A munkahelyi adatvédelemmel foglalkozó sorozatunk következő állomásán Székely Iván társadalmi informatikust, az adatvédelem és az információszabadság multidiszciplináris területeinek nemzetközileg ismert szakértőjét kerestük meg.

it.news: Tavaly nagy megdöbbenéssel adtunk közre egy hírt az amerikai sajtó nyomán, melyben arról számoltak be, hogy egy törvénymódosításnak köszönhetően az Egyesült Államokban a munkáltatók számára kötelezővé tették az alkalmazottak összes digitális tevékenységének rögzítését, tehát nem csak a levelezést és az előállított dokumentumokat, hanem – a képernyő képének vagy a billentyűzet használatának monitorozásával – minden ilyen jellegű akciót tárolniuk kell. Az indoklás hátterében a magántevékenységek munkahelyi visszaszorítása, illetve az esetleges jogi ügyekben alkalmazható bizonyítékok megőrzése áll a törvényhozók szerint. A szakértők akkor elmondták, hogy egy egyébként is teljesen általános gyakorlatot legalizáltak ezzel a jogszabállyal. Vajon nálunk is ilyen kiterjedt a munkahelyi megfigyelés?

Székely Iván: Ha az információs jogokat tekintjük, így például a munkahelyi adatvédelemmel kapcsolatos jogi garanciákat is, akkor nyugodt szívvel kijelenthetjük, hogy ezen a téren Európa képviseli a fejlettebb szintet – már ha fejlettebben azt értjük, hogy a törvények erőteljesebb védelmet nyújtanak a gyengébb félnek, a munkavállalóknak kontinensünkön, mint a tengerentúlon. Az Európai Unióban a polgárok adatvédelmét egy, a tagállamok által követett direktíva szabályozza, mely az érintett személyek számára az Unió területén bárhol, bármikor biztosítja jogaikat. Ám az előbbi állítás már megmutatja a szabályozás korlátját is, nevezetesen azt, hogy csakis az Unió tagállamainak területén élvezhetőek ezek a jogok, a világ többi részén már nem. S itt merül fel egy mostanában mindjobban kiéleződő konfliktus, ugyanis Európa jelenleg nem eléggé erős ahhoz, hogy határozottan ellen tudjon állni az Egyesült Államoknak, amely sokkal mélyebben akarja ellenőrizni az állampolgárokat (s nem csak a sajátjait, hanem például az ország területére beutazókat is) – különösen a 9/11 óta. Ennek számtalan jele van, elég itt most csak az Amerikába repülővel beutazók adatainak előzetes nyilvántartására utalni. Ezt az Egyesült Államok erőszakolta ki, s Európa nem volt képes megtagadni, ezért – hogy tekintélyének foszlányait azért megóvja –, az európai vezetők kénytelenek azt állítani, hogy az érintettek önként és dalolva tesznek eleget az amerikai "kérés"-nek. Ugyanez a más típusú gondolkodásmód már nálunk is tapasztalható, hiszen például a hazánkban működő amerikai tulajdonú cégek esetében végtelenül nehéz – vagy inkább lehetetlen – megértetni az érintettekkel, hogy Európában másként szabályozzák az alkalmazottak adatvédelmi jogait. Természetesen egy német vagy egy svéd tulajdonos is megteheti – és sajnos, gyakran meg is teszi – azt, hogy kijátssza az adatvédelmi szabályokat, de legalább érti, hogy miről van szó, hogy milyen törvényeket szeg meg, az amerikai vállalkozó ezt fel sem fogja.

it.news: Ön oktatói és kutatói munkája mellett konkrét adatvédelmi tevékenységet is végez. Milyen tipikus problémákkal találkozik a napi munka során?

Sz. I.: Egy munkahelyen a vezető, a tulajdonos által végzett adatgyűjtés és megfigyelés első számú motivációja az, hogy a munkavállaló a munkaszerződésben vállalt kötelezettségeinek eleget tesz-e, vagyis hogy dolgozik-e. Ha most a számítógéppel folytatott munkavégzésnél maradunk, akkor ahhoz van joga a főnöknek, hogy megkövetelje az alkalmazottaitól, hogy munkaidőben a rendelkezésükre álló eszközökkel a munkájukat végezzék. Ahhoz azonban már nincs joga, hogy azt figyelje, hogy ha az alkalmazott nem dolgozik, akkor mit csinál: milyen weboldalakat olvas és mennyi ideig. Itt a személyes adatok kezelésének egy fontos alapelvét kell figyelembe venni, a célhozkötöttséget: vagyis a megfigyelésnek szükséges és elégséges mértékűnek kell lennie. Jelen esetben a cél az, hogy a dolgozó a cég erőforrásait munkavégzésre használja, s fölöslegesen ne pazarolja munkáltatója javait. Adatvédelmi szempontból ezért az olyan megoldások jöhetnek szóba, mint például a hálózati hozzáférés korlátozása, szűrése: bizonyos típusú oldalak tiltása, vagy éppen fordítva, csak bizonyos oldalakhoz való hozzáférés engedélyezése. Az ilyen megoldások alkalmazása esetében nem szükséges logolni, azonosítani, hogy a henyélő dolgozó merre is szörföl a neten, mert ez már illetéktelen adatgyűjtés lenne.

A másik kritikus pont az elektronikus levelezés kérdése. Ebben az esetben sem olvasgathatja a főnök a dolgozó levelezését, hogy eldöntse, a munkavállaló folytat-e munkaidőben, a vállalat eszközeivel magáncélú tevékenységet. A legjobb megoldás az, ha a főnök előre kiköti, hogy a céges e-mail címek csakis hivatali levelezésre használhatóak, a magánlevelezést bonyolítsák más szolgáltatónál. Ha nem eleve ilyen feltételekkel indult a vállalkozás, a cég, akkor is megoldható mindez, ám ekkor egy bizonyos határidőt kell biztosítani az átállásra, hogy a külső, a harmadik felek is értesülhessenek róla: ezekre az e-mail címekre csakis hivatali ügyekben írjanak, mert ellenőrizhetik az itt folyó levelezést.

Általánosságban egyébként az a véleményem, hogy azok a munkáltatók járnak jól, akik a munkavállalókra nem gépként, tárgyként tekintenek, mert az a tapasztalatom, hogy a dolgozók lojalitásában bízó, alkalmazottait csak bizonyos határok között ellenőrző, a munkavállalók személyes életének a munkában is teret adó vezetők, tulajdonosok járnak jól hosszabb távon. Ez azonban nyilvánvalóan vállalati és cégfilozófia kérdése, hiszen az adatvédelmi szempontból problémás esetek azoknál a cégeknél szoktak főképp előfordulni, amelyek nem engedhetik meg maguknak, hogy csakis lojális alkalmazottakat foglalkoztassanak, vagy pedig kifejezetten költségtakarékossági szempontból a munkaerőpiac "rossz minőségű" munkavállalóit foglalkoztatják, hatalmas fluktuációval számolva. Ezekben az esetekben van igen nagy szerepe a törvényi szabályozásnak. Magyarországon is ismeretes az az elrettentő eset – hasonló visszaélés egyébként Magyarországon is megtörtént –, amikor Csehországban egy bevásárlóközpontban meghatározták azt, hogy a pénztárosnők naponta hány percet tölthetnek a mellékhelyiségben, s a menstruáló alkalmazottaknak még plusz x perc többlettartózkodást engedélyeztek. Ám nehogy az alkalmazottak visszaéljenek a tulajdonos kegyeivel, kötelezték az érintetteket, hogy egy piros szalagot viseljenek megkülönböztetésül a munkaruhájukon – tehát nem csak a férfi alkalmazottak, hanem az összes vevő is megtudhatta, hogy éppen kinek jöttek el a "nehéz napjai". Ez súlyos visszaélés, mert a menstruáció időpontja egy úgynevezett érzékeny személyes adat, melynek védelmét törvény írja elő. És hiába járul hozzá ennek megismeréséhez a munkavállaló – hiszen, mint a fenti esetben is, ki van szolgáltatva a főnökének, tehát hozzá fog járulni –, attól ez még törvénysértés marad.

it.news: Milyen feltételekkel juthat hozzá az érzékeny adatokhoz a munkáltató?

Sz. I.: Személyes adatot csak két esetben lehet kezelni: vagy törvényi felhatalmazás esetén, vagy hozzájárulás alapján. Az utóbbi esetben – mint az előbbi példánál is látható – a kikényszerített vagy kizsarolt hozzájárulás azonban még nem teszi legálissá az adatkezelést. Vannak ugyanis olyan törvényi keretek, melyeket semmiképpen nem lehet áthágni. A napi gyakorlatban azonban a helyzet általában nem szélsőségesen éles, nem korbáccsal szerzik meg a dolgozók hozzájárulását az adatkezeléshez, hanem ennél szelídebb módokon: nyomásgyakorlással, célozgatással stb. A munkavállalók általában sajnos nem veszik elég komolyan személyes adataik ilyen típusú védelmét, s ez veszélyes és kockázatos tendencia. Hadd világítsam ezt meg egy hétköznapi példával. Szerencsére már Magyarországon is eljutottunk odáig, hogy ha az embert nyilvánvaló indok nélkül megállítja a rendőr, akkor vonakodva vagy egyáltalán nem adja meg személyes adatait, ám ha ezt az adatszerzést a rendőr megállítás nélkül, valamilyen digitális eszközt használva végzi el, ezen már nem szokás felháborodni, mondván, úgysincs semmi takargatni valóm, hadd csinálja.

A mai adatfeldolgozás, adatszerzés, mely a munkahelyeken is jelen van, már annyira bonyolulttá, átláthatatlanná vált, hogy elvesztette húsbavágó, közvetlen jellegét, szinte már érdektelen lett az egyén számára. Egy példa erre: sok helyen ott van már a munkahelyi számítógépek tetején a webkamera. Nos, ez az eszköz alkalmas arra, hogy a szem bogarának és fehérjének megkülönböztetésével esetleg alkalmat adjon a főnöknek, hogy figyelje, mikor kalandozik el az alkalmazott figyelme, mikor nem nézi a képernyőt. De számtalan ilyen lehetőség van még: a gépelés ritmusát is lehet monitorozni, a különböző aktív kártyákkal az egyes tevékenységekkel eltöltött időt lehet számon tartani stb., s ezek segítségével meg lehet alkotni egy profilt. A különféle indokokkal bevezetett, egyre szaporodó fajtájú megfigyelések mára már szinte totális rendszerré álltak össze, s ez végtelenül eltorzítja a munkavégzők viselkedését – s talán személyiségét is. Volt olyan eset, amikor egy bevásárlóközpontban azt figyelték, hogy az eladók, pénztárosok előírásszerűen mosolyognak-e a vevőkre. Ám mivel az alkalmazottak tudták ezt, a kötelező mosoly néhány óra után erőltetett farkasvigyorrá torzult a félelem motiválta erőfeszítéstől. Az ügyféltérben lévő kamerák esetében újra csak a célhozkötöttség jön elő. Ugyanis az a kérdés, hogy miért is vannak ott ezek a kamerák? Azért, hogy az ügyfeleket figyeljék, hogy nem lopnak-e? Vagy az ügyintézőt figyelik, hogy dolgozik-e? E kamerák használatának pontos körülményei számtalan problémát okoznak. Csak egy egyszerűt, ám igen fontosat említenék. Az ügyfélszolgálatokon általában nők dolgoznak, míg a kamerákat kezelők, a biztonsági szolgálatok tagjai általában férfiak, ezért aztán a szegény kiszolgáltatott hölgy nyolc órán keresztül nem meri kifújni az orrát, megigazítani a szoknyáját stb., mert tudja, hogy a pasik folyton röhögnek rajta a vezérlőteremben.

it.news: Ezekben az esetekben mi a megoldás? Hogyan tudja a jogaiban megsértett vagy korlátozott elérni, hogy az adott eszközt célhozkötötten, adatvédelmi szempontból helyesen használják?

Sz. I.: Egy lehetősége van: panaszt tesz. Az egyszerűbb megoldás az lenne, ha a megfigyelést végző munkáltató előre kitalálja az adott megfigyelési módszer célját, s akkor nincs semmi gond, ám ez az előre tervezés és a cél meghatározása a legtöbb esetben nem történik meg. Az utóbbi időben pozitív fejlemény, hogy az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő adatkezelőknél és adatfeldolgozóknál, a pénzügyi szervezeteknél, valamint a távközlési és közüzemi szolgáltatóknál 2004 óta kötelező úgynevezett belső adatvédelmi felelőst kinevezni. Ezek az adatvédelmi felelősök elsősorban azért vannak, hogy az adott intézmény érdekeit védjék, viszont az ő felelősségük az is, hogy a dolgozók jogait se érje csorba. Az adott intézménynek, cégnek is érdeke az, hogy az adatvédelemmel kapcsolatos panaszokat lehetőleg házon belül el tudják intézni.

it.news: Mik a tapasztalatok ezzel az új funkcióval kapcsolatban?

Sz. I.: Nagyon vegyesek. Sajnos, előfordul az is, hogy a belső adatvédelmi felelőst csak "falból" nevezik ki, hogy eleget tegyenek a törvény előírásainak, de találkoztam igen jól dolgozó felelőssel is. Roppant módon személyfüggő ez a rendszer; ha az illető kreatív, gyors észjárású ember, akkor problémákat meg tudja oldani azonnal és helyben, hogy se a cég üzleti érdekei, se a dolgozók jogai ne sérüljenek, és nem indul neki a hivatali útnak, hiszen mikorra azt végigjárja, az adott probléma már rég elavult.

it.news: Ezt a változást olyan jelnek tartja, mely arra mutat, hogy a munkahelyi adatvédelmi helyzet javul nálunk is?

Sz. I.: Egy kicsit javul. Ám nagyon sok még a tennivaló. Egy hozzám közel álló példánál maradva: például Magyarországon az informatikusok többségének szemlélete adatvédelmi szempontból aggályos. Ezt azért merem ilyen határozottan állítani, mert nap mint nap tanítom a leendő informatikusokat itt, a BME-n. Az a tapasztalatom, hogy nálunk az informatikus általában az erősebb fél mellé áll, a magyar informatikus által tervezett rendszer legtöbbször a főnök érdekeit képviseli. Ez a tény igen csak érdekes Amerikával összehasonlítva – ahol ugye, mint említettem, az adatokat érintő jogi védelem az európainál sokkal alacsonyabb szintű –, mert a tengerentúlon a zseniális informatikus ikonikus figura, fenegyerek, afféle modern Robin Hood. A nagy nevek, mint például Phil Zimmermann vagy az RSA nyílt kulcsú titkosító algoritmust kidolgozó Ron Rivest, Adi Shamir és Len Adleman, vagy a koncepció feltalálója, Whitfield Diffie soha nem a nemzetbiztonsági hivatal érdekeit tartották szem előtt munkájuk során, elveik közé tartozott, hogy mindig a gyengébb fél mellé álljanak. Az persze más kérdés, hogy munkájuk eredményét mások mire használták fel, de maguk a kriptográfusok, a programozók soha nem hajoltak meg a hatalom előtt. Nálunk az informatikusok hozzáállása alapvetően tekintélytisztelő, az üzleti hatalmat respektáló.

it.news: De mit tehetnének? Hiszen munkát akarnak kapni, ha elhagyják az egyetemet, a munkahelyeken pedig azokat a feladatokat kell elvégezni, amivel megbízzák őket.

Sz. I.: Igen, a karrierépítés egy nagyon fontos szempont. Ám alternatív megoldásként létezik például egy olyan technológiacsoport, az úgynevezett PET-technológiák (Privacy Enhancing Technologies: Privátszférát Erősítő Technológiák) alkalmasak arra, hogy az üzleti célok elérése mellett minél kevésbé szolgáltassák ki az egyes embereket. Ez csak egy példa arra, hogy egy informatikus fordulhat ezek felé is, ha az adott feladatot meg akarja oldani, ám ne az eddig bevett módszereket alkalmazza.

it.news: Úgy tűnik, az informatikusokat is jellemző hatalomtisztelet azért mindannyiunk közös történelmi öröksége ebben az országban, olyan régi reflexekről van szó, amelyek érdekes módon átadódnak még azoknak a nemzedékeknek is, akik a rendszerváltás után nőttek fel.

Sz. I.: Igen, így van, s el szoktam mondani az informatikus hallgatóimnak is, hogy állításaimat ne vegyék személyes sértésnek, mert itt egy jelenségről van szó. Amikor még kissé alakíthatóbb a gondolkozásuk, s nem a felépítendő karrier foglalkoztatja őket elsősorban, akkor próbálom ráébreszteni a hallgatókat erre. Igyekszem szembesíteni őket azzal az általános konformizmussal, ami nem tűnt el, csak irányt váltott. Most úgy látják az emberek, hogy nem Kelet felé kell szervilisnek mutatkozni, hanem Nyugat felé, a párttitkár helyett az üzleti főnök kegyeit kell keresni. A nonkonformizmus és a saját vélemény kemény felvállalása Amerikában lehet a nagy karrier biztosítéka; ott, ha valakinek határozott ellenvéleménye van egy adott kérdésben, akkor a sarkára áll, mozgalmat szervez stb. Ez aztán vagy bejön vagy nem, de mindenesetre tisztelet övezi ezért, s lehet, hogy épp emiatt fut be majd fényes szakmai pályát. Magyarországon nem. Ha valaki nálunk szervez mozgalmat, akkor azonnal hackernek könyvelik el – s ezen ráadásul a crackert értik.

it.news: Pedig talán a munkahelyi adatvédelmi problémák egy részére megoldás lehetne, ha például a rendszergazdák kerülnének olyan jogi helyzetbe, amikor bizalmi pozíciójukat felhasználva ők maguk biztosítanák azt, hogy a dolgozók személyes adataihoz a főnökök illetéktelenül ne juthassanak hozzá.

Sz. I.: Igen, talán lehetne, ám e téren negatív és pozitív tapasztalataim egyaránt vannak. Volt olyan szervezet, ahol az általános adatvédelmi monitorozás ellen éppen a rendszergazdák tiltakoztak, s nem adták hozzájárulásukat; és találkoztam jó néhány olyan rendszergazdával is, akik saját erkölcsi elveiktől és meggyőződésüktől vezettetve nem voltak hajlandóak törvénysértő módon adatokat kiszolgáltatni a főnöknek. Ám azt is el kell mondanom – egy nemrég lezárult nemzetközi felmérés eredményeire támaszkodva –, hogy az adatvédelmi problémák létrejöttéhez nálunk az adatalanyok is hozzájárulnak. Egyrészt a ránk szakadt modern világ annyira bonyolulttá vált, hogy az átlagember már nem tudja áttekinteni, s a fásultságból eredően a nyilvánvaló jogsértések ellen sem lép fel. Másrészt viszont az a helyzet, hogy nálunk a munkahelyi szakszervezeti érdekvédelem gyakran harmatgyenge, és sem az itt lévő multinacionális vállalatoknak, sem az új magyar vállalkozói rétegnek nem érdeke, hogy ez megerősödjék. Alig van mód a munkahelyi jogérvényesítésre, az emberek pedig eltitkolják a szakszervezeti tagságukat, mert ha kiderül, akkor a munkáltató valószínűleg (persze nem ezzel az indokkal) utcára teszi őket. Előfordult a praxisomban olyan ügy – ez egyébként egészen az adatvédelmi biztosig eljutott –, amikor a tűrhetetlen munkahelyi állapotok ellen fellépők konspiratív módszerekkel kerestek jogorvoslatot, annyira féltek a vezetés megtorlásától.

it.news: Pedig a munkahelyi adatvédelemmel kapcsolatban felmerülő gondokat vélhetően leginkább tiszta viszonyok kialakításával, megelőzéssel és öntudatos munkavállalói jogérvényesítéssel lehetne orvosolni, ám az eddigiekből az derül ki, hogy egyik téren sem állunk valami fényesen. Merre tovább?

Sz. I.: Ahogy eddig is elmondtam, a gondok egyik fő oka az, hogy a bennünket körülvevő világ elképesztő módon bonyolulttá és áttekinthetetlenné vált. Éppen ezért – különösen, ha a digitális világra gondolok – a legfontosabb a tájékozódás és a tájékoztatás. Érzékeny adatainkra számtalan veszély leselkedik – nem csak a munkahelyeken –, s ezek legtöbbjét nem lehet törvényekkel, szabályzatokkal kivédeni. A megkésett újkapitalizmus gyermekbetegségeit pedig nemcsak a munkahelyi vezetőknek, hanem a munkavállalóknak is lassacskán ki kellene heverniük, hogy a dolgozó ne a főnök kijátszására, a főnök pedig ne a dolgozó titkos megfigyelésére törekedjen. E nélkül nem alakulhat ki a sokat hiányolt bizalom, ami nélkül sem munkahelyi viszonyaink, sem digitális személyiségünk sorsa nem fordulhat jobbra.

ITCafe.hu, 2007. március 8.

A bejegyzés trackback címe:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.