Kontrola emailů na pracovišti: ano či ne?

Poklidné hladiny internetových médií nedávno rozvířily výsledky průzkumu společnosti TNS Interactive, který zkoumal zda a v jaké míře jsou v našich firmách podrobovány kontrole emaily zaměstnanců a jejich přístup na Internet. Vše se nakonec dostalo až do tradičních „masových médií“, a tak se o tomto problému zasvěceně diskutovalo například už i ve Snídani s Novou (včera, s předsedou Úřadu pro ochranu osobních údajů Karlem Neuwirtem).

Zde bych rád shrnul svůj pohled na celý problém, a snad i trochu vyprovokoval k diskusi a k vlastnímu zamyšlení nad tím, čeho se týká. Dopředu ale říkám, že nemám v rukávě žádné jednoznačné řešení. Ani se nedomnívám, že by nějaké existovalo.

Co ukázal výzkum

Nejprve k samotnému výzkumu, který vše odstartoval. TNS Interactive jej prováděla v rámci svého výzkumu itMonitor B2B a dotazovala se vzorku 500 IT manažerů, v náhodně vybraných českých podnicích s více jak 20 zaměstnanci. Otázka zněla:

Můžete na stupnici ohodnotit, zda jsou ve vašem podniku aplikovány některé z následujících firemních kontrolních postupů: Kontrola emailové komunikace zaměstnanců firmy.

Výsledek ukazuje následující tabulka:

Stejná skupina IT manažerů pak dostala i tuto otázku:

Můžete na stupnici ohodnotit, zda jsou ve vašem podniku aplikovány některé z následujících firemních kontrolních postupů: Kontrola přístupů zaměstnanců na internetové stránky.

Výsledek ukazuje následující tabulka:

O čem výzkum (ne)vypovídá?

Zastavme se nejprve u závěrů. Jak si jistě sami všimnete, z formulace otázky není patrné, o jakou kontrolu se jedná. Různých druhů „kontrol emailové komunikace“ přitom může být více. Jednou z možností je kontrola veškeré elektronické pošty na přítomnost virů (tj. antivirová ochrana). Zde by žádoucím stavem mělo být 100 procent – což ale nemá nic společného s narušováním něčího soukromí.

Další možnou formou je žurnálování (tvorba různých logů), s údaji typu, kdy byl mail přijat, kam a kdy byl předán, jak byl velký atd., ale bez uchovávání jeho obsahu. Takovéto žurnály (logy) pak lze využít například při dohledávání ztracených mailů, řešení problémů s elektronickou poštou (např. pro potřeby zjištění chybné konfigurace serverů apod.). Ačkoli se zde nic nezůstává, jisté informace lze „vytěžit“ i z toho, s kým kdo komunikuje, jak často atd.

Na jakou „kontrolu emailové komunikace“ ale reagovali dotazovaní IT manažeři? Když odpovídali, měli na mysli právě a pouze zjišťování obsahu mailů, nebo také některou z právě naznačených možností (antivirovou a žurnálování)? Obávám se, že již tento moment dosti zkresluje význam získaných údajů.

Může být uchovávání obsahu legitimní?

I když by se „kontrola emailové komunikace“ týkala obsahu mailů, i zde si dovedu představit některá legitimní využití. Například v podniku, kde každý zaměstnanec má na starosti určitý okruh zákazníků, může dojít k tomu, že dotyčný není právě na svém pracovišti (je nemocný, na služební cestě apod.), a příslušný zákazník se dožaduje něčeho, co vyplývá z jeho korespondence s daným zaměstnancem. Jaký je v tomto případě správný postup? Má být zákazník odmítnut s poukazem na to, že nikdo jiný o jeho požadavku neví a musí počkat? Nebo je možné se v takovémto akutním případě podívat někam do archivu emailové komunikace dotyčného a vše nějak vyřešit?

Jaký je obecný problém?

Situace z předchozího odstavce asi nebude v praxi způsobovat mnoho problémů s narušováním něčího soukromí – pokud skutečně půjde o „služební“ korespondenci, a ne o soukromou. A zde se již dostáváme k samotné podstatě věci. Jaký vlastně je hlavní problém?

Předně je třeba si uvědomit, že zde existují (současně, vedle sebe) dva zcela legitimní požadavky: požadavek zaměstnavatele, aby jeho zaměstnanci odváděli takovou práci, jakou od nich požaduje a za jakou je platí, a požadavek zaměstnanců, aby jejich soukromí bylo nedotknutelné. Každá strana má celkem pochopitelně tendenci zdůrazňovat právě svůj postoj, a také jej absolutizovat na úkor toho druhého. Zaměstnavatelé tedy obecně zastávají stanovisko, že mají veškerá práva k jakékoli komunikaci svých zaměstnanců, a naopak neuznávají právo zaměstnanců na ochranu jejich soukromí. Naopak zaměstnanci prosazují vlastní pohled, tedy nedotknutelnost soukromí, a snaží se jej aplikovat na veškerou svou komunikaci.

Obávám se, že takto postavená komplikace nemá řešení charakteru „win-loose“, neboli takové, při kterém jedna strana uplatní své důsledně a beze zbytku, a druhá „přijde zkrátka“. Domnívám se také, že v praxi bývá zastávání extrémních stanovisek spíše zástěrkou a nástrojem pro řešení jiných potíží – například když se nespokojený zaměstnanec chce pomstít svému zaměstnavateli za něco úplně jiného, když se zaměstnavatel potřebuje zbavit nepohodlného zaměstnance apod.

Kde je řešení?

Jak jsem již avizoval v úvodu, sám neznám a tudíž ani nenabízím žádné řešení. Navíc se myslím, že tento problém jej ani nemá, a že je možné jej pouze vhodně minimalizovat, neboli otupit ostří a co nejlépe vyvážit oba legitimní požadavky (na pracovní výkon a na ochranu soukromí) tak, aby působily co nejméně proti sobě. Lidově řečeno, najít nějaký rozumný a oboustranně přijatelný kompromis, a ne prosazovat výhradně své vlastní zájmy, ať se děje co se děje.

Jak ale napomoci takovémuto vybalancování? Univerzálně použitelných rad a doporoučení není mnoho, ale za sebe přeci jen nějaké vidím.

Udělat ve věcech jasno!

Samozřejmostí by mělo být „položení karet na stůl“, neboli zformulování jasných a jednoznačných pravidel a jejich zveřejnění. Obávám se, že mnoho nedorozumění v praxi je důsledkem právě toho, že nebylo zřetelně řečeno, co a jak zaměstnavatel hodlá dělat, co si může a co si nemůže dovolit zaměstnanec atd.

Optimálně by to mělo být součástí určité obecnější „firemní kultury“, se kterou by měl mít každý možnost se seznámit ještě v době, kdy se teprve rozhoduje, zda se stane zaměstnancem či nikoli (a pokud se zaměstnancem stane, tuto firemní kulturu akceptuje).

Dělící čára

Za velmi důležité pro zmírnění celé věci považuji možnost narýsovat jasnou a zřetelnou dělící čáru mezi soukromou a „firemní“ korespondencí, a to samými uživateli, resp. zaměstnanci. Pokud by toto bylo možné, pak jsou podstatně snazší akceptovatelná pravidla. Například taková, že zaměstnavatel má právo archivovat služební elektronickou poštu a dívat se do jejího obsahu (zatímco soukromou musí respektovat jako soukromou a do ní nemá právo nahlížet, již z titulu článku 13 Listiny základních práva a svobod). Stejně tak ale tato dělící čára umožňuje zaměstnavateli snáze stanovit, co je pro něj v oblasti „soukromé“ korespondence ještě přijatelné a co už nikoli. Může například zavést pravidlo, že soukromá elektronická pošta se smí kdykoli přijímat, ale odesílat jen po pracovní době, během přestávek či omezeném objemu apod. Nebo zřejmě může i rozhodnout, že firemní prostředky vůbec nesmějí být používány pro soukromou korespondenci – ale vždy by to měl deklarovat, tak aby to jeho zaměstnanci věděli a mohli se podle toho chovat, či se zařídit jinak (např. změnit zaměstnavatele).

Jak ale může ona „dělící čára“ mezi soukromou a služební elektronickou poštou vypadat? Najít ji nemusí být až tak těžké, stačí k tomu pouhá vhodná volba emailových adres. Pokud někomu napíšete jako Josef.Novak@fir­maXYZ.cz, pak tím naznačujete, že jste zaměstnancem XYZ, a nejspíše tedy vystupujete v roli zaměstnance této firmy (tj. mělo by jít o služební korespondenci). Naopak když někomu pošlete mail jako Josef.Novak@sez­nam.cz, pak z této adresy nevyplývá žádná vazba na konkrétního zaměstnavatele a tudíž lze usuzovat, že jde o elektronickou poštu soukromou. Ostatně, je to jakási emailová obdoba klasického pravidla z listovní pošty o tom, že zásilka je soukromá, pokud je na prvním místě v adrese jméno osoby, a je naopak „firemní“, pokud je na prvním místě v adrese jméno firmy.

Možné stanovení „pravidel hry“ ohledně použití emailu pak může být například takovéto: každý zaměstnanec dostane přidělenu firemní adresu (typu Josef.Novak@fir­maXYZ.cz) a vůči korespondenci s touto adresou má zaměstnavatel taková a taková práva (např. smí archivovat, smí prohlížet atd.). Vedle toho by si zaměstnanec měl sám zřídit vlastní soukromou adresu, například na konkrétním freemailu, kterou zaměstnavatel bude považovat za privátní a může vůči ní uplatňovat takové a takové omezení (ale ze zákona by neměl mít právo na přístup k obsahu těchto zpráv).

Etika vystupování

Existence „dělící čáry“ a její důsledné používání může pomoci i s řešením jednoho dalšího problému. Tentokráte se nejedná o „interní potíž“ vztahů mezi zaměstnavateli a jejich zaměstnanci, ale o externí komunikaci – kdy člověk vystupuje směrem navenek jako zástupce firmy, která jej zaměstnává, a kdy jako soukromá osoba. To je čím dál tím významnější nejen v emailové komunikaci, ale také například v různých diskusních fórech či v ohlasech na články apod. Vždy by mělo být možné ihned rozpoznat, zda dotyčný vystupuje pouze za sebe či nikoli.

Domnívám se, že součástí „firemní kultury“ by neměl být absolutní zákaz zaměstnanců komunikovat v různých diskusních fórech či psát reakce na články apod. (třeba z důvodů využití pracovní doby). Spíše bych očekával, že zde vymezení pravidel i v této oblasti – kdy a jak má kdo právo co dělat a kterak vystupovat.

Za součást slušné firemní (i všeobecně lidské) kultury bych považoval i to, že lidé budou v nejrůznějších diskusích vystupovat pod svou reálnou identitou či pod „neanonymní“ přezdívkou (z níž se dá skutečná identita odvodit jednoduše a přímo), a ne se schovávat pod smyšlené či dokonce cizí identity. Internet zde sice skýtá mnoho možností, ale na druhou stranu i různá úskalí. Například když zadáváte svůj příspěvek skrze formulář na WWW stránce, v logu příslušného serveru se obvykle najde doménové jméno či alespoň IP adresa uzlu, ze kterého byl pořízen. Takže i když si někdo myslí, že píše zcela anonymně, nemusí tomu tak být. Je pak spíše trapné, když se schovává za pseudonym, ale log jasně říká, ze kterého konkrétního stroje byla zpráva odeslána.