Лична неприкосновеност

Работодатели следят служители: какво може и какво не

January 5 2013 by Emil A. Georgiev

Image: Self Snitch by Poster Boy NYC on Flickr

Вчера получих покана от Нова Телевизия да кажа няколко думи пред камерата за това, дали и доколко работодателите имат право да следят своите служители и/или работници на работното им място.

Репортажчето беше част от централната новинарска емисия (гледайте от 29:35 нататък), и въпреки краткото си времетраене предизвика оживена дискусия на социалните медии, която ме мотивира да обобщя правната рамка по схемата на въпроси, които си задавам, и на които отговарям едновременно.

Списъкът с въпросите не е изчерпателен, така че ако ви интересува нещо, което не е отразено тук – питайте в коментарната секция.

На това място съм длъжен да спомена, че правоприлагащите органи все още не са произвели съществена практика по тези въпроси, така че написаното насетне представлява чиста проба лична преценка, поради което и препоръчвам да я четете cum grano salis.

Може ли работодателят да ограничи ползването на интернет на работното място?

Да.

Работодателят има право да се разпорежда с компютърните системи и интернет свързаността на работното място както намери за добре. Работодателят също така има интерес от това, служителите и/или работниците му да прекарват колкото се може повече време в изпълнение на служебните си задължения, а не в посещения на социални медии или сърфиране за лични нужди.

В тази връзка работодателят може да забрани достъпа до определни сайтове – на пример социални медии (Facebook, Twitter, G+) или приложения (Skype), като предпоставката за тази забрана е тя да е разпоредена в рамките на т. нар. правилник за вътрешния трудов ред (чл. 181 от КТ).

Служителят и/или работникът е длъжен да съблюдава забраната, когато тя е част от вътрешния правилник и е надлежно доведена до неговото знание (съставлява неразделна част от трудовия договор).

Какво рискувам, ако наруша тази забрана?

Санкция.

Нарушението на правилника за вътрешния ред представлява „нарушение на трудовата дисциплина“ (чл. 187, т. 10 от КТ), което може да доведе до дисциплинарни наказания (чл. 188 от КТ), най-тежкото от които е уволнението (чл. 188, т.3 от КТ).

Може ли работодателят да чете личните ми имейли или чатове без мое разрешение?

Не.

Личната електронна комуникация (имейл, чат, sms) представлява кореспонденция по смисъла на чл. 34 от КРБ и нейната тайна е неприкосновена, доколкото със съдебно решение не е постановено противното.

Ако работодателят наруши неприкосновеността на кореспонденцията, то чл. 171, ал. 1, т. 3 от НК го заплашва с лишаване от свобода до една година, а ако извършва деянието в качеството си на длъжностно лице (а това е типично за работодателите), то лишаването от свобода е вече от една до две години (чл. 171, ал. 2 от НК).

В случай, че неспазването на конфиденциалността на кореспонденцията не съставлява престъпление по смисъла на НК, то на работодателя най-вероятно ще бъде наложена административна санкция - глоба от 1 000 до 10 000 лв (чл. 327, ал 1 от ЗЕС).

Може ли работодателят да чете служебните ми имейли без мое разрешение?

Да, ако те са изцяло служебни.

Ако планира да достъпва кореспонденцията на служителите и/или работниците си със служебен характер, работодателят трябва първо да забрани използването на съответния имейл за лични цели, защото в противен случай рискува да наруши конституционно гарантираните права на служителя и/или работника чрез разкриване на съдържанието на личната му кореспонденция.

Мога ли да ползвам интернет на работното си място за лични цели, когато това не е забранено изрично?

Да.

При липса на конкретна уговорка от значение е поведението на работодателя, особено ако със същото той дава да се разбере, че не възразява на такова ползване.

По-интересният въпрос тук се отнася до времето, което служителите и/или работниците могат да прекарват онлайн за личните си работи и по скромното мнение на пишещия тези редове блогър то следва да се ориентира според предвидените на въпросното работно място почивки.

С други думи, във времето си за почивка служителят може да избира между пушене/ядене/пиене или разходка от една страна, и посещението на сайтове или социални медии от друга.

Може ли работодателят да инсталира камери за видеонаблюдение на работното място?

Зависи.

Първата пречка, която по моя преценка може да постави кръст на плановете на работодателя е чл. 127, ал. 2 от КТ, според когото

Работодателят е длъжен да пази достойнството на работника или служителя по време на изпълнение на работата по трудовото правоотношение.

Няма съмнение, че за повечето служители не би било приемливо да се намират под непрекъснато видеонаблюдение, което те най-вероятно ще възприемат като обида и накърняване на личното им достойнство.

От друга страна, обаче, съществуват работодатели, които имат много сериозна необходимост от оптимизиране на трудовата дисциплина или корпоративната сигурност.

Проблемът е, че тази потребност поражда сблъсък между интересите на служителите и/или работниците от една страна и онези на работодателя от друга, а в установената практика (по света и у нас) подобни конфликти се решават, като се направи преценка коя от страните има нужда от повече защита.

В този смисъл монтирането на видеокамери би било допустимо единствено, ако целите, които то преследва, не могат да да бъдат постигнати, без да се засяга личната сфера на служителите и/или работниците.

Per argumentum e contrario, монтирането ще е непропорционално и недопустимо, ако работодателят може да постигне целите си с помощта на други механизми за контрол и проследяване на трудовия процес, без да се налага използването на толкова крайна мярка, каквато е видеонаблюдението на работното място.

Друга сериозна пречка пред намеренията на работодателя може да представлява Законът за защита на личните данни (ЗЗЛД), тъй като видеонаблюдението представлява техническа форма на обработка на лични данни, пряко идентифициращи физическите лица посредством видео и звукозапис на трудовия процес в помещенията.

В тази връзка е необходимо да се спазват разпоредбите на ЗЗЛД, свързани с изискванията при обработката на лични данни съгласно чл.2, ал.2 – определяне на конкретната цел за обработка на данните; пропорционалност на целите, за които се обработват, заличаване и коригиране в случай на непропорционалност по отношение на целите, за които се обработват.

Това автоматично превръща работодателя в администратор на лични данни, което пък поражда определени задължения за него, на пример задължителна регистрация пред Комисията за защита на личните данни (КЗЛД), която на свой ред може да не разреши наблюдението или пък да издаде задължителни предписания относно реда и начина, по които то да се извършва.

Last but not least идва може би най-силното оръжие, което ЗЗЛД дава в ръцете на служителите и/или работниците – съгласно чл. 4, ал. 1, т. 2 обработването на лични данни е допустимо, само ако физическото лице, за което се отнасят данните, е дало изрично своето съгласие.

Сиреч, видеонаблюдението отпада, ако служителите не се съгласят изрично (=писмено) с него.

Ако някой се интересува – сценарият с видеокамерите е отиграван пред КЗЛД, която с решението си в конкретния случай забранява наблюдението и разпорежда демонтирането на снимачните устройства, както и унищожаването на записите.

[P. S.]

Вижте също така коментара, оставен от Пейо, в който той прави аналогия с разпоредбата за работа от разстояние (чл. 107и, ал. 3, т. 7 от КТ) и формулираните там предпоставки за (видео)наблюдение.

Tags: видеонаблюдение на работното място, ЗЗЛД, интернет на работното място за лични цели, камери на работното място, КЗЛД, наблюдение от страна на работодателя, обработване на лични данни, работодателски контрол, следене на работното място
Categories: Лична неприкосновеност • 7 Comments »

INDECT или колко още масово наблюдение искаме да понесем

August 17 2012 by Emil A. Georgiev

Image: *
Оня ден получих покана от БНР, програма Христо Ботев, да участвам в предаването им Нашият ден.

Участието ми бе днес между 08:30 и 09:00 часа и темата, в чийто коментар се включих, бе набиращият информационна скорост проект INDECT.

Въпреки наличието на хубавата статия в Уикипедия на български, което предполагам прави темата относително позната сред по-информираните кръгове, тя е силно неизвестна за по-широката публика.

В този смисъл реших да драсна няколко реда и в допълнение на вече достъпната информация да споделя с вас онова, което знам по въпроса.

Започвам съвсем тривиално, а именно с това, че INDECT е класически,

финансиран със средства от 7-ма рамкова програма

на Европейския съюз проект.

Вероятно с цел повишаване на квотата му на финансиране (от 50 на 75%) проектът се явява шарена смес от академични центрове, държавни институции и търговски дружества.

Според базата данни на портала Cordis, INDECT се състои от 17 консорциални члена, сред които се намира и Техническият Университет в София.

Да, отново ще можем да сме горди, че

и ний сме дали нещо на света!

Каква е същността на проекта INDECT?

Тук, мисля, една доста добра отправна точка ни дава името му, което представлява един малко или повече добре звучащ и запомнящ се акроним.

При изписването на съставните му части се разкрива следната картина

INtelligent information system supporting observation, searching and DEteCTion for security of citizens in urban environment.

чиито най-тъмни краски са съставени от словесната комбинацията observation, searching и detection.

Според сайта stopp-indect.info, проектът включва познатото ни добре улично наблюдение, характеризирайки се допълнително с това, че комбинира последното с информация, старателно събирана онлайн – най-вече в добре посещавани форуми и социални мрежи.

Получените по този начин резултати ще бъдат включвани в база данни, която постоянно ще бъде актуализирана и допълвана с нови данни, идващи от

информационните потоци на камерите за наблюдение;

локализирането на местоположението на притежателите на мобилни устройства (преди всичко на смартфони);

биометричното разпознаване на физически лица и

мониторинга на електронните съобщения (най-вече чрез задържането на трафични данни).

С каква цел?

Според представите на участниците в проекта, резултатите от масовото наблюдение ще служат за извеждането на определени типове поведение, които да бъдат автоматично маркирани като подозрителни.

Сигурно вече се питате към кои типове поведение би се отнасяло това?

Някои проблясъци можем да открием в резултатите от проведените с полски полицаи тестове, които са определили следните типове поведение като подозрителни

безцелно шляене

събиране на повече от N на брой лица на едно място

кражба на кола

тичане

падане (строполяване) на земята

забравяне на багаж

застояване на едно място по-дълго от N на брой минути

крясъци

престрелки, експлозии

ругатни, псувни

И с какви последствия?

Според коментар в авторитетния немски вестник Die Zeit, набелязани като подозрителни лица ще бъдат идентифицирани с помощта на специфична търсачка, издирвани с помощта на камерите за наблюдение и следени от полицията чрез безпилотни летателни апарати.

Защо това трябва да ни интересува?

Защото INDECT

иска да знае какво правим, преди ние самите да го знаем, както и да определя какво е нормално и какво подозрително.

притежава всички предпоставки да нарушава личната ни непрокосновеност по невиждан до сега начин.

е кошмар, който дори Джордж Оруел не е могъл да предвиди.

Не знам за вас, но аз искам да си го спестя.

*CCTV by Duncan on Flickr

Tags: INDECT, безпилотни летателни апарати, българско участие, масово наблюдение, масово следене, търтеи
Categories: Лична неприкосновеност • 1 Comment »

CISPA: вие питате, аз отговарям

May 4 2012 by Emil A. Georgiev

Image: CISPA – The solution is the problem by DonkeyHotey on Flickr

В рамките на разгорещения дебат, който се води около новото и заплашващо да ни залее откъм Атлантика законодателно цунами, бях неколкократно помолен от аудиторията на този блог да представя своите мисли и най-вече обяснения.

Темата е достатъчно сериозна, така че ще си спестя лиричните отклонения и ще почна направо по същество.

Що е то CISPA?

Поредният вещаещ нищо добро акроним, който навлиза в полезрението ни означава Cyber Intelligence Sharing and Protection Act. От тук можете да си дръпнете копие на гласувания му преди седмица в долната камара текст.

CISPA се явява допълнение и изменение към американския National Security Act of 1947, който (както може да се предположи от годината на приемането му) трябва, нека го кажем по-скоро ефемистично, да бъде адаптиран към реалностите на съвремието.

Така погледнато, модерното допълнение на овехтелия закон претендира да бъде нещо като превантивен вал, който да позволява на правоприлагащите органи да се борят по-ефективно с

киберпрестъпления, потенциални заплахи за националната сигурност, детска порнография или трафик на хора.

Как CISPA ще постига целите си?

Въпреки че CISPA не съдържа типичните за американските закони general purposes, отговорът на този въпрос може лесно да се съзре в нейното име, чийто централен елемент е intelligence.

Лично аз бих превел този термин като

събиране на информация с помощта на специални или тайни служби

или най-паче като шпионаж.

Ако след това насочим вниманието си към следващия му по важност елемент, а именно cyber, то вече почти сме наредили пъзела и ни става ясно, че CISPA ще преследва и изпълнява целите си, като улеснява правоохранителните органи при събирането на информация в интернет, както и при последващото й споделяне помежду им.

Тезата, която изграждам тук сякаш се потвърждава от следната формулировка

The Director of National Intelligence shall establish procedures to allow elements of the intelligence community to share cyber threat intelligence with private-sector entities and utilities and to encourage the sharing of such intelligence.

Интересното е, че събирането и споделянето на информация освен администрацията обхваща още частни фирми и доставчици на комунални услуги. Тук налице са следните две особености: (1) въпросните фирми или доставчици трябва да бъдат сертифицирани, сиреч да се наслаждават на доверието на правителството и (2) участието им в шпионажа е доброволно.

С оглед на последното наистина не мога да разбера мотивацията на компании като Facebook, Microsoft или Verizon да присъстват в списъка на поддръжници на CISPA…

Каква информация ще се събира с помощта на CISPA?

Това ще да е обвитата във воала на обтекаемостта cyber threat information. Същата, според съдържащата се в края на закона легална дефиниция, е

information directly pertaining to a vulnerability of, or threat to, a system or network of a government or private entity, including information pertaining to the protection of a system or network from
(A) efforts to degrade, disrupt, or destroy such system or network; or
(B) efforts to gain unauthorized access to a system or network, including efforts to gain such unauthorized access to steal or misappropriate private or government information.

Не знам как ви се струва на вас, но според мен тази дефиниция е много широка и е насочена преди всичко към личните данни на интернет потребителите. Не са предвидени каквито и да е safeguards в полза на последните.

Има ли сходства между CISPA и SOPA/PIPA или дори ACTA?

Хмм, не знам дали на този въпрос може да се даде еднозначен отговор към момента.

За разлика от стопираните заради реакцията на онлайн общността закони или пък подложеното на сериозни дебати Търговско споразумение за борба с фалшифицирането, новият шпионски закон не съдържа изрични препратки към закрилата на интелектуална собственост.

Това, разбира се, не означава, че не може да бъде прилаган и в тази сфера и за това имам следните предположения:

(1) т. нар. и дефинирани в закона cybersecurity systems могат да се използват

… to identify and obtain cyber threat information to protect the rights and property…

(2) някои от нашите са направили скрийншот от сайта на конгресмена от Мичиган Майкъл Роджърс (Michael Rogers), от който ясно се чете

H.R. 3523, the Cyber Intelligence Sharing and Protection Act, safeguards U.S. jobs by making it easier to identify and combat cyber threats, which steal over $200 billion in American intellectual property every year.

Ако предположенията ми се сбъднат, то ще станем свидетели на една истински перфидна акция, защото законът, който се продава на народонаселението като защитаващ националната сигурност – и в този смисъл интересите на всички – всъщност ще послужи като долнопробен параван, който да обслужва интересите само на малцина.

Има ли сходства между CISPA и директивата за задържане на трафични данни?

Да, определено и те се изразяват в това, че и двата нормативни документа третират събирането, обработването и задържането на лични данни с претенцията, че осъществяват антикриминална превенция.

Другото общо помежду им са използваните неясни дефиниции, като на пример при cyber threat information в случая на CISPA или serious crimes у директива 2006/24.

Какво ще е въздействието на CISPA извън територията на САЩ?

Според мен голямо, защото нека не се заблуждаваме – икономическото и политическото влияние на Съединените Щати върху интернет е огромно. С такова законодателство не ще бъде далеч моментът, в който всеки софтуерист или пък критично настроен публицист ще има много добрия шанс да се превърне в cyber threat и като резултат ще има да си ги гледа Щатите само през крив монитор.

The worst case би настъпил, ако – противно на всякаква здрава (и пазарна) логика – към списъка на поддръжници се присъединят още Google и Twitter и запачнат да споделят информацията на своите потребители със задокеанския law enforcement.

За финал

искам да уточня, че правоохранителните органи могат да се сдобият с така желаната информация и сега, макар и само с цената на съдебно нареждане.

За кой гявол им е да си спестяват пътя до кадията – е, това нито CISPA, нито нейните поддръжници желаят да споделят.

P.S. Ще се радвам да обсъдим допълнителни въпроси, добавки или мнения в коментарите под статията.

Tags: ACTA, CISPA, PIPA, SOPA, задържане на трафични данни, киберзаплаха, киберпрестъпления, кибершпионаж, нарушаване на правото на лична неприкосновеност, неясни дефиниции, онлайн следене
Categories: Лична неприкосновеност • 3 Comments »

Писмо от Австрия: народът срещу трафичните данни

March 30 2012 by Emil A. Georgiev

Image: AK Vorrat

На 1 Април 2012 г. в Австрия влиза в сила промененият закон за далекосъобщенията, с когото се транспонира директива 2006/24 -

проблемната директива за задържане на трафичните данни

Така след почти 5 години съпротива Австрия се превръща в една от последните държави в Европейския съюз, които да претворят директивата в националното си законодателство.

Нейсе, интересното в случая е друго, а именно че австрийската гражданска инициатива AK Vorrat обяви, че

ще сезира конституционния съд

вземайки за пример съдебните битки у нас, в Румъния, Германия и Чехия.

AK Vorrat призовават всички заинтересовани да се присъединят към каузата и да атакуват промените в закона, внасяйки своята индивидуална жалба пред конституционния съд. Колегите дори са подготвили онлайн форма за попълване, която генерира пълномощно към избрания да води делото адвокат.

Тук ще е редно да отворя скоба и да поясня, че чл. 140 от конституцията на Австрия изрично предвижда възможността конституционния съд да бъде сезиран индивидуално.

От всекиго.

Прочее, не би било никак лошо такава възможност да имаме и тук, в нашето свидно българско отечество.

Предвид особената си връзка с алпийската република, веднага

попълних и разпечатах пълномощното

което след като снимах пуснах по пощата.

Срокът за изпращане е до 18 май и съм бая любопитен колко ли човека ще се присъединят.

Ще следя казуса от близо и ще ви ъпдейтвам съответно.

Tags: австрия, директива 2006/24, задържане на трафични данни, конституционна жалба
Categories: Лична неприкосновеност • 2 Comments »

За тенджери, тигани и защита на лични данни

October 24 2011 by Emil A. Georgiev

*)
Днес на кръстовището на Витошка и Патриарха ме спря и заговори възпитан младеж – служител на Zepter, компания известна като производител на висококачествени домакински съдове.

- Добър ден, желаете ли да учствате в анкетата, която провеждаме?

- За какво става дума?

- Ами за това колко често на ден мислите за своето здраве…

- Хмм, ами не знам… не много често…

- А от колко члена се състои Вашето домакинство?

- От … – му отвръщам и започвам да се чудя къде ще му излезе краят.

- И колко често готвите вкъщи?

- Не много често. Защо ме питате всичко това? -

- Почти сме готови – забърза се той – само да ми кажете от какви заболявания боледуват членове на вашето домакинство – и започна да изрежда – диабет, високо кръвно, сърдечно-съдови заболявания?

- ?!? – мисля че гримасата ми беше недвусмислена.

- Ами това е само за анкетата – каза сконфузено и додаде – Последен въпрос: име и телефон за връзка?

- Е, това вече е прекалено – не се сдържах аз. – Защо да споделям всички тези лични данни с Вас или с работодателя Ви?

- Ами може да спечелите награда и…, за да можем да Ви уведомим…

- Благодаря, нямам интерес. - му казах вече не съвсем дружелюбно и си продължих по пътя.

След това си мислих колко ли души днес е интервюирал и колко ли от тях наивно-добродушно са си казали всичко, което ги е попитал. Но още по-интересният въпрос е за какво изобщо са им на Zepter тези информации? По-какъв ли начин могат да им бъдат полезни?

Все едно – искам да ви предупредя да не споделяте лекомислено лични информации и данни. И да не се чувствате неудобно от това, че защитавайки личната си сфера сте “отсвирили” поредния анкетьор.

Колкото повече такива реакции на интервюирани достигат до Zepter, толкова по-скоро освен за тенджери и тигани ще се замислят и за защита на лични данни.

* Image: Zepter International Home Art

Tags: улични анкети, чувствителни лични данни
Categories: Лична неприкосновеност • 2 Comments »

No Facebook за английските плячкаши?

August 24 2011 by Emil A. Georgiev

Image “Nope” by Tom Edwards on Flickr
Сигурно вече сте чули или чели за будещите недоумение идеи на Дейвид Камерън да забрани достъпа до Facebook на UK поданиците с проблемно и асоциално поведение.

Защо будещи недоумение ли?

Ами нека поразсъждаваме малко:

Първо, една такава забрана би съставлявала много сериозна и несъразмерна намеса в личния живот и правото на свободно изразяване на засегнатите, и второ, тя би ги и подтикнала да търсят алтернативи на най-популярната социална мрежа.

Това, което ме учудва в предложението на британския премиер не е потенциалното нарушаване на човешки права.

На нарушаването може да се противодейства доста успешно и е много, ама наистина много вероятно то да завърши с пълно фиаско за британското правителство.

По-скоро се учудвам защо правителството на симпатичния Дейвид Камерън би се отказало доброволно от удобната възможност да контролира тези, срещу които твърди че се бори?

Известно е, че Facebook сътрудничи на правоохранителлните органи, като същото важи и за Google, както и в частност за новata му социална придобивка Google +.

Какво обаче би станало, ако и без това проблемните елементи се насочат към по-трудно контролируемите и съответно по-подозрителните алтернативи?

Дали това е планът на симпатичния млад консерватор?

Едва ли - звучи като истинско conspiracy.

По-скоро ще да е некой не дотам обмислен политически сватбарски изстрел, чието осъществяване само би задълбочило проблема, вместо да го реши.

Май ще взема да блогна по темата и на английски, пък белким ме чули на Даунинг стрийт.

Tags: David Cameron, Facebook, бунтове в англия, Дейвид Камерън, Фейсбук
Categories: Лична неприкосновеност • No Comments »

Без Пенчо Питанката на Facebook

July 31 2011 by Emil A. Georgiev

Photo: “Facebook profile pic” by michaelb1 on Flickr

Под какво име се подвизаваш на Facebook? Под истинското си или ползваш псевдоним?

Ако се съди по това изказване на Randi Zuckerberg, която е сестра на Mark Zuckerberg и маркетинг директор във Facebook, ползването на псевдоними вместо истински имена в най-голямата социална мрежа може скоро да остане в историята.

Интересно, интересно.

Но още по-интересно е как ли от Facebook биха подходили, за да отсеят псевдонимите от “истинските имена?

В някои случаи ще е лесно, да. Потребителски названия а ла James Bond, Batman или (заглавното) Пенчо Питанката без трудности ще бъдат идентифицирани като dummy names.

Как ли обаче от Facebook биха погледнали на свищовския Манчестер Юнайтед или на сливенския Портокал Портокалов? Истински имена или шегаджийски псевдоними?

И тук опираме до най-важния въпрос: как ли от Facebook възнамеряват да се убедят в “истинската” самоличност на своите потребители? Като изискат копие от лична карта, паспорт или шофьорска книжка? Да не забравяме, че при Манчестер ще е нужно и съдебното решение за смяна на името…

И какво ще ги правят всичите тези лични данни, в случай че изобщо се сдобият с тях? Ще ги пазят?
Навярно колкото и Sony опазиха техните.

Направо не ми се мисли какви проблеми може да причини комбинацията от откраднати/изтекли/продадени данни от лични документи + номера на кредитни карти…

Така че малко недообмислена ми се струва идеята на Randi Zuckerberg. Направо “ја скина зелена”, както биха казали нашите комшии от Република Македония.

Апропо, как би постъпил(а) ти?
Би ли дал(а) на Facebook копие от твой документ за самоличност, ако това е цената да останеш като потребител там?

Tags: лични данни, потребителски имена на Facebook, псевдоними
Categories: Лична неприкосновеност • 4 Comments »

De Libertate Iuris Digitalis