Мониторинг рабочего компьютера — один тех вопросов, который вызывает такую же массовую неприязнь работников, как поддержку среди работодателей. Даже людям, которые на работе занимаются любимым делом, и поэтому не страдают ни от скуки, ни от недостатка мотивации, неприятно напоминание о тайной слежке за их компьютером.
Но закон в вопросе контроля за работниками в рабочее время уверенно стоит на стороне работодателя. В этой статье я расскажу о том, как системы мониторинга выглядят с точки зрения прав работника по Трудовому кодексу, судебной практике и как новое позиционирование этих систем укрепляет юридические позиции работодателей.
Не слежка за сотрудниками, а защита данных
Давно не мониторя тему софта для мониторинга сотрудников, я пропустил произошедший тектонический сдвиг в позиционировании в сфере bossware: все известные системы контроля за сотрудниками (то есть, из области human resources) взяли себе альтернативное позиционирование из области информационной безопасности — системы предотвращения утечки данных, системы внутренней безопасности, системы расследования инцидентов, DLP-системы. К DLP (Data Loss/Leak Prevention) относятся все решения по борьбе с промышленным шпионажем и защите конфиденциальной информации от её порчи или утечки.
На сайте DLP-системы СпрутМонитор новое позиционирование идёт через запятую со старым: «…кроме того, использование программы СПРУТМОНИТОР имеет своей целью не только поддержание трудовой дисциплины, но и сохранение информации, имеющую коммерческую ценность и являющейся конфиденциальной».
На сайте StaffCop к новому позиционированию подошли как к задаче по предотвращению утечки данных о старом: на главной странице вообще ничего не выдаёт прежний StaffCop (если не вчитываться название) — теперь это «система расследования инцидентов внутренней безопасности». По всему сайту заметны монументальные усилия копирайтеров по подбору таких слов, чтобы описание системы мониторинга совершенно не напоминало систему мониторинга. А полное название «система расследования инцидентов, учета рабочего времени и администрирования рабочих мест» находится лишь на внутренних страницах сайта и на сторонних ресурсах.
На сайте Стахановца тоже потрудились копирайтеры, поставившие новое DLP-позиционирование на первое место, а старое спрятали за эвфемизмом «кадровая аналитика»: «защита коммерческих данных и кадровая аналитика».
Психология ребрендинга понятная: никому не нравится, когда за ним следят, но все относятся с уважением к защите конфиденциальной информации. Разница — прямо как в том самом меме про правила рабочих отношений.
Тот же софт под иным углом из назойливого кадровика превращается в модного ИБшника
Но, что интересно, у позиционирования в качестве решения для информационной безопасности, кроме психологического, есть и юридическое измерение: применение DLP-систем работодателем может быть ещё прочнее обосновано с точки зрения закона.
Мониторинг и закон: работники
Трудовой кодекс регулирует не только права и ответственность работодателей, но и работников.
Работодатель вправе требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя и других работников, соблюдения правил внутреннего трудового распорядка организации
Статья 22 ТК РФ
И использование рабочего компьютера в нерабочих целях по ТК РФ является дисциплинарным нарушением.
Статья 21 ТК РФ, обязанности работника:
добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором;
соблюдать правила внутреннего трудового распорядка организации;
соблюдать трудовую дисциплину.
А обязательность исполнения обязанностей по трудовому договору (должностной инструкции) и следования внутренним нормативным актов работодателя распространяется как на офисных, так и на дистанционных работников (ч. 4 ст. 312.1 ТК РФ).
Мониторинг и закон: работодатели
С точки зрения трудового законодательства, работодателю вправе контролировать устройства и переписку сотрудников в рабочее время. Однако с точки зрения информационной безопасности, закон уже обязывает контролировать сотрудников для её обеспечения, когда речь идёт о:
защите персональных данных
Закон «О персональных данных» от 27.07.2006защите банковской тайны
Закон «О банках и банковской деятельности» от 02.12.1990защите информации, содержащейся в государственных информационных системах
Закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006защите информации в АСУ на критически важных объектах и объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды;
коммерческой тайне: работодатель обязан регулировать использование сотрудниками информации, составляющей коммерческую тайну.
Закон «О коммерческой тайне» от 29.07.2004
Мониторинг: судебная практика
Судебная практика подтверждает, что использование сотрудниками рабочего компьютера для посещения социальных сетей, просмотра развлекательных сайтов, компьютерных игр в рабочее время может иметь юридические последствия.
В Рязани работник проиграл иск о незаконности выговора за сидение в интернете в рабочее время из-за истории браузера: DLP-система засекла работника за просмотром социальных сетей и прочих развлекательных сайтов с рабочего компьютера. В истории браузера работодатель нашёл сайты по продаже автомобилей, маркетплейсы, развлекательные сайты и социальные сети, и объявил работнику выговор. Работник подал в суд для признания незаконным приказа о привлечении к дисциплинарной ответственности, но суд принял в качестве допустимого доказательства акт осмотра журнала браузера.
Апелляционное определение Рязанского облсуда от 11.02.2015 г. № 33-335В Новгороде работодатель сократил юрисконсульта на полставки, аргументировав тем, что после завершения проектного и строительного этапа реконструкции животноводческого комплекса, объём претензионной работы упал и по мониторингу штатный юрист проводит в социальных сетях большую часть рабочего времени. Юрисконсульт обжаловал сокращение в суде, но суд принял во внимание показания программы мониторинга и отклонил его иск.
Апелляционное определение Новгородского облсуда от 06.06.2012 г. № 2-1935/12-33-823В Ростове сотрудница отеля подала в суд иск о восстановлении на рабочем месте и компенсации вынужденного прогула и морального вреда после увольнения за использование компьютера для игр и личных дел, замеченное по камерам видеонаблюдения. Но суд принял запись с камер в качестве доказательства, и иск отклонил.
Кассационное определение Ростовского областного суда от 30.08.2010 по делу № 33-9782
Мониторинг vs защита персональных данных
Фото на пропуске может обойтись работодателю в 75 000 руб., потому что у руководства не было письменного согласия работника на обработку персональных данных:
Верховный суд подтвердил законность штрафа управления Роскомнадзора в Мурманске за «нарушение обработки биометрических персональных данных (фотографии) без письменного согласия субъекта персональных данных»
Определение Верховного суда от 5 марта 2018 года № А42-342/2017Статья Административного кодекса о нарушении в области персональных данных: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных влечет от 15 000 до 75 000 рублей штрафа на юридических лиц.
А за скрытое видеонаблюдение или камеры в комнате отдыха грозят не только штрафы, но и уголовная ответственность (камеры в коридорах письменного разрешения не требуют).
Юридически надёжное оформление DLP
Чтобы внедрение системы мониторинга защищалось правом контролировать трудовую дисциплину и обеспечивать информационную безопасность, а не угрожало нарушением закона о персональных данных — это должно быть верно оформлено.
Разница между юридически грамотным оформлением DLP и отсутствием такого — это разница между DLP, который укрепляет позицию компании в суде, и DLP как средством нарушения закона.
Для использования DLP-систем юристы советуют прописать в Правилах внутреннего трудового распорядка пункты о запрете использования рабочего компьютера, оргтехники, рабочего email и рабочих аккаунтов в мессенджерах (ICQ, Skype, Viber и другие) в личных целях.
Запреты и предупреждения работникам подтвердят отсутствие умысла нарушать неприкосновенность частной жизни сотрудников (статья 137 УК РФ) и защитят от обвинения нанимателя в нарушении тайны переписки (статья 138 УК РФ), поскольку компания не может и не должна ожидать, что нарушит право человека на тайну личной переписки, если прочтет его рабочее сообщение.
СпрутМонитор рекомендует и вовсе прямо выпустить приказ о внедрении DLP-системы в компании, ознакомить сотрудников с приказом, для подтверждения этого собрать подписи сотрудников в соответствующей ведомости.
P. S. Если кому-то придёт в голову использовать DLP-системы в личной жизни: установка программы мониторинга на чужой компьютер нарушает УК РФ (статьи 19 и 28).
