Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 16.10.2017
Naslov: Dopustnost uporabe tehnologije Deep Packet Inspection
Številka: 0712-1/2017/2016
Vsebina: Zavarovanje osebnih podatkov, Moderne tehnologije, Delovna razmerja
Pravni akt: Mnenje

Spoštovani,

 

Informacijski pooblaščenec (IP) vam na podlagi informacij, ki ste nam jih posredovali v zaprosilu za mnenje v nadaljevanju na podlagi 7. točke prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posreduje naše neobvezno mnenje v zvezi z vašimi vprašanji.

 

V zaprosilu ste pojasnili, da preučujete možnost uporabe Deep Packet Inspection (DPI) tehnologije zaradi povečanih varnostih groženj in hekerskih napadov iz tujine. Z uporabo DPI naj bi zmanjšali uspešnost kibernetskih napadov na vaš informacijski sistem, povečali varnost omrežja in uporabnikov ter posledično zagotovili bolj zanesljivo delovanje električnega prenosnega omrežja. Ob tem upravičeno izražate zaskrbljenost za varstvo zasebnosti, saj omenjena tehnologija omogoča vpogled v vsebino elektronskih komunikacij [1] in ima vpliv tako na komunikacijsko kot na informacijsko zasebnost uporabnikov. Glede na navedeno vas zanima, ali oz. kako bi lahko zakonito uporabljali DPI tehnologijo, predvsem, ali je dovolj, če v internem aktu (varnostni politiki) opredelite uporabo te tehnologije.

 

 

Tehnologija DPI, kot tudi sami ugotavljate, omogoča pregled vsebine komunikacij, kar ima samo po sebi implikacije na varnost omrežij in na zasebnost uporabnikov omrežij. S pomočjo DPI tehnologije, ki čedalje bolj postaja sestavni del naprednih požarnih zidov in drugih varnostnih mehanizmov se lahko bolje soočamo s sodobnimi varnostnimi izzivi, po drugi strani pa lahko v primeru nenamenske rabe postane tehnologija, ki je zlorabljena za nadzor uporabnikov s posegom v njihove ustavno zagotovljene pravice do zasebnosti. Da je med omenjenimi interesi in pravicami treba poiskati ustrezno ravnovesje določa tudi Splošna Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; uredba [2] oz. GDPR), ki predstavlja bodiči evropski okvir varstva osebnih podatkov. Uredba ne more podrobno urejati posameznih varnostnih tehnologij, daje pa nekaj usmeritev, ki pripomorejo k iskanju ustreznih ravnovesij med varnostjo in zasebnostjo.

 

Uredba v uvodni določbi št 49 določa,  da obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na določeni ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih osebnih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne prek teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje, skupin za odzivanje na računalniške varnostne incidente, ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev pomeni zakoniti interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih.

 

Upravljavci omrežij torej imajo legitimni interes, da uporabljajo varnostne rešitve, seveda pa mora biti njihova uporaba omejena na tisto, kar je nujno, sorazmerno in primerno, na samo ravnovesje pa vpliva tudi nabor različnih  ustreznih varovalk.

 

Dodatne usmeritve poleg uredbe daje tudi Svet Evrope v Priporočilu o varstvu osebnih podatkov v zvezi z zaposlovanjem (CM/Rec/2015/5), z dne be 1.4.2015 (dostopno na: https://search.coe.int/cm/Pages/result_details.aspx?ObjectID=09000016805c3f7a).

 

Relevantne usmeritve zasledimo predvsem v določbah  načel št. 14, 15, 20, in 21, ki jih lahko povzamemo v naslednjih ključnih točkah:

 

  • (14.1.) Delodajalci bi se morali izogibati neupravičenim posegom v pravico do zasebnosti, ne glede na vrsto uporabljene IKT opreme.
  • Zaposleni bi morali biti primerno in periodično obveščeni z jasnimi določbami internih aktov o namenih obdelave, rokih hrambe (prometnih) podatkov in elektronske korespondence.
  • (14.2) Glede nadzora uporabe interneta je dopustno preventivno in tehnično omejevanje vnaprej, ne pa naknadno preverjanje po posameznih uporabnikih!
  • (15.1.) Uporaba IKT za neposredni namen nadzora nad zaposlenimi ne bi smela biti dovoljena.
  • IKT, ki posredno omogoča nadzor zaposlenih, bi morala biti podvržena posebnim varovalkam (načelo 21).
  • (20.1.) Delodajalci bi morali izvesti ocene tveganj in učinkov predvidenih obdelav na temeljne človekove pravice z namenom pravočasne minimizacije tveganj in izogibanja nedopustnim posegom.
  • (20.2.) Če nacionalna zakonodaja ne predvideva drugih ustreznih varovalk bi bilo treba pridobiti soglasje zastopnikov pravic zaposlenih pred uvajanjem IKT, ki lahko posega v temeljne človekove pravice zaposlenih.
  • (21.) Dodatne varovalke:

    • Vnaprejšnje informiranje zaposlenih o uporabi opreme, ki se lahko uporabi za nadzor zaposlenih. Informacije morajo biti jasne in ažurne, vključevati morajo namen obdelave, roke hrambe podatkov, obstoj in uveljavljanje pravic posameznika glede seznanitve in popravkov ter načina uveljavljanja pravic.
    • Ustrezni interni postopki obdelave podatkov in seznanjenost zaposlenih s postopki.
    • Posvetovanje z zastopniki zaposlenih v skladu z nacionalno zakonodajo pred uvedbo opreme oziroma sistemov za nadzor ter pridobitev njihovega soglasja [3], kjer gre za ugotovljene možnosti posegov v pravice zaposlenih.
    • Posvetovanje z nacionalnimi nadzornimi organi za varstvo osebnih podatkov (skladno z nacionalno zakonodajo).

 

Če poskusimo povzeti zgoraj navedeno IP meni, da bi morali pred uvedbo IP izvesti oceno učinkov, v kateri bi analizirali tveganja, ki jih uporabe konkretne tehnologij prinaša za varstvo zasebnosti zaposlenih ter opredelili ukrepe za zmanjšanje in obvladovanje teh tveganj.

 

V pomoč pri izdelavi ocene učinka na varstvo osebnih podatkov (včasih imenovane tudi presoje vplivov na zasebnost) si lahko pomagate z naslednjimi smernicami:

 

 

Slednje izrecno omenjajo primer sistematičnega nadzora komunikacij zaposlenih med primeri, ko je treba izvesti oceno učinka skladno z določbami 35. člena uredbe.

 

V izdelavi so tudi nove smernice IP o ocenah učinka.

 

Kolikor ocena učinkov pokaže, da so tveganja obvladljiva, bi nato morali v ustreznem internem aktu (varnostni politiki) skladno z zgoraj navedenimi priporočili jasno informirati zaposlene o namenih obdelave, rokih hrambe podatkov, obstoju in uveljavljanju pravic posameznika glede seznanitve in popravkov ter o načinu uveljavljanja pravic. V okviru sorazmernega je dopustno tehnično blokiranje določenih storitev, sporno pa je naknadno spremljanje konkretne uporabe z namenom nadzora nad zaposlenimi. Menimo, da bi morali tudi jasno opredeliti dostopne pravice do zadevne tehnologije, predpisati in zagotoviti beleženje vseh dostopov do opreme, s katero se izvaja DPI ter – kot tudi sami predlagate – jasno opisati način delovanja tehnologije (popis uporabljanih mehanizmov, protokolov, storitev idr.). Natančnost in transparenost internih aktov je pomemben predpogoj za zakonito uvedbo tovrstne tehnologije. Posebej priporočamo, da interni akt izrecno prepoveduje kakršnokoli uporabo zadevne tehnologije v druge namene (npr. za namen nadzora obiskanih spletnih strani ali drugih spletnih storitev, za namene profiliranja zaposlenih itd.).

 

Glede uporabe službene opreme v zasebne namene (kot npr. prenosnikov, kar posebej izpostavljate; t.i. BYOD) smo na to temo izdali posebne smernice, ki so dostopne na:

 

https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_o_BYODweb.pdf

 

Glede ureditve tega dela vam svetujemo, da sledite napotkom in priporočilom iz smernic ter zgoraj omenjenih priporočil Sveta Evrope; posebej opozarjamo na naslednja načela:

 

  • (14.3.) Dostop do službenih elektronskih komunikacij mora biti vnaprej opredeljen in nujen zaradi varnosti ali drugih legitimnih razlogov. V primeru odsotnih zaposlenih se lahko sprejmejo samo nujni posegi ob upoštevanju sorazmernosti.
  • (14.4.) Vsebina, pošiljanje in sprejemanje zasebnih elektronskih sporočil na delovnem mestu ne sme biti nadzorovano.
  • (14.5.) Ob prekinitvi delovnega razmerja je treba deaktivirati poštni predal zaposlenega; sporočila, ki jih potrebuje delodajalec, pa naj bi ta pridobil pred odhodom zaposlenega.

 

 

S spoštovanjem,

 

Mojca Prelesnik, univ. dipl. prav.,

Informacijska pooblaščenka

 

 

Pripravil: mag. Andrej Tomšič, namestnik informacijske pooblaščenke

 


[1] Priznati je treba, da že tudi vsak poštni strežnik omogoča poseg v zasebnost komunikacij, saj lahko tehnično gledano tisti, ki z njim upravlja (npr. delodajalec) katerokoli tehnologijo uporabi koristno ali nenamensko, kar velja tudi za DPI.

[2] Več: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/

[3] Poudarjamo, da gre za soglasje zastopnikov zaposlenih in ne posameznih zaposlenih! Soglasje posameznega zaposlenega nima prave teže, saj je običajno v razmerju do delodajalca šibkejša stranka.