Слежка или защита: законы и судебная практика о применении DLP-систем
Мониторинг рабочего компьютера — один тех вопросов, который вызывает такую же массовую неприязнь работников, как поддержку среди работодателей. Даже людям, которые на работе занимаются любимым делом, и поэтому не страдают ни от скуки, ни от недостатка мотивации, неприятно напоминание о тайной слежке за их компьютером.
Но закон в вопросе контроля за работниками в рабочее время уверенно стоит на стороне работодателя. В этой статье я расскажу о том, как системы мониторинга выглядят с точки зрения прав работника по Трудовому кодексу, судебной практике и как новое позиционирование этих систем укрепляет юридические позиции работодателей.
Не слежка за сотрудниками, а защита данных
Давно не мониторя тему софта для мониторинга сотрудников, я пропустил произошедший тектонический сдвиг в позиционировании в сфере bossware: все известные системы контроля за сотрудниками (то есть, из области human resources) взяли себе альтернативное позиционирование из области информационной безопасности — системы предотвращения утечки данных, системы внутренней безопасности, системы расследования инцидентов, DLP-системы. К DLP (Data Loss/Leak Prevention) относятся все решения по борьбе с промышленным шпионажем и защите конфиденциальной информации от её порчи или утечки. Прежний софт под новым углом из назойливого кадровика превратился в модного ИБшника.
На сайте DLP-системы СпрутМонитор новое позиционирование идёт через запятую со старым:»…кроме того, использование программы СПРУТМОНИТОР имеет своей целью не только поддержание трудовой дисциплины, но и сохранение информации, имеющую коммерческую ценность и являющейся конфиденциальной».
А на сайте StaffCop, наоборот, к самой смене позиционирования подошли как к задаче по предотвращению утечки данных о прежнем позиционировании: на главной странице вообще ничего не выдаёт прежний StaffCop (если не вчитываться название) — теперь это «система расследования инцидентов внутренней безопасности», а полное название «система расследования инцидентов, учета рабочего времени и администрирования рабочих мест» находится лишь на внутренних страницах сайта и на сторонних ресурсах.
Но, что интересно, новое позиционирование вносит изменения в юридическую сторону вопроса, добавляя в применение софта для мониторинга новое правовое измерение: внедрение DLP-систем не только психологически проще, но и основательнее с точки зрения закона.
Мониторинг и закон: работники
Трудовой кодекс регулирует не только права и ответственность работодателей, но и работников.
Работодатель вправе требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя и других работников, соблюдения правил внутреннего трудового распорядка организации
Статья 22 ТК РФ
И использование рабочего компьютера в нерабочих целях по ТК РФ является дисциплинарным нарушением.
Статья 21 ТК РФ, обязанности работника:
добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором;
соблюдать правила внутреннего трудового распорядка организации;
соблюдать трудовую дисциплину.
А обязательность исполнения обязанностей по трудовому договору (должностной инструкции) и следования внутренним нормативным актов работодателя распространяется как на офисных, так и на дистанционных работников (ч. 4 ст. 312.1 ТК РФ).
Мониторинг и закон: работодатели
С точки зрения трудового законодательства, работодателю вправе контролировать устройства и переписку сотрудников в рабочее время. Однако с точки зрения информационной безопасности, закон уже обязывает контролировать сотрудников для её обеспечения, когда речь идёт о:
защите персональных данных
Закон «О персональных данных» от 27.07.2006защите банковской тайны
Закон «О банках и банковской деятельности» от 02.12.1990защите информации, содержащейся в государственных информационных системах
Закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006защите информации в АСУ на критически важных объектах и объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды;
коммерческой тайне: работодатель обязан регулировать использование сотрудниками информации, составляющей коммерческую тайну.
Закон «О коммерческой тайне» от 29.07.2004
Мониторинг: судебная практика
Судебная практика подтверждает, что использование сотрудниками рабочего компьютера для посещения социальных сетей, просмотра развлекательных сайтов, компьютерных игр в рабочее время может иметь юридические последствия.
В Рязани работник проиграл иск о незаконности выговора за сидение в интернете в рабочее время из-за истории браузера: DLP-система засекла работника за просмотром социальных сетей и прочих развлекательных сайтов с рабочего компьютера. В истории браузера работодатель нашёл сайты по продаже автомобилей, маркетплейсы, развлекательные сайты и социальные сети, и объявил работнику выговор. Работник подал в суд для признания незаконным приказа о привлечении к дисциплинарной ответственности, но суд принял в качестве допустимого доказательства акт осмотра журнала браузера.
Апелляционное определение Рязанского облсуда от 11.02.2015 г. № 33–335В Новгороде работодатель сократил юрисконсульта на полставки, аргументировав тем, что после завершения проектного и строительного этапа реконструкции животноводческого комплекса, объём претензионной работы упал и по мониторингу штатный юрист проводит в социальных сетях большую часть рабочего времени. Юрисконсульт обжаловал сокращение в суде, но суд принял во внимание показания программы мониторинга и отклонил его иск.
Апелляционное определение Новгородского облсуда от 06.06.2012 г. № 2–1935/12–33–823В Ростове сотрудница отеля подала в суд иск о восстановлении на рабочем месте и компенсации вынужденного прогула и морального вреда после увольнения за использование компьютера для игр и личных дел, замеченное по камерам видеонаблюдения. Но суд принял запись с камер в качестве доказательства, и иск отклонил.
Кассационное определение Ростовского областного суда от 30.08.2010 по делу № 33–9782
Мониторинг vs защита персональных данных
Несмотря на наличие у работодателя права контролировать соблюдение трудовой дисциплины и обязательств по поддержке информационной безопасности, чтобы ими воспользоваться — работодатель должен верно это оформить.
Иначе фото на пропуске может обойтись работодателю в 75 000 руб., потому что у руководства не было письменного согласия работника на обработку персональных данных:
Верховный суд подтвердил законность штрафа управления Роскомнадзора в Мурманске за «нарушение обработки биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных»
Определение Верховного суда от 5 марта 2018 года № А42–342/2017Статья Административного кодекса о нарушении в области персональных данных: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных влечет от 15 000 до 75 000 рублей штрафа на юридических лиц.
За скрытое видеонаблюдение или камеры в комнате отдыха грозят не только штрафы, но и уголовная ответственность (камеры в коридорах письменного разрешения не требуют).
Для использования DLP-систем юристы советуют прописать в Правилах внутреннего трудового распорядка пункты о запрете использования рабочего компьютера, оргтехники, рабочего email и рабочих аккаунтов в мессенджерах (ICQ, Skype, Viber и другие) в личных целях.
Запреты и предупреждения работникам подтвердят отсутствие умысла нарушать неприкосновенность частной жизни сотрудников (статья 137 УК РФ) и защитят от обвинения нанимателя в нарушении тайны переписки (статья 138 УК РФ), поскольку компания не может и не должна ожидать, что нарушит право человека на тайну личной переписки, если прочтет его рабочее сообщение.
СпрутМонитор рекомендует и вовсе прямо выпустить приказ о внедрении DLP-системы в компании, ознакомить сотрудников с приказом, для подтверждения этого собрать подписи сотрудников в соответствующей ведомости.
P.S. Если кому-то придёт в голову использовать DLP-системы в личной жизни: установка программы мониторинга на чужой компьютер нарушает УК РФ (статьи 19 и 28).
