Czy pracodawca może czytać prywatne maile?

Hej, tak jak w temacie.
Mój przypadek: pracuje na służbowym komputerze i wchodze na swoją, prywatną pocztę - o2 . Coś takiego znalazłem w dokumentach:

Monitoring:

For legal, security, technical and cost reasons, all connections to Internet and third party networks from the Intranet are monitored and traffic is recorded in log files. Such log files show what has been accessed, when and by whom. Entry and exit from restricted physical security zones at our company premises is recorded. Relevant law is observed in the implementation of monitoring and logging. More detailed information can be found in steering documents. The signer is hereby informed of such monitoring.

Te logi są nie czytelne i jest tam mnóstwo informacji. Jest to dość duża firma.
A co to są te steering documents?

Ale w komunikacie nie ma nic o czytaniu zawartości poczty.

a_s_f napisał(a):

Ale w komunikacie nie ma nic o czytaniu zawartości poczty.

Nie ma, jest napisane że wejscie i wyjście z jakiejś strefy bezpieczeństwa sa odnotowane , nie wiem czy tu strefa = sieć . W moich dokumentach nie ma nic napisane o poczcie.

Połączenie z o2.pl idzie po HTTPS, więc nawet logując cały ruch nie są w stanie odczytać danych, o ile nie ma jakiegoś rozwiązania lokalnie na komputerze (typu dodane certyfikaty umożliwiające pracodawcy atak man-in-the-middle).

U mnie firma przechwytuje SSL i zastępuje certyfikaty swoimi, by móc odczytać przesyłane dane. Ogólnie są w stanie odczytać lub blokować wszystko i to jest normalna sprawa, bo:

• praca nie jest od załatwiania prywatnych spraw,
• pracownik mógłby używać tych szyfrowanych kanałów do wynoszenia danych poza firmę,
• na służbowy komputer mógłby dostać się jakiś syf lub cokolwiek niepożądane przez firmę (np lewe oprogramowanie),

Jeśli ktoś chce czytać swoje prywatne mejle w pracy to włącza Internet w smartfonie i czyta mejle na nim.

Mądry polak po szkodzie. Ale tu nikt nie piszę, żeby załatwiać prywatne sprawy w pracy , napisanie maila to < 1 minuta , to nie jest obóz koncentracyjny. Przecież to jest powszechnie wiadome , że ludzki mózg nie może utrzymywać pełen koncentracji przez długi okres czasu, stad w firmach można znaleźć m.in. konsole do gier video.
Co to drugiego punktu to wydaje mi się, że są "skuteczniejsze" metody na wynoszenie danych niż przez poczte.
Bez obrazy :)

Spoko. Możemy sobie oglądać filmy na YouTube albo czytać niektóre strony (w zależności od tego co jest akurat poblokowane). Metod na wynoszenie danych jest niespecjalnie dużo. Porty USB są poblokowane - nie możemy sobie podpiąć pendrive'a. Wszystkie wysyłane pliki przez sieć są monitorowane i generalnie wysyłanym plikom firma przygląda się bardziej niż tym przysyłanym/ ściąganym.

Skoro mejli jest tak mało to nie widzę powodu, by jakoś protestować. Te parę minut można posiedzieć ze smartfonem.

Wszystko zależy od firmy, jednak zazwyczaj logowana jest aktywność typu "kto, gdzie i kiedy", a nie sama zawartość. Zawartość może być automatycznie sprawdzana pod kątem wirusów, łamania prawa obowiązującego w danym kraju, itd., jednak wątpię żeby całość była przechowywana z dwóch powodów:

• użytkownicy potrafią wygenerować bardzo dużo ruchu sieciowego i wszystkie te dane trzeba by gdzieś przechowywać
• włamanie na serwer przechowujące takie dane może być bardziej kosztowne dla firmy niż wykradnięcie wewnętrznych dokumentów.

Ktoś wspomniał wcześniej o szyfrowaniu - można to bardzo łatwo obejść używając firewalla. Możliwe jest skonfigurowanie go tak, aby ruch na daną stronę nie był szyfrowany serwer => użytkownik, a serwer => firewall + firewall => użytkownik. Umożliwia to sprawdzenie zawartości pakietów. Wystarczy kliknąć na zieloną kłódkę na stronie, żeby sprawdzić kto wydał certyfikat.
Trzeba jednak wziąć pod uwagę, że nawet gdyby pracodawcy chciałoby się coś takiego implementować (a zjada to bardzo dużo zasobów na firewall) to niektóre firewall mają whitelistę stron, dla których nie będzie to robione (strony banków, maile itd).

Nawet nie wiem czy logowanie takich danych jest zgodne z prawem polskim, ale to już inna historia. Osobiście nie wydaje mi się, żebyś miał się czego obawiać.

Edit. Gdyby pracodawca miał coś przeciwko wchodzeniu na takie strony (np. w obawie że ktoś będzie wynosił dane) to by je po prostu zablokował.

w czasach smartfonów i w miarę taniego netu mobilnego nie widzę sensu przeglądania poczty na firmowym kompie

@Wibowit:
Pracujesz w projektach dla ministerstwa sprawidliwości, albo jakichś dla hp?

tl;dr:
Logują pewnie cały ruch "na wszelki wypadek". Ale raczej nie ma tam janusza i mirka którzy wszystko przeglądają, tylko jak coś się podzieje niedobrego to mogą rzucić okiem w logi / przegrepować i może coś znajdą. Więc jeśli wyślesz maila "Załączam wszystkie sekrety naszej firmy!!" to moze być słąbo ;)

W ustawie zapis jest o udostępnienie sprzętu dc służbowych. Ja wiem ze różnie bywa i czasem trzeba cos szybko załatwić ale dc służbowych to dc służbowych. A udostępnienie sprzętu nie powoduje ze stajesz sie nagle jego właścicielem, na komputerze może byc wszystko czego sobie firma zażyczy w granicach prawa polskiego. Mogą przechwytywać ruch ale pewnie czytają jesli juz to cos podpadającego.

U mnie ruch pewnie też sprawdzają, ale nieszyfrowany, bo system mam ze oficjalnej strony dystrybucji więc nie mogli od tak dodać swoich certów do zaufanych.

Nie zauważyłem też żeby któraś ze stron się przedstawiała jakimś dziwnym certem który musiałbym akceptować więc w to się raczej nie bawią.

Przede wszystkim w pracy nie robi się prywatnych rzeczy.

Jeśli już tak ściśle przestrzegacie zasad, to w pracy przysługuje przerwa i w tym czasie, wcinając kanapkę, wolno chyba zajrzeć w prywatnego maila korzystając z firmowego łącza?

GMail jest wycięty, więc nie przeglądnę.

Zresztą i tak bym nie chciał, bo skoro przechwytują certyfikaty SSL to i hasło mogą bezproblemowo odczytać.