+55 голосов |
В наследство с советских времен нам осталось много всего. В том числе и «народная мудрость», которая стала чуть ли не девизом «бизнесменов» 90-х: все, что не запрещено – разрешено. Вот только с течением времени появилась новая проблема – большое количество законов, которые порой противоречили друг другу. В итоге, некоторые действия оказывались в «подвешенном» состоянии: вроде бы разрешены, а вроде бы и нет. История повторилась примерно в 2009 г., когда на рынке информационной безопасности большую популярность обрели DLP-системы – от англ. Data Leak Prevention – системы для предотвращения утечек информации. Системы этого класса позволяли осуществлять перехват информации, передающейся по различным каналам, таким как: электронная почта, Skype, IM-мессенджеры и другие. Но вместе с новыми возможностями пришли и новые проблемы: законность перехвата информации.
Примечательно, что проблема однозначно не решена до сих пор. Тем не менее, с каждым годом появляется все больше ясности в этом вопросе. Эту статью мы разделим на две части: теоретическую и практическую. В первой разберем юридические вопросы контроля переписки сотрудников в фокусе современного украинского законодательства. Вторая же будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения для закона не имеет то, что мы будем контролировать: переписку в почте, «аське», Facebook или еще где. В нашем случае закон, как говорится, един для всех (каналов информации). Приступим.
Учим матчасть
Желание работодателя контролировать деятельность своих сотрудников вполне понятно. Особенно другим работодателям. Учитывая, что сегодня двумя главными ресурсами любой компании считаются люди и информация, логично, что бизнес желает знать, чем заняты первые и куда передается вторая. Вот только законность контроля – весьма спорная тема. Противники часто любят приводить в качестве аргументов отдельные статьи из Конституции и УК Украины.
В частности, в статье 31 Конституции Украины определяется, что «Каждому гарантируется тайна переписки, телефонных разговоров, телеграфной и другой корреспонденции. Исключения могут быть установлены только судом в случаях, предусмотренных законом, с целью предотвратить преступление или установить истину при расследовании уголовного дела, если иными способами получить информацию невозможно».
Оригинал: Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з'ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.
В статье 32 уточняется, что: «Никто не может подвергаться вмешательству в его личную и семейную жизнь, кроме случаев, предусмотренных Конституцией Украины.
{Официальное толкование положения части первой статьи 32 см. в Решении Конституционного Суда № 2-рп/2012 от 20.01.2012}
Не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
{Официальное толкование положения части второй статьи 32 см. в Решении Конституционного Суда № 2-рп/2012 от 20.01.2012}».
Оригинал: Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
{Офіційне тлумачення положення частини першої статті 32 див. в Рішенні Конституційного Суду № 2-рп/2012 від 20.01.2012}
Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
{Офіційне тлумачення положення частини другої статті 32 див. в Рішенні Конституційного Суду № 2-рп/2012 від 20.01.2012}.
Также приведем пояснения к статье 32: «В аспекте конституционного представления положения частей первой, второй статьи 32, частей второй, третьей статьи 34 Конституции Украины следует понимать так:
– Информацией о личной и семейной жизни лица являются любые сведения и / или данные об отношениях неимущественного и имущественного характера, обстоятельства, события, отношения и т.д., связанные с лицом и членами его семьи, за исключением предусмотренной законами информации, касающейся осуществления лицом, занимающим должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий. Такая информация о лице является конфиденциальной;
– Сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия государством, органами местного самоуправления, юридическими или физическими лицами является вмешательством в его личную и семейную жизнь. Такое вмешательство допускается исключительно в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека».
Оригинал: В аспекті конституційного подання положення частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України слід розуміти так:
– інформацією про особисте та сімейне життя особи є будь-які відомості та/або дані про відносини немайнового та майнового характеру, обставини, події, стосунки тощо, пов’язані з особою та членами її сім’ї, за винятком передбаченої законами інформації, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень. Така інформація про особу є конфіденційною;
– збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди державою, органами місцевого самоврядування, юридичними або фізичними особами є втручанням в її особисте та сімейне життя. Таке втручання допускається винятково у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Уголовный Кодекс на этот счет даже имеет соответствующую статью 163 «Нарушение тайны переписки, телефонных разговоров, телеграфной или другой корреспонденции, которые передаются средствами связи или через компьютер», в которой прописаны «наказания»:
«1. Нарушение тайны переписки, телефонных разговоров, телеграфной или другой корреспонденции, которые передаются средствами связи или через компьютер, – наказываются штрафом от пятидесяти до ста необлагаемых минимумов доходов граждан или исправительными работами на срок до двух лет, или ограничением свободы до трех лет.
2. Те же действия, совершенные в отношении государственных или общественных деятелей или совершенные должностным лицом, или с использованием специальных средств, предназначенных для негласного снятия информации, – наказываются лишением свободы на срок от трех до семи лет».
Оригинал: Стаття 163. Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер
1. Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв'язку або через комп'ютер, – караються штрафом від п'ятдесяти до ста неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або обмеженням волі до трьох років.
2. Ті самі дії, вчинені щодо державних чи громадських діячів або вчинені службовою особою, або з використанням спеціальних засобів, призначених для негласного зняття інформації, – караються позбавленням волі на строк від трьох до семи років.
Казалось бы, все однозначно и против контроля. Как бы ни так.
Аргументы за контроль
Кодекс Законов о Труде Украины. Точнее, статьи 139, 140 и 142. Приведем их по порядку.
Статья 139. Обязанности работников
Работники обязаны работать честно и добросовестно, своевременно и точно выполнять распоряжения собственника или уполномоченного им органа, соблюдать трудовую и технологическую дисциплину, требования нормативных актов об охране труда, бережно относиться к имуществу собственника, с которым заключен трудовой договор.
Оригинал: Стаття 139. Обов'язки працівників
Працівники зобов'язані працювати чесно і сумлінно, своєчасно і точно виконувати розпорядження власника або уповноваженого ним органу, додержувати трудової і технологічної дисципліни, вимог нормативних актів про охорону праці, дбайливо ставитися до майна власника, з яким укладено трудовий договір.
Статья 140. Обеспечение трудовой дисциплины
Трудовая дисциплина на предприятиях, в учреждениях, организациях обеспечивается созданием необходимых организационных и экономических условий для нормальной высокопроизводительной работы, сознательным отношением к труду, методами убеждения, воспитания, а также поощрением за добросовестный труд.
В трудовых коллективах создается обстановка нетерпимости к нарушениям трудовой дисциплины, строгой товарищеской требовательности к работникам, недобросовестно выполняющим трудовые обязанности. К нарушителям трудовой дисциплины применяются меры дисциплинарного и общественного воздействия.
Оригинал: Стаття 140. Забезпечення трудової дисципліни
Трудова дисципліна на підприємствах, в установах, організаціях забезпечується створенням необхідних організаційних та економічних умов для нормальної високопродуктивної роботи, свідомим ставленням до праці, методами переконання, виховання, а також заохоченням за сумлінну працю.
У трудових колективах створюється обстановка нетерпимості до порушень трудової дисципліни, суворої товариської вимогливості до працівників, які несумлінно виконують трудові обов'язки. Щодо окремих несумлінних працівників застосовуються в необхідних випадках заходи дисциплінарного і громадського впливу.
Статья 142. Правила внутреннего трудового распорядка. Уставы и положения о дисциплине
Трудовой распорядок на предприятиях, в учреждениях, организациях определяется правилами внутреннего трудового распорядка, которые утверждаются трудовыми коллективами по представлению собственника или уполномоченного им органа и выборным органом первичной профсоюзной организации (профсоюзным представителем) на основе типовых правил.
Оригинал: Стаття 142. Правила внутрішнього трудового розпорядку. Статути і положення про дисципліну
Трудовий розпорядок на підприємствах, в установах, організаціях визначається правилами внутрішнього трудового розпорядку, які затверджуються трудовими колективами за поданням власника або уповноваженого ним органу і виборним органом первинної профспілкової організації (профспілковим представником) на основі типових правил.
Таким образом, при решении вопроса о правомерности контроля за корпоративной перепиской сотрудников самое важное – это понять, где проходит граница между частной жизнью работника и его рабочими обязанностями, если речь идет о сообщениях, которыми он обменивается.
Вносим ясность
Внести оную поможет дело 2007 г., которое разбиралось в Европейском суде по правам человека (ЕСПЧ). Но сначала поясним, почему оно может быть важным для украинской судебной системы. Дело в том, что в постановлениях Пленума Верховного Суда Украины упоминается, что судопроизводство должно осуществляться в соответствии с Законом «О выполнении решений и применении практики Европейского суда по правам человека» (Закон от 23 февраля 2006 № 3477-IV).
Но вернемся к делу «Копланд против Соединенного Королевства» (Copland v. United Kingdom) и вынесенному постановлению 03.04.07 № 62617/00.
Было установлено, что заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и интернета. По утверждению работодателя, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.
Однако из-за того, что правила подобного контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице 3000 евро. Суд привел такие аргументы:
«Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать «все необходимое или целесообразное» для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться «необходимым в демократическом обществе» для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».
Какой вывод можно сделать из этого дела? Согласно решению ЕСПЧ №62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. Поэтому, так как от государства никаких пояснений по проблеме нет и в ближайшее время не предвидится, необходимо самостоятельно вносить ясность во внутренних Уставных документах предприятия.
Право работодателя на контроль почты, Skype, «аськи» и т.д. (равно как и обязанность сотрудника использовать почту, Skype, «аську» и т.д. только в рабочих целях) должно быть прописано в правилах внутреннего трудового распорядка организации, так как именно на него ссылается статья 142 КЗоТ Украины:
«Трудовой распорядок на предприятиях, в учреждениях, организациях определяется правилами внутреннего трудового распорядка, которые утверждаются трудовыми коллективами по представлению собственника или уполномоченного им органа и выборным органом первичной профсоюзной организации (профсоюзным представителем) на основе типовых правил».
Оригинал: Трудовий розпорядок на підприємствах, в установах, організаціях визначається правилами внутрішнього трудового розпорядку, які затверджуються трудовими колективами за поданням власника або уповноваженого ним органу і виборним органом первинної профспілкової організації (профспілковим представником) на основі типових правил.
Также следует выполнить еще одно условие, из-за несоблюдения которого Соединенное Королевство и проиграло дело. В рассуждениях ЕСПЧ было отмечено, что «сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции». Как видите, суд обратил особое внимание на то, что работодатель не известил сотрудницу о ведущемся мониторинге ее деятельности.
Таким образом, в тех случаях, когда сотрудник знает, что работодатель имеет доступ к содержанию отправленных и полученных сообщений (и тем более выразил согласие на совершение подобных действий), они не должны квалифицироваться как нарушение конституционного права работника.
Поэтому лучше всего заручиться письменным согласием работника, прописав несколько дополнительных пунктов в трудовом договоре. Например, такие:
- Работодатель может контролировать использование сотрудниками оборудования (компьютеров) и ПО, принадлежащих работодателю, при помощи «системы»;
- Работники извещены о том, что они не должны использовать оборудование работодателя (в рабочее и нерабочее время) для целей, не связанных с исполнением их производственных функций, указанных в Должностных инструкциях;
- Работники извещены о том, что в случае использования ими оборудования работодателя в личных целях – посещение личной почты, социальных сетей, общение в интернет-мессенджерах и т.п. – в силу специфики работы системы, работодатель может непреднамеренно получать доступ к этим сведениям, при этом работник дает согласие на подобный доступ.
Или в более «жесткой» форме:
- Работники признают, что выделенные им работодателем для осуществления трудовых обязанностей персональные компьютеры (стационарные и ноутбуки), планшетные устройства, мобильные телефоны, иные технические устройства с возможностью выхода в сеть интернет, а также созданные работодателем для работников персональные адреса электронной корпоративной почты должны использоваться исключительно для получения и передачи информации рабочего характера. Использование перечисленных средств в личных целях не допускается.
- Работодатель имеет право на получение доступа к информации о просмотренных работниками веб-страницах в сети интернет, а также к содержанию отправленных и полученных по каналу корпоративной электронной почты сообщениях (электронных письмах). Реализация такого права возможна с целью контроля: за обоснованностью использования сети интернет, соответствием данных действий производственной необходимости; за соблюдением работником при общении с контрагентами принятых в компании этических норм; за отсутствием в отправляемых сообщениях сведений конфиденциального характера и т.д.
Также можно внести соответствующее дополнение в «Положение о документообороте (делопроизводстве) компании»:
Вся электронная переписка (далее перечисляем по пунктам остальные «интересы»), сгенерированная (созданная, полученная и т.п.) сотрудником компании, является собственностью компании.
Чем контролировать?
Итого, ответ на вопрос о легитимности контроля активности сотрудника работодателем вкратце можно сформулировать следующим образом «можно, но при определенных условиях». А раз «можно», то рассмотрим инструменты, которые в этом могут помочь.
Принципиально способы контроля можно разделить на «косвенные» и «прямые». Первый способ заключается в сборе различной информации, не относящейся к личной переписке сотрудника. Например, с помощью сетевого экрана фиксировать адреса посещенных страниц из-под той или иной учетной записи. Такой способ в контексте нашей статьи представляется простым и «не интересным».
Поэтому перейдем к инструменту прямого контроля. В качестве примера можно взять DLP-системы – программные комплексы, главной задачей которых является предотвращение утечек информации посредствам перехвата и анализа информационных потоков, передаваемых в организации. Другими словами, DLP-система умеет:
- перехватывать почту, Skype, отправленные на печать документы и т.д.;
- анализировать перехваченную информацию по заранее заданным специалистом по информационной безопасности правилам;
- на основе правил выносить решение о нарушении и либо останавливать информацию, либо создавать уведомление для специалиста ИБ.
Перечисленные пункты – лишь небольшая часть того, что должна уметь хорошая DLP-система. Подробный разбор возможностей и решаемых задач – тема отдельной публикации. А это, уже как говорится, совсем другая история.
Про DCIM у забезпеченні успішної роботи ІТ-директора
+55 голосов |
Вот это уже гораздо интереснее читать. Только, все равно непонятно, как внутренний документ предприятия может перечеркнуть законодательство страны.
Сейчас напишу в распорядке, что я имею право вламываться домой к сотрудникам с гибким рабочим днем в любое время суток. И оповещу их об этом на собрании. Можно идти за ломом?
Осветите, пожалуйста, подробнее, где именно законодательство позволяет мониторинг, и почему сотрудник в суде не сможет доказать ничтожность всех этих пунктов распорядка?
А он и не перечёркивает. ЕСПЧ ведь в комментариях написал, что если на уровне страны законодательно ситуация не регулируется, то спускаемся по нормативке ниже вплоть до локальных нормативных актов. При этом, суд чётко сказал, что право работодателя на контроль не исключается полностью.
Другое дело, что сотрудников нужно обязательно уведомить под роспись. С точки зрения закона работодатель имеет право контролировать то, как пользуются его оборудованием и всем, что он предоставил для работы (электроэнергию, свет, стол, стул, компьютер и т.п.). И информацию тоже может контролировать. Если есть режим комтайны - чуть проще. Если нет - тоже можно. Крики сотрудника, что мы лезем в его личную переписку - необоснованны, т.к. её просто не должно быть. Об этом стоит упомянуть в трудовой дисциплине (или какой аналог в КЗОТ есть?).
К тому же мы предупреждаем, что если сотрудник будет всё равно личное писать, то эта переписка может попасть в перехват !в силу особенности системы! (а не безопасника). И здесь уже юридически можно сыграть на примере гугла, который !автоматически! анализирует ваш почтовый ящик для контекстной рекламы.
А я не понимаю: что мешает сотруднику "сливать" через своё личное оборудование и свой собственный канал интернета, в рабочее и, что более интересно, в нерабочее время?
Ничего не мешает. Всегда можно найти способ обойти систему. Мы логику обычно предлагаем такую: не стоит всё "запрещать и не пущать" - держите каналы открытыми, но контролируйте их.
Если сотрудникам зарубить на проксе pikabu какой-нибудь, не факт, что они перестанут на этот сайт ходить. Просто начнут это делать с планшета, а вы лишитесь контроля. Поэтому полезнее оставить этот канал открытым, а с сотрудниками найти компромисс (к примеру, применять меры не за каждый заход, а если кто-то там проведёт неприлично большое количество времени).
Со сливом информации ситуация аналогичная. Чем больше каналов мы закроем, тем вероятнее, что сотрудник найдёт незакрытый. А так он скорее всего воспользуется наиболее удобным для него: почтой, флешкой и т.д.
Спасибо, Алексей, за пояснения! Познавательный материал
Любые DLP для того кто называется power user обходятся с полпинка, как пример DLP от некой очень именитой компании легко отлавливает все попытки записать на флешку через эксплорер а вот из командной строки копируйте хоть терабайты, никто и не узнает. Со всеми остальными скайпами еще хуже.