Tag: нарушаване на правото на лична неприкосновеност

Не, работодателят няма право да следи личните ви чатове

Image: Keys on Keyboard by Intel Free Press on Flickr under CC BY-SA 2.0
8229504229_47a07ff41f_z

Точно така. Няма право, освен при наличието на много специфични предпоставки. И многоцитираното в последните 2 дни решение на ЕСПЧ по делото Barbulescu срещу Румъния не променя нищо съществено в тази насока.

Какви са фактите?

Между 2004-2007 жалбоподателят Богдан Бърбулеску (Bogdan Barbulescu) работи в технологична компания като инженер, отговарящ за продажбите. В рамките на служебните му задължения попадало ползването на служебен Yahoo Messenger акаунт (някой помни ли още какво беше това?), с който да общува с клиенти – най-вече да отговаря на техни въпроси, свързани със закупени продукти на компанията. Съгласно вътрешните правила на същата ползването на служебен ресурс за лични нужди е било забранено.

На 13 юли 2007 работодателят на Бърбулеску го упреква в нарушаване на въпросните вътрешни правила, което Бърбулеску отрича. Вследствие на това работодателят му предявява разпечатка от 45 страници, която свидетелства за множество лични разговори (чатове) на Бърбулеску със своята годеница и своя брат. Малко по-късно младият инженер е дисциплинарно уволнен.

Бърбулеску смята, че правата му са нарушени и се обръща към съда.

Какво решават румънските съдилища?

Както районният съд в Букурещ, така и апелативният съд в румънската столица приемат, че работодателят е действал правомерно 1) да забрани ползването на фирмен ресурс за лични нужди и 2) да подлага служителите си на наблюдение, с което макар и нарушавайки правото им на лична кореспонденция, 3) да си подсигури единственото ефективно средство за налагане спазването на вътрешните правила.

Какво решава ЕСПЧ?

Съдът решава делото на база установената си практика относно т. нар. „оправдано очакване за лична неприкосновеност“ (reasonable expectation of privacy) и в тази връзка изследва въпроса дали жалбоподателят е можел да има такова очакване при използването на служебния акаунт за Yahoo Messenger и с оглед наложената от работодателя забрана за ползване на служебен ресурс за лични нужди. В този смисъл Съдът разграничава между казуса на Бърбулеску и други случаи, в които ползването на служебен ресурс от служителите е било или позволено, или поне търпяно от страна на работодателя.

Съдът отчита като спорно и неизяснено по делото обстоятелство дали Бърбулеску е бил надлежно уведомен, че забраната за ползване е била скрепена с предупреждение, че служебната комуникация на служителя може и ще бъде следена от работодателя. Последният твърди, че е предоставил такова, но не прилага копие, а Бърбулеску отрича както да е получавал, така и да е подписвал нещо и прилага копие без никакви подписи.

Независимо от това, ЕСПЧ приема, че Бърбулеску не имал оправдано очаквано за лична неприкосновеност, ползвайки служебния (създаден само за комуникация с клиенти) Yahoo Messenger акаунт, както и че работодателят е имал право да следи и достъпва информацията в този акаунт, защото е разчитал, че там ще се натъкне само на службена, но не и на лична такава.

На базата на всичко това Съдът приема действията на работодателя за правомерни и отхвърля твърдяното от Бърбулеску нарушение на чл. 8 от Конвенцията.

Има ли още нещо?

Да, и това е особеното мнение на съдя Жозе Пинто де Албукерке (Jose Pinto de Albuquerque).

В него португалският представител изтъква частичното си несъгласие с останалите членове на съда със следните аргументи

  • качеството на правото на достъп до интернет като основно човешко право
  • качеството на споделяната от Бърбулеску лична информация (сексуален живот) като особено сензитивна
  • липса на специална забрана за ползването на интернет във вътрешните правила на този работодател
  • обстоятелството, че в съвремието ни все по-трудно работното време може да се раздели от свободното

Вместо извод

Нормално е работодателите да искат да установят и прилагат определени норми на поведение. Тези норми и съответните последици от прилагането им, обаче, трябва да бъдат ясно, недвусмислено и доказуемо съобщавани на служителите, особено когато представляват сериозно навлизане в личния живот на последните.

За служителите е важно да познават вътрешните правила и да ги спазват. Ако ползването на дадено крайно устройство или комуникационно средство – чат, мейл или фирмен акаунт в социална мрежа е предварително обявено като служебно, то служителят най-добре да се въздържа от ползването му за лични нужди.

Обратното също е вярно – липсата на вътрешнофирмени правила или забрани, съответно отсъствието на категорична уговорка за ползването на предоставени от работодателя крайни устройства или комуникационни средства го лишава от всякакво правно основание да следи протичащата там лична кореспонденция на служителите.

CISPA: вие питате, аз отговарям

Image: CISPA – The solution is the problem by DonkeyHotey on Flickr
CISPA - The solution is the problem

В рамките на разгорещения дебат, който се води около новото и заплашващо да ни залее откъм Атлантика законодателно цунами, бях неколкократно помолен от аудиторията на този блог да представя своите мисли и най-вече обяснения.

Темата е достатъчно сериозна, така че ще си спестя лиричните отклонения и ще почна направо по същество.

Що е то CISPA?

Поредният вещаещ нищо добро акроним, който навлиза в полезрението ни означава Cyber Intelligence Sharing and Protection Act. От тук можете да си дръпнете копие на гласувания му преди седмица в долната камара текст.

CISPA се явява допълнение и изменение към американския National Security Act of 1947, който (както може да се предположи от годината на приемането му) трябва, нека го кажем по-скоро ефемистично, да бъде адаптиран към реалностите на съвремието.

Така погледнато, модерното допълнение на овехтелия закон претендира да бъде нещо като превантивен вал, който да позволява на правоприлагащите органи да се борят по-ефективно с

киберпрестъпления, потенциални заплахи за националната сигурност, детска порнография или трафик на хора.

Как CISPA ще постига целите си?

Въпреки че CISPA не съдържа типичните за американските закони general purposes, отговорът на този въпрос може лесно да се съзре в нейното име, чийто централен елемент е intelligence.

Лично аз бих превел този термин като

събиране на информация с помощта на специални или тайни служби

или най-паче като шпионаж.

Ако след това насочим вниманието си към следващия му по важност елемент, а именно cyber, то вече почти сме наредили пъзела и ни става ясно, че CISPA ще преследва и изпълнява целите си, като улеснява правоохранителните органи при събирането на информация в интернет, както и при последващото й споделяне помежду им.

Тезата, която изграждам тук сякаш се потвърждава от следната формулировка

The Director of National Intelligence shall establish procedures to allow elements of the intelligence community to share cyber threat intelligence with private-sector entities and utilities and to encourage the sharing of such intelligence.

Интересното е, че събирането и споделянето на информация освен администрацията обхваща още частни фирми и доставчици на комунални услуги. Тук налице са следните две особености: (1) въпросните фирми или доставчици трябва да бъдат сертифицирани, сиреч да се наслаждават на доверието на правителството и (2) участието им в шпионажа е доброволно.

С оглед на последното наистина не мога да разбера мотивацията на компании като Facebook, Microsoft или Verizon да присъстват в списъка на поддръжници на CISPA

Каква информация ще се събира с помощта на CISPA?

Това ще да е обвитата във воала на обтекаемостта cyber threat information. Същата, според съдържащата се в края на закона легална дефиниция, е

information directly pertaining to a vulnerability of, or threat to, a system or network of a government or private entity, including information pertaining to the protection of a system or network from
(A) efforts to degrade, disrupt, or destroy such system or network; or
(B) efforts to gain unauthorized access to a system or network, including efforts to gain such unauthorized access to steal or misappropriate private or government information.

Не знам как ви се струва на вас, но според мен тази дефиниция е много широка и е насочена преди всичко към личните данни на интернет потребителите. Не са предвидени каквито и да е safeguards в полза на последните.

Има ли сходства между CISPA и SOPA/PIPA или дори ACTA?

Хмм, не знам дали на този въпрос може да се даде еднозначен отговор към момента.

За разлика от стопираните заради реакцията на онлайн общността закони или пък подложеното на сериозни дебати Търговско споразумение за борба с фалшифицирането, новият шпионски закон не съдържа изрични препратки към закрилата на интелектуална собственост.

Това, разбира се, не означава, че не може да бъде прилаган и в тази сфера и за това имам следните предположения:

(1) т. нар. и дефинирани в закона cybersecurity systems могат да се използват

… to identify and obtain cyber threat information to protect the rights and property

и

(2) някои от нашите са направили скрийншот от сайта на конгресмена от Мичиган Майкъл Роджърс (Michael Rogers), от който ясно се чете

H.R. 3523, the Cyber Intelligence Sharing and Protection Act, safeguards U.S. jobs by making it easier to identify and combat cyber threats, which steal over $200 billion in American intellectual property every year.

Ако предположенията ми се сбъднат, то ще станем свидетели на една истински перфидна акция, защото законът, който се продава на народонаселението като защитаващ националната сигурност – и в този смисъл интересите на всички – всъщност ще послужи като долнопробен параван, който да обслужва интересите само на малцина.

Има ли сходства между CISPA и директивата за задържане на трафични данни?

Да, определено и те се изразяват в това, че и двата нормативни документа третират събирането, обработването и задържането на лични данни с претенцията, че осъществяват антикриминална превенция.

Другото общо помежду им са използваните неясни дефиниции, като на пример при cyber threat information в случая на CISPA или serious crimes у директива 2006/24.

Какво ще е въздействието на CISPA извън територията на САЩ?

Според мен голямо, защото нека не се заблуждаваме – икономическото и политическото влияние на Съединените Щати върху интернет е огромно. С такова законодателство не ще бъде далеч моментът, в който всеки софтуерист или пък критично настроен публицист ще има много добрия шанс да се превърне в cyber threat и като резултат ще има да си ги гледа Щатите само през крив монитор.

The worst case би настъпил, ако – противно на всякаква здрава (и пазарна) логика – към списъка на поддръжници се присъединят още Google и Twitter и запачнат да споделят информацията на своите потребители със задокеанския law enforcement.

За финал

искам да уточня, че правоохранителните органи могат да се сдобият с така желаната информация и сега, макар и само с цената на съдебно нареждане.

За кой гявол им е да си спестяват пътя до кадията – е, това нито CISPA, нито нейните поддръжници желаят да споделят.

 

P.S. Ще се радвам да обсъдим допълнителни въпроси, добавки или мнения в коментарите под статията.