoči seznanitev s pošiljko.
Kaj storiti v primeru suma (in želje po pregonu)?
Če sumite, da vam delodajalec prebira elektronsko pošto, lahko poleg zgoraj omenjene pasti podate prijavo informacijskemu pooblaščencu, lahko pa državno tožilstvo podate kazensko ovadbo ali sprožite pravdni postopek pred sodiščem, če je zaradi prebiranja nastala škoda. Od sodišča lahko zaposleni zahteva začasno odredbo, s katero se delodajalcu do zaključka sodnega postopka onemogoči nadaljnje pregledovanje elektronske pošte.
Kaj pa storiti v primeru strahu pred morebitnimi posledicami? "Vsekakor zaposleni ne bi smel biti kaznovan zato, ker je delodajalca prijavil pristojnim organom zaradi kršitve veljavne zakonodaje. Žal pa informacijski pooblaščenec ni pristojen za nadzor nad mobingom, nadzor opravlja inšpektorat za delo. Zaposleni naj v primeru nadlegovanja poda prijavo tam," nam je povedala Pirc–Musarjeva.
Postopek po prijavi pristojnim
Kakšen postopek bo izveden, je odvisno od tega, za kakšno dejanje gre in kateri organ rešuje zadevo. Pirc–Musarjeva je pojasnila, če gre za kršitev zakona o varstvu osebnih podatkov, pooblaščenec uvede inšpekcijski nadzor in navedbe preveri. V tem primeru sledi vpogled v računalnike in elektronsko pošto, vse z namenom ugotoviti, kdo in zakaj je pregledoval elektronsko pošto zaposlenega. Če pa se zaposleni odloči za kazensko ovadbo, bi primer pod drobnogled vzela policija.
"Gre za zagotavljanje svobode komuniciranja, ki se izraža kot svobodna odločitev posameznika o tem, komu in kako bo določeno sporočilo posredoval, iz česar izhajajo prepovedi nesorazmernih poseganj v posameznikovo odločitev, kako, kdaj in s kom bo komuniciral. Zato so tovrstni posegi v delavčevo zasebnost, ko delavec niti ne ve, da delodajalec bere njegovo pošto, resnično nedopustni in jih je treba preprečevati ali vsaj ustrezno sankcionirati," je še dodala Pirc–Musarjeva.
