Данная информация предназначена для внедрения и использования программного обеспечения SCE с целью контроля бизнес-процессов и сотрудников и носит рекомендательный характер.
Все отношения внутри любой организации вытекают из взаимодействия работодателя и работника, использования ими информации и документов организации.
Для внедрения программного обеспечения SCE (ПО SCE) за контролем бизнес-процессов организации необходимо разработать и иметь внутренние документы организации, основанные на установленных законодательством РФ нормах и правилах.
С 01 марта 2022 законодателем прямо закреплено право Работодателя использовать в целях контроля за безопасностью производства работ приборов, устройства, оборудование и (или) комплексы (системы) приборов, устройств, оборудования, обеспечивающих дистанционную видео-, аудио- или иную фиксацию процессов производства работ, обеспечивать хранение полученной информации (статья 214.2. Трудового кодекса РФ).
Однако наличие одной статьи недостаточно для внедрения ПО, так как деятельность в организации очень сложная система, работающая по утвержденным порядкам и регламентам. Поэтому необходимо обладать знаниями о нормативно-правовых актах, на основе которых создаются локальные акты организации, обосновывающие законность использования программного обеспечения SCE.
Перечень НПА действующего законодательства РФ
Приведенные нормативно-правовые акты являются основными, но не исчерпывающими, кроме этого следует учитывать вид отраскли, специфику деятельности организации, перечень используемой информации в организации.
- Трудовой кодекс РФ;
- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
- Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Гражданский кодекс РФ;
- Конституция РФ.
Рекомендуемый перечень локальных нормативных актов (ЛНА), необходимых организации при реализации прав, предусмотренных ст.214.2 ТК РФ (внедрение SCE по контролю).
- Правила о внутреннем трудовои распорядке;
-
Положение об обработке персональных данных в организации.
Дополнительно к Положению:
- инструкция по защите персональных данных.
- порядок доступа к персональным данным.
- согласие работника на обработку персональных данных.
-
Положение о коммерческой тайне и защите конфиденциальной информации.
Дополнительно к Положению:
- перечень сотрудников, которые имеют доступ к коммерческой тайне;
- положение об охране коммерческой тайны и способах её защите;
- список информации, относящейся к коммерческой тайне и (или) носящий конфиденциальный характер;
- инструкция по работе с конфиденциальной информацией;
- Положение о видео, фотосъемке в организации;
-
Положение об информационной безопасности в организации
Дополнительно к Положению:
- Приказ о применении ПО;
- уведомление работника о применении в организации технологии предотвращения утечек конфиденциальной информации из системы организации;
- инструкция для работников по работе с компьютерным, периферийным оборудованием, средствами связи в организации;
- Иные ЛНА.
Перечень документов, подписываемых лично работником
- Трудовой договор;
- Должностная инструкция;
- Соглашение о неразглашение сведений, относящихся к конфиденциальной информации и коммерческой тайне;
- Согласие об обработке персональных данных;
- Иные.
Работник обязательно должен быть ознакомлен с текстом всех ЛНА организации под подпись (ст. 68 ТК РФ).
Взаимосвязь ЛНА между собой
Основополагающим документов при внедрении в систему организации является приказ (положение) о применении в организации технологии по контролю за качеством и количеством выполняемой работы (трудовой функцией работников), предотвращением утечек конфиденциальной информации и информационной безопасностью.
Выполнять трудовую функцию в рабочее время это обязанность работника, определенная трудовым договором, при этом он должен соблюдать правила внутреннего трудового распорядка организации и условия иных ЛНА работодателя (статья 15 Трудового кодекса РФ).
Право работодателя осуществлять контроль работников при выполнении ими трудовой функции с целью выявления эффективности, качества, количества и производительности работы, а также обязанность работника по сохранности имущества работодателя указывается в Правилах внутреннего трудового распорядка.
Под понятием контроль понимается осуществление определенных действий со стороны работодателя, например установка пропускного режима для учета рабочего времени, установка программного обеспечения для непосредственного наблюдения за выполнением сотрудниками своих обязанностей, рабочими процессами в любой точке мира с целью обеспечения информационной безопасности, отслеживания информационных потоков и предотвращения утечек информации организации.
Примечание: в Правилах внутреннего трудового распорядка может быть закреплено право работодателя на применение ПО
Установление наблюдения в организации за сотрудниками будет санкционированно при наличии Положения о видео, фотосъемке в организации и на рабочем месте сотрудника.
Все физические лица имеют персональные данные (ФИО, год рождения, паспорт и т.д.), сбор и обработка которых должны быть осуществляться в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», поэтому одним из обязательных документов в организации является Положение о об обработке персональных данных, регулирующее порядок обработки и хранения персональных данных, способы их защиты.
При этом важно заметить, что право работодателя по обработке персональных данных работника возникает с момента подписания им согласия на обработку персональных данных и только в отношении данных, необходимых исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества и т.д. (статья 86 Трудового кодекса РФ), то есть работодатель не хранит, не обрабатывает, а значит не обязан обеспечивать защиту данных работника, не связанных с рабочим процессом.
У работодателя не возникает ответственность по защите данных о частной жизни работника, его личной и семейной тайны, неприкосновенности, предусмотренные статьями 2 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», 151.2 ГК РФ Гражданского кодекса, 23 Конституции РФ, которые работником самостоятельно были раскрыты при выполнении трудовой функции с помощью используемого рабочего оборудования (компьютерного, перифирийного, средств связи). Например, разговоры по телефону с друзьями, личные фото, видео работника).
Использование работником компьютера (иного оборудования работодателя) для целей, не связанных с рабочим процессом (в том числе в личных целях), является недобросовестным исполнением работника его трудовой функции.
Организация обладает информацией, носящей конфиденциальный характер или имеющий статус коммерческой тайны и поэтому важным и обязательным является наличие в организации положения о коммерческой тайне и защите конфиденциальной информации. Сотрудники, которые имеют доступ к той или иной информации, должны быть ознакомлены под подпись со списком этой информации и критериями отнесения ее к конфиденциальной, инструкцией по работе с такой информацией, должны быть ознакомлены с ответственностью за распространение информации, запрете ее использования, сроке запрета на ее раскрытие, порядком использования периферийных устройств или мессенджеров для ее передачи.
В случае отсутствия подписи работника об ознакомлении с вышеуказанными документами, организация в будущем не сможет доказать, что информация, которую разгласил работник, является конфиденциальной или относилась к коммерческой тайне и была запрещена для раскрытия.
Для обеспечения информационной безопасности в организации необходимо наличие положения об информационной безопасности, которое устанавливает правила парольной защиты в организации, разграничении контролей доступа, способы защиты от вредоносного программного обеспечения, допустимом использовании информационных систем и сервисов в организации и т.д.
Работник должен быть ознакомлен под подпись о применении в организации технологии предотвращения утечек конфиденциальной информации из системы организации, а также списком технических устройств (программных или программноаппаратных) для предотвращения утечек.
С работником необходимо заключить соглашение о доступе к коммерческой тайны и (или) соглашение о конфиденциальности, по условиям которых работник обязуется не разглашать конфиденциальную информацию, полученную в связи с исполнением им трудовых обязанностей и соблюдать установленный работодателем режим конфиденциальности.
- представлены работнику для ознакомления;
- размещены в доступном для всех работников месте (внутренняя сеть для пользования в организации, папка документов на диске, сайт организации и т.д.);
- иметь подпись работника, свидетельствующая о его согласии и ознакомлении с порядком работы в организации и ответственности за его несоблюдения.
Вышеуказанные ЛНА могут быть применимы ко всем работникам, в том числе, выполняющим трудовую функции в период испытаний или на дистанционной работе.
Дополнительным условием для работника на дистанционной работе будет уведомление его под подпись о том, что возможная запись личной домашней обстановки вокруг сотрудника с помощью веб-камеры, микрофонов не используется и не обрабатывается работодателем, так как не имеет отношение к рабочему процессу, а личное компьютерное оборудование работника используется им для выполнения трудовой функции в рабочее время.
Таким образом, при наличии в организации вышеуказанных документов использование в настоящее время программного обеспечения SCE законно и закреплено на законодательном уровне.