Проект видавничого дому «МЕДІА-ПРО»
Тотальный контроль | director.com.ua

Тотальный контроль

Автор статьи: 

Алексей Дрозд,
руководитель учебного центра
компании SearchInform (Россия)

В наследство от советских времен нам досталось много всего, в том числе «народная мудрость», которая стала едва ли не девизом «бизнесменов» 90-х: «Все, что не запрещено, разрешено». Однако с течением времени появилась новая проблема: большое количество законов, которые могли даже противоречить друг другу. В 2009 году на рынке информационной безопасности большую популярность обрели DLP-системы, которые позволяли осуществлять перехват информации, передающейся по различным каналам, например: электронная почта, Skype, IM-мессенджеры и др. Но вместе с новыми возможностями пришли и новые трудности: законность перехвата информации

«Учите матчасть…»

Примечательно, что проблема законности перехвата информации однозначно не решена до сих пор. Тем не менее с каждым годом появляется все больше ясности в этом вопросе. Данный материал уместно разделить на две части: теоретическую и практическую. В первой уделим внимание юридическим вопросам контроля переписки сотрудников в фокусе современного российского законодательства. Вторая же будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения не имеет, что будет подвергаться контролю: переписка по почте, в «аське», на Facebook или где-либо еще. В нашем случае закон, как говорится, един для всех (…каналов информации).

Стремление работодателя контролировать деятельность своих сотрудников вполне понятно. Особенно другим работодателям. Учитывая, что сегодня двумя основными ресурсами каждой компании считаются люди и информация, логично предположить, что бизнес желает знать, чем заняты первые и куда передается вторая. Лишь законность контроля — весьма спорная тема. Противники часто любят приводить в качестве аргументов отдельные статьи из Конституции и УК РФ. В частности, в ст. 23 Конституции РФ определяется, что:
•каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени;
•каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Аналогичная мысль прописана и в ст. 63 Федерального закона от 07.07.2003 № 126-ФЗ «О связи».

На основании этого, в случае нарушений, к компании можно применить часть 2 ст. 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений», в которой говорится, что «то же деяние, совершенное лицом с использованием своего служебного положения, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо принудительными работами на срок до четырех лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до четырех лет».

Казалось бы, все однозначно и против контроля. Но это только на первый взгляд. Представим аргументы за контроль:

1) Часть 2 ст. 209 ГК РФ гласит: «Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом». Это означает, что работодатель вправе контролировать работников на предмет использования ими оборудования компании по целевому назначению. Другими словами, так как компьютеры, почтовый сервер, доступ к Интернету, электроэнергия и т. д. принадлежат (оплачиваются) компании, она вправе проследить, чтобы на всем этом сотрудник работал, а не занимался своими делами.

2) Трудовой кодекс. Точнее ст. 22, согласно которой работодатель обязан «обеспечивать работников оборудованием, инструментами, техничес­кой документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей», и ст. 189, где «работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда». Работник же, согласно ст. 21, обязан «добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка; соблюдать трудовую дисциплину; выполнять установленные нормы труда». При этом из все той же ст. 189 «дисциплина труда» вытекает как «обязательное для всех работников подчинение правилам поведения, определенным в соответствии с настоящим Кодексом, иными федеральными законами, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором».

Таким образом, при решении вопроса правомерности контроля за корпоративной перепиской сотрудников самое важное — это понять, где проходит граница между частной жизнью работника и его рабочими обязанностями, если речь идет о сообщениях, которыми он обменивается.

Вносим ясность

Внести оную поможет дело 2007 года, которое разбиралось в Европейском суде по правам человека (ЕСПЧ). Но сначала поясним, почему оно может быть важным для российской судебной системы. Дело в том, что в части «в» пункта 4 постановления Пленума Верховного Суда от 19.12.2003 № 23 «О судебном решении» говорится: «Суду также следует учитывать постановления Европейского суда по правам человека, в которых дано толкование положений Конвенции о защите прав человека и основных свобод, подлежащих применению в данном деле». Но вернемся к делу «Копланд против Соединенного Королевства» (Copland v. United Kingdom) и вынесенному постановлению от 03.04.2007 № 62617/00.

Было установлено, что заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и Интернета. По утверждению работодателя, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.

Однако, из-за того что правила подобного контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице €3000. Суд привел следующие аргументы:

«Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать «все необходимое или целесообразное» для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться «необходимым в демократическом обществе» для достижения законной цели, Европейский суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».

Какой вывод можно сделать из этого дела? Согласно решению ЕСПЧ № 62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. И так как от государства ждать помощи можно еще долго, решим проблему своими силами.

Право работодателя на контроль почты, Skype, «аськи» и т. д. (равно как и обязанность сотрудника использовать почту, Skype, «аську» и т. д. только в рабочих целях) должно быть прописано в правилах внутреннего трудового распорядка организации, так как именно на него ссылается пункт 4 ст. 189 ТК РФ:

«Правила внутреннего трудового распорядка — локальный нормативный акт, регламентирующий в соответствии с настоящим Кодексом и иными федеральными законами порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы, время отдыха, применяемые к работникам меры поощрения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя».

Также следует выполнить еще одно условие, из-за несоблюдения которого Соединенное Королевство и проиграло дело. В рассуждениях ЕСПЧ было отмечено, что «сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и Интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции». Суд обратил особое внимание на то, что работодатель не известил сотрудницу о ведущемся мониторинге ее деятельности.

Таким образом, в тех случаях, когда сотрудник знает, что работодатель имеет доступ к содержанию отправленных и полученных сообщений (тем более выразил согласие на совершение подобных действий), такое вмешательство не должно квалифицироваться как нарушение конституционного права работника. К тому же, согласно требованию ст. 22 ТК РФ, работодатель обязан «знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью».

Поэтому лучше всего заручиться письменным согласием работника, прописав несколько дополнительных пунктов в трудовом договоре. Например:

1) Работодатель может контролировать использование сотрудниками оборудования (компьютеров) и ПО, принадлежащих работодателю, при помощи «системы».

2) Работники извещены о том, что они не должны использовать оборудование работодателя (в рабочее и нерабочее время) для целей, не связанных с исполнением их производственных функций, указанных в должностных инструкциях.

3) Работники извещены о том, что, в случае использования ими оборудования работодателя в личных целях (посещение личной почты, социальных сетей, общение в интернет-мессенджерах и т. п.), в силу специфики работы «системы», работодатель может непреднамеренно получать доступ к этим сведениям, при этом работник дает согласие на подобный доступ.

Или же в более «жесткой» форме:

1) Работники признают, что выделенные им работодателем для осуществления трудовых обязанностей персональные компьютеры (стационарные и ноутбуки), планшетные устройства, мобильные телефоны, иные технические устройства с возможностью выхода в Интернет, а также созданные работодателем для работников персональные адреса электронной корпоративной почты должны использоваться исключительно для получения и передачи информации рабочего характера. Использование перечисленных средств в личных целях не допускается.

2) Работодатель имеет право на получение доступа к информации о просмотренных работниками веб-страницах в сети Интернет, а также к содержанию отправленных и полученных по каналу корпоративной электронной почты сообщений (электронных писем). Реализация такого права возможна с целью контроля: за обоснованностью использования сети Интернет; за соответствием данных действий производственной необходимости; за соблюдением работником при общении с контрагентами принятых в компании этических норм; за отсутствием в отправляемых сообщениях сведений конфиденциального характера и т. д.

Осуществление контроля

Ответ на вопрос о легитимности контроля активности сотрудника работодателем вкратце можно сформулировать следующим образом: «Можно, но при определенных условиях». А раз «можно», то рассмотрим инструменты, которые в этом могут помочь.

Способы контроля можно разделить на косвенные и прямые. Первый способ заключается в сборе различной информации, не относящейся к личной переписке сотрудника. Например, с помощью сетевого экрана возможно фиксировать адреса посещенных страниц из-под той или иной учетной записи. Такой способ в контексте данной статьи представляется простым и «неинтересным».

Перейдем к инструменту прямого контроля. В качестве примера можно взять DLP-системы — программные комплексы, главной задачей которых является предотвращение утечек информации посредством перехвата и анализа информационных потоков, передаваемых в организации. Другими словами, DLP-система умеет:
•перехватывать почту, Skype, отправленные на печать документы и т. д.;
•анализировать перехваченную информацию по заранее заданным специалистом по информационной безопасности правилам;
•на основе правил выносить решение о нарушении и либо останавливать информацию, либо создавать уведомление для специалиста ИБ.

И это лишь небольшая часть того, что должна уметь хорошая DLP-система.

NB. В публикации рассмотрен вопрос контроля переписки сотрудников компании с позиции современного российского законодательства. Украинское законодательство в сфере информационной безопасности развивается во многом в схожем с РФ ключе, так что материал актуален в том числе для отечественных предпринимателей.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж