Prywatność korzystania z internetu pracowników w Niemczech

Coraz więcej osób zatrudnionych ma możliwość korzystania z internetu. Administracja szczebla federalnego i lokalnego musi w związku z wykonywaniem swoich zadań uwzględnić wymagania dotyczące ochrony danych osobowych osób zatrudnionych i ich partnerów komunikacyjnych, w związku z tym ustalić, czy osoby zatrudnione mogą korzystać w miejscu pracy z internetu nie tylko w celach służbowych ale także osobistych. W dniach 07.03 - 08.03. 2002 roku odbyła się 63 Konferencji przedstawicieli szczebla federalnego oraz lokalnego (landy) właściwych do spraw ochrony danych. Konferencja dotyczyła dozwolonego korzystania z poczty elektronicznej oraz innych usług internetowych w miejscu pracy zgodnie z wytycznymi dotyczącymi ochrony danych. Grupa robocza do spraw mediów stworzyła podczas konferencji szczegółowe wytyczne dotyczące tej problematyki.

W szczególności:

1. Miejsca pracy wyposażone w dostęp do internetu powinny być zorganizowane w taki sposób, aby dane osobowe były chronione w możliwie maksymalny sposób. Korzystanie z interetu w miejscu pracy nie może doprowadzić do całkowitej kontroli nad osobami zatrudnionymi. W związku z tym powinny zostać wprowadzone prewencyjne środki służące dodatkowej kontroli i zapobiegające korzystaniu w nieupoważniony sposób.

2. Osoby zatrudnione muszą być w sposób wyczerpujący poinformowane o tym, w jakim celu wolno im korzystać z dostępu do interentu w miejscu pracy i w jaki sposób pracodawca będzie kontrolował dotrzymania ustalonych warunków korzystania.

3. Kwestie związane z protokołowaniem i szczegółowymi sposobami kontroli w sytuacji podejrzenia o nadużycie muszą być uregulowane w wewnętrznych porozumieniach dotyczących świadczenia usług. Komunikacja pomiędzy osobami zobowiązanymi do zachowania poufności i przedstawicielami personelu musi podlegać szczególnej ochronie. 4. Jeżeli protokołowanie (logowanie) dostępu do internetu jest konieczne z powodów ochrony danych, ochrony dokumentów lub spowodowane jest wymogami przepisów obowiązujących w zakładzie pracy, kontrola ta nie może prowadzić do nadzoru nad osiągnięciami i zachowaniem się osób zatrudnionych.

5. Jeżeli zatrudnieni mają zgodę na osobiste korzystanie z poczty elektronicznej, elektroniczna korespondencja podlega ochronie tajemnicy korespondencji. Pracodawca, co do zasady, nie może zapoznawać się z zawartością tej korespondencji. W tym celu muszą zostać podjęte stosowne techniczne i organizacyjne kroki. 6. Pracodawca nie jest zobowiązany do zapewnienia osobom zatrudnionym możliwości korzystania z internetu dla celów prywatnych. Jeżeli to jednak czyni, może uzależnić zgodę od dochowania przez osoby zatrudnione odpowiednich reguł i zasad postępowania i uzależnić zgodę na dostęp dla celów prywatnych od przyzwolenia pracowników na prowadzenie kontroli ich aktywności w internecie poprzez protokołowanie.

7. Te same warunki, co przy korzystaniu z interentu musza być zapewnione przy wykorzystywaniu intranetu.

Przedstawiciele ds. ochrony danych domagają się od ustawodawcy federalnego, w związku z potencjałem kontroli związanej z zastosowaniem technik informacyjnych i komunikacyjnych w miejscach pracy, uchwalenia odpowiedniej obszernej regulacji ustawowej dotyczącej ochrony danych pracownika.

Wytyczne w związku z problemem ochrony danych przy korzystaniu z poczty elektronicznej oraz innych usług interentowych w miejscu pracy. Opracowane podczas konferencji przez grupę roboczą do spraw mediów.

Coraz więcej osób zatrudnionych ma możliwość korzystania z internetu . Administracja szczebla federalnego i lokalnego musi w związku z wykonywaniem swoich zadań uwzględnić wymagania dotyczące ochrony danych osobowych osób zatrudnionych i ich partnerów komunikacyjnych, w związku z tym ustalić, czy osoby zatrudnione mogą korzystać w miejscu pracy z interentu nie tylko w celach służbowych ale także osobistych.

I. Ogólne zasady

a. Przy korzystaniu z poczty elektronicznej i innych usług internetowych przez osoby zatrudnione muszą zostać zapewnione ogólne środki techniczne, dzięki którym wykorzystanie danych osobowych będzie ograniczone do wymaganego minimum (zasada unikania danych osobistych i oszczędności danych). W związku z tym zalecane jest postępowanie służące ochronie danych. Również kontrola korzystania wykonywana przez pracodawcę (dla ułatwienia użyte jest określenie "pracodawca"; obejmuje ono w tym kontekście również inne osoby na rzecz których świadczone są usługi), powinna być tak zorganizowana aby nie wymagała, lub związana była z jak najmniejszym wykorzystaniem danych osobowych. W związku z tym mogą być wprowadzane dodatkowe środki kontroli prewencyjnj, chroniące przed nieupoważnionym korzystaniem.

b. Osoby zatrudnione muszą zostać zapoznane z zasadami i muszą wyrazić zgodę na wykorzystanie środków technicznych oraz na sposób przeprowadzenia postępowania prawnego w związku z ochroną danych. Muszą być też poinformowani o sposobie i zakresie w jaki mogą być wykorzystane dane osobowe (zasada transparentności).

c. Konieczne jest podjęcie odpowiednich środków w celu zagwarantowania poufności i integralności korespondencji. W szczególności każdy komputer z dostępem do internetu powinien być wyposażony w łatwe do obsługi i dostępne również dla partnerów komunikacyjnych oprogramowanie szyfrujące. Ma to zapewnić wygodę szyfrowanego przekazu danych osobowych lub innych poufnych informacji.

d. W związku z tym konieczne jest wprowadzenie automatycznych central oraz w związku z możliwością przesyłania szyfrowanej korespondencji zastosowanie również lokalnych programów antywirusowych. Dla sprawdzenia aktywnych zawartości, polecane jest oprogramowanie do lokalnego wysyłania korespondencji.

II. Korzystanie w celach służbowych

a. W przypadku gdy pracodawca zezwala na korzystanie z poczty elektronicznej i interentu jedynie w celach służbowych, nie jest on dostawcą usług w rozumieniu prawa telekomunikacyjnego. (§ 1 ust 1 zd 1 TDDSG Teledienstdatenschutzgesetz: ustawa o ochronie danych przy usługach telekomunikacyjnych). �ciągnięcie i przetwarzanie przez osoby zatrudnione danych poprzez Sieć jest regulowane w tym przypadku przez odpowiednie przepisy urzędowe, pomocniczo przez BDSG (Bundesdatenschutzgesetz: ustawa federalna o ochronie danych) - dla pracowników federalnych, związanych układami zbiorowymi pracy lub przez przepisy lokalnych ustaw o ochronie danych (landy) - dla pracowników związanych lokalnymi układami zbiorowymi pracy.

b. Co do zasady pracodawca ma prawo hasłowego sprawdzania czy surfowanie lub wysyłanie korespondencji przez pracownika ma naturę służbową. Automatyczna, pełna kontrola przez pracodawcę jest traktowana jako ciężkie wkroczenie w sferę praw osobistych zatrudnionego i jest dozwolona tylko w wyjątkowych wypadkach. Zaleca się uzgodnienie zakresu dozwolonego korzystania z poczty elektronicznej i internetu z radą pracowniczą, w szczególności w zakresie protokołowania (logowania), wykorzystania i prowadzenia kontroli. Kwestie te wymagają dokładnej regulacji. Możliwe środki służące kontroli oraz możliwe sankcje powinny być podane do wiadomości osobom zatrudnionym.

c. Osobom zatrudnionym, które przy swoich zawodowych czynnościach stykają się z osobistymi tajemnicami i w związku z tym znajdują się w specjalnym stosunku zaufania ze swoimi partnerami komunikacyjnymi (psychologowie, lekarze, pracownicy socjalni oraz pedagodzy) muszą zgodnie z obowiązującym orzecznictwem Sądu Najwyższego Pracy (Bundesarbeitgericht) być zapewnione środki, które wykluczą możliwość zapoznania się z treścią korespondencji przez nieupoważnione osoby.

d. Pracodawca może kontrolować wykorzystywanie i łączenie danych przez personel tylko w takim zakresie, w jakim w poszczególnych wypadkach jest to wymagane przy kontroli kosztów. W związku jednak z nieznacznymi kosztami związanymi z wykorzystaniem internetu i poczty elektronicznej, analizowanie i wykorzystywanie danych jest co do zasady nieuzasadnione.

e. W zakresie, w jakim zasady ochrony danych są przestrzegane, będą stosowane uzgodnienia dotyczące usług. W poszczególnych przypadkach znajdują zastosowanie przepisy wymienione w pkt. a. Ani federalna ustawa o ochronie danych, ani ustawy poszczególnych landów, ani też wewnętrzne regulacje zakładów pracy nie mogą wyłączyć ich zastosowania. Jedynie w przypadku gdy regulacja nie ma waloru bezwzględnie obowiązującego, można rozważać możliwość zastosowania odstępstwa na niekorzyść pracownika.

f. W normalnej sytuacji przetwarzanie danych znajdujących się w protokole (logu) nie powinno być uzależnione od zgody pracownika, ze względu na stosunek zależności względem pracodawcy - decyzja ta nie była by podejmowana w pełni dobrowolnie. Jedynie w wyjątkowych przypadkach zgoda zatrudnionego na wykorzystanie danych zgodnie z przepisami wymienionymi w pkt. a powinna mieć zastosowanie. Osoby zatrudnione mogą np. domagać się przedłożenia danych zawartych w protokole (logu), aby usunąć podejrzenia związane z niedozwolonym użyciem internetu.

g. W zakresie w jakim korzystanie z poczty elektronicznej i interentu służy kontroli związanej z ochroną danych, bezpieczeństwem lub warunkami porządkowymi w zakładzie pracy, postępowanie może podlegać protokołowaniu (logowaniu). Jeżeli w tym przypadku, zgodnie z wymienionymi aktami prawnymi, może być wykorzystywane - nie może jednak służyć kontroli zachowania się i osiągnięć pracowników.

h. Z wychodzącymi i przychodzącymi pismami służbowymi w postaci poczty elektronicznej, pracodawca ma prawo zapoznawać się w takim zakresie, jak z pisemną korespondencją służbową. Przykładowo może zarządzić, aby każde wychodzące lub przychodzące pismo zostało mu podane do wiadomości.

i. Z powodów pewności i bezpieczeństwa danych, mogą być wstrzymane fragmenty lub załączniki, które zawierają niebezpieczne albo podejrzane kody. (w szczególności strony html, pliki z rozszerzeniem *.exe, *.bat, *.com lub spakowane pliki takie jak *.zip, *.arj, *.lha)

III. Użytek prywatny

1 Ogólne zasady

a. Jeżeli pracodawca zezwala pracownikom na korzystanie z internetu i poczty elektronicznej w celach prywatnych, jest on traktowany zgodnie z przepisami prawa telekomunikacyjnego jako dostawca usług telekomunikacyjnych.

b. Dostawcy dostępu (Access Provider) działający na zlecenie pracodawcy są w stosunku do telekomunikacji pomocniczymi dostawcami usług telekomunikacyjnych. W stosunku do zatrudnionych, korzystających w celach prywatnych, nie są traktowani jako wyłączne podmioty świadczące usługi, ale jako dostawcy w stosunku do kwalifikowanych pracodawców.

c. Pracodawca jest zobowiązany względem osób zatrudnionych do zachowania tajemnicy komunikacyjnej. W tym przypadku maja zastosowanie te same zasady co przy prywatnym korzystaniu ztelefonu.

d. Znajdują zastosowanie zasady rozporządzenia w sprawie ochrony danych telekomunikacyjnych (Telekommunikations-Datenschutzverordnung), ustawy o ochronie usług telekomunikacyjnych (Teledienstedatenschutzgesetzes), względnie zasady umów państwowych w sprawie usług medialnych.

e. Pracodawca nie jest zobowiązany do umożliwienia pracownikom korzystania z internetu w celach prywatnych. Jeżeli jednak się na to zdecyduje, muszą być mu zapewnione pewne środki do określenia przesłanek korzystania (na przykład możliwość zastosowania określonego rodzaju kontroli). Zatrudniony, który nie chce wypełnić określonych przesłanek, może odmówić zgody na korzystanie prywatne bez negatywnych służbowych konsekwencji.

f. Zakres prywatnego korzystania, jego warunki oraz rodzaj, a także zakres kontroli i konsekwencje związane z ich niezachowaniem, powinny być jednoznacznie uregulowane w porozumieniach o świadczenie usług lub przez zakładową radę pracowniczą.

g. Protokołowanie (logowanie) może nastąpić bez wcześniejszej zgody, jeżeli jest ono konieczne ze względu na kontrolę ochrony danych, lub pewność danych lub dla pewności porządku w zakładzie pracy, lub też jeżeli wymagane jest to ze względu na rozliczenia.

2. Szczególne regulacje dotyczące poczty elektronicznej

a. Prywatna korespondencja elektroniczna powinna być traktowana tak jak prywatna korespondencja. W związku z tym prywatna korespondencja mylnie zaadresowana jako służbowa, powinna być niezwłocznie przekazana do wyłącznej wiadomości adresata.

Pracodawca, w związku ze spoczywającym na nim obowiązku tajemnicy telekomunikacyjnej, powinien udostępnić pracownikom adresy do prywatnej korespondencji, lub gdy prywatne surfowanie jest im dozwolone, klasyfikować tę czynność jako darmową mailową usługę sieciową.

b. Podobnie jak przy korzystaniu służbowym (pkt. II i) przychodzące prywatne listy elektroniczne lub załączniki mogą być przechwycone, ze względu na pewność danych, jeżeli są one zapisane w formacie lub zawierają pewne podejrzane kody. Taki sposób postępowania powinien być wcześniej podany do wiadomości pracowników. Co do zasady pracownicy powinni być poinformowani w przypadku, jeżeli kierowana do nich lub wysyłana przez nich korespondencja została przechwycona w całości lub w części lub została poddana postępowaniu antywirusowemu. Sprawdzenie wiadomości potencjalnie zawierającej wirusy przez administratora systemu, co mogłoby się wiązać się z koniecznością zapoznania się z jej treścią, jest dozwolone jedynie za zgodą konkretnego pracownika.

c. Kontrola treści wiadomości jest co do zasady niedopuszczalna.

Justyna Kurek
Prawnik, absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. Tematem jej pracy magisterskiej było wykorzystanie dokumentu elektronicznego na gruncie prawa niemieckiego i polskiego. Studiowała również na Uniwersytecie Georg-August-Universität w Getyndze w ramach programu Erazmus Sokrates.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>