Юридические тонкости контроля сотрудников на удаленке

        В состав практически любой DLP-системы входят средства мониторинга рабочих мест пользователей, которые осуществляют контроль деятельности сотрудников как в течение его рабочего дня, так и вне его (если сотрудник выполняет сверхурочную работу) – собирают информацию о том, на какие сайты в сети Интернет сотрудник заходит, какие документы скачивает, редактирует и распечатывает, с кем, по каким каналам и какую переписку ведёт. Наиболее продвинутые программные комплексы способны даже перехватывать звонки по IP-телефонии (конечно, в том случае, если при переговорах используется софтофон – приложение, установленное на компьютере пользователя) или делать снимки с веб-камеры (это может быть полезно в том случае, когда необходимо выяснить, не передают ли пользователи свои логины и пароли друг другу, что является серьёзнейшим нарушением режима информационной безопасности).

        Понятно, что любой программный продукт на предприятии не может быть внедрён «просто так» - поставили на рабочие станции и забыли. Необходима подготовка как программно-аппаратных (рабочие станции, серверы), так и информационных ресурсов, а в большинстве случаев внедрения – и юридическая подготовка.

        Юридическая подготовка является наиважнейшей стороной внедрения программных комплексов мониторинга рабочих мест пользователей, так как практически всегда у сотрудников возникает мнение, что такой мониторинг является вторжением в частную жизнь. Поэтому такой подготовке следует уделить особое внимание, подключив к этой работе не только специалистов по информационной безопасности, но и юридическую службу предприятия.

        Подготовка внедрения системы мониторинга рабочих мест должна начинаться с разработки и внедрения регламентов обработки информации на предприятии. Следует ввести режим соблюдения коммерческой тайны и конфиденциальной информации (в дальнейшем – КТ и КИ.-Прим.авт.), определить, какая информация относится к КТ и КИ, как и кем она обрабатывается. Эти регламенты в обязательном порядке утверждаются приказом руководства предприятия.

        Следует заметить, что наше обсуждение юридических вопросов подготовки регламентов КТ и КИ, а также внедрения мониторинга рабочих мест пользователей абсолютно не затрагивает вопросы работы с информацией, являющейся государственной тайной. Это совершенно отдельная тема, к тому же – очень и очень сложная, регламентированная Законом "О государственной тайне" от 21.07.1993 г. № 5485-1. Если на предприятии обрабатывается информация, являющаяся государственной тайной, то к её охране привлекаются сертифицированные специалисты, прошедшие дополнительную подготовку в этой области.

        Итак, что же гласит Закон? С одной стороны, следующее: Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

УК РФ: Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан - наказывается штрафом …, либо обязательными работами …, либо исправительными работами…

Таким образом, на первый взгляд кажется, что полный мониторинг работы сотрудника, включающий просмотр его переписки, прослушивание записей его телефонных переговоров и т.д., является незаконным. Права работодателя на продукт, созданный работником, охраняются Гражданским и Трудовым кодексами Российской Федерации.

ГК РФ: Исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю.

ТК РФ: Трудовые отношения - отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определённой специальности, квалификации или должности), подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями, трудовым договором.

        Никакого противоречия в законодательстве нет – законодательство надёжно охраняет как права сотрудника на личную жизнь, так и права работодателя на секреты производства и результаты работы сотрудника. Это необходимо чётко разграничить в принимаемых регламентах.

        Первое - компьютер и телефон на рабочем месте сотрудника, а также предоставленный мобильный телефон являются собственностью работодателя и предназначены исключительно для выполнения должностных обязанностей, а не для личных целей. Поэтому вести личную переписку и личные переговоры с их использованием запрещено.

        Второе - владельцем электронного почтового ящика, абонентом стационарной и мобильной телефонных сетей является юридическое лицо - предприятие, а не физическое лицо – сотрудник предприятия.

        Третье - сотрудник на рабочем месте ведёт не личную переписку, а выполняет трудовые обязанности и указания работодателя.

       Четвертое - весь бумажный документооборот ведётся через специализированные отделы (канцелярии, секретариаты), фактически с тотальным контролем переписки.

        Пятое - предприятие (работодатель) имеет право контролировать как использование оборудования, так и процессы обработки информации с применением технических и программных средств, чтобы предприятию не был нанесён как репутационный, так и материальный ущерб.

        Таким образом, перед началом внедрения системы мониторинга рабочих мест пользователей необходимо обязательно выполнить определенные действия, которые мы сейчас перечислим.

        Во-первых, определить и довести до сотрудников регламенты обработки информации, относящейся к КТ и КИ, а также правила использования средств хранения, обработки и передачи информации.

        Во-вторых, разработать и довести до сотрудников специальный регламент проведения мониторинга, где указывается, какие рабочие места подлежат мониторингу, что входит в мониторинг (какая информация будет собираться, будет ли мониторинг скрытым или открытым и т.д.).

        В-третьих, получить письменное согласие сотрудников на проведение мониторинга использования ими средств хранения, обработки и передачи информации.

        В-четвертых, включить положения об обязательстве работника соблюдать правила использования средств коммуникации и согласие на мониторинг в трудовой договор (подготовить дополнительное соглашение к трудовому договору или внести изменения в коллективный договор).

        Завершающим «аккордом» внедрения системы мониторинга рабочих мест пользователей является приказ руководителя предприятия о внедрении программного комплекса мониторинга. В нём обязательно должно быть отражено, какое программное обеспечение внедряется, на основании каких нормативно-правовых актов (законов и подзаконных актов, регламентов) и с какими целями оно внедряется, перечисляются отделы, ответственные за его эксплуатацию, указаны сроки внедрения

        Сбор информации приложением-агентом системы мониторинга может осуществляться либо в явном (открытом), либо в неявном (скрытом) режиме. Обычно режим – свойство конфигурации приложения-агента, и управляется администратором системы. Если сбор информации выполняется в открытом виде - сотрудник оказывается заблаговременно информированным о работе мониторинга (наличии на его рабочей станции собирающего информацию приложения-агента), и в этом случае очень многие руководители предприятий допускают серьёзную ошибку, считая, что выполнение всех рекомендованных выше мер не обязательно. Их ждёт разочарование, когда дело дойдёт до первого судебного процесса. Если же мониторинг планируется выполнять в скрытом режиме – то применение всех описанных выше мероприятий является строго обязательным, в противном случае при разрешении судебного конфликта суд как максимум может принять решение о незаконности мониторинга и вынести частное определение в адрес предприятия, а как минимум – доказательства, полученные с помощью мониторинга в таких условиях, будут отвергнуты как полученные с нарушением закона.

        Всё вышесказанное относится к варианту офисной работы сотрудников предприятия. Однако в существующих условиях всё больше и больше предприятий переводят своих сотрудников на удалённый режим работы. В этом случае возникают дополнительные юридические тонкости, которые необходимо учитывать. Наиболее часто встречаются два варианта работы сотрудников на «удалёнке»: сотрудники работают на своих офисных рабочих станциях, которые они получили от работодателя и перевезли к себе домой; сотрудники работают на своих личных (домашних) компьютерах, занимаясь деятельностью в интересах предприятия.

        Рассмотрим юридические тонкости, возникающие при использовании каждого из двух вариантов.

        При использовании любого варианта прежде всего необходимо дополнением к трудовому договору зафиксировать изменение формата занятости сотрудника с обязательного присутствия в офисе на присутствие по желанию (или отсутствие по указанным причинам – решение административных государственных органов, решение руководства предприятия и т.п). Это станет гарантией законности нахождения сотрудника вне офиса в рабочее время, т.е. того, что нахождение сотрудника дома – это удалённая работа, а не прогул, который может являться основанием для увольнения.

        Если сотрудники работают на офисных рабочих станциях, принадлежащих работодателю, то необходимо дополнительно оформить передачу оборудования сотруднику на ответственное хранение и использование, причём аппаратная конфигурация офисной рабочей станции (с серийными номерами оборудования), как и перечень установленного ПО, должны быть указаны в Акте приёма-передачи. Это позволит полностью исключить «пересборку» рабочей станции, т.е. злоупотребления со стороны нечестных сотрудников.

        Если же сотрудники работают на своих личных (домашних) компьютерах, то очевидно, что в данном случае может произойти (да и происходит почти всегда) смешивание личной информации сотрудника (фотографии, видео и т.д.) с рабочей. Тогда при использовании программных комплексов мониторинга работы пользователей произойдёт загрузка личной информации сотрудника в корпоративное хранилище, что, очевидно, недопустимо без письменного согласия сотрудника – личные данные охраняются действующим Законодательством, как это уже отмечалось выше. Поэтому перед установкой такого программного обеспечения на личный (домашний) компьютер сотрудника необходимо получить письменное согласие сотрудника. Следует заметить, что, как правило, получить такое согласие практически невозможно, так как мало кто соглашается на практически неограниченный доступ к своей личной информации, пусть и ограниченного круга своих коллег по работе.

        Если же сотрудник использует носители информации работодателя (флэш-накопители, внешние жёсткие диски и т.д.), на своём домашнем компьютере, то для их мониторинга также необходимо письменное согласие сотрудника, так как мониторинг использования накопителей невозможен без установки программного обеспечения на домашний компьютер сотрудника.

        В случае использования для работы личных рабочих станций сотрудников обязательно следует заключить дополнительные соглашения с сотрудниками отдела ИБ предприятия о неразглашении ставшей им случайно известной личной информации сотрудников. Это уменьшит вероятность разглашения личной информации сотрудников предприятия при работе в удалённом режиме.