Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 16.06.2011
Naslov: Pričakovana zasebnost na službenih računalnikih
Številka: 0712-1/2011/1549
Vsebina: Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec je 6.6.2011 prejel vaš dopis v katerem navajate, da uporabljate prenosni službeni računalnik, služba informatike pa želi izvesti popis strojne in programske konfiguracije računalnikov, zato zaposlene, vključno z vami, osebje iz službe informatike poziva, da na internem omrežju zaženete program s končnico .bat, ki naj bi na daljavo pregledal in popisal računalnike.

V zvezi s tem vas zanima:
1)    Ali lahko delodajalec na ta način dostopi do vašega službenega računalnika in izvede opis brez vaše privolitve?
2)    Ali lahko delodajalcu ponudite alternativno možnost in popis strojne ter programske opreme opravite ročno sami, nato pa posredujete te podatke?
3)    Na osnovi česa bi delodajalec lahko izvedel pregled uporabljene strojne in programske opreme službenega prenosnega računalnika brez privolitve uporabnika?


Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. točke 1. odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1; ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 - ZUstS-A; ZInfP) posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Vprašanje pravice vpogleda delodajalca v podatke, ki so shranjeni na službene računalniku zaposlenega, je zelo občutljivo, saj obstaja odprta dilema, kakšno stopnjo zasebnosti lahko delojemalec upravičeno pričakuje in kdaj predstavlja poseg v podatke, ki so shranjeni na službenem računalniku zaposlenega, kršitev njegove zasebnosti. Na eni strani imamo interes delodajalca, ki ima pravico do oblasti nad svojimi sredstvi (sem sodijo tudi računalniki), na drugi strani pa legitimen interes zaposlenega, ki utemeljeno pričakuje določeno stopnjo zasebnosti in delno samostojnost in zaupnosti tudi na delovnem mestu.

Uporaba programov ali programskih skript za popis strojne in programske opreme bi bila načeloma dopustna tedaj, ko bi v notranjih pravilnih podjetja za takšno postopanje obstajala podlaga in ko istega učinka ne bi bilo mogoče doseči z milejšimi sredstvi – z vidika posega v zasebnost zaposlenih. Še posebej pa je potrebno poudariti, da je v primeru, če pri posegu v zasebnost (npr. brskanju po oddaljenem računalniku) pride do obdelave osebnih podatkov, tak poseg dopusten zgolj na podlagi zakona oziroma na podlagi osebne privolitve posameznika, sicer gre  za kršitev 10. člena ZVOP-1.

Vprašanja, ki ste jih zastavili, so zelo občutljiva v razmerju delodajalec – delojemalec, saj obstaja odprta dilema, kakšno stopnjo zasebnosti lahko delojemalec upravičeno pričakuje in kdaj predstavlja poseg v osebne podatke, ki so shranjeni na službenem računalniku zaposlenega, kršitev nedotakljivosti njegove zasebnosti. Na eni strani imamo interes delodajalca, ki ima pravico do oblasti nad svojimi sredstvi (npr. telefoni, računalniškimi omrežji) in delovnim procesom, na drugi strani je legitimen interes zaposlenega, ki utemeljeno pričakuje določeno stopnjo zasebnosti in delno samostojnost in zaupnost tudi na delovnem mestu, kot to izhaja iz sodbe Evropskega sodišča za človekove pravice Halford v. Združeno kraljestvo.

Za razliko od ZDA je v Evropi zakonodaja glede nadzora na delovnem mestu (kamor sodi tudi nadzor nad službenimi računalniki zaposlenih oseb) bistveno bolj naklonjena varovanju zasebnosti. Delodajalec je načeloma dolžan obvestiti zaposlene o možnosti nadzora na delovnem mestu, prav tako mora večinoma za tak nadzor pridobiti soglasje zaposlenih. Tako npr. odločitev Kasacijskega sodišča Francije št. 99-42.942 iz leta 2001 izrecno navaja, da »delodajalec, ki bere sporočila, ki jih zaposleni pošilja ali sprejema preko službenega računalnika, krši temeljne pravice delavca, kot jih določa 8. člen Evropske konvencije o človekovih pravicah. … To velja ne glede na to, ali je bil delavec vnaprej seznanjen, da službenega računalnika ne sme uporabljati v neslužbene namene. … Podjetje ali druge ustanove ne smejo biti mesta, kjer bi delodajalci arbitrarno in brez omejitev izvajali svoje diskrecijske pravice; ne smejo postati okolja totalnega nadzora, kjer temeljne človekove pravice nimajo veljave.«

Kljub skrbi za zasebnost na delovnem mestu je določena stopnja nadzora s strani delodajalca zakonsko dopustna. Seveda pa je tak nadzor dopusten tedaj, ko se izvaja v okviru, ki ga določajo ustava, zakonski predpisi in domača ali mednarodna sodna praksa. Razen tega mora biti dopusten nadzor oziroma poseg v zasebnost opredeljen v internih pravilnikih podjetja. Sem sodi tudi možnost izvajanja elektronskega popisa strojne in programske opreme na daljavo. Pri tem morajo biti določeni pogoji, ko je izvedba takšnega popisa (npr. s pomočjo programske skripte) dopustna, prav tako pa morajo biti določene osebe, ki so pooblaščene za izvajanje popisa (npr. sistemski administratorji). Programsko skripto, ki jo navajate v dopisu, bi bilo načeloma smotrno uporabiti tedaj, ko neposredna fizična oblika popisa ne bi bila mogoča oziroma bi bila povezana z nesorazmernimi stroški v denarju in času.

Pooblaščenec meni, da brez vaše privolitve praviloma ne bi smel izvajati popisa strojne in programske opreme vašega računalnika na daljavo s pomočjo programske skripte, saj z vidika vas kot osebe, ki naj bi ji bila na delovnem mestu zagotovljena določena stopnja zasebnosti, ni in ne more biti docela jasno ali skripta (datoteka s končnico .bat) dejansko izvaja le popis strojne in programske konfiguracije, ali pa gre morda tudi za prikrito obliko nadzora. Vsekakor pa tak poseg ni dopusten v primerih, ko obstaja verjetnost, da med procesom pride do obdelave osebnih podatkov, ki so shranjeni na računalniku. ZVOP-1 v 10. členu namreč določa, da je obdelava osebnih podatkov v zasebnem sektorju dopustna le na podlagi zakona ali osebne privolitve.

Možnost, da bi delodajalcu sami ponudili drugačen način popisa strojne in programske opreme, se zdi smotrna, saj gre za bistveno milejši ukrep, ki manj poseže v sfero zasebnosti – celo tedaj, če tak fizičen popis izvede druga oseba v vaši prisotnosti. Vendar pa se lahko Pooblaščenec o tem vprašanju izreče zgolj okvirno, saj ne gre neposredno za vprašanje kršitve ZVOP-1, pač pa za področje, ki je urejeno ali bi vsaj moralo biti urejeno v notranjih pravilnikih podjetja.

Prav tako bi morali notranji pravilniki podjetja opredeljevati kdaj je pregled strojne in programske opreme, ki je nameščena na računalnikih zaposlenih, dopusten. Za bolj natančen pregled vsebine računalnikov, ki presega okvirje implementacije varnostne politike (npr. samodejno pregledovanje datotek s protivirusnimi programi), je načeloma potrebna vsaj seznanitev, pogosto pa tudi privolitev posameznikov, še posebej, če obstaja verjetnost, da bi se oseba, ki izvaja tak pregled, pri tem utegnila seznaniti z osebnimi podatki, ki so shranjeni na računalnikih zaposlenih.

Možnost nadzora delodajalca nad računalniki zaposlenih je torej precej omejena, vsakršno pretirano samovoljno postopanje pa lahko kaj hitro pripelje do kršitve ustavne in zakonsko varovane pravice do zasebnosti na delovnem mestu. Ali gre dejansko za kršitev je v veliki meri odvisno prav od tega ali se na posameznem računalniku nahajajo osebni podatki. Če se osebni podatki na računalniku nahajajo in do njih dostopa oseba, ki za takšno obdelavo ni pooblaščena oziroma za obdelavo sploh ni podane zakonske podlage ali privolitve posameznika, gre najverjetneje za kršitev 10. člena ZVOP-1. V tem primeru se lahko obrnete na Pooblaščenca z zahtevo po uvedbi inšpekcijskega postopka zaradi domnevnih kršitev ZVOP-1. Razen tega pa imate na voljo še možnost civilnopravnega in kazenskopravnega varstva.

Prijazen pozdrav,

Informacijski pooblaščenec:
Nataša Pirc Musar,