Τρίτη 26 Ιουνίου 2007

Περί παρακολούθησης υπαλλήλων στο χώρο εργασίας



-->> Παρουσιάζοντας το βιβλίο «Η επιτήρηση των επικοινωνιών μέσω Internet στο χώρο της εργασίας», του δικηγόρου κ. Στάθη Μίχου, ο E-Lawyer αναφέρει μεταξύ άλλων:

Η πιο σημαντική πρόταση πάντως του κ. Μίχου είναι η εισαγωγή του θεσμού του Υπεύθυνου Προστασίας Δεδομένων στις επιχειρήσεις. Πρόκειται για μια ιδιότητα που έχει γνωρίσει ιδιαίτερη υποστήριξη τον τελευταίο καιρό στην Ευρώπη: ένας υπεύθυνος, ο οποίος, ενώ υπηρετεί εσωτερικά σε μια επιχείρηση, διασφαλίζει με αντικειμενικότητα και ένα βαθμό ανεξαρτησίας από την εργοδοσία, την ορθή εφαρμογή των κανόνων προστασίας προσωπικών δεδομένων, εσωτερικά. Η δυνατότητα αυτή προβλέπεται και από το άρθρο 18§2 της Οδηγίας 95/46 και έχει θεσμοθετηθεί σε ορισμένες χώρες. Σε άλλες χώρες, ο ΥΠΔ αποτελεί θεσμό αυτορρύθμισης στον τομέα της προστασίας προσωπικών δεδομένων. Εξάλλου, σε όλα τα θεσμικά όργανα και τους οργανισμούς της Ευρωπαϊκής Ένωσης (Επιτροπή, Κοινοβούλιο, Συμβούλιο, ΔΕΚ, Διαμεσολαβητής κλπ) υπηρετούν υποχρεωτικά τέτοιοι λειτουργοί, οι οποίοι συνεργάζονται και με την κεντρική αρχή, τον Ευρωπαίο Επόπτη Προστασίας Δεδομένων. Ο κ. Μίχος προτείνει τη θεσμοθέτηση ενός εσωτερικού Διαμεσολαβητή, ο οποίος θα εποπτεύει, εκτός των άλλων, κατά πόσον η επιτήρηση των επικοινωνιών των εργαζομένων γίνεται σύμφωνα με την νομοθεσία.


-->> Στο άρθρο του, παραπέμπει στην Κοινότητα Λογιστών (Βήμα συζητήσεων) όπου, με θέμα Παράνομο Λογισμικό παρακολούθησης εργαζομένου ο θεματοθέτης επισκέπτης με παρωνύμιο "vodafon-όπληκτος" ενημερώνει μετά από ερώτημα συζητητού περί τρόπων αποκάλυψης προγράμματος παρακολούθησης:

Το θέμα των μεθόδων παρακολούθησης εργαζομένων τεχνικά είναι πολυσύνθετο. Θα προσπαθήσω να γράψω κάποιες γενικές οδηγίες.
Κατ’ αρχάς, νομικά είναι παράνομο! Ένα πράγμα που είναι πολύ συνηθισμένο να γίνεται από τις εταιρείες είναι να παρακολουθούνται τα mail (εισερχόμενα και εξερχόμενα). Το πρόσχημα είναι η «ασφάλεια» της εταιρείας. Αυτή η αιτιολόγηση άφηνε ένα νομικό κενό μέχρι πέρυσι που βγήκε ειδική οδηγία από το συμβούλιο της επικρατείας (νομίζω) που το ονοματίζει καθαρά και ξάστερα σαν παρανομία και το απαγορεύει.

Παρόλα αυτά γίνεται κατά κόρον. Για αυτό, ΜΗΝ χρησιμοποιείτε το mail της εταιρείας για πράγματα που δεν θέλετε να «δουν». Βγάλτε άλλο στο yahoo, στο g-mail (google), στο hotmail, στον pathfinder, κτλ.

ΜΗΝ κάνετε πράγματα μέσω internet που δεν θέλετε να δουν (chat, κατέβασμα τραγουδιών, κτλ). Ακόμα όμως και να το κάνετε, αυτό δεν συνιστά παρανομία απέναντι στην εταιρεία και δεν μπορεί να αποτελέσει πρόσχημα για να σας διώξουν χωρίς αποζημίωση.

Αλλάζετε συχνά password για το PC σας και να βάζετε πάντα password που να έχει γράμματα και νούμερα μαζί και κατά προτίμηση να περιέχει περισσότερους από 8 χαρακτήρες. Το ίδιο ισχύει για όλα τα password (outlook mail κτλ). Οι πιο προχωρημένοι, μπορούν να βάλουν password και στο Bios του υπολογιστή (μόνο μην το ξεχάσουν μετά γιατί είναι ιστορία…). Παρ’ όλα αυτά, κανενός είδους password ( στο PC, στο mail, σε αρχεία, κτλ, δεν παρέχει απόλυτη προστασία! Όλα σπάνε, απλά όμως τους το κάνουμε πιο δύσκολο και απαιτείται και κάποιος χρόνος για να τα καταφέρουν που ίσως να μην έχουν.

Να κοιτάζετε συχνά στο PC σας τα event logs. Αυτά βρίσκονται στο settings/control panel/ administrative tools. Με αυτό τον τρόπο μπορείτε να δείτε αν κάποιος άνοιξε το PC σας μέρα και ώρα που λείπατε. Αν ο επίδοξος «ματάκιας» είναι σχετικός, θα τα σβήσει για να κρύψει τα ίχνη του. Δεν μπορεί όμως να σβήσει μόνο την συγκεκριμένη ενέργειά του, θα αναγκαστεί να τα σβήσει όλα. Από εκεί θα το καταλάβετε.

Εάν σας έχουν εγκαταστήσει κάποιο προγραμματάκι spyware για να βλέπουν τι κάνετε μπορείτε να το βρείτε με κατάλληλο anti-spyware πρόγραμμα. Πολλά από αυτά, μπορείτε να τα βρείτε στο internet, να τα κατεβάσετε και να τα εγκαταστήσετε στο PC σας. Πολλά από αυτά είναι τελείως δωρεάν ή έχουν μια δωρεάν δοκιμαστική περίοδο.

Παράδειγμα:
Ad-aware SE personal. Καλό ati-spy προγραμματάκι το οποίο είναι και δωρεάν. Είναι για γενική χρήση και σε προστατεύει και από διάφορα που μπορείς να κολλήσεις από το internet. Δεν σου δίνει προστασία όμως για πολύ εξειδικευμένα πράγματα.
Free spyware scanner, Anti-Spy.Info ή Spyware Doctor. Αυτά είναι πιο καλά αλά δεν είναι δωρεάν για πάντα. Δεν είναι δωρεάν η λειτουργία σβησίματος του κακού λογισμικού, αλλά μπορείτε να τα χρησιμοποιείται για να το εντοπίσετε. Δηλαδή, αφού τρέξουμε κάποιο από αυτά τα εργαλεία, κοιτάμε τα logs που δημιούργησαν και αν κάτι από αυτά που βρήκαμε μας φανεί περίεργο, αναζητούμε πληροφορίες για αυτό στο internet μέσω google για να δούμε τι είναι και αν το τσιμπίσαμε κατά λάθος ή είναι φυτευτό. Ακόμα και στην περίπτωση που κάποιος μας βάλει κάτι για να βρει τα passwords μας και μετά το απεγκαταστήσει, σχεδόν σίγουρα θα υπάρχουν ίχνη στη registry του υπολογιστή (εκτός αν είναι πολύ προχωρημένος) και τα anti-spy προγράμματα που θα τρέξουμε θα τα βρούν. Από εκεί είπαμε, google για να δούμε τι είναι τι.

Στην περίπτωση που κάποιος μπαίνει στο PC μας από μακριά (από άλλο PC) ενώ εμείς δουλεύουμε αμέριμνοι, καλό πρόγραμμα είναι το avast (μπορείτε να το κατεβάσετε από εδώ www.avast.com) το οποίο μας προστατεύει από ιούς και μας δείχνει αν κάποια IP (άλλος υπολογιστής) προσπαθεί να μπει στον δικό μας. Αυτό το πρόγραμμα δεν είναι το καλύτερο για αυτή τη δουλειά, αλλά είναι μικρό και τελείως δωρεάν. Από την συγκεκριμένη IP που θα μας δείξει το avast μπορούμε να βρούμε ποιο είναι το PC και άρα ποιος πάει να ρίξει μια ματιά.

Γενικά, σε περίπτωση που βρούμε κάτι, είναι πολύ δύσκολο να βρούμε ποιος την έκανε. Μια τακτική είναι αν δεν θέλουμε να κάνουμε τσαμπουκά (για το οποίο πρέπει να είμαστε σίγουροι και με την τεχνολογία δεν μπορείς να είσαι σίγουρος), μπορούμε να τους αφήνουμε εις γνώση μας να βλέπουν ή να παίρνουν πράματα που εμείς θέλουμε και να τους παραπλανούμε.

Μια άλλη μέθοδος προφύλαξης είναι να παριστάνομε ότι τα mail μας (πχ) έχουν θέματα συναφή με το αντικείμενό μας και τα καθήκοντα μας. Δεν έχουν το χρόνο να τα ψάχνουν όλα. Ψάχνουν αυτά που έχουν τίτλο που τους τραβάει την προσοχή. Στο στρατό, όταν ήμασταν νεοσύλλεκτοι, τσιμπάγανε για αγγαρείες αυτούς που για κάποιο λόγο ξεχώριζαν (ο ψηλός, αυτός με το μουστάκι, αυτός με τη μύτη, ο άλλος με τα γυαλιά, κτλ). Έτσι λοιπόν και εδώ βάζουμε «ανώδυνους» και συνηθισμένους τίτλους στα mail μας. Άσε που συνήθως έχουν λογισμικά που «πιάνουν» μη προβλεπόμενες λέξεις στον τίτλο (sex, fan, joke, music, mp3, κτλ), ή μη προβλεπόμενες καταλήξεις στα αρχεία που στέλνουμε (mp3, wav, mpg, κτλ). Άρα «ουδέτερος» και συνηθισμένος τίτλος και μετονομασία της κατάληξης των αρχείων που δεν προβλέπονται σε κάτι άλλο (πχ. mp3 σε txt).

Τα ίδια ισχύουν και για τα τηλέφωνα. Αν θέλουν μπορούν να καταγράφουν τις συνομιλίες μας. Αυτό όμως απαιτεί κάποιο κόπο, χρόνο και αντίστοιχη υποδομή. Πολύ εύκολα όμως μπορούν να καταγράφουν αυτόματα, μέσω του τηλεφωνικού κέντρου, ποια νούμερα κάλεσε η συσκευή μας και πόση ώρα κράτησε η συνομιλία (άρα και η χρέωση!).

Συμπέρασμα: Δεν μπορείς ποτέ να είσαι τελείως σίγουρος με αυτά. Παρ’ όλα αυτά όμως, συνήθως η μέθοδος που θα χρησιμοποιήσουν είναι συνάρτηση της γενικότερης κατάστασής τους. Για παράδειγμα: Εάν δεν είναι πολύ προχωρημένοι, θα κάνουν κάτι που θα το εντοπίσετε εύκολα με αυτά τα γενικά που σας έγραψα. Το ίδιο ισχύει εάν είναι φτωχό ή τσιγκούνικο το μαγαζί. Δηλαδή τότε θα χρησιμοποιήσουν προγραμματάκια που είναι δωρεάν στο internet και τα οποία μπορείτε επίσης να αντιμετωπίσετε εύκολα με τα παραπάνω. Αν όμως είναι κανα μαγαζί μεγάλο και ψοφάει για τέτοια, δύσκολα τα πράγματα.

-->> Επίσης, ο γενικός συντονιστής του φόρουμ αυτού με παρωνύμιο "doctor" κοινοποιεί το σχετικό

ΑΡΘΡΟ 16 της Ε.Γ.Σ.Σ.Ε. 2004-2005

Ηλεκτρονική παρακολούθηση των εργαζομένων από τον εργοδότη τους κατά τη διάρκεια της εργασίας τους
Τα μέρη αποφασίζουν τη συγκρότηση μέχρι 30-10-04 μικτής επιτροπής εμπειρογνωμόνων, όπου θα εκπροσωπούνται τα συμβαλλόμενα μέρη σε συνεργασία με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, προκειμένου:
1. Να εξετασθεί η έκταση χρήσης ηλεκτρονικών συστημάτων παρακολούθησης και η πρακτική που ακολουθείται στο συγκεκριμένο θέμα στους εργασιακούς χώρους.
2. Να εξετασθεί η ευρωπαϊκή εμπειρία σχετικά με το θέμα αυτό.
3. Να καταρτισθεί ειδικό πλαίσιο κανόνων για την τοποθέτηση και λειτουργία ηλεκτρονικών συστημάτων παρακολούθησης στους χώρους εργασίας για λόγους ασφαλείας.
4. Να προωθήσουν από κοινού τα ενδεικνυόμενα μέτρα, ώστε να αντιμετωπισθούν παράνομες ή καταχρηστικές πρακτικές.


_________________________________
ΣHM. Αν δεν ανοίγουν οι σύνδεσμοι, διαλέξτε:
http://elawyer.blogspot.com/2007/06/h-internet.html
http://www.taxheaven.gr/acforum/index.php?showtopic=22661


4 σχόλια:

epwnimos είπε...

Μια σημείωση, αν κάποιος έχει φυσική πρόσβαση σε ένα μηχάνημα και βάλει ένα cd linux μπορεί να δει και να τροποποιήσει τα πάντα (όχι τα ζωάκια τα πάντα) χωρίς να χρειαστεί κανένα κωδικό. Η μόνη λύση σε αυτό είναι ο κωδικός στο bios, και πάλι όχι απαραίτητα ασφαλή λύση χωρίς την περαιτέρω ρύθμιση κάποιων παραμέτρων.

Rodia είπε...

Αχ, κ. έμπορα, εσείς οι Linuxάδες!!! Πού θα πάει; περιμένω 3 σιντιά που παράγγειλα με το UBUNDU και θα το μάθω!:-)

ο δείμος του πολίτη είπε...

Ρε συ παρά είναι υπερβολικός ο φόβος αυτός. Τουλάχιστον για τα ελληνικά μικροαστικά δεδομένα των επχιειρήσεών μας.

Rodia είπε...

Καλά, Δείμε, δεν μπήκες στο φόρουμ των λογιστών να δεις τη συζήτηση; Για συγκεκριμένη περίπτωση γράφει ο άνθρωπος...
Εχω και σχετική εμπειρία ήδη πριν απο 8 χρόνια!!!


Metablogging.gr Comments Headline Animator