Povzetek

Pri vprašanju zasebnosti na delovnem mestu gre za trk dveh interesov – interesa delodajalca po gospodarni izrabi delovnega časa in sredstev ter pravice do zasebnosti zaposlenega. Različni pravni sistemi dajejo prednost enkrat enemu, drugič drugemu. V praksi sta se v zvezi s tem izoblikovala predvsem tim. “ameriški” pristop, ki daje prednost delodajalcu in tim. “evropski” pristop, ki daje prednost zaposlenemu. V prispevku sta skozi analizo zakonodaje in odločitev sodišč predstavljena oba pristopa, nekoliko podrobneje pa še ureditev področja zasebnosti na delovnem mestu v slovenski zakonodaji. Za Slovenijo je pomembno zlasti dejstvo, da se je evropska pravna praksa postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti do določene mere potrebno spoštovati tudi na delovnem mestu. Vprašanje kakšne naj bodo torej omejitve zasebnosti pa je tako povezano tudi z vprašanjem sorazmernosti.

Uvod

Pri vprašanju zasebnosti na delovnem mestu v praksi pogosto naletimo na argumentacijo delodajalcev, češ, zaposleni uporablja opremo podjetja, v službi je plačan za opravljanje svojega dela, kako torej lahko na delovnem mestu pričakuje zasebnost? Če je delodajalec lastnik komunikacijske opreme (telefona, računalnika) in delovnega časa zaposlenega – ali torej nima pravice preveriti ali zaposleni dela, ali pa morda “zapravlja” čas podjetja oziroma morda celo krade poslovne skrivnosti?

Vprašanje je vsekakor na mestu, a odgovor na vprašanje ali zaposleni na delovnem mestu lahko pričakuje spoštovanje zasebnosti, je odvisen predvsem od razumevanja vloge zaposlenega. Pri tem sta se v svetu uveljavila dva pristopa. Prvi, “ameriški” pristop, zaposlenega na delovnem mestu vidi predvsem kot delojemalca, ki uporablja opremo, ki je last delodajalca, v delovnem času je plačan s strani delodajalca in zato službenih komunikacijskih sredstev in službenega časa ne sme “zlorabljati” v zasebne namene. Na drugi strani imamo tim. “evropski” pristop, ki zaposlenega na delovnem mestu ne vidi samo kot delavca, pač pa tudi kot človeško bitje, ki ima kot tak tudi določene (človekove) pravice. Ob vsem skupaj se v primeru nadzora na delovnem mestu postavlja še vprašanje pravic tim. tretjih oseb (z nadzorom komunikacij zaposlenega nadzorujemo tudi komunikacije njegovih zunanjih komunikacijskih partnerjev). Pri vsem skupaj je pomembno tudi vprašanje sorazmernosti (se pravi kolikšen obseg nadzora je sprejemljiv in še opravičljiv oziroma ali zaželenega cilja ni mogoče doseči z blažjimi sredstvi), saj je po eni strani jasno, da ima zaposleni tudi na delovnem mestu interes za čim večjo zasebnostjo, po drugi strani pa je nesporen tudi interes delodajalca po racionalni rabi službenih sredstev in delovnega časa.

Ameriški pristop

Ameriška zakonodaja je koncipirana kot sistem negativnih svoboščin zato je pravica do zasebnosti posameznikov nasproti državi bistveno bolj zavarovana kot nasproti delodajalcem. Zasebnost na delovnem mestu v ZDA v splošnem ni dojeta kot pravica, temveč bolj kot boniteta.

Ameriški delodajalci zato o zaposlenih zbirajo številne podatke, posebej problematično pa je, da pogosto ne zagotavljajo točnosti in zaupnosti podatkov, posameznikom pa pogosto tudi ne omogočijo, da bi napačne podatke lahko popravili. Obseg nadzora na delovnem mestu se v ZDA v zadnjem desetletju precej povečuje, postaja pa tudi čedalje bolj rutinski. Kot je leta 2001 ugotovil Schulman, je razlog za premik nadzorovanja od zgolj nekaj “problematičnih” posameznikov proti nadzoru celotne populacije zaposlenih ta, da je zdaj celotna delovna sila sumljiva, podjetja pa so čedalje bolj zaskrbljena zaradi t. i. ‘internih groženj’ (Schulman, 2001). Z nadzorom se podjetja v ZDA želijo zaščititi tako pred odtekanjem različnih poslovnih skrivnosti kot tudi pred odškodninskimi tožbami zaradi neprimernega ravnanja zaposlenih. Pomemben faktor pri povečevanju nadzora pa predstavlja tudi agresivno trženje nadzornih sistemov s strani proizvajalcev in prodajalcev tovrstne opreme.

Leta 1986 so v ZDA sprejeli Electronic Communication Privacy Act (ECPA; Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986)), ki obravnava prisluškovanje elektronskim komunikacijam. ECPA v prvem poglavju, znanem tudi pod imenom Wiretap Act, prepoveduje prestrezanje elektronskih telekomunikacij, pri čemer je ‘prestrezanje’ definirano kot “zaznavanje izžarevanja [signala] (ang. aural) ali druga pridobitev vsebine žice oziroma elektronske ali ustne komunikacije, ki poteka s pomočjo uporabe kakršnekoli elektronske, mehanične ali druge naprave”. Bistveno pri tem je torej, da je prestrezanje definirano kot dejavnost, ki poteka hkrati s prenosom. Problem sodobne tehnologije – konkretno, nadzora elektronske pošte – pa je, da prestrezanje elektronske pošte ni nujno sočasno. Delodajalec namreč lahko dostopi do strežnika, v katerem je elektronsko sporočilo shranjeno, in s tem zaobide prepoved sočasnega prestrezanja. ECPA namreč v drugem poglavju, znanem pod imenom Stored Communications Act, ki prepoveduje dostop do shranjenih elektronskih sporočil brez soglasja nadzorovane osebe, iz prepovedi eksplicitno izključuje “osebe, ki zagotavljajo (ang. to provide) žično ali elektronsko komunikacijsko storitev”. Tako so iz prepovedi ECPA izvzeti delodajalci, ki imajo v lasti komunikacijsko opremo podjetja (Sinrod, 2004).

ECPA delodajalcem tudi sicer dovoljuje nadzor komunikacij (tudi telefonskih), a le, če zadevajo poslovanje podjetja. V primeru telefonskih pogovorov se tak nadzor v praksi izvaja tako, da lahko delodajalec zakonito nekaj časa posluša pogovor, da ugotovi, ali gre za poslovni ali zasebni pogovor (ACLU, 2003). Če je pri telefonskem pogovoru poslušanje še možno časovno omejiti, pa dostop do elektronske pošte ne more biti delen ali časovno omejen, pač pa delodajalec lahko naenkrat vpogleda v celotno sporočilo. Zato je nadzor elektronske pošte laže upravičiti. Vsekakor pa velja, da lahko kot pogoj za zaposlitev delodajalci zahtevajo soglasje za nadzor v (skoraj) kakršnemkoli obsegu in v tem primeru je nadzor komunikacij zaposlenega povsem zakonit. V nadaljevanju si poglejmo nekaj primerov, ki to ilustrirajo.

Leta 1990 je administratorka elektronskega poštnega sistema podjetja Epson, Alana Shoars ugotovila, da eden izmed direktorjev prebira elektronsko pošto zaposlenih. Temu je nasprotovala, zato so jo odpustili. Shoarsova je vložila tožbo, vendar se je podjetje branilo, da je sistem za elektronsko pošto v njihovi lasti in imajo zato pravico, da ga upravljajo in nadzorujejo, ali se uporablja samo v delovne namene ali ne. Kalifornijsko sodišče je nato 1992 v primeru Shoars proti Epson America Inc. (Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992)) presodilo, da ustava ščiti samo informacije, ki so osebne, ne pa tudi poslovnih komunikacij, Shoarsova pa je uporabljala opremo, ki je bila v lasti podjetja (Sykes, 1999: 140). Njena pritožba je bila zavrnjena.

Podobna je bila tudi odločitev v primeru Bonita P. Bourke, et. al. proti Nissan Motor Corporation (Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal. Ct. App., 1993)), ko je leta 1993 kalifornijsko prizivno sodišče razsodilo, da vpogled v elektronsko sporočilo, ki ga je uslužbenka poslala po omrežju podjetja, ne pomeni neupravičenega vdora v njeno zasebnost, saj je uslužbenka predhodno podpisala izjavo, v kateri se je zavezala, da bo elektronsko pošto uporabljala zgolj v službene namene (Klemenčič, 2003: 137). Podobna je bila tudi razsodba v primeru McLaren proti Microsoft (McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999)) iz leta 1999. V tem primeru je podjetje pregledalo z geslom šifrirano elektronsko pošto zaposlenega, shranjeno v osebnem imeniku ter na podlagi vsebine sporočil zaposlenega (ki je bil obtožen spolnega nadlegovanja) odpustilo. Zaposleni je sprožil sodni spor, a sodišče je v razsodbi dalo prav delodajalcu, in sicer z obrazložitvijo, da je interes delodajalca, da prepreči pošiljanje neprimerne elektronske pošte, nad interesom zaposlenega do zasebnosti (Klemenčič, 2003: 137).

Kaj je neprimerno, pa je pogosto stvar presoje delodajalca. Na to kaže primer zaposlenega v podjetju Pillsbury. Zaposleni Michael Smyth je namreč leta 1994 enemu izmed sodelavcev poslal elektronsko sporočilo, v katerem je zapisal, da so njegovi predpostavljeni “zahrbtne barabe”. Ker so le-ti spremljali komunikacijo svojih zaposlenih, so ga odpustili z obrazložitvijo, da so bili njegovi komentarji neustrezni in neprofesionalni. Smyth se je pritožil na sodišče in trdil, da so mu v podjetju zagotovili zasebnost komunikacij, podjetje pa je trdilo nasprotno. Zvezno sodišče je primer zavrglo (in s tem dalo prav delodajalcu) z obrazložitvijo, da tudi če bi podjetje zaposlenemu res obljubilo tajnost komunikacij, sporno dejanje ne posega v oškodovančevo zasebnost na nepošten način (Sykes, 1999: 141).

Problem nejasne in zastarele zakonodaje pa je postal precej očiten v primeru U. S. proti Councilman (United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004)). Šlo je za primer ponudnika brezplačne elektronske pošte, ki je prestrezal elektronsko pošto svojih uporabnikov (brez njihove vednosti). Podjetje, ki se je sicer ukvarjalo s prodajo rabljenih knjig, je namreč svojim strankam ponudilo brezplačne poštne predale, nato pa prestrezalo elektronsko pošto, ki so jo njihove stranke prejemale od konkurenčne prodajalne knjig, podjetja Amazon. Prestrezanje so izvajali misleč, da je na podlagi ECPA zakonito. S tem je podjetje hotelo ugotoviti katere knjige njihove stranke kupujejo pri konkurenci in po kakšnih cenah, posledično pa si pridobiti tržno prednost. Dejstvo je, da je ECPA precej nejasen in 29. junija 2004 ameriško prizivno sodišče prvega okrožja najprej razsodilo, da je takšno prestrezanje elektronske pošte zakonito. Odločitev je bila nato avgusta 2005 revidirana in okrožno sodišče v Massachusettsu je presodilo, da nadzor elektronske pošte v takih primerih ni dovoljen (EPIC, 2005).

Kot torej vidimo, je nadzor komunikacij zaposlenih v ZDA precej razširjen, zakonodaja pa nadzor na delovnem mestu v veliki meri dovoljuje. Vendar pa je tovrsten nadzor lahko dvorezen. Posledica pretiranega nadzora je pogosto lahko obravnava posameznikov bolj v smislu nekakšnega inventarja in manj kot avtonomnih človeških bitij. Uporaba elektronskih identifikacijskih kartic je zgolj zunanji znak take obravnave, posegi delodajalcev v telesno zasebnost (urinski, krvni in genski testi) pa odpirajo tudi vprašanja človekovega dostojanstva in avtonomije na delovnem mestu. Nekateri avtorji so mnenja, da vohunjenje za elektronsko pošto zaposlenih uničuje občutek skupnosti na delovnem mestu (Whitaker, 1999: 105), to pa verjetno vpliva tudi na lojalnost podjetju. Zato se upravičeno zastavlja vprašanje ali nadzorovanje zaposlenih sploh dosega svoj cilj – preprečevanje odtekanja informacij – in ali se delodajalci problema lojalnosti zaposlenih morda ne lotevajo na napačen način in z napačnimi sredstvi.

Evropski pristop

Povsem drugačen pristop do zasebnosti na delovnem mestu pa velja v Evropi. V zvezi z nadzorom na delovnem mestu sta verjetno najpomembnejši odločitvi Evropskega sodišča za človekove pravice Halford proti Združenemu kraljestvu (Halford v. Velika Britanija, odločba z dne 25. 6. 1997) iz leta 1997 ter Copland proti Združenemu kraljestvu (Copland v. Velika Britanija, odločba z dne 3. 4. 2007), iz leta 2007.

Ga. Halford, uslužbenka policije, je proti svojemu delodajalcu leta 1990 sprožila postopek zaradi diskriminacije na delovnem mestu. V svoji pisarni je imela dva telefona, od katerih je bil eden namenjen za zasebno uporabo, glede uporabe telefonov pa ji niso bile naložene nikakršne omejitve. Halfordova je kasneje ugotovila, da je njen delodajalec nadzoroval telefonske klice iz njenega službenega telefona (pa tudi domačega telefona) in sicer z namenom, da bi zbrali gradivo za svojo obrambo v postopku zaradi diskriminacije. Zadeva je prišla na Evropsko sodišče za človekove pravice, ki je presodilo, da je v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah. V razsodbi je izrecno zapisalo, da zaposleni na delovnem mestu upravičeno pričakuje zasebnost.

Podobna je bila odločitev tudi v primeru Copland proti Združenemu kraljestvu iz leta 2007. V tem primeru je nadrejeni delavke Lynette Copland pregledoval izpiske telefonskih številk, ki jih je klicala med delovnim časom ter sezname spletnih strani, ki jih obiskovala. Nadzor naj bi se vršil z namenom ugotavljanja, ali delavka službena sredstva uporablja za zasebne namene. Da jo nadzorujejo, je ugotovila šele, ko so iz njenega podjetja kontaktirali njeno pastorko ter jo vprašali, zakaj pošilja elektronsko pošto na službeni e-poštni naslov Coplandove. Tudi ta primer je prišel na Evropsko sodišče za človekove pravice, ki je leta 2007 presodilo, da je tudi v tem primeru šlo za kršitev 8. člena Evropske konvencije o človekovih pravicah in da je torej delodajalec neupravičeno posegal v njeno zasebnost.

Evropsko sodišče za človekove pravice je v primeru presodilo, da varstvo zasebnosti velja tako za telefonske komunikacije, kot tudi za elektronsko pošto in uporabo interneta, in da je iz stališča varstva zasebnosti irelevantno ali gre za zasebno ali za službeno komunikacijsko sredstvo. Prav tako so presodili, da kršitev predstavlja že samo zbiranje in obdelava prometnih podatkov in s tem potrdili, da so prometni podatki integralni element komunikacij. Kršitev zasebnosti torej ni “le” vpogled v vsebino komunikacij, pač pa tudi vpogled v prometne podatke. Nadalje so v razsodbi zapisali, da je iz stališča varstva zasebnosti irelevantno ali so bili podatki “zgolj” zbrani, ali pa so bili tudi razkriti tretjim osebam oziroma uporabljeni proti pritožnici. S tem so se postavili na stališče, da je sporen že sam akt posega, ne pa šele morebitni kasnejši pregled oziroma obdelava prestreženih podatkov in komunikacij s strani tretje osebe. Pomemben element sodbe je bilo tudi dejstvo, da delavka ni bila vnaprej opozorjena, kdaj in v kakšnih primerih lahko delodajalec nadzira elektronsko pošto zaposlenih in je zato po mnenju sodišča lahko upravičeno pričakovala zasebnost na svojih službenih komunikacijskih sredstvih.

Evropski pristop k varovanju komunikacijske zasebnosti se kaže tudi v nekaterih drugih primerih. Evropsko sodišče za človekove pravice je leta 1998 v primeru Lambert proti Franciji (Lambert v. Francija, odločba z dne 24. 8. 1998) jasno poudarilo, da glede tajnosti komunikacij ni razlike med lastnim telefonskim priključkom ali telefonskim priključkom tretje osebe, istega leta pa v primeru Kopp proti Švici (Kopp v. Švica, odločba z dne 25. 3. 1998) tudi, da so zaščiteni tudi klici iz poslovnih prostorov ter v poslovne prostore.

Zanimiva je tudi razsodba (in predvsem njena utemeljitev) Kasacijskega sodišča Francije v primeru Societe Nikon France, SA v. Onof št. 99–42.942 iz leta 2001 (Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291). V tem primeru je namreč delodajalec preiskal računalnik zaposlenega, zaradi suma, da le-ta krši konkurenčno prepoved. V okviru preiskave je delodajalec pregledal in prekopiral dve mapi na računalniku zaposlenega (označeni z imenom “osebno” in “fax”), pri čemer so ugotovili, da je zaposleni uporabljal računalnik za neslužbene namene in kršil konkurenčno prepoved, čeprav je bilo to z notranjimi pravili organizacije prepovedano. Na podlagi tega so ga odpustili.

Zaposleni se je pritožil, in Kasacijsko sodišče Francije je presodilo, da ima delavec tudi med delovnim časom in na delovnem mestu pravico do zasebnosti in tajnosti komunikacij. Pri tem so izrecno zapisali, da:

“delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah … To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene… Podjetje ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave … Menimo, da je splošna popolna prepoved uporabe e-pošte v neslužbene namene nerealna in krši pravno načelo sorazmernosti.” (Klemenčič, 2002: 402.)

Odločitev kaže na to, da – kot ugotavlja Klemenčič – “se domet pravice do komunikacijske zasebnosti ne ustavi zgolj pri zagotavljanju zaupnosti vsebine sporočanja in podatkov, povezanih z njo, ampak hkrati prepoveduje tudi nesorazmerne prepovedi komuniciranja z zunanjim svetom” (Klemenčič, 2002: 395). Dejstvo namreč je, da Priporočilo Sveta Evrope št. R(89) 2 določa, da imajo zaposleni na delovnem mestu pravico do vzpostavljanja osebnih in socialnih stikov. Podobno stališče je zavzelo tudi Evropsko sodišče za človekove pravice v primeru Niemietz proti Nemčiji (Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992) leta 1992, ko je zapisalo da mora “spoštovanje zasebnega življenja vsebovati tudi določeno stopnjo pravice do vzpostavljanja in razvijanja odnosov z drugimi človeškimi bitji”. Ter: “poleg tega se zdi, da ni načelnega razloga, zakaj bi ta pojem ‘zasebnega življenja’ izključeval profesionalne ali poslovne dejavnosti [posameznika]…”

Podobno stališče glede omejitev nadzora na delovnem mestu je Kasacijsko sodišče Francije zavzelo tudi v primeru Philippe K. v. Cathnet-Science (Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05). V primeru je delodajalec na mizi zaposlenega po naključju našel erotične fotografije, zaradi česar so posumili, da ima zaposleni na računalniku shranjene pornografske vsebine. Sledila je preiskava računalnika, na katerem so res našli pornografske vsebine in posledično zaposlenega odpustili. Nižja sodišča so odločitev delodajalca podprla, Kasacijsko sodišče Francije pa je presodilo, da sum prisotnosti pornografije na računalniku ne predstavlja opravičljivega razloga za preiskavo (Cate, 2007).

Vse to kaže na to, da evropska pravna ureditev na delovnem mestu zaposlenemu priznava bistveno širši krog komunikacijske zasebnosti kot ameriška pravna ureditev, hkrati pa tudi prepoveduje pretirano omejevanje komunikacij z drugimi. Glede nadzora komunikacij na delovnem mestu tako velja, da mora biti zaposleni vnaprej seznanjen s pravili delodajalca glede uporabe telefona, elektronske pošte in interneta, hkrati pa si delodajalec ne more privoščiti pretiranega omejevanja pravice do zasebnosti in pravice do komunikacije z zunanjim svetom.

Praviloma tudi velja, da se mora zaposleni z nadzorom strinjati oziroma mora biti nadzor objektivno opravičljiv in sorazmeren. Glede strinjanja velja poudariti, da je zaposleni nasproti delodajalcu seveda v podrejenem položaju, zato mora biti strinjanje prostovoljno in brez prisile. Article 29 Working Party je tako v svojem mnenju Opinion 8/2001 iz septembra 2001 zapisala, da “če zaposleni nima možnosti, da [obdelavo osebnih podatkov] zavrne, to ni soglasje. Soglasje mora biti vedno prostovoljno. Torej mora imeti zaposleni tudi možnost preklicati soglasje brez negativnih posledic” (Article 29 Working Party, 2001).

Po mnenju Article 29 Working Party je obdelava osebnih podatkov zaposlenega objektivno opravičljiva le npr. zaradi izpolnjevanja pogodbenih obveznosti oziroma spoštovanja zakonskih zahtev (npr. obdelava osebnih podatkov o plačah, posredovanje podatkov davčni upravi, itd.), zaradi zasledovanja zakonitih interesov delodajalca, razen, kadar taki interesi ne prevladajo nad temeljnimi pravicami zaposlenega (potrebno je torej najti ravnovesje med interesi delodajalca in zaposlenih) ali npr. zaradi zagotavljanja vitalnih interesov zaposlenega (npr. zagotavljanje varnosti pri delu). Omejevanje pravice do zasebnosti na delovnem mestu je torej mogoče le izjemoma (Article 29 Working Party, 2001).

Velja tudi poudariti, da vse navedeno ne velja le za vsebino komunikacij, pač pa tudi za obravnavo prometnih podatkov (podatkov o klicih oz. prejemnikih sporočil, in vseh drugih podatkov, ki ne predstavljajo vsebine komunikacije). Evropska pravna ureditev namreč prometne podatke obravnava precej drugače kot ameriška pravna ureditev. Vrhovno sodišče ZDA je tako leta 1979 v primeru Smith proti Maryland (Smith v. Maryland, 242 U.S. 735 (1979))presodilo, da prometni podatki o telefonskih pogovorih niso zaščiteni s Četrtim amandmajem ameriške ustave, s čimer so uvedli ločevanje prometnih podatkov od same vsebine komunikacije. Drugačno stališče pa je zavzelo Evropsko sodišče za človekove pravice, ki je v primeru Malone proti Veliki Britaniji leta 1984 presodilo, da so prometni podatki integralni element telefonskih komunikacij in kot taki tudi uživajo pravno varstvo.

Poleg tega pa je potrebno izpostaviti še dejstvo, da nadzor s strani delodajalca lahko predstavlja tudi kršitev interesa tim. tretjih oseb, torej oseb, ki komunicirajo z zaposlenim in morda niti ne vedo, da gre za službeno komunikacijsko sredstvo ter da delodajalec nadzoruje komunikacije zaposlenega, s katerim so v stiku (Klemenčič, 2001: 188–189). Ta problem je zelo očiten pri morebitnem nadzorovanju službenih mobilnih telefonov, kjer je možnosti za razlikovanje med službenim in zasebnim komunikacijskim sredstvom še manj.

Zasebnost na delovnem mestu v Sloveniji

Podoben odnos do zasebnosti na delovnem mestu kot ga ima Evropsko sodišče za človekove pravice, ima tudi slovenska pravna ureditev. Vendar pa ima slovenski pravni red neko specifiko, zaradi katere je komunikacijska zasebnost v Sloveniji še nekoliko bolj zaščitena kot na splošno v Evropi. Ustava RS namreč v 37. členu določa, da “samo zakon lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil in nedotakljivost človekove zasebnosti, če je to nujno za uvedbo, ali potek kazenskega postopka ali za varnost države.”.

Slovenska ustava torej za posege v komunikacijsko zasebnost zahteva ustrezno zakonsko podlago in predvsem sodno odredbo. Oktobra 2008 je tako Ustavno sodišče v razsodbi Up-106/05 (odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008) presodilo, da poseg v svobodo komuniciranja ni dovoljen brez predhodnega dovoljenja sodišča. V primeru je sicer šlo za preiskavo zakonito zaseženega mobilnega telefona in SIM kartice v kazenskem postopku brez (dodatne) odredbe sodišča. V razsodbi je Ustavno sodišče poudarilo tudi stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije.

Visoke standarde za posege v zasebnost je Ustavno sodišče postavilo tudi v odločbi Up-472/02 iz oktobra 2004 (odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004). Šlo je za odločanje v primeru snemanja pogovora s strani zasebnika in uporabi tega posnetka v poznejšem civilnem sodnem postopku. Sodišče je v odločitvi zapisalo:

“Poseg v pravico do zasebnosti bi bil pod določenimi pogoji dopusten, vendar bi morale biti v pravnem postopku za izvedbo dokaza, pridobljenega s kršitvijo pravice do zasebnosti, posebej utemeljene okoliščine. Izvedba takega dokaza bi morala imeti poseben namen za izvrševanje neke ustavno zavarovane pravice. V takem primeru mora sodišče upoštevati načelo sorazmernosti in skrbno prisoditi, kateri pravici je treba dati prednost.”

Po mnenju sodišča namreč:

“Posnetka oziroma tonskega zapisa telefonskega pogovora tudi ni mogoče enačiti z zapiski o pogovoru. Gre namreč za bistveno kakovostno razliko… Kot je bilo že poudarjeno, daje tonski zapis oblast nad tujo osebo oziroma njeno osebno dobrino, ker omogoča ponovitev (vnovično predvajanje). Če je torej to storjeno brez vednosti prizadete osebe, je s tem poseženo v izključno pravico osebe, da sama razpolaga s svojo besedo oziroma z glasom.”

Slovenska sodna praksa se tako praviloma postavlja na stran posameznika, kar kaže tudi odločitev Upravnega sodišča RS, s katero je le-to zaposlenemu priznalo pravico do varstva zasebnosti pri uporabi službenih mobilnih telefonov (Klemenčič, 2003: 137). V razsodbi U702/99 (sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000) je Upravno sodišče presodilo, da se varstvo zasebnosti, zagotovljeno v 37. členu Ustave RS, nanaša tudi na službene telefone, pridobitev in uporaba izpiskov telefonskih klicev službenega telefona pa predstavlja kršitev. V obrazložitvi sodbe so zapisali:

“Sodišče je glede na ugovor tožene stranke, da je šlo za službene telefone, ugotovilo, da pojem tajnosti pisem in drugih občil zajema tako zasebne kot tudi službene komunikacije. Zaupnost razmerij, v katere vstopa posameznik, ne more biti uporabljena kot kriterij, ki bi določal obseg zaščite komunikacijske zasebnosti. … Pojem zasebno življenje torej vsebuje tako zasebne kot tudi službene telefonske linije, zaradi česar ni pomembna lastnina ali pripadnost določenega telekomunikacijskega sredstva. To varstvo je dano vsem osebam in ni mogoče slediti navedbi tožene stranke, da to ne velja za tožnike, ki so uporabljali mobilne telefone v lasti tožene stranke. Lastninski koncept zasebnosti, to je pristop z vidika dejstva, čigavo je komunikacijsko sredstvo, ki je bilo nadzirano, ni relevanten. Tudi Ustava RS ne ločuje zasebnosti v zasebni in službeni sferi.”

Glede obsega pravice do zasebnosti na delovnem mestu je sicer jasno, da je odvisen tako od delovnih nalog, ki jih zaposleni opravlja (npr. rokovanje s tajnimi podatki, itd.) in zahtev delovnega mesta (po npr. varovanju poslovnih skrivnosti), za nadzor pa je bistveno, da je transparenten in sorazmeren. Nadzor komunikacij zaposlenega zaradi ugotavljanja ali zaposleni morda ne “zapravlja” časa podjetja za zasebne namene ni ne sorazmeren, ne potreben. Za odpoved pogodbe o zaposlitvi namreč zadostuje že to, da delavec ni opravil dodeljenih nalog. Ali jih ni opravil zaradi pretirane uporabe interneta, elektronske pošte in telefona v neslužbene namena ali pa iz drugih razlogov, pa je ob vsem skupaj povsem irelevantno.

Ob tem določene posege v zasebnost – tudi na delovnem mestu – sankcionira in prepoveduje tako kazenska, kot tudi zakonodaja, ki se nanaša na varstvo osebnih podatkov.

Sklep

Pri vprašanju zasebnosti na delovnem mestu prihaja do trka lastninske pravice delodajalca in pravice do zasebnosti zaposlenega. Evropska pravna praksa se je postavila na stališče, da lastninska pravica ne prevlada samodejno nad pravico do zasebnosti, kar pomeni, da je pravico do zasebnosti potrebno (vsaj do določene mere) spoštovati tudi na delovnem mestu. Seveda pa je jasno, da tudi pravica do zasebnosti ni absolutna in tudi ta ne more prevladati nad lastninsko pravico delodajalca. Pomembni pa so tudi družbeni in psihološki vidiki. Pretiran nadzor namreč lahko omejuje kreativnost, motivacijo in lojalnost zaposlenega, zato na določeni točki lahko postane celo kontraproduktiven.

Ravno zaradi kolizije zgoraj omenjenih pravic pa je jasno, da bo vprašanje zasebnosti na delovnem mestu v prihodnosti sprožalo še številne polemike. Na to nakazuje tudi v začetku leta 2009 na Finskem sprejeta novela zakona o varstvu podatkov in elektronskih komunikacij (novela zakona je znana tudi pod imenom “Lex Nokia”; za sprejem zakona naj bi namreč lobiralo podjetje Nokia, ki pa je to zanikalo), ki delodajalcem v primeru suma kraje poslovnih skrivnosti daje pravico, do vpogleda v prometne podatke službene elektronske pošte zaposlenih (European Digital Rights, 2008). Zakon je že v fazi predloga požel precej kritik, številni pravni strokovnjaki pa so mnenja, da je protiustaven in morda tudi v neskladju z Evropsko konvencijo o človekovih pravicah. Posegi v zasebnost morajo namreč imeti ustrezno zakonsko podlago, hkrati pa morajo biti tudi nujni v demokratični družbi oziroma sorazmerni. In ravno vprašanja sorazmernosti, ter soglasja zaposlenega oziroma prisile delodajalca so tista, ki bodo v prihodnosti zakoličila obseg pravice do zasebnosti na delovnem mestu.

Viri in literatura

1. ACLU. 2003. »Privacy in America: Electronic Monitoring«. <http://www.aclu.org/Privacy/Privacy.cfm?ID=14170&c=132> (Datum dostopa: 19. 4. 2005; povezava ni več dostopna, nova povezava je: <http://www.aclu.org/technology-and-liberty/privacy-america-electronic-monitoring>).
2. Bogataj, Maja (ur.). 2003. Internet in pravo. Ljubljana: Pravna fakulteta.
3. Cate, H. Fred. 2007. »European Court of Human Rights Expands Privacy Protections: Copland v. United Kingdom«. ASIL Insights, Volume 11, Issue 21, 6. avgust 6 2007. <http://www.asil.org/insights070806.cfm>. (Datum dostopa: 28. 10. 2009).
4. EPIC. 2005. »United States v. Councilman«. <http://epic.org/privacy/councilman/>. (Datum dostopa: 1. 10. 2009).
5. European Digital Rights. 2008. Snooping law, “Lex Nokia”, proceeding slowly but surely in Finland. EDRi-gram, št. 6.24, 17. december 2008. <http://www.edri.org/edri-gram/number6.24/nokia-law-finland-snooping>. (Datum dostopa: 20. oktober 2009).
6. Klemenčič, Goran. 2001. »Varstvo elektronske zasebnosti«. V Potrč, Matjaž (ur.). 2001. Internet in pravo, str. 129–191. Ljubljana: Pasadena.
7. Klemenčič, Goran. 2002. »37. člen (varstvo tajnosti pisem in drugih občil)«. V Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije, str. 391–408. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
8. Klemenčič, Goran. 2003. »Internet in pravica do zasebnosti«. V Bogataj, Maja (ur.). 2003. Internet in pravo, str. 101–141. Ljubljana: Pravna fakulteta.
9. Potrč, Matjaž (ur.). 2001. Internet in pravo. Ljubljana: Pasadena.
10. Schulman, Andrew. 2001. »The Extent of Systematic Monitoring of Employee E-mail and Internet Use«. <http://www.sonic.net/~undoc/extent.htm>. (Datum dostopa: 17. 1. 2004).
11. Sinrod, J. Eric. 2004. »E-Legal: Employer Access to Employee E-Mails«. Law.com, 27. januar 2004. <http://www.law.com/jsp/article.jsp?id=900005537772>. (Datum dostopa: 11. 6. 2004; povezava je plačljiva).
12. Sykes, J. Charles. 1999. The End Of Privacy. New York: St. Martin’s Press.
13. Šturm, Lovro (ur.). 2002. Komentar ustave republike Slovenije. Ljubljana: Fakulteta za podiplomske državne in evropske študije.
14. Whitaker, Reg. 1999. The End of Privacy. New York: The New Press.

Pravni dokumenti ZDA

1. 4. amandma, Listina svoboščin (Bill of Rights), 1791.
2. Electronic Communication Privacy Act of 1986, 18 U.S.C. (1986).
3. Bonita P. Bourke, et. al. v. Nissan Motor Corporation, No. 68-705 (Cal.Ct.App.1993).
4. McLaren v. Microsoft, No. 05-97-00824 (Tex. Ct. App. 28. maj, 1999).
5. Smith v. Maryland, 242 U.S. 735 (1979).
6. Shoars v. Epson America Inc., No. (SWC) II2749 (Cal App. Dep’t. Super. Ct. Dec 8, 1992).
7. United States of America v. Bradford C. Councilman, No. 03-1383 (1st Cir., June 29, 2004).

Odločitve Evropskega sodišča za človekove pravice

1. Copland v. Velika Britanija, odločba z dne 3. 4. 2007.
2. Halford v. Velika Britanija, odločba z dne 25. 6. 1997.
3. Kopp v. Švica, odločba z dne 25. 3. 1998.
4. Lambert v. Francija, odločba z dne 24. 8. 1998.
5. Malone v. Velika Britanija, odločba z dne 02. 08. 1984.
6. Niemietz v. ZR Nemčija, odločba z dne 16. 12. 1992.

Odločitve Kasacijskega sodišča Francije

1. Philippe K. v. Cathnet-Science, Cour de Cassation, Chambre Sociale, Arret No. 1089 FS-P+B+R+1, Pourvoi No. J-03-40.017, 5/17/05.
2. Societe Nikon France v. M. Onof, Cass. soc., 2. oktober 2001, Bull Civ. V, No. 291.

Dokumenti Sveta Evrope

1. Svet Evrope. 1950. Evropska konvencija o varstvu človekovih pravic in temeljnih svoboščin, spremenjena s protokoli št. 3, 5 in 8 ter dopolnjena s protokolom št. 2, ter njeni protokoli št. 1, 4, 6, 7, 9, 10 in 11 (Convention on Human Rights and Fundamental Freedoms as amended by Protocols Nos. 3, 5 and 8 and amended by Protocol No. 2 and its Protocols Nos. 1, 4, 6, 7, 9, 10 and 11), sprejel jo je Svet Evrope leta 1950. Uradni list RS, št. 33/1994, “Mednarodne pogodbe”, št. 7/1994, 13. 6. 1994. Konvencijo je državni zbor Republike Slovenije ratificiral 13. 6. 1994. Veljati je začela dne 28. 6. 1994.
2. Svet ministrov Sveta Evrope. 1989. Priporočilo Sveta Evrope št. R(89) 2 o varstvu osebnih podatkov, uporabljanih za zaposlovanje (Recommendation No. R (89) 2 on the protection of personal data used for employment purposes), sprejeto 18 januarja 1989.

Dokumenti EU

1. Article 29 Working Party on Data Protection. 2001. Opinion 8/2001 on the processing of personal data in the employment context, iz dne 13. septembra 2001. <http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2001/wp48en.pdf>. (Datum dostopa: 28. 10. 2009; povezava ni več dostopna, vsebina je dostopna na <http://www.garanteprivacy.it/garante/document?ID=1365969>).

Slovenski pravni dokumenti

1. Ustava Republike Slovenije, Uradni list RS, št. 33/91-I, 42/97, 66/2000, 24/03, 69/04 in 68/06.
2. Sodba Upravnega sodišča št. U 702/99 z dne 21. 3. 2000.
3. Odločba Ustavnega sodišča RS, št. Up-472/02, Uradni list RS, št. 114/2004.
4. Odločba Ustavnega sodišča RS, št. Up-106/05, Uradni list RS, št. 100/2008.

DPI tehnologije niso nekaj novega, saj so se v preteklosti že pojavljale kot tehnologije za zagotavljanje varnosti omrežij, samodejno prepoznavo virusnih in hekerskih napadov, neželene elektronske pošte in podobnih nevšečnosti. Vendar pa se DPI tehnologije v zadnjem času pojavljajo predvsem kot tehnologije množičnega nadzora in zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure oziroma omejevanja prostega pretoka podatkov na internetu.

DPI tehnologije pa se tudi komercializirajo. Danes so tako postale predvsem posel. Pojavljajo se namreč številni ponudniki DPI naprav, katere operater komunikacijskega omrežja lahko vključi v svoje omrežje in spremlja ali omejuje promet svojih uporabnikov. Eno izmed podjetij, ki s pomočjo DPI spremljajo in beležijo spletne aktivnosti uporabnikov interneta je tudi podjetje Phorm. Podjetje v različnih državah (v Evropski uniji je najbolj znan primer Velike Britanije) s ponudniki dostopa do interneta sklepa dogovore, v okviru katerih svoje DPI naprave namešča v njihova omrežja in spremlja aktivnosti uporabnikov spleta. Na podlagi zbranih podatkov nato opravljajo analize vedenja (predvsem brskalnih navad) in temu prilagajajo oglase (gre za tim. vedenjsko oglaševanje). Zaradi spornega poseganja v komunikacijsko zasebnost – to se je namreč dogajalo brez soglasja uporabnikov – je Evropska komisija v začetku leta proti Veliki Britaniji sprožila postopek zaradi neusklajenosti britanske zakonodaje s pravili Evropske unije o tajnosti in zaupnosti komunikacij.

Uporaba DPI tehnologij lahko resno posega v zasebnost uporabnikov, zagovorniki tim. nevtralnosti interneta (ang. net neutrality) pa opozarjajo, da je DPI tehnologije mogoče zlorabiti tudi za cenzuro ali omejevanje prostega pretoka informacij in podatkov v omrežju. Upravitelj DPI naprave namreč lahko blokira ali omeji uporabo določenih storitev, npr. uporabo internetne telefonije pri konkurenčnih ponudnikih ali uporabo spletnih iskalnikov, ki z upraviteljem omrežja niso podpisali ustreznega sporazuma. Mogoče so tudi drugačne (zlo)rabe DPI tehnologije – npr. take, kjer upravitelj omrežja spremlja brskalne navade svojih uporabnikov in zbrane podatke prodaja marketinškim organizacijam, ali pa celo take, kjer upravitelj omrežja uporabnikom vriva svoje oglase. DPI tehnologija namreč lahko ob obisku določene spletne strani uporabniku iz nje “odstrani” originalne oglase in namesto njih vstavi svoje. Teoretično bi tako lahko upravitelj omrežja iz spletnih strani odstranjeval oglase drugih podjetij ter namesto njih svojim uporabnikom serviral svoje.

No, pravzaprav niti ne teoretično, saj je znano, da je British Telecom tovrstno tehnologijo “testiral” že v letih 2006 in 2007 (več informacij o DPI tehnologiji podjetja Phorm je na voljo na spletnih straneh BBC, na spletni strani BadPhorm ter na spletni strani kanadskega pooblaščenca za varstvo zasebnosti). Mimogrede, ste vedeli, da se ponudniki tovrstne tehnologije pojavljajo tudi v Sloveniji, eno izmed oblik DPI tehnologije pa razvijajo tudi nekatera slovenska podjetja?

Poleg poseganja v zasebnost in oviranje prostega pretoka informacij se torej odpira tudi vprašanje poseganja v vsebino spletnih strani in posledično morebitno kršenje avtorskih pravic lastnikov spletnih strani. Vendar pa proizvajalci DPI naprav o teh problemih ne govorijo preveč. Raje poudarjajo, da gre pri DPI za tehnologijo, ki omogočajo sodobnejše načine oglaševanja ali zagotavlja varnost omrežij. S slednjim argumentom se DPI tehnologije prodajajo predvsem podjetjem. In ker živimo v časih, ko se je v korist varnosti “potrebno” odreči svobodi in zasebnosti, se uporaba DPI naprav širi. Podobnost s prodajo videonadzornih sistemov vsekakor ni naključna.

Vsekakor gre za razmeroma nove tehnologije oziroma razmeroma nove načine uporabe obstoječih nadzornih tehnologij, za katere pa se zastavlja vprašanje, ali njihove uporabe – podobno kot je bilo to storjeno npr. z videonadzorom ali biometrijo v okviru Zakona o varstvu osebnih podatkov – morda ne bi bilo potrebno pravno regulirati. Uporaba DPI naprav namreč lahko predstavlja kršitev tako Zakona o varstvu osebnih podatkov kot tudi Zakona o elektronskih komunikacijah in Kazenskega zakonika.

Po Zakonu o varstvu osebnih podatkov je namreč prepovedana obdelava osebnih podatkov brez ustrezne pravne podlage (8. in 9. člen ZVOP-1), DPI tehnologije pa so namenjene tako obdelavi prometnih podatkov kot tudi prestrezanju in analizi vsebine komunikacij. To pa pomeni, da (pravno) nepravilna uporaba lahko predstavlja tudi kršitev 5. odstavka 103. člena Zakona o elektronskih komunikacijah, ki prepoveduje prestrezanje elektronskih komunikacij brez ustrezne pravne podlage oziroma lahko predstavlja tudi kaznivo dejanje kršitve tajnosti občil (139. člen Kazenskega zakonika) ter kaznivo dejanje napada na informacijski sistem (221. člen Kazenskega zakonika).

Kljub temu, da se tovrstne naprave prodajajo tudi v Sloveniji, pa kakšnih konkretnih podatkov o uporabi, predvsem pa implikacijah uporabe DPI tehnologij v Sloveniji nimamo. V tem oziru DPI tudi v svetovnem merilu predstavlja nekakšno novost, saj se je o pravnih in družbenih posledicah uporabe DPI nekoliko bolj sistematično začelo govoriti šele lansko leto, in sicer na pobudo kanadskega pooblaščenca za zasebnost, ki je z namenom osveščanja vzpostavil posebno spletno stran. Na spletni strani so zbrani prispevki različnih strokovnjakov, ki multidisciplinarno obravnavajo različne vidike DPI tehnologij.

Uporaba DPI v Sloveniji

Kot rečeno, se ponudniki DPI tehnologije, ki bi analizirala in morda celo posegala v komunikacijski promet javnih omrežij, pojavljajo tudi v Sloveniji. Vendar pa je slovenska zakonodaja glede posegov v komunikacijsko zasebnost precej stroga, zato so (vsaj nekateri) ponudniki dostopa do interneta glede uporabe DPI precej previdni. Manj pa to velja za podjetja, ki kupujejo DPI tehnologijo z namenom zaščite svojih internih omrežij. DPI tehnologija je v tem primeru “skrita” kot del funkcionalnosti požarne pregrade ali sistema za zaznavanje in preprečevanje vdorov v omrežje (tim. IDS in IPS sistemi; ang. Intrusion Detection Systems, Intrusion Prevention Systems). Problem pa nastopi pri praktični uporabi tovrstnih naprav, ki je lahko pravno pravilna ali pa pravno nepravilna. Težava je seveda v tem, da je prestrezanje digitalnih podatkov v sodobnih telekomunikacijskih omrežjih mogoče izvesti povsem nezaznavno, zato lahko uporabniki zelo težko (če sploh) ugotovijo, da se na njihovem omrežju izvaja DPI in da je posledično morda kršena njihova pravica do zasebnosti. Odsotnost pritožb uporabnikov zato ne pomeni nujno, da kršitev ni, pač pa lahko pomeni zgolj to, da so kršitve prikrite.

Kršitve je kljub temu mogoče zaznati, vendar je za to potrebno nekaj več računalniško-tehničnega znanja. V nadaljevanju si bomo pogledali prvi primer uradne obravnave uporabe DPI tehnologij v Sloveniji, v katerega sem bil “vpleten” tudi sam. Zgodba je zato nekoliko bolj osebna.

V začetku maja 2009 zjutraj sem na svojem službenem računalniku zagnal odjemalca za elektronsko pošto Mozilla Thunderbird. Odjemalec je nastavljen tako, da z njim prebiram svojo elektronsko pošto na štirih različnih strežnikih. Trije od njih omogočajo šifriranje povezav, zato se nanje povezujem preko šifriranega SSL oz. TLS protokola.

Ko se torej moj poštni odjemalec poveže na poštni strežnik, se med njim in strežnikom najprej vzpostavi šifrirana povezava, nato odjemalec (po šifrirani povezavi) strežniku pošlje uporabniško ime in geslo ter nato prenese e-poštna sporočila. Vsak izmed teh treh poštnih strežnikov za dokazovanje svoje verodostojnosti uporablja svoj digitalni certifikat, ki je tudi ustrezno podpisan.

Prebiranje e-pošte vsak dan poteka enako, tega dne pa je bilo nekaj drugače. Pri povezovanju na prvega izmed šifriranih strežnikov se je namreč pojavilo obvestilo, da identitete strežnika ni mogoče preveriti. Podrobnejši pregled SSL certifikata je pokazal, da je bil certifikat spremenjen (to je mogoče preveriti s pomočjo tim. prstnega odtisa oz. kontrolne vsote certifikata).

Novega (lažnega) certifikata nisem sprejel, pač pa sem zavrnil povezavo in se na poštni strežnik skušal povezati preko alternativnega, brezžičnega omrežja. V tem primeru mi je poštni strežnik poslal pravilen certifikat in povezava je bila uspešna. Očitno je postalo, da ne gre za problem poštnega strežnika, pač pa omrežja. Z drugimi besedami, v službenem omrežju mi je nekdo skušal podtakniti lažen SSL certifikat in s tem moj računalnik zavesti, da se poveže na njegov strežnik in mu posreduje uporabniško ime in geslo.

Obvestilo o spremembi SSL certifikata

Gre pravzaprav za klasičen napad s posrednikom (ang. man-in-the-middle napad), kjer se napadalec postavi med dve komunikacijski točki in se pred obema pretvarja, da je nasprotni komunikacijski partner. V danem primeru se je “napadalec” mojemu poštnemu odjemalcu predstavil kot poštni strežnik in ga poskušal zavesti, da bi se povezal nanj in mu posredoval svoje uporabniško ime in geslo. Te podatke bi potem “napadalec” poslal pravemu poštnemu strežniku in se mu predstavil kot moj poštni odjemalec. Kljub temu, da bi bili obe povezavi šifrirani, pa bi napadalec na sredi med obema komunikacijskima točkama lahko brez težav bral nešifriran promet (v našem primeru mojo e-pošto).

Shematski prikaz napada s posrednikom.

Ko sem se prepričal, da gre za poskus izvedbe napada s posrednikom in posledično morda za poskus neupravičene pridobitve mojega uporabniškega imena in gesla za dostop do mojega e-poštnega predala, sem se odločil za nekaj testov. S programom za analizo omrežnega prometa Wireshark sem opravil analizo omrežnega prometa iz mojega računalnika v internet in ugotovil, da ne gre za okužbo na mojem računalniku (tovrstne napade namreč znajo izvesti tudi nekateri virusi), pač pa za problem, ki se pojavlja nekje v samem omrežju.

Istega dne sem po elektronski pošti (seveda preko alternativne, “neokužene” povezave) omrežni incident oz. sum napada s posrednikom prijavil Arnesovemu centru za posredovanje ob omrežnih incidentih SI-CERT.

SI-CERT-ovo poizvedovanje je pokazalo, da do nepravilnosti v omrežju ne prihaja zaradi kakšnega hekerskega napada, pač pa zaradi delovanja požarnega zidu, ki omogoča DPI pregledovanje omrežnega prometa. O problemu sem obvestil tudi zaposlene v računalniškem centru fakultete, kjer sem zaposlen, od koder so me obvestili, da bo odgovor pripravilo podjetje, ki jim je prodalo DPI napravo in ki z njo tudi upravlja. To podjetje je kasneje posredovalo odgovor, kjer so pojasnili, da gre pri opisanem incidentu za delovanje požarne pregrade, ki je bila v začetku maja 2009 programsko nadgrajena, ob nadgradnji pa je bilo vklopljeno tudi protivirusno in protismetno pregledovanje za šifrirane poštne protokole.

V vmesnem času so šifrirane poštne povezave res začele normalno delovati, vendar pa sem opazil nekatere druge anomalije v delovanju omrežja oziroma delovanju nekaterih komunikacijskih protokolov in se zato odločil še za nekaj dodatnih testov (uporabljeno je bilo orodje za izvajanje naprednih testov omrežja, hping). Testiranja so sume, da se na omrežju še vedno izvaja prestrezanje in celo analiza komunikacijskih protokolov, še okrepila. Analize so namreč pokazale blokiranje nekaterih nestandardnih komunikacijskih protokolov ter prestrezanje komunikacij s pomočjo omrežnega posrednika (ang. transparent proxy).

V nadaljevanju sem se zato odločil izvesti še nekaj naprednejših analiz omrežja s katerimi sem uspel (približno) ugotoviti lokacijo prestrezne naprave v omrežju. Izkazalo se je, da je DPI naprava locirana na točki, kjer se omrežje moje fakultete povezuje naprej v internet, kar je pomenilo, da je DPI naprava sistematično prestrezala in (verjetno tudi) analizirala ves komunikacijski promet vseh zaposlenih in študentov, ki uporabljajo fakultetne računalnike.

Prijava Informacijskemu pooblaščencu

Kljub temu, da so moje ugotovitve kazale na to, da se prestrezanje izvaja avtomatizirano (brez tim. človeškega faktorja), pa se je treba zavedati, da argument “saj je samo stroj” ne vzdrži presoje. Poseganje v zasebnost je namreč koncipirano objektivno, kar pomeni, da do posega pride ne glede na to kdo ali kaj v zasebnost posega in je torej sporen že sam akt posega, ne pa šele morebitni kasnejši pregled prestreženih komunikacij s strani konkretne (tretje) osebe.

Izkazalo se je tudi, da je bila omenjena naprava vključena v omrežje brez ustrezne varnostne politike oziroma ustreznih notranjih aktov organizacije, ki bi jasno opredelila tovrstne posege, kaj šele, da bi o njih informirala zaposlene. V tem času sem prejel tudi odgovor podjetja, ki je fakulteti prodalo in upravljalo z DPI napravo. Le-ta je vseboval nekaj precej nenavadnih pojasnil. Med drugim so v odgovoru zapisali, da “ne gre za nobeno prestrezanje sporočil z namenom kršenja zasebnosti uporabnikov ali kaj podobnega, temveč za zagotavljanje varnosti omrežja in njegovih uporabnikov” ter dodali, da se uporabniki “ponavadi nevarnosti (odgovornosti?) za varnost omrežja ne zavedajo, saj jim je zasebnost pomembnejša od varnosti omrežja“. Predstavnik podjetja je v odgovoru še pojasnil da so “sporno pregledovanje kriptiranih protokolov na firewallu zenkrat izklopili, še vedno [pa] je vklopljeno pregledovanje nekriptiranih protokolov”. Očitno je torej bilo, da v očeh upravljalcev DPI naprave tim. varnost prevlada nad zasebnostjo.

Ob vsem skupaj se mi je zelo problematičen zazdel tudi del odgovora, kjer so predstavniki podjetja navedli, da v kolikor se uporabniki ne strinjajo s postavljenimi omejitvami, lahko za povezovanje v internet uporabljajo alternativno brezžično omrežje, kjer omejitev ni. Argument je precej nenavaden, saj ni jasno, kako bi v tem primeru zagotavljali varnost oziroma ni jasno kaj sploh varujemo – končne uporabnike, ali samo omrežno infrastrukturo? Konec koncev bi v najbolj radikalni različici lahko v žičnem omrežju celo prerezali vse kable (in s tem popolnoma “omejili” ves omrežni promet), vse uporabnike pa povezali na alternativno brezžično omrežje. V tem primeru varnostnih težav na žičnem omrežju sicer res ne bi bilo, bi se pa seveda še vedno pojavljale običajne težave pri končnih uporabnikih (npr. virusne okužbe). Zastavlja se torej vprašanje kaj je namen takšnega varovanja? Varovanje infrastrukture ne glede na pravice in potrebe uporabnikov? Odsotnost ustreznega premisleka o tem kaj sploh varujemo in kako varujemo, je torej postala še bolj očitna.

Glede na vse skupaj, pa tudi glede na pretekle izkušnje sem mnenja, da v omenjenem primeru ni šlo za osamljen incident, pač pa za sistematično nerazumevanje pomena komunikacijske zasebnosti in koncepta tajnosti, zaupnosti in neposeganja v komunikacije na internetu. Računalniški center univerze kjer sem zaposlen, je namreč že pred petimi leti za svoje uporabnike e-poštnega sistema brez obvestila vključil protismetno pregledovanje e-pošte. Protismetno pregledovanje je bilo precej radikalno, saj je brezpogojno izbrisalo vso e-pošto, ki jo je “prepoznalo” kot tim. spam (in pri tem žal pobrisalo tudi precej povsem legitimne e-pošte), predvsem pa so si upravljavci drznili posegati v integriteto elektronskih sporočil, saj so v e-pošto vrivali obvestila, da so bili iz e-pošte odstranjeni virusi in spam.

Poseganje v integriteto e-pošte z vrivanjem obvestil.

15. maja sem zato Informacijskemu pooblaščencu posredoval prijavo zaradi suma nezakonite obdelave prometnih (osebnih) podatkov.

Ugotovitve Informacijskega pooblaščenca

Na podlagi prijave je državni nadzornik 29. maja najprej izvedel inšpekcijski ogled na računalniškem centru univerze. Pregled je pokazal, da univerza nima enotne varnostne politike. Računalniški center univerze je kupil 6 požarnih pregrad, ena od njih pa je bila v uporabi pri fakulteti, kjer sem zaposlen. Ugotovljeno je bilo še, da politike in nastavitve požarnih pregrad določajo na posamezni fakulteti, vzdrževanje požarne pregrade pa izvaja zunanji izvajalec.

Nadalje je inšpekcijski pregled pokazal, da ima fakultetni računalniški center organizacije zgolj bralni dostop do nastavitev DPI naprave, da pa DPI naprava nima diskovnih zmogljivosti in elektronske pošte ne shranjuje, temveč zgolj opozori na zaznane nedovoljene dogodke.

Predstavnik računalniškega centra univerze je v okviru inšpekcijskega pregleda tudi podal mnenje, da DPI pregledovanje ni bilo izvedeno na uporabniku prikriti način, saj je moral uporabnik aktivno sprejeti ponujeni certifikat. Po mojem mnenju to sicer ne drži, saj je DPI naprava nešifriran promet pregledovala brez obvestil, prestrezanje certifikatov pa je na drugačen način, kot tako, da se uporabniku ponudi lažen certifikat zelo težko izvesti (ni pa povsem nemogoče). Poleg tega uporabnik, ki certifikata ni sprejel ni imel možnosti nadaljevati z delom oz. povezati se na svoj strežnik s pomočjo originalnega certifikata, večina uporabnikov pa zelo verjetno sploh ne razume pomena certifikatov oz. nima ustreznega znanja za ločevanje med pravim in lažnim certifikatom.

2. junija je bil nato opravljen še ogled pri računalniškem centru fakultete, kjer sem zaposlen. Tu so povedali, da je izbor in nakup opreme opravil računalniški center univerze, z DPI napravo pa je upravljal zunanji izvajalec, s katerim računalniški center fakultete ni imel sklenjene pogodbe, niti o napravi ni imel nobene dokumentacije in je imel do nje le omejen dostop.

2. julija je bil nato opravljen še inšpekcijski ogled pri zunanjem izvajalcu, kjer je bilo ugotovljeno, da DPI naprava (v času ogleda) ni izvajala nobenega beleženja v dnevniške datoteke, niti ni hranila nobenih osebnih podatkov. Ugotovljeno pa je bilo, da se s pomočjo naprave (če je vklopljeno beleženje v dnevniške datoteke) sicer da ugotoviti, kdo je kdaj dostopal do katere spletne strani, kar pomeni, da naprava omogoča zbiranje osebnih podatkov.

Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma “po domače” – brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.

Vendar pa je bila po mnenju Informacijskega pooblaščenca upravljavec osebnih podatkov oz. zavezanec po določbah ZVOP-1 fakulteta in ne univerza. 22. septembra je zato Informacijsko pooblaščenec fakulteti izdal ureditveno odločbo. (Kopijo sem pridobil na podlagi Zakona o dostopu do informacij javnega značaja; del podatkov iz odločbe je pred posredovanjem po ZDIJZ odstranil Informacijski pooblaščenec, del (označen z zvezdicami) pa sem iz odločbe odstranil sam).

Z odločbo je bilo zavezancu, torej fakulteti, naloženo, da v roku 60 dni sprejme in začne izvajati varnostno politiko za varovanje internega omrežja z vsebino katere mora seznaniti vse uporabnike svojega omrežja ter z zunanjim izvajalcem sklene ustrezno pogodbo, ki bo skladna z določili ZVOP-1. Varnostna politika mora vsebovati omejitve uporabe omrežja, popis mehanizmov, ki se izvajajo za varovanje in stabilnost delovanja omrežja z navedbo protokolov in storitev, ki se pregledujejo, obrazložitev postopkov, ki se izvajajo za filtriranje ali pregledovanje prometa, režim nadgradenj opreme za varovanje internega omrežja zavezanca ter postopke in ukrepe za nadzor fizičnega in logičnega dostopa do sistemskega prostora in opreme. Skratka, potrebno je urediti vsaj osnovna pravila glede uporabe DPI naprave ter o teh pravilih obvestiti uporabnike.

Sklep

Pri uporabi DPI tehnologije v organizacijskih omrežjih gre vsekakor za precej novo področje, kjer tehnologija zopet prehiteva pravo. Zato odločitev Informacijskega pooblaščenca postavlja nekakšen mejnik pri obravnavi DPI tehnologij. Dejstvo je, da se je pri svoji odločitvi Informacijski pooblaščenec odločal zelo previdno in ni sprejel kakšnega bolj radikalnega mnenja, ki bi uporabo DPI na splošno kar prepovedal ali kar dovolil. Namesto tega je izbral “srednjo pot”, kjer uporabe sporne tehnologije sicer ne prepoveduje, zahteva pa, da je podprta z ustreznimi notranjimi akti, njena uporaba pa opravičena in utemeljena ter predvsem transparentna.

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno. Podobno velja tudi za prometne podatke, saj je Ustavno sodišče v razsodbi Up-106/05 izrazilo stališče, da je treba predmet varstva komunikacijske zasebnosti razlagati širše, in sicer tako, da le-ta vključuje tudi prometne podatke, ki so sestavni del komunikacije. Podobno stališče je zaznati tudi iz odločitve Evropskega sodišča za človekove pravice Malone proti Veliki Britaniji (Malone v. Velika Britanija, odločba z dne 02. 08. 1984).

Vsekakor je sprejem ustrezne varnostne politike koristen – z njo organizacija jasno definira cilje in sredstva varovanja, vsi posegi v informacijsko in komunikacijsko zasebnost so (če je ustrezno pripravljena) zakoniti in transparentni, prav tako pa so jasne pristojnosti “računalničarjev” in vodstva ter odgovornost za morebitne kršitve. Vprašanje, ali morda v prihodnosti uporabe DPI tehnologij ne bi bilo potrebno izrecneje pravno regulirati, tudi na področju javnih komunikacijskih omrežij, pa po mojem mnenju ostaja odprto. Če se je namreč zakonodajalec odločil za podrobnejše urejanje področja videonadzora in biometrije, si verjetno podobno obravnavo zasluži tudi uporaba tehnologij, ki omogočajo množične posege v komunikacijsko zasebnost. Glede na to, da omenjene tehnologije prihajajo v množično rabo, časa za razmislek ni več veliko.