Kontrola emailů na pracovišti: ano či ne?

Poklidné hladiny internetových médií nedávno rozvířily výsledky průzkumu TNS Interactive, který zkoumal zda a v jaké míře jsou v našich firmách podrobovány kontrole emaily zaměstnanců a jejich přístup na Internet. Vše se nakonec dostalo až do tradičních "masových médií", a tak se o tomto problému zasvěceně diskutovalo například už i ve Snídani s Novou (včera, s předsedou ÚOOÚ Karlem Neuwirtem).

Zde bych rád shrnul svůj pohled na celý problém, a snad i trochu vyprovokoval k diskusi a k vlastnímu zamyšlení nad tím, čeho se problém týká. Dopředu ale říkám, že nemám v rukávě žádné jednoznačné řešení tohoto problému. Ani s nedomnívám, že by nějaké existovalo.

Co ukázal výzkum

Nejprve k samotnému výzkumu, který vše odstartoval. Společnost TNS Interactive jej prováděla v rámci svého výzkumu itMonitor B2B a dotazovala se vzorku 500 IT manažerů, v náhodně vybraných českých podnicích s více jak 20 zaměstnanci. Otázka zněla:

Můžete na stupnici ohodnotit, zda jsou ve vašem podniku aplikovány některé z následujících firemních kontrolních postupů: Kontrola emailové komunikace zaměstnanců firmy.

Výsledek ukazuje následující tabulka:

Stejný vzorek IT manažerů pak dostal i tuto otázku:

Můžete na stupnici ohodnotit, zda jsou ve vašem podniku aplikovány některé z následujících firemních kontrolních postupů: Kontrola přístupů zaměstnanců na internetové stránky.

Zde pak byl výsledek následující:

O čem výzkum (ne)vypovídá?

Zastavme se nejprve u výsledků samotného průzkumu. Jak si jistě sami všimnete, z formulace otázky není patrné, o jakou kontrolu se jedná. Různých druhů "kontrol emailové komunikace" přitom může být více. Jednou z možností je kontrola veškeré emailové pošty na přítomnost virů (tj. antivirová kontrola). Zde by žádoucím stavem mělo být 100% - což ale nemá nic společného s narušováním něčího soukromí.

Další možnou formou kontroly je žurnálování (tvorba různých logů), s údaji typu kdy byl mail přijat, kam a kdy byl předán, jak byl velký atd., ale bez uchovávání jeho obsahu. Takovéto žurnály (logy) pak lze využít například při dohledávání ztracených mailů, při řešení problémů s el. poštou (např. pro potřeby zjištění chybné konfigurace poštovních serverů apod.). Ačkoli se zde neuchovává samotný obsah mailů, jisté informace lze "vytěžit" z toho, s kým kdo komunikuje, jak často atd.

Na jakou "kontrolu emailové komunikace" ale reagovali dotazovaní IT manažeři? Když odpovídali, měli na mysli právě a pouze kontrolování obsahu mailů, nebo také některou z právě naznačených kontrol (antivirovou a žurnálování)? Obávám se, že již tento moment dosti zkresluje význam získaných údajů.

Může být uchovávání obsahu legitimní?

I když by se "kontrola emailové komunikace" týkala obsahu mailů, i zde si dovedu představit některá legitimní využití. Například ve firmě, kde každý zaměstnanec má na starosti určitý okruh zákazníků, může dojít k tomu že dotyčný není právě na svém pracovišti (je nemocný, na služební cestě apod.), a příslušný zákazník se dožaduje něčeho, co vyplývá z jeho emailové komunikace s příslušným zaměstnancem. Jaký je v tomto případě správný postup? Má být zákazník odmítnut s poukazem na to, že nikdo jiný o jeho požadavku neví a musí počkat? Nebo je možné se v takovémto akutním případě podívat někam do archivu emailové komunikace dotyčného zaměstnance se zákazníkem a vše nějak vyřešit?

Jaký je obecný problém?

Situace z předchozího odstavce asi nebude v praxi způsobovat mnoho problémů s narušováním něčího soukromí - pokud skutečně půjde o "služební" korespondenci, a ne o korespondenci soukromou. A zde se již dostáváme k samotné podstatě věci. Jaký vlastně je hlavní problém?

Předně je třeba si uvědomit, že zde existují (současně, vedle sebe) dva zcela legitimní požadavky: požadavek zaměstnavatele na to, aby jeho zaměstnanci odváděli takovou práci jakou od nich požaduje a za jakou je platí, a požadavek zaměstnanců na to, aby jejich soukromí bylo nedotknutelné. Každá strana celkem pochopitelně má tendenci zdůrazňovat právě svůj požadavek, a také jej absolutizovat, na úkor toho druhého. Zaměstnavatelé tedy obecně mají tendenci zastávat stanovisko, že mají veškerá práva k jakékoli komunikaci svých zaměstnanců, a naopak neuznávat právo zaměstnanců na ochranu jejich soukromí. Naopak zaměstnanci mají obecně tendenci absolutizovat svůj pohled, tedy nedotknutelnost svého soukromí, a snaží se jej aplikovat na veškerou svou komunikaci.

Obávám se, že takto postavený problém nemá řešení charakteru "win-loose", neboli takové při kterém jedna strana prosadí své stanovisko důsledně a beze zbytku, a druhá "přijde zcela zkrátka". Domnívám se také, že v praxi bývá prosazování extrémních stanovisek spíše zástěrkou a nástrojem pro řešení jiných problémů - například když se nespokojený zaměstnanec chce pomstít svému zaměstnanci za něco úplně jiného, když se zaměstnavatel chce zbavit nepohodlného zaměstnance apod.

Kde je řešení?

Jak jsem již avizoval v úvodu, sám neznám a tudíž ani nenabízím žádné řešení celého problému. Navíc se domnívám, že tento problém ani řešení nemá, a že je možné jej pouze vhodně minimalizovat, neboli otupit jeho ostří a co nejlépe vyvážit oba legitimní požadavky (na pracovní výkon a na ochranu soukromí) tak, aby působily co nejméně proti sobě. Lidově řečeno, najít nějaký rozumný a oboustranně přijatelný kompromis, a ne prosazovat výhradně své vlastní stanovisko, ať se děje co se děje.

Jak ale napomoci takovémuto vyvážení? Univerzálně použitelných rad a doporoučení není mnoho, ale za sebe přeci jen nějaké vidím.

Udělat ve věcech jasno!

Samozřejmostí by mělo být "položení karet na stůl", neboli zformulování jasných a jednoznačných pravidel a jejich zveřejnění. Obávám se, že mnoho nedorozumění v praxi je důsledkem právě toho, že nebylo jasně řečeno, co a jak zaměstnavatel hodlá dělat, co si může a co si nemůže dovolit zaměstnavatel a co zaměstnanec atd.

Optimálně by to mělo být součástí určité obecnější "firemní kultury", se kterou by měl mít každý možnost se seznámit ještě v době, kdy se teprve rozhoduje zda se stane zaměstnancem či nikoli (a pokud se zaměstnancem stane, tuto firemní kulturu akceptuje).

Dělící čára

Za velmi důležité pro zmírnění celého problému považuji možnost narýsovat jasnou a zřetelnou dělící čáru mezi soukromou a "firemní" emailovou korespondencí, a to samými uživateli, resp. zaměstnanci. Pokud by toto bylo možné, pak je podstatně snazší zformulovat jasná, srozumitelná a oboustranně přijatelná pravidla. Například taková, že zaměstnavatel má právo archivovat služební poštu a dívat se do jejího obsahu (zatímco soukromou korespondenci musí respektovat jako soukromou a do jejího obsahu nemá právo nahlížet, již z titulu článku 13 Listiny základních práva a svobod). Stejně tak ale tato dělící čára umožňuje zaměstnavateli snáze stanovit pravidla toho, co je pro něj v oblasti "soukromé korespondence" ještě přijatelné a co už nikoli. Může například zavést pravidlo, že soukromá pošta se smí kdykoli přijímat, ale odesílat se smí jen po pracovní době, pouze během přestávek, či pouze v nějakém omezeném objemu či počtu apod. Nebo zřejmě může zavést i takové pravidlo, které říká že firemní prostředky vůbec nesmějí být používány pro soukromou poštu - ale vždy by to měl jasně a zřetelně deklarovat, tak aby to jeho zaměstnanci věděli a mohli se podle toho chovat, či se zařídit jinak (například změnit zaměstnavatele).

Jak ale může ona "dělící čára" mezi soukromou a služební korespondencí vypadat? Najít ji nemusí být až tak těžké, stačí k tomu pouhá vhodná volba emailových adres. Pokud někomu napíšete jako Josef.Novak@firmaXYZ.cz, pak tím naznačujete že jste zaměstnancem firmy XYZ, a nejspíše tedy vystupujete v roli zaměstnance této firmy (tj. mělo by jít o služební" korespondenci"). Naopak když někomu napíšete jako Josef.Novak@seznam.cz (či s adresou z jiného freemailu, případně s adresou typu josef@novak.cz), pak z této adresy nevyplývá žádná vazba na konkrétního zaměstnavatele, a tudíž lze usuzovat že jde o korespondenci soukromou. Ostatně, je to jakási emailová obdoba klasického pravidla z listovní pošty o tom, že zásilka je soukromá, pokud je na prvním místě v adrese jméno osoby, a je naopak "firemní", pokud je na prvním místě jméno firmy.

Možné stanovení firemních "pravidel hry" ohledně použití elektronické pošty pak může být například takovéto: každý zaměstnanec dostane přidělenu firemní adresu (typu josef.novak@firmaxyz.cz), a vůči korespondenci s takovouto adresou má zaměstnavatel taková a taková práva (např. smí archivovat, smí prohlížet obsah atd.). Vedle toho by si zaměstnanec měl sám zřídit vlastní soukromou adresu, například na konkrétním freemailu, kterou zaměstnavatel bude považovat za soukromou a může vůči ní uplatňovat takové a takové omezení (ale ze zákona by neměl mít právo na přístup k obsahu těchto zpráv).

Etika vystupování

Existence "dělící čáry" a její důsledné používání může pomoci i s řešením jednoho dalšího problému. Tentokráte se nejedná o "interní problém" vztahů mezi zaměstnavateli a jejich zaměstnanci, ale o problém externí komunikace - o problém toho, kdy člověk vystupuje směrem navenek jako zástupce firmy která jej zaměstnává, a kdy vystupuje jako soukromá osoba. To je čím dál tím významnější nejen v emailové komunikaci, ale také například v různých diskusních fórech, či například v ohlasech na články apod. Vždy by mělo být možné ihned rozpoznat, zda dotyčný vystupuje pouze za svou osobu, nebo za svého zaměstnavatele.

Domnívám se, že součástí "firemní kultury" by neměl být absolutní zákaz zaměstnanců komunikovat v různých diskusních fórech či psát reakce na články apod. (třeba z důvodů využití pracovní doby). Spíše bych očekával, že součástí firemní kultury bude jasné vymezení pravidel i v této oblasti - kdy a jak má kdo právo co dělat a jak má právo vystupovat (jen za sebe či také jménem firmy).

Za součást slušné firemní (i všeobecně lidské) kultury bych považoval i to, že lidé budou v nejrůznějších diskusích vystupovat pod svou reálnou identitou či pod "neanonymní" přezdívkou (ze která se dá jednoduše a přímo odvodit skutečná identita), a ne se schovávat pod smyšlené či dokonce cizí identity. Internet zde sice skýtá mnoho možností, ale na druhou stranu i různá úskalí. Například když zadáváte svůj příspěvek skrze formulář na WWW stránce, v logu příslušného serveru se obvykle najde doménové jméno či alespoň IP adres uzlu, ze kterého byl příspěvek pořízen. Takže i když si někdo myslí, že svůj příspěvek píše zcela anonymně, nemusí tomu tak být. Je pak spíše trapné, když se někdo schovává za anonymní pseudonym, ale příslušný žurnál (log) na serveru jasně říká, ze kterého konkrétního stroje (konkrétního počítače v doméně konkrétní firmy) byl příspěvek odeslán.