Az IT café is nemrég számolt be arról, hogy a Microsoft belső vizsgálatának eredményeire alapozott feljelentés nyomán letartóztatták a vállalatnál korábban dolgozó szoftvermérnököt, akit azzal vádolnak, hogy bizalmas, ipari titoknak számító információkat adott át egy francia bloggernek.

A történet egy fontos részlete kisebb vihart kavart a szaksajtóban, ugyanis a Microsoft úgy találta meg a felelőst, hogy az adott blogger Hotmail levelezési fiókját átnézték. Mindezt legálisan tehették, mivel az Outlook felhasználási feltételei mindezt biztosítják az üzemeltető számára.

Ezt, így, nem

A jogi természetű vitában a Microsoft jogi ügyekért felelős vezetője, John Frank azt nyilatkozta, hogy valóban problematikus a szituáció. Ugyanis a felhasználók adataiban való keresés és az információk felhasználása bírósági döntéshez kötött, és ez az anomália most, ebben az ügyben világosodott meg, ezért meg is fogják változtatni a felhasználási feltételeket. Ugyanakkor ebben az ügyben nem szándékoznak lemondani a bizonyítékokról, ezért a jogi csapat keresi azt a lehetőséget, hogy a konkrét esetben milyen módon lehet bírósági felhatalmazást nyerni a bíróságtól a keresésre, vizsgálatra. Ez a jövőre is nézve konkrétan azt jelenti, hogy mielőtt egy vizsgálat – akár belső – megindulna, egy külön ezt felmérő jogászteam azt nézi meg, hogy miképp lehet olyan bizonyítékot találni, hogy kérhessék az adott fiók (vagy bármilyen más személyes adat) átvizsgálását.

Ezzel párhuzamosan a Microsoft azt tervezi, hogy hamarosan kiadnak egy két évet átölelő átláthatósági jelentést, amelyben részletesen beszámolnak arról, hogy hány fiókot és mennyi ügyfelet érintő hasonló keresést végeztek. A jelentésben csak egyetlen kivétel lesz, ígérte a jogtanácsos: amennyiben belső vizsgálatokról van szó, vagyis a cég alkalmazottai ellen folyt eljárás – ezeket nem tárják a nyilvánosság elé, csak megemlítik őket.

A lényeg: mivel a vállalat a konkrét ügyben a szolgáltatásában található információkat bírósági döntés nélkül használta fel – mindegy, hogy milyen módon –, az elbizonytalaníthatja a felhasználókat, akik abban bíznak, hogy személyes adataik biztonságban vannak – legalább az üzemeltetőtől.

Tisztázás

Ilyen esetekben általában erős és következetes módon védekeznek a cégek, ám most erre alig van lehetőség: épp ezt bizonyítja John Frank közleménye, aki részletezi, hogy milyen módon változtatják meg a felhasználási feltételeket és a belső eljárásrendet.

Röviden összefoglalva ezek a következők:

• külön jogi csapat foglalkozik azzal, hogy megnézzék: van-e annyi anyaguk, hogy végzést kérjenek – amennyiben jogsértést, erre utaló bizonyítékot találnak, akkor azonnal külső, szövetségi szakértőkhöz, hatóságokhoz fordulnak az eljárás törvényes megindítása, illetve a bírósági végzés kiadása érdekében
• a bizonyítékok keresése közben szigorúan tartják magukat a célhoz kötöttség elvéhez, illetve nem keresnek ott, ahol csak végzés alapján tehetik
• az ilyen kereséseket, azok körülményeit átláthatósági jelentésükben megosztják a nyilvánossággal – kivéve, ha belső ügyről van szó, ami a céges hozzáféréseket, fiókokat használó alkalmazottakat, és nem a felhasználókat érinti; ezekben az ügyekben csak általános tájékoztatást adnak