29 comments
Comment from: andreic
Comment from: andreic - reloaded
ma eu sunt sigur ca daca-ti citesti mesajul, nici tu nu mai intelegi care ti-a fost ideea principala.
Comment from: cristi
Mie mi se pare o greseala cum se face incadrarea. Indiferent cum accesezi (stand alone email client sau webmail) in ambele cazuri pentru a citi emailul tu “accesezi la distanta” serverul de email. Pentru a accesa un cont de email ai nevoie de un user/parola deci orice server de email e “protejat” (in intelesul legii).
In alta ordine de idei, mi se pare ca legile care incrimineaza infractiunile au pedepse exagerate. Unele de fapt nici nu ar trebui sa fie caz penal.
Cel mai confuz mi se pare folosirea sintagmei “fara drept” care este apoi “explicata". De acolo rezulta urmatorul caz foarte posibil: cetateanul A cumpara un router wireless, vine acasa si-l pune in functiune (fara sa configureze criptare pentru ca nu stie de asa ceva; deci din punctul de vedere al legii routerul nu este “protejat"). Cetateanul A nu doreste sa permita altor cetateni sa se lege la internet prin routerul sau. Cetateanul B, vecin cu A, porneste laptopul care detecteaza semnalul wireless de la routerul lui A si se leaga la internet. B a savarsit, fara sa vrea si fara sa stie, o infractiune, care se poate incadra la “accesul fara drept la un sistem informatic” adica inchisoare de la 3 luni la 3 ani sau amenda.
Din punctul meu de vedere accesul la un sistem informatic neprotejat nu ar trebui sa fie caz penal.
Comment from: Sakura
@cristi: Presupun ca diferentierea dintre client de mail si webmail vine de la faptul ca prin webmail nu poti vedea absolut nimic daca nu reusesti sa te autentifici ca utilizator al contului, pe cand pe clientul de email mai exista o situatie intermediara, nu te poti conecta la server deoarece nu cunosti datele dar poti citi mesajele deja descarcate si pe cele trimise din client.
Comment from: Adrian
Bogdan,
Am citit intreg articolul indicat. Nu mi se pare tratata in detaliu urmatoarea speta.
Se acceseaza contul de mail al angajatului, cont de mail creat pe domeniul companiei.
Prorpietarul calcultaorului este compania, organiyatie ce nu este furnizor de servicii de comunicatie in sensul legii. Domeniul este de asemenea proprietatea companiei.
Politicile si procedurile interne stipuleaza neutilizarea contului de mail in interese privat/personal.
In acest caz, accesarea de catre administratorul sistemulu a contului de mail al unui angajat, unde se incadreaza.
Nu iau in calcul realizarea unui alias la contul de mail al angajatului astfel incit toate mailurile acestuia sa ajunga si in contul administratorului.
Comment from: bogdan
Multumesc pentru comentarii. Citeva raspunsuri din partea mea :
@andreic: de ce crezi ca e un abuz situatia ? In fond, ei cred ca prin blocarea portului 25 rezolva problem aspamului sau alte probleme de securitate (presupun). Cred ca e o prezumtie gresita (ca si tine). Dar daca chiar te enerveaza rau, muta-te in alta parte. Vezi ca clauzele abuzive sunt definite explicit in legislatie. Daca a fost explicitata in contractul initial, atunci asta e.
@cristi Si eu sunt de acord ca sunt pedepse exagerate, dar nu se aplica maximum , iar de multe ori daca ai circumstante atentuante si minimum se poare reduce.
Ceea ce e important de precizat - este ca toate infractiunile trebuie savirsite cu intentie directa sau indirecta, deci cazul tau nu merge - e din culpa, deci nu e infractiune. De altfel cetateanul B oricum nu e vinovat de nimic, ca se leaga la router si apoila Internet, deci nu la un sistem informatic.
@ Adrian - buna intrebarea ! Il las pe Max sa raspunda (sunt sigur ca o sa intru in contradictie cu el :-)
Comment from: andreic
@bogdan: situatia este un abuz deoarece din este o restrictie initiala, nefiind o facilitate pentru care sa optezi DUPA, DCA vrei.
sa ne imaginam o situatie legiferata astfel: toata lumea trebuie sa-si cumpere dacia; aaa, ai aflat cumva ca exista si se pot cumpara si alte marci? pai atunci fa matale o cerere si da-ne-o sa ti-o aprobam.
drept sa-ti spun, nu ma asteptam din partea ta la chestia cu mutatul; poate nu am alte optiuni sa ma mut; poate eu semnalez aceasta situatie cel putin anormala tocmai pentru ca ea exista; si atunci cand se traia sub comunism cineva ar fi putut replica cu ‘dar fugi din tara daca nu-ti place’, dar ma intreb cum ai categorisi o astfel de replica.
Comment from: bogdan
@andreic
Ai si alte optiuni - nu spun din top. Acum cind RTL are ADSL peste tot si Vodafone si Orange solutii 3G la preturi comparabile cu ce da RDS sau UPC - chiar avem de unde alege.
Solutia RDS nu este ilegala, din punctul meu de vedere. Este probabil extrem de deranjanta pentru abonatii lor, dar nu e ilegala si nu e clauza abuziva, daca e anuntata anterior incheierii contractului. Daca crezi altfel, fa o plingere la ANPC si poate decide instanta altfel si eu gresesc.
Comment from: Florin
Bogdan, as vrea sa insisti putin pe problema cu routerul wireless. De ce crezi ca nu se incadreaza la sistem informatic? Potrivit art. 35 alin. 1 lit. a Lg 161/2003, prin sistem informatic se intelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic. Nu am cunostinte de specialitate, dar ca sa fucntioneze wireless=ul meu a fost nevoie sa ii dau niste setari, iar acele date sunt prelucrate automat cu un soft propriu de catre acest router, nu? Nu e tocmai asta definitia sistemului informatic? Si daca nu se incadreaza la teza a II-a, ramane oricum teza I din textul legal care face referire la un ansamblu de dispozitive interconectate. Routerul se afla fara putinta de tagada intr-o re;latie functionala cu pc-ul ori cu laptopul cetateanului A. Mai mult, nu pot fi de acord cu afirmatia ca cetateanul B nu are nici o culpa. cu exceptia situatiei in care acesta din urma are la randul sau instalat u nrouter wireless si pur si simplu din eroare se conecteaza la altul, cum ar putea sa afirme ca s-a concetat din greseala la reteaua vecinului? Pai ce, mai este vreun utilizator de notebook care sa nu stie ca pentru a naviga pe i-net trebuie sa ii “bagi” un cablu sau sa iti pui un “wireless"? Daca am accepta o asemenea ipoteza, va trebui si sa acceptam si ca unii vor sofa fara permis fara a sti ca au nevoie de asa ceva, ca unii nu stiu ca a trage cu arma asupra altei persoane ar putea produce decesul acesteia, etc…
Comment from: Max
@Cristi:
Cazul routerului wireless ma gandeam sa-l abordez cu alta ocazie. In articol, m-am referit doar la posibilele incadrari juridice ale accesului la posta electronica a unei alte persoane.
Dar, ca sa-ti dau totusi un raspuns: nu avem norma de incriminare pentru situatia in care un utilizator se conecteaza la un Access Point (AP) neprotejat.
Si aici ar fi putin de discutat intrucat, daca umbli putin pe setarile sistemului de operare vei avea surpriza sa poti “vedea” celelalte resurse conectate la AP si chiar sa accesezi unele dintre acestea (bineinteles, ilegal….).
Dar, in cele marea majoritate a cazurilor de acest tip, utilizatorii zic “sarut mana” si beneficiaza doar de conexiunea la Internet (gratuita pentru ei). Aceste servicii, insa, sunt achizitionate si platite de proprietarul AP-ului, ceea ce inseamna ca putem avea un caz de “furt de energie"….similar furtului de curent electric prin bransarea la linia vecinului….
Max
Comment from: Max
@ ADRIAN:
Cazul expus de tine este interesant sub mai multe aspecte. Nu-ti ascund ca adeseori se afla pe agenda dezbaterilor academice pe care le am cu Bogdan.
Revenind: in orice situatie juridica ne-am afla, exista acolo o sintagma, care de fapt este cheia: FARA DREPT.
Raspunsul la speta ta este tocmai lamurirea a ceea ce inseamna “fara drept", indiferent daca avem acces intr-un sistem informatic, interceptare a unei transmisii de date informatice ori chiar violarea secretului corespondentei.
Iti recomand sa citesti si articolele mai vechi ale lui Bogdan pe aceasta tema, unde exista si niste LINK-uri catre spete similare din strainatate.
Situatia nu este reglementata oficial (din cate stiu eu), insa trebuie sa tinem cont de necesitatea unui echilibru intre interesul (chiar patromonial sub aspectul protectiei informatiilor economice) al angajatorului si interesul (viata) privat(a) al(a) salariatului.
In orice caz, ca bune practici, angajatorul are OBLIGATIA de a semnaliza/avertiza salariatul ca folosirea resurselor electronice ale companiei poate fi monitorizata.
Max
Comment from: Max
@ SAKURA
Multumesc pentru precizarile suplimentare…
Max
Comment from: bogdan
Florin, sa incerc sa precizez.
Ai dreptate, router-ul este un sistem informatic in definitia legii 161/2003. Dar accesul, in cazul respectiv, nu se face la router - nu intri in softul lui, ci folosesti retransmisia lui pentru a avea acces la Internet. Deci tu nu capeti acces in sistemul informatic si nici nu vrei asta. Cel mult ii iei nitel din latimea de banda (daca e limitata)
Ref la eroare - mie mi se intampla frecvent (avind un router wireless) sa intru pe cel al vecinului (cred!) cind al meu pica (lucru care se intampla automat si nici macar nu il vad, ca e pus sa caute un router open si cel mai apropiat). La situatia asta m-am referit eu.
@Andrei
Am mai abordat subiectul. Chiar daca exista politicile firmei, dar angajatorii nu sunt informati, parerea mea e ca o infractiune de violare a corespondentei.
Daca angajatorii sunt informati, atunci administratorul are dreptul sa intre pe email. Eu insa nu as fi de acord ca are voie sa faca un alias pentru a “intercepta” toate emailurile.
(vezi si cazul cedo, dar si articolul asta al meu)
Comment from: monica lupascu
@ Adrian
Asa cum bine ai precizat, “contul de mail este al angajatului". In studierea a ceea ce inseamna “fara drept” nu ar trebui luate in considerare aspecte ce tin de locatia serverului si proprietatea asupra acestuia ci carei persoane in revine utilizarea.
Angajatul, avand un username alocat in mod special acestuia si o parola corespunzatoare detine in acest mod un cont personal si protejat. Accesul oricari persoane (fie aceasta angajator sau nu), fara permisiunea angajatului, la acest cont, va fi considerat din punctul meu de vedere ilegal.
Astfel, contul de email, continutul aferent acestuia cat si utilizarea ii apartin in mod exclusiv angajatului si nu angajatorului, care poate pune la dispozitia acestuia facilitatea, platforma si echipamentele de acces.
Comment from: monica lupascu
Evident, in situatia in care angajatorul comunica in scris tuturor angajatilor posibilitatea acestuia de a monitoriza activitatea acestora inclusiv prin accesarea si verificarea conturilor de email, nu se mai poate vb de un cont personal si protejat. Am in vedere conturile de email create pe domeniul companiei angajatoare, si nu altele, asupra carora angajatorul nu poate comunica monitorizarea, fiind nevoie sa solicite consimtamantul angajatului (inclusiv in situatia in care aceastea sunt accesate de pe calculatoarele aflate in proprietatea companiei)
Comment from: Max
@ Monica Lupascu
Nu stiu daca este chiar asa cum spui tu, insa un lucru este cert: avem situatii de acest gen, nu avem o norma de reglementare foarte clara iar singurele parghii sunt spetele din strainatate.
Chiar as fi curios daca gasim in Romania practica judiciara pe acest caz….
Iti recomand si tie articolele anterioare ale lui Bogdan pe aceasta tema. Daca deja le-ai parcurs, imi cer scuze…
Multumim pentru ca te-ai alaturat discutiei !
Max
Comment from: monica lupascu
Cu placere, Max! si, profitand de ocazie, felicitari pentru una dintre cartile pe care ni le-ai oferit, nu pentru a ramane in biblioteca ci a se afla constant pe birou :)
in leg cu subiectul, intr-adevar, nu exista o reglementare specifica, ai dreptate, de accea am incercat sa apreciez un cont de mail folosindu-ma in mod special de anumite concepte ce izvorasc mai mult din sfera protejarii datelor cu caracter personal. Am considerat o adresa de mail, indiferent ca este sau nu aferenta unui domeniu al angajatorului, ca apartinand de drept utilizatorului acesteia la fel ca orice alta informatie cu caracter personal.
Evident ca interpretarile pot fi diferite, eu chiar sunt multumita de o astfel de situatie, care de cele mai multe ori are mai multe avantaje decat dezavantaje, concretizandu-se in pozitii constructive. Am totusi o predispozitie in astfel de cazuri de a gasi argumente pentru subiectii persoane fizice in detrimentul companiilor :)
am sa recitesc si articolele pe care mi le-ai propus, merci
Comment from: Adrian
“fãrã drept". Dreptul îl conferã un act normativ, o clauzã contractualã sau o normã internã? Nu sînt jurist dar îmi dau seama cã aici se aflã rãspunsul.
Din punctul meu de vedere expresia care ar fi acoperit mai bine partea IT era “fãrã autorizare"….
Comment from: Max
@ ADRIAN
In cuprinsul Legii 161/2003, la Titlul III - prevenirea si combaterea criminalitatii informatice, la art. 35 este data definitia sintagmei FARA DREPT …
Daca asa spune legea…lucram cu instrumentele care ni se ofera…
Comment from: Adrian
De la acea definitie am pornit si eu.
Pentru ca din punctul meu de vedere, de neofit, daca “nu autorizez folosirea serviciului de mesagerie electronicã în interes personal” printr-o norma interna/fisa post, cumulat cu definitiile mai mult sau mai putin complete din alte acte, nu voi incalca dreptul la viata privata in momentul in care verific mailul unui angajat. Mail oferit de companie, pe un domeniu non-comnercial, pe echipamentul proprietatea companiei, pe infrastructura companiei.
Exista situatii in care este imperios necesar o astfel de abordare: in sectorul bancar trebuie sa ma asigur, de exemplu, ca nu se divulga strategii sau scheme noi de creditare.
Tehnic, se poate realiza fara ca angajatul sa stie acest lucru: se face un alias fiecarui cont de utilizator, astfel incit mailurile sa ajung si la un angajat ce are ca sarcina verificarea acestora.
Comment from: Max
@ ADRIAN
Da, totul este posibil (din pacate)
O sa reflectez si, poate in cooperare cu Bogdan sau nu, o sa incerc sa fac o radiografie legislativa a acestui “fenomen” ….
Max
Comment from: bogdan
Adrian, punctul meu de vedere este ca prezumtia este gresita. Astfel utilizarea unei casute de posta electronica (chiar daca este pusa la dispozitie de firma) are - ceea ce americanii numesc - a reasonable expectation of privacy. Deci principiul este ca o adresa de email este privata, cu exceptia cazului cind este anuntat angajatul de contrariu.
Un alias care ar copia orice mesaj al angajatului mi se pare o masura exagerata, doar daca scopul nu ar fi sa citeasca mesajele si doar sa le stocheze si sa verifice prin sondaj sau in cazul unei probleme daca se respecta regulile. Dar si lucrul asta trebuie precizat expres angajatului
Cunoscind toata aceasta “galceava a inteleptilor“ eu am luat doua masuri simple:
1. Pe emailul de la job doar probleme de job. N-are decit sa ma caute si in pantaloni, daca vrea. Treburile personale doar de acasa.
2. Uite de ce nu-mi pun eu retea wireless ! Pe linga faptul ca e scump e si nesigur. Chiar va incurca asa de mult un simplu cablu ?
3. Ei, acum urmeaza intrebarea izvorita dintr-un fapt real. La un anume birou - mai multe PC-uri. Suna o colega: Marian, intri si la mine ca sa-mi spui daca mi-a scris cutare un raspuns ? / Pai cum sa intru colega, ca n-am parola (mentionez ca era un cont accesibil local cu Outlook, deci SMTP si POP3). Pai userul e X si parola Y. Si am intrat desi nu as fi vrut.
Sa se raspunda la intrebarea: am accesat legal sau ilegal un cont de email ? Cine face dovada in caz de scandal - eu ca mi s-a spus parola sau ea ca (chipurile) nu mi-ar fi dat nimic ?
Comment from: eudoxiu
Citirea arhivei de pe Yahoo Messenger poate fi considerata violarea corespondetei electronice?
Comment from: shade
Am citit articolul de mai sus cat si pe cel al d-lui Dobrinoiu. Aveam impresia ca legea s-a aplicat abuziv in cazul Cioaca si cele citite mi-au intarit aceasta convingere.
Am inteles ca dl. Cristian Cioaca a accesat contul de e-mail pe Yahoo folosit anterior de sotia sa. Circumstantele nu sunt clare, totusi, daca a facut-o nu putea altfel decat daca aflase cumva parola contului. In aceste conditii, a accesat el FARA DREPT un sistem informatic? Daca nu, cine trebuia sa ii acorde acest drept? Elodia? Yahoo? Alta “autoritate competenta” dupa cum zice Art 35 alin. 2?
Multumesc anticipat pt orice lamurire.
Comment from: bogdan
Shade, da - sunt ceva semne de intrebare si pentru noi in acel caz - din pacate, asa cum zici si tu, circumstantele sunt neclare. Se afla mai multe de la televizor (improrpius spus ca e vorba de OTV), decit efectiv din caz. Deci pina cind nu o sa se vada dosarul sau decizia instantei cu chestiunile de fapt sau de drept din cauza, ar fi hazardat sa emit vreo opinie.
Apropo - putea sa intre in cont si fara sa stie parola (daca de ex. stia raspunsul la intrebarea de siguranta)
@Shade…
Asa cum am mai scris, accesul dlui Cioaca la emailul sotiei a fost, in orice caz, un acces FARA DREPT (potrivit definitiilor din Legea 161/2003).
Eroarea de interpretare (cred eu) a organelor de urmarire penala a fost in momentul in care s-a dorit aplicarea alineatului 3 al art. 42 din legea mentionata, respectiv accesul ilegal la un sistem informatic, in scopul obtinerii de date informatice prin inlaturarea masurilor de securitate!
Aici, mai degraba cred ca a fost vorba de dorinta autoritatilor de a-l aresta preventiv pe dl. Cioaca, si mai putin de a pedepsi fapta de acces intr-un sistem informatic.
Asa cum spunea si Bogdan, cazul este complex si cred ca ar trebui sa avem toate datele din dosar casa putem avea toata imaginea cazului…
Comment from: Bill
Salut,
S-a modificat cumva legislatia vis-a-vis de dreptul angajatorului de a accesa neingradit contul d email de firma?
Ramane acest drept cu conditia ca angajatul sa semneze ca a luat la cunostiinta ca angajatorul are dreptul sa monitorizeze continutul emailului de servici?
Va multumesc !
Comment from: Bogdan
Salut, se considera infractiune urmatorul scenariu?
-Persoana A foloseste calculatorul persoanei B si isi salveaza datele de logare la email. Perosana B intra pe mailul persoanei A de pe acelasi calculator, datele de logare obtinute prin functia autocomplete a browser-ului.
bun, si cum ramane cu faptul ca pentru clientii rds trimiterea de emailuri prin smtp se face initial obligatoriu prin serverele rds, iesirea prin portul 25 fiind restrictionata?
un client obisnuit, fara cunostinte in domeiu (asa cum sunt marea lor majoritate) va fi neavizat de riscurile asumate si de abuzul rds (abuz ‘impachetat’ in exprimari frumoase si bune intentii).
aceata chestiune o consider abuziva deoarece este de genul opt-out, nu opt-in.
cu ce ar fi aceasta diferita fata de obligativitatea folosirii unui proxy rds pentru a face browsing, doar faptul ca abuzul s-ar face in romania si nu in china?