Studie serveru America Online i statistiky amerického Úřadu práce uvádějí, že za 75 % krádeží firemních údajů stojí zaměstnanci, jen 25 % způsobí hackeři. Zaměstnanecké krádeže stojí americký průmysl ročně 50 bilionů dolarů a jsou zodpovědné přibližně za 33 % všech krachů firem. 90 % jich navíc vyjde na povrch až po odchodu zaměstnance z firmy.
Jaké jsou možnosti a rizika spojená s kontrolou a využíváním informačních technologií ve vztahu k zaměstnancům v rámci platné české legislativy? Podle JUDr. Pavla Koukala z mezinárodní poradenské společnosti Rödl & Partner se na přípustnost kontroly zaměstnanců musíme dívat z více úhlů. Musíme se řídit tím, co je stanoveno při uzavírání pracovněprávního vztahu, jako jsou podpis smlouvy mezi zaměstnavatelem a zaměstnancem či firemní směrnice, dále právem zaměstnavatele na ochranu majetku a podnikatelských zájmů, a v neposlední řadě právem zaměstnance na ochranu lidské důstojnosti a ochranu soukromí.
Kontrola zaměstnance ze strany zaměstnavatele bez jeho vědomí je přípustná pouze v případě přiměřené kontroly s ohledem na cíl kontroly, např. kontrola dodržování zákazu/dovoleného rozsahu použití pracovních prostředků pro soukromé účely. Proti tomu má zaměstnavatel právo provádět kontrolu technických parametrů IT infrastruktury, její bezpečnost a spolehlivost. V případě důvodného podezření na narušení IT infrastruktury je její majitel oprávněn podniknout opatření pro eliminaci rizika, mimo jiné i spojit identitu uživatele s potenciálně nežádoucími aktivitami na síti. Novinkou v odhalování anomálií na síti je audit jejího provozu, který dokáže odhalit nežádoucí činnost zaměstnanců s výpočetní technikou v reálném čase.
"Systémy založené na těchto technologiích pracují na principu detekce anomálií a nežádoucího chování v datové síti díky permanentnímu vyhodnocování statistik o provozu na síti," říká RNDr. Pavel Minařík ze společnosti AdvaICT. "Hlavní výhodou proti běžným IDS systémům či SNMP monitoringu je orientace na celkové chování zařízení na síti, což umožňuje administrátorům sítě získat ucelený pohled na celou IT infrastrukturu a reagovat i na dosud neznámé či specifické hrozby v síti."
MONITOROVÁNÍ ZAMĚSTNANCŮ PODLE ČESKÉ PRÁVNÍ ÚPRAVY (§ 316 ZÁKONÍKU PRÁCE)
- Zaměstnanci nesmí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu (podle první věty) je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat.
- Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci.
- Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění.
