Αποστολή ερωτημάτων - νομικές απαντήσεις

[Blackman]

Αγαπητοί ετοιμάζω μία λίστα ερωτημάτων η οποία θα σταλεί σε δικηγόρο αλλά και σε κάποιες αρμόδιες αρχές και με την συνδρομή σας θα μπορούσα να την κάνω ακόμα καλύτερη.

Εμείς σαν ΙΤ Pros, σαν εταιρείες και σαν υπάλληλοι τι μπορούμε και τι δεν μπορούμε να κάνουμε μέσα στο εργασιακό πλαίσιο.

πχ... μπορούμε να δούμε τα email των υπαλλήλων εάν το ζητήσει ο ιδιοκτήτης της εταιρείας;

τι γίνετε με τα προσωπικά δεδομένα του κάθε υπαλλήλου και τι θεωρείτε προσωπικό και τι εταιρικό;

τι γίνετε στις περιπτώσεις hacking;

 

και πολλά άλλα...

οπότε βάλτε το μυαλό σας να σκεφτεί και ελάτε να φτιάξουμε μία λίστα τέτοια που θα μας λύσει πολλές απορίες. προσπαθήστε να διαβάζετε των υπολοίπων για να μην επαναλαμβανόμαστε.

[Guest Summoned]

Πολύ καλή ιδέα.

Ας θεωρήσουμε ότι είμαστε ο ή ένας από τους administrators της εταιρείας.

1. Μπορούμε να παραδώσουμε δεδομένα στον ιδιοκτήτη της εταιρείας που έχουν προέλθει από mail boxes χρηστών; Ισχύει το ίδιο και για mail boxes μετόχων της εταιρείας;

2. Μπορούμε να παραδώσουμε δεδομένα που έχουν προκύψει από profiles χρηστών, file servers κλπ;

3. Μπορούμε να παραδώσουμε δεδομένα που έχουν προκύψει από οποιοδήποτε τύπο log που έχει δημιουργηθεί βάσει οποιασδήποτε εφαρμογής παρακολούθησης χρηστών;

4. Μπορούμε να κοινοποιούμε προσωπικά δεδομένα χρηστών (πχ. ονοματεπώνυμο, εταιρικό τηλέφωνο, email account κλπ.) σε τρίτους όταν τα ζητάνε για να επικοινωνήσουν μαζί τους;

 

[GSimos]

Το θέμα που ανοίγεις δεν είναι μονοσήμαντο, έχουμε να κάνουμε με περιουσιακά στοιχεία της εταιρίας τα οποία είναι οι υποδομές και τα δεδομένα.

Αν η εταιρία παρέχει προσωπικό χώρο αποθήκευσης για τους χρήστες τότε θα πρέπει να έχει προβλέψει στην πολιτική της να αναφέρει αν έχει το δικαίωμα να προσπελάσει τα αρχεία.

Ο Υπολογιστής που παρέχει η εταιρία δεν είναι προσωπικός, είναι εταιρικός (CC όχι PC), πράγμα που καθιστά το hardware, το software και όλα τα bits & bytes που αποθηκεύονται στο CC της κυριότητας της.

Το email δεν είναι προσωπικό (τουλάχιστον αυτό που προσφέρει η εταιρία) παρόλα αυτά θέλει λίγο παραπάνω ψάξιμο. Εκ πρώτης πάντως δεν τίθεται θέμα προσωπικών δεδομένων καθώς παρέχεται απο την εταιρία προς τον υπάλληλο για να κάνει τη δουλειά του εκ μέρους της εταιρίας. Αν το χρησιμοποιεί για να ζημιώσει την εταιρία τότε αυτό μπορεί να το χρησιμοποιήσει η εταιρία σε δικαστική διαδικασία. Αν χρησιμοποιεί το mail για προσωπική εργασία πάλι είναι υπο εξέταση το θέμα. Βέβαια τα περιεχόμενα του mailbox δε γίνεται να τα προσπελάσει η εταιρία χωρίς εντολή εισαγγελέα απ' όσο με πληροφορεί ο συνάδελφος Κ. Μερσινάς (που έχει μιλήσει για PKI στο Autoexec.gr Event του Απριλίου).

[Guest Summoned]

Βέβαια τα περιεχόμενα του mailbox δε γίνεται να τα προσπελάσει η εταιρία χωρίς εντολή εισαγγελέα απ' όσο με πληροφορεί ο συνάδελφος Κ. Μερσινάς (που έχει μιλήσει για PKI στο Autoexec.gr Event του Απριλίου).

Αυτό ισχύει μόνο για το mailbox ή και για τα δεδομένα των χρηστών από προσωπικούς χώρους αποθήκευσης;

[kmersinas]

Γεια σε όλους,

 

νομίζω ότι πραγματικά είναι πολύ καλή ιδέα να δομηθούν οι ερωτήσεις σε τέτοια θέματα!

 

Ενδεικτικά

- και χωρίς να θέλω να σας κουράσω με πολλούς νόμους - σας αναφέρω το

Νόμο 2472 του 1997 (με τις τροποποιήσεις) και τον Κανονισμό ΦΕΚ

Β'88/26.01.2005.

 

Ο Γ.Σίμος έχει δίκιο σ' αυτό που λέει για την πρόσβαση σε αρχεία, δηλ.

θα πρέπει να καθορίζεται στην Πολιτική Ασφαλείας και είναι δικαίωμα (υποχρέωση

στην ουσία) της εταιρείας να τοποθετήσει τους κατάλληλους Access

Control μηχανισμούς όπου (κρίνει ότι) χρειάζεται.

 

Αλλά, αναφορικά με το θέμα του περιεχομένου των επικοινωνιών - και είναι πολύ σημαντικό - ΚΑΝΕΙΣ δεν έχει το δικαίωμα να παραβιάσει το απόρρητο των επικοινωνιών, εκτός φυσικά από τον εισαγγελέα..

Σας παραθέτω και κάτι που δεν είναι πάντα κατανοητό, το τι θεωρείται από τη νομοθεσία απόρρητο σε κάποια επικοινωνία:

• Περιεχόμενο επικοινωνίας
• Δεδομένα

  θέσης: όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία και

  υποδεικνύουν τη γεωγραφική θέση του τερματικού εξοπλισμού του χρήστη

• Δεδομένα

  κίνησης: όλες οι πληροφορίες που υποβάλλονται σε επεξεργασία για να

  επιτευχθεί η επικοινωνία μέσω του τηλεπικοινωνιακού δικτύου ή για την

  τιμολόγησή της (ο αριθμός, η διεύθυνση, η ταυτότητα της σύνδεσης ή του

  τερματικού εξοπλισμού του συνδρομητή ή /και χρήστη, οι κωδικοί

  πρόσβασης, η ημερομηνία και ώρα έναρξης και λήξης και η διάρκεια της

  επικοινωνίας κ.ά.)

Αυτό διέπει ολόκήρη την Ελληνική και Ευρωπαϊκή νομοθεσία, και πρακτικά σημαίνει ότι τα email, η αλληλογραφία, η συνομιλία στο κινητό κλπ. είναι απόρρητα και προσωπικά και συνεπώς ο εργοδότης / ιδιοκτήτης / Πρόεδρος της Δημοκρατίας ή οποιοσδήποτε άλλος εκτός του εισαγγελέα, δεν μπορεί να έχει πρόσβαση σ' αυτά.

 

ΥΓ τους Νόμους και τους Κανονισμούς μπορείτε εύκολα να τους βρείτε στο google

 

 

 

[Blackman]

για να προχωρήσουμε και κάποια στιγμή να το συζητήσουμε ας συντάξουμε τις ερωτήσεις πρώτα και μετά συζητάμε και τα υπόλοιπα.

γιατί το θέμα δεν είναι να ψάξουμε εμείς, αλλά θα ζητήσουμε να ψάξουν άλλοι για εμάς που ξέρουν το αντικείμενο καλύτερα (από νομικής πλευράς) και στην συνέχεια οι δικοί μας άνθρωποι (οι γνώστες του θέματος παραπάνω) να το αναλύσουν σε όλους εμάς.

 

[Akladakis]

http://autoexec.gr/forums/thread/15780.aspx

Δείτε το παραπάνω που είχε γράψει η Φένια

[Blackman]

Νάσο το συγκεκριμένο το έχω διαβάσει και το έχω εκτυπωμένο.

Αυτό που θέλω να προχωρήσω δεν θα πάρουμε απαντήσεις που αφορούν μόνο την ελληνική νομοθεσία, αλλά γενικότερα και την ευρωπαϊκή.

Οπότε, ας κάνουμε μία λίστα με τα θέματα που θέλουμε να ξέρουμε τι μας γίνετε, καθότι πέραν του τι διαβάζουμε δεξιά και αριστερά, η απάντηση που θα έχουμε θα είναι official και όχι από μία μόνο αρχή-πηγή.

[kmersinas]

δείτε και αυτό από το TechRepublic: http://blogs.techrepublic.com.com/career/?p=855

 

έχει να κάνει με τη διεύθυνση email (και τα email) κάποιου που έχει φύγει πλέον από την εταιρεία.

 

 

 

Συμφωνώ στο ότι δεν είμαστε νομικοί και άρα δεν μπορούμε να έχουμε εμπεριστατομένη άποψη, αλλά:

 

1) στην Ελλάδα - δυστυχώς - δεν υπάρχουν [πολλοί] εξειδικευμένοι σε θέματα ΙΤ δικηγόροι,

 

2) και με νομικούς συμβούλους που έχω μιλήσει, κάθησαν και είδαν - για

να μάθουν επί τόπου - τη σχετική νομοθεσία οι άνθρωποι (δηλ. δεν είναι

και πολύ συχνά αυτά τα θέματα).

 

Αλλά ως νομικοί αντιλαμβάνονται το πλαίσιο στο οποίο κινούνται οι νόμοι, πως σχετίζονται κλπ.

 

 

 

Όσον αφορά στην ευρωπαϊκή νομοθεσία, ισχύει λόγω ΕΕ το εξής: η ΕΕ

βγάζει μια Οδηγία (Directive) και είναι στη διακριτική ευχέρεια της

κάθε χώρας να ακολουθήσει την οδηγία, π.χ. το data retention time (πόσο

κρατάς δεδομένα κάποιου υπαλλήλου που φεύγει ας πούμε) ορίζεται από 6

εως 24 μήνες. Τα κράτην μέλη το παίρνουν αυτό και μπορούν να το

εισάγουν στην εθνική νομοθεσία τους και να λένε π.χ. ότι θα είναι 12

μήνες.

 

Συμφωνώ με τη δημιουργία λίστας.

 

 

[Blackman]

εφόσον συμφωνείς ας γράψεις μία λίστα με ερωτήματα που πρέπει να γνωρίζουμε, όπως και οι υπόλοιποι για να το προχωρήσω.

Έχω μιλήσει και θα με βοηθήσει η εταιρεία να βρούμε όλες τις απαντήσεις από όλες τις δυνατές πηγές.

[Guest Summoned]

Στα ερωτήματα θα μπορούσε να προστεθεί και το εξής:

Για να σε προσλάβουν σε μια εταιρεία, τους κοινοποιείς ένα βιογραφικό. Σε αυτό το βιογραφικό, μεταξύ των άλλων αναφέρεις και προσωπικά στοιχεία όπως τηλέφωνο οικίας, προσωπικό κινητό κλπ. Έχουν το δικαίωμα από το τμήμα ανθρωπίνων πόρων να κοινοποιήσουν τα στοιχεία αυτά σε άλλα τμήματα, ώστε αν δεν σε βρουν για οποιοδήποτε λόγο στο εταιρικό κινητό να σε καλούν ότι ώρα θέλουν στο προσωπικό ή ακόμα χειρότερα στο σπίτι;

Επίσης, έχουν δικαίωμα να ελέγχουν την αλληλογραφία που απευθύνεται σε εσένα μέσω ταχυδρομείου ή courier πριν στην παραδώσουν;

Έχουν δικαίωμα εφόσον έχουν ελέγξει τις εξερχόμενες κλήσεις από το τηλέφωνο του γραφείου σου, να κάνουν έλεγχο με οποιοδήποτε τρόπο στους αριθμούς αυτούς; (αν και εδώ φαντάζομαι ότι τους καλύπτει ο νόμος, για να ελέγχουν τα πάγια έξοδά τους).

[orion]

Ενα πολυ ενδιαφερον κειμενο ειναι αυτο

http://eur-lex.europa.eu/JOIndex.do?year=2001&serie=L&textfield2=8&Submit=Search&_submit=Search&ihmlang=en

Ευρωπαικος Κανονισμος 45/2001

Τι πιστευει η ΕΕ για το τι ειναι priivate data και τι οχι

 

Κοντολογης προσωπικα δεδομενα ειναι αυτα που χαρακτηριζουν το ποιοι ειμαστε.  Πχ Υψος, βαρος, εθνικοτητα, σεξουαλικες προτιμησεις, οικονομικη κατασταση, πολιτικες προτιμησεις κοκ

Αν τα δεδομενα περιεχουν οποιδηποτε τετοια πληροφορια θεωρουνται προσωπικα και ΟΥΔΕΙΣ εχει δυνατοτητα επεξεργασιας, τροποποιησης, μεταφορας, διασπορας κοκ..

Ειδικα το email ειναι προσωπικο δεδομενο και κανενας εργοδοτης δεν θα πρεπει να εχει προσβαση σε αυτο.

Το ιδιο ισχυει και το web monitoring Δεν μπορεις να παρακολουθεις τι βλεπουν οι εργαζομενοι...μπορεις να κανεις content filtering αλλα οχι monitoring...(Ειδικα χωρις να ειναι ενημεροι)

 

Επισης η Ελλαδα εχει ενα ιδιοτυπο, αν θυμαμαι καλα πριν μερικα χρονια ειχε εκδικαστει μια υποθεση οπου εργαζομενοι εταιριας προσεφυγαν στην δικαιοσυνη γιατι το ΙΤ ειχε ενεργοποιησει remote desktop management προγραμμα για support

Η δικαστικη αποφαση, πρωτιδικα ειχε αποφασισει οτι ειναι παρανομο.....Δεν γνωριζω την συνεχεια...

 

 

 

 

[nkspeed]

τελικα τι εγινε με τη λιστα?

 

 

ΝΚ

[Blackman]

Νίκο δυστηχώς έχει μείνει παγωμένη.

 

Είχα στείλει κάποια, αλλά του είχα πει ότι θα του στείλω και ότι συζητηθεί εδώ μέσα, αλλά το αμέλησα.

 

Μόλις βρω χρόνο θα κινήσω την διαδικασία και πάλι.

[Maverick]

Με ενδιαφέρει κι εμένα το θέμα. Μου ζητήθηκε να κάνω forward το e-mail πρώην εργαζόμενου σε άλλον. Καλό θα ήταν να έχουμε μαζεμένες τέτοιου είδους πληροφορίες από έγκυρες πηγές.