Leita í fréttum mbl.is

Einkatölvupóstur og fyrirtækjatölvupóstur

Það er kannski að nefna snöru í hengds manns húsi, að skrifa færslu um þetta á Mogga-blogginu.  En í þessari færslu ætla ég EKKI að fjalla um mál blaðamannsins heldur þær grundvallarreglur sem gilda út frá þekkingu minni á viðfangsefninu, sem sérfræðingur og ráðgjafi á þessu sviði.

Allir eiga rétt til friðhelgi einkalífs, sama hver staða þeirra er.  Þetta er ein af grundvallarreglum almennra mannréttinda.  Vandamálið er að skilgreina skilin milli einkalífs og annarra athafna sem hver og einn tekur þátt í.  Þetta er sérstaklega erfitt, þegar einstaklingur móttekur einkatölvupóst í sama tölvupósthólf og vinnutengdan tölvupóst eða þegar vinnutengdur tölvupóstur getur innihaldið viðkvæmar upplýsingar, sem ekki eru ætlaðar hverjum sem er.  Nokkrar stéttir eru í sérstakri stöðu vegna þessa síðarnefnda, þ.e. móttaka upplýsingar með pósti og/eða tölvupósti, sem ekki má eða á að komast á annarra vitorð.  Stærsti hópurinn er heilbrigðisstarfsfólk og starfsfólk fjármálafyrirtækja.  Minni en ekki síður mikilvægur hópur er fjölmiðlafólk.  En ég ætla ekki að fjalla þetta út frá stéttum.

Fleiri en ein lög tilgreina, að aðgangur að upplýsingum skuli takmarkaður við þann sem málið skiptir.  Þetta á auðvitað að vera meginreglan.  T.d. hefur forstjóri Landspítalans ekkert að gera með að fletta upp upplýsingum sem koma fram í rafrænu læknabréfi eða færslu í sjúkraskrá.  Á sama hátt hefur starfsmaður á fjárfestingasviði lífeyrissjóðs ekkert með að vita stöðu tiltekins sjóðfélaga, hvort heldur stöðu áunninna réttinda eða lánastöðu.  Enn síður þarf gjaldkeri í banka að vita hvaða færslur eru á kortareikningi viðskiptavinar.  Svona mætti lengi telja og eru tilfelli jafn margvísleg og þau eru mörg.  Grunnreglan er þó að aðgangur að upplýsingum eigi að vera á byggð á þörf fyrir vitneskju.  ENGINN á að hafa aðgang að persónuupplýsingum, sem viðkomandi hefur ekki þörf á starfs síns vegna.   Ég held að flestir séu sammála um þetta.

Sömu reglur gilda um tölvupóst.  Sá er þó munurinn, að almennt hefur bara móttakandi aðgang að mótteknum tölvupósti.  Af þeim sökum hefur Persónuvernd skilgreint mjög skýrar reglur um umgegni um tölvupóst starfsmanna.  Reglurnar eru í grófum dráttum sem hér segir:

  • Vinnuveitandi hefur rétt til að skoða tölvupóst starfsmanns, en áður en það er gert, skal starfsmanni tilkynnt það og verið boðið að vera viðstaddur eða tilnefna fulltrúa sinn.
  • Ekki er heimilt að skoða tölvupóst sem augljóslega er einkapóstur eða gera má ráð fyrir að sé einkapóstur.
  • Starfsfólki skal bent á að aðgreina einkatölvupóst frá starfstengdum pósti með auðkenningu í efnislínu eða með því að vista einkatölvupóst í sérmerktri möppu.
  • Fyrirtæki geta bannað starfsmönnum að móttaka einkatölvupóst á netfang sem fyrirtækið leggur til starfsins vegna og gert þá kröfu að einkatölvupóstur fari um einkanetföng starfsmanna.  Fyrirtækjum er einnig heimilt að setja alls konar hömlur á notkun tölvupósts og siðareglur.  Slíkt banna veitir samt ekki rétt til að skoða einkatölvupóst sem ber öll þess merki að vera einkapóstur.
  • Til þess að það sem að ofan er nefnt geti gilt, þarf fyrirtækið að setja reglur um það og tilkynna starfsmönnum um innihald reglnanna, þannig að ÖLLUM starfsmönnum eigi að vera ljóst hvaða reglur gilda.  Hafi slíkt ekki verið gert, þá getur fyrirtækið hafa fyrirgert rétti sínum til að skoða tölvupóst starfsmanna.  Það má því segja:  Engar reglur, engin skoðun.

En það má ekki hver sem er skoða tölvupóstinn.  Almenna reglan ætti að vera, að eingöngu næsti yfirmaður viðkomandi starfsmanns megi skoða póstinn.  Ástæðan fyrir því er einföld.  Tölvupósturinn getur innihaldið upplýsingar, sem ekki eiga að vera á vitorði annarra innan fyrirtækisins.  Í einhverjum tilfellum eiga upplýsingarnar ekki einu sinni að vera á vitorði yfirmannsins, svo sem þarf yfirmaður meðferðarheimilis ekki að vita um öll samskipti meðferðaraðila og sjúklings, þó svo að yfirmaðurinn þurfi að vita eitthvað um samskiptin.  Einnig, ef yfirmaðurinn er sá sem málum er "áfrýjað" til, þá getur það gert hann vanhæfan til að fjalla um "áfrýjunina" þekki hann vel til málsins eða hafi jafnvel komið að ákvörðun um niðurstöðu.

Tekið skal skýrt fram að allar þessar hömlur halda þó uppi grunur um refsiverðan verknað.  Ástæðan er einföld:  Fyrirtækið er ekki rannsóknaraðili í slíku máli, heldur er það lögreglan.  Það sem meira er, fyrirtækið gæti eyðilagt sönnunargögn með því að framkvæma sjálfstæða skoðun á tölvupósti áður en lögreglan vinnur sína vinnu!  Það er sem sagt ekki víst að sannanir í tölvupósti teljist tækar í rétti, þar sem lítill vandi er að falsa slíkar upplýsingar eða eyða út póstum sem benda til sýknu.

Á ofangreindu sést að af mörgu þarf að hyggja og þó er upptalningin að ofan ekki tæmandi.  Ráðgjafarþjónusta mín, Betri ákvörðun ráðgjafaþjónusta Marinós G. Njálssonar, veitir ráðgjöf á þessu sviði sem og mörgum öðrum sem koma að verndun og öryggi persónuupplýsinga.  Fyrir þá sem vantar frekari upplýsingar, þá er bara að hafa samband með því að senda tölvupóst á oryggi@internet.is eða símleiðis.


« Síðasta færsla | Næsta færsla »

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Höfundur

Marinó G. Njálsson
Marinó G. Njálsson
Upplýsingaöryggi og persónuvernd eru mínar ær og kýr, þó ég blaðri um allt og ekkert hér á blogginu. Er í Hagsmunasamtökum heimilanna og berst fyrir réttlæti fyrir heimili í landinu.  Loks er ég faggiltur leiðsögumaður.  Netfangið mitt er mgn@islandia.is og netfang fyrirtækisins oryggi@internet.is.

Heimsóknir

Flettingar

  • Í dag (22.11.): 2
  • Sl. sólarhring: 7
  • Sl. viku: 44
  • Frá upphafi: 1680026

Annað

  • Innlit í dag: 2
  • Innlit sl. viku: 40
  • Gestir í dag: 2
  • IP-tölur í dag: 2

Uppfært á 3 mín. fresti.
Skýringar

Nóv. 2024
S M Þ M F F L
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband