Системы видеонаблюдения, мониторинг сетевого трафика, просмотр корпоративной почты — в современных реалиях практически каждая компания в той или иной степени отслеживает действия своих сотрудников на рабочих местах. Кто-то стремится таким образом защититься от корпоративного шпионажа и утечек данных, кто-то использует собранную информацию для оптимизации бизнес-процессов и оценки продуктивности нанятых работников, а кто-то в первую очередь заботится о безопасности своих подчиненных. Но насколько вообще законна слежка за персоналом и где проходит невидимая черта, отделяющая контроль за добросовестным исполнением служебных обязанностей от вторжения в частную жизнь? Попробуем разобраться.
Во вступительной части сегодняшнего материала мы поговорим о доступности систем мониторинга и видеонаблюдения, а также о продукции Western Digital для устройств видеофиксации. Затем мы подробно рассмотрим особенности российского законодательства в сфере отслеживания действий подчиненных на примере кейсов из реальной судебной практики. Также мы приготовили для вас небольшое практическое задание для самопроверки, поэтому обязательно дочитайте статью до конца.
Слежка за всеми и каждым, и пусть никто не уйдет...
Благодаря развитию модели SaaS процесс организации всестороннего контроля за деятельностью вашего персонала становится как никогда простым. В сегодняшних реалиях вам не нужно создавать систему отслеживания действий сотрудников с нуля или заказывать ее разработку у сторонних компаний: достаточно зайти на любой отраслевой портал, вроде того же G2, открыть раздел, посвященный соответствующему ПО, и выбрать наиболее подходящий вариант в зависимости от требуемого функционала, специфики бизнес-процессов вашего предприятия и доступных опций интеграции. Современные программные комплексы мониторинга способны заткнуть за пояс даже самые навороченные spyware, предлагая клиентам весьма богатый набор инструментов контроля, среди которых:
- отслеживание запускаемых приложений и посещаемых сайтов;
- мониторинг сетевого трафика;
- создание снимков экрана контролируемого устройства;
- видеозахват экрана, запись и/или потоковая передача полученного видео в реальном времени;
- регистрация нажатий клавиш на клавиатуре компьютера, движений курсора и нажатий клавиш мыши (кейлоггинг);
- отслеживание местоположения контролируемого устройства с помощью спутниковой навигации (актуально для мобильных девайсов);
- запись видео и аудио с интегрированных или подключенных к устройству веб-камеры и микрофона;
- удаленный перехват управления рабочим столом.
Впрочем, не стоит рассматривать такое ПО только в качестве этаких «легальных троянов». Многие подобные решения сочетают в себе функции CRM, системы учета рабочего времени, поддерживают интеграцию с популярными таск-трекерами, системами контроля версий и отслеживания ошибок, позволяют составлять и обрабатывать платежные ведомости, а также предоставляют полноценный API, существенно упрощающий процесс интеграции в корпоративную IT-инфраструктуру. Все это помогает не только более эффективно использовать саму платформу отслеживания, но и дополнительно оптимизировать затраты, отказавшись от узкоспециализированного софта с дублирующим функционалом.
Контролировать персонал в реальности физической почти так же просто, как и в виртуальном пространстве, благо современный рынок предлагает множество разнообразных способов организации видеонаблюдения на любой вкус и кошелек. Предположим, вы являетесь владельцем небольшой компании и хотите следить за происходящим на территории малого офиса, состоящего из пары-тройки рабочих помещений. В таком случае все, что вам понадобится, — несколько сетевых камер EZVIZ (дочерний бренд HikVision), маршрутизатор с функцией хранения данных EZVIZ Vault Plus, жесткий диск WD Purple и по одной карте памяти WD Purple SC QD101 microSD на каждую IP-камеру, благодаря которым система видеонаблюдения продолжит функционировать в автономном режиме в случае возникновения непредвиденных ситуаций.
Выгода приобретения подобного комплекта заключается не только в его дешевизне, но и в простоте установки и обслуживания, что позволяет полностью отказаться от услуг сторонних специалистов или ангажированных лиц из числа сотрудников компании. Поскольку же бренд EZVIZ был изначально ориентирован на широкий круг потребителей, включая и частных лиц, устройства, выпускаемые под данной маркой, отличаются удобством эксплуатации и могут похвастаться рядом нетипичных функций вроде возможности дистанционного управления с помощью клиентского приложения для смартфона на Android или iOS либо использования IP-камер в качестве коммутаторов для переговоров с сотрудниками.
Свою лепту вносят и специализированные накопители для систем видеонаблюдения от Western Digital.
Если говорить о жестких дисках WD Purple, то применительно к рассматриваемому нами сценарию их главными преимуществами становятся оптимизация использования кэш-памяти в зависимости от количества обрабатываемых видеопотоков и управление приоритетом исполнения команд чтения/записи, реализованное на уровне фирменной прошивки AllFrame AI. Данная особенность позволяет свести к минимуму вероятность пропуска кадров и появление артефактов изображения при обработке значительного числа (до 64) изохронных видеопотоков высокой четкости. В сочетании с широким спектром поддерживаемого оборудования, в перечень которого входит и продукция HikVision, это избавляет от необходимости тонкой настройки используемой аппаратуры: видеорегистратор, роль которого в нашем примере играет роутер EZVIZ, сам прекрасно «договорится» с жестким диском без какого-либо вашего участия.
Что же касается карт памяти WD Purple, то их ключевой особенностью является гарантированный рабочий ресурс в 1000 циклов программирования/стирания (P/E), что практически в 10 раз больше по сравнению с «гражданскими» моделями. Таким образом, если при использовании обычных microSD-карт вам пришлось бы осуществлять их замену чуть ли не каждые 5–6 месяцев, то карточка «пурпурной» линейки исправно прослужит вам долгие годы. Давайте посчитаем.
Если предположить, что видеозапись будет вестись непрерывно в течение 8-часового рабочего дня в разрешении Full HD при максимально возможном качестве картинки, то на карту памяти каждый день будет записываться около 50 гигабайт видео. Для наглядности конвертируем рабочий ресурс карты из количества циклов перезаписи в более привычный TBW. Сделать это можно по следующей формуле:
TBW = (Емкость × Количество циклов P/E)/1000
Для модели емкостью 256 ГБ получим: TBW = (256 × 1000)/1000 = 256 терабайт. Значит, при текущей нагрузке карта памяти WD Purple гарантированно проработает 256 000 / 50 = 5120 дней, или около 14 (!) лет.
Помимо расширенного рабочего ресурса, microSD-карты WD Purple отличаются влагостойкостью (они могут выдержать погружение на глубину до 1 метра в пресную или соленую воду), способны исправно функционировать в расширенном диапазоне рабочих температур (от -25°C до +85°C) или пережить удар силой до 500g. Таким образом, вы можете быть на 100% уверены в сохранности записанных данных при возникновении любых нештатных ситуаций вроде ложного срабатывания системы пожаротушения или импульсивных действий со стороны сотрудника вашей компании, если тот вдруг захочет искупать видеокамеру в стакане с горячим кофе или поиграть несчастным девайсом в футбол.
Последнее вполне может произойти в реальной жизни. Ведь когда речь заходит о тотальном контроле, начальник и его подчиненные неизбежно оказываются по разные стороны баррикад. Оно и понятно: даже самый честный человек, которому нечего скрывать, будет чувствовать себя неуютно под неусыпным оком «большого брата», в роли которого в данном случае выступает работодатель. И все то, что с точки зрения владельца компании является средством защиты бизнеса и оптимизации рабочего процесса, в глазах сотрудников выглядит как вероломное вмешательство в частную жизнь, нарушение права на тайну личной переписки и телефонных переговоров. Кто прав в данной ситуации? Однозначно ответить на этот вопрос может лишь действующее законодательство, призванное защищать права и свободы граждан.
Письмецо в конверте погоди, не шли!
Чтобы быть последовательными и не запутаться в правовых нюансах, начнем с традиционной модели трудовых отношений, когда наемные сотрудники работают в офисе, используя помещение, аппаратуру (компьютеры, ноутбуки, смартфоны, планшеты) и программное обеспечение, предоставленные самим работодателем. В такой ситуации действуют следующие часть 1 и часть 2 статьи 22 Трудового Кодекса РФ. Согласно закону, работодатель обязан обеспечить работников всем необходимым для исполнения ими трудовых обязанностей. Сами сотрудники могут использовать предоставленное оборудование исключительно в рабочих целях. При этом работодатель имеет право контролировать исполнение работником возложенных на него трудовых обязанностей, а также то, как именно работник использует предоставленное ему оборудование.
Из этих положений следует логичный вывод: работодатель, обеспечив сотрудника компьютером, необходимым для исполнения служебных обязанностей, имеет право устанавливать на него любое программное обеспечение, включая и средства мониторинга, отслеживающие действия пользователя. В свою очередь, сам подчиненный может использовать ПК лишь в рабочих целях, в противном случае к нему могут быть применены санкции. Рассмотрим несколько примеров.
Кейс 1
Сотрудник N авторизовался с рабочего компьютера в личном e-mail-аккаунте, после чего прикрепил к электронному письму несколько служебных документов и переслал их некоему гражданину X. Данный факт удалось отследить с помощью программы мониторинга интернет-трафика, после чего сотрудник N был уволен за разглашение сведений, составляющих коммерческую тайну. N вознамерился обжаловать данное решение, а также подал встречный иск, утверждая, что работодатель нарушил его право на тайну личной переписки. Если бы суд вынес решение в пользу N, увольнение было бы признано неправомерным, так как сведения, перехваченные системой фильтрации трафика, получили бы статус «недопустимых доказательств» как полученные с нарушением требований Уголовно-процессуального кодекса и не имели бы юридической силы.
Тем не менее в рассматриваемой ситуации суд признал увольнение вполне законным. Поскольку компьютер является собственностью работодателя, последний имеет право устанавливать на него любое контролирующее ПО, в том числе способное отслеживать и анализировать сетевой трафик (именно таким образом и были получены сведения, которые помогли уличить N). Поскольку программа не имела прямого доступа к почтовому ящику работника, полученные таким образом доказательства являются абсолютно законными и имеют юридическую силу. Напротив, если бы работодатель получил прямой доступ к личному e-mail сотрудника и узнал о пересылке файлов, содержащих коммерческую тайну, просмотрев папку «Исходящие», это было бы прямым нарушением статей 23–24 Конституции РФ и ответный иск N был бы удовлетворен.
Кейс 2
Сотрудник Z был уволен за нарушение кодекса этики государственного служащего и регламента использования служебной техники. В ходе проверки работодатель установил, что Z использовал рабочую почту для личной переписки, а также обсуждал действия своих коллег с посторонними лицами. Работник был уволен в связи с утратой доверия к гражданскому служащему в соответствии с п. 1.1 ч. 1 ст. 37 Федерального закона РФ от 27 июля 2004 года «О государственной гражданской службе Российской Федерации».
Z подал апелляционную жалобу и проиграл процесс. Судья принял во внимание имеющиеся доказательства, которыми послужили акт осмотра рабочего места и содержание электронной переписки. Здесь тоже нет ровным счетом никаких нарушений: работодатель имел доступ к служебному почтовому ящику сотрудника и мог просматривать всю ведущуюся переписку на законных основаниях. И именно сотрудник совершил нарушение, так как воспользовался служебной почтой для ведения личной переписки.
Кейс 3
После увольнения на законных основаниях сотрудница O подала в суд на работодателя, так как не смогла получить доступ к рабочему компьютеру и корпоративному e-mail, и потребовала возместить моральный вред в связи с нарушением прав на неприкосновенность личной жизни и тайну переписки, поскольку использовала свой аккаунт в том числе для общения с друзьями и родственниками, а ее учетная запись была передана другому сотруднику (при этом был сменен пароль). Суд постановил, что никакого нарушения не было, так как корпоративный аккаунт априори принадлежит компании.
Резюмируем все вышесказанное:
- Работодатель имеет право контролировать исполнение работником трудовых обязанностей любыми законными способами, в том числе и осуществлять контроль за использованием вверенного ему служебного ПК, ноутбука или другой техники, а также корпоративных e-mail или мессенджеров. Риск раскрытия личной переписки лежит исключительно на работнике, если он ведет ее со служебного компьютера, с использованием рабочего почтового ящика или иных средств связи, предоставленных работодателем.
- Работодатель имеет право доступа к содержанию личных писем и сообщений в том случае, если они были отправлены с использованием корпоративного аккаунта и/или рабочего компьютера. Однако анализ полученной информации может проводиться исключительно в целях выявления признаков разглашения коммерческой тайны, нарушений корпоративного кодекса и в иных аналогичных ситуациях. Использование данной информации в других целях можно расценивать как нарушение неприкосновенности частной жизни.
- Указанная выше информация может быть получена напрямую при анализе электронной переписки или сообщений в мессенджере, отправленных с корпоративных аккаунтов. Если сотрудник использовал личную почту, сведения могут быть получены с помощью технических средств мониторинга (например, посредством анализа интернет-трафика). Прямой доступ (например, путем перехвата пароля) к личному почтовому аккаунту сотрудника, личному мессенджеру, профилю в социальной сети является противозаконным и может классифицироваться как неправомерный доступ к компьютерной информации (статья 272 УК РФ).
Эти «глаза» напротив, воли моей супротив
С перепиской все ясно, а что же говорит закон о видеонаблюдении? Согласно уже упомянутой нами ч. 1 ст. 22 ТК РФ, работодатель имеет право установить систему видеонаблюдения в целях обеспечения безопасности на рабочих местах, сохранности товарно-материальных ценностей, контроля за условиями труда, предотвращения различных нарушений и противоправных действий, а также для контроля за исполнением сотрудниками их обязанностей.
Однако здесь имеется ряд ограничений, продиктованных статьей 23 Конституции РФ, гарантирующей право человека на личную тайну и неприкосновенность частной жизни. Что это означает на практике? Предположим, вы являетесь владельцем крупного предприятия и вам принадлежит обширный офисный комплекс. Вы можете вести видеонаблюдение в опен-спейсе, конференц-зале или на КПП, однако не имеете права устанавливать видеокамеры в комнате отдыха, раздевалке, туалетах и других аналогичных помещениях. При этом, в соответствии со статьей 6 Федерального закона «Об оперативно-розыскной деятельности», использовать для съемки скрытые камеры категорически запрещено: видеонаблюдение должно вестись открыто, а в зонах видимости камер должны быть установлены информационные таблички.
Рассмотрим пару показательных кейсов, иллюстрирующих законность видеонаблюдения на рабочих местах.
Кейс 4
После установки системы видеонаблюдения сотрудник A отказался работать в новых условиях и подал на работодателя в суд, посчитав это нарушением его права на защиту частной жизни и персональных данных. Суд, однако, не усмотрел в действиях работодателя каких-либо нарушений, поскольку в данном случае видеонаблюдение осуществляется в целях контроля за трудовой деятельностью работника, а не для того, чтобы установить обстоятельства его частной жизни. По этой же причине, в силу пункта 5 части 1 статьи 6 закона о персональных данных, работодатель имеет право осуществлять сбор и обработку персональных данных сотрудника (к которым относятся его видеоизображения) без дополнительного согласия, поскольку соответствующие изменения условий труда были отражены в локальных нормативных актах (ЛНА), а работник был дополнительно уведомлен под подпись об установке системы видеонаблюдения.
Кейс 5
В целях обеспечения безопасных условий труда и противодействия террористическим угрозам в поликлинике была установлена система видеонаблюдения. Врач D расценил это как вмешательство в свою личную жизнь. Несмотря на уведомление о запрете препятствовать работе видеокамер, врач, приходя на работу, загораживал посторонними предметами объектив смонтированной в его рабочем кабинете камеры. За эти действия D был привлечен к дисциплинарной ответственности: ему был объявлен выговор с занесением в личное дело.
Стремясь обжаловать данное решение, D подал судебный иск о признании соответствующего приказа начальства незаконным и закономерно проиграл процесс. Суд постановил, что видеонаблюдение во врачебных кабинетах было установлено в целях обеспечения безопасности на территории лечебно-профилактического учреждения, а персональные данные сотрудников обрабатываются исключительно в объеме, необходимом для достижения указанной цели, а значит, конституционные права работника на неприкосновенность частной жизни не были нарушены. Напротив, заслоняя обзор камеры, врач напрямую нарушил нормы ЛНА, поэтому объявление выговора в рассматриваемом случае является абсолютно правомерным.
Слежка — дело тонкое
В сентябре 2017 года произошло событие, оказавшее огромное влияние на мировую судебную практику в сфере отслеживания начальством действий подчиненных во время исполнения ими служебных обязанностей, отразившееся в том числе и на законодательстве Российской Федерации. Речь идет о пересмотре дела «Барбулеску против Румынии» Большой палатой Европейского суда по правам человека. Вкратце напомним суть дела.
Кейс 6
Сотрудник B был уволен за использование служебного аккаунта в мессенджере Yahoo для личной переписки, причем у его непосредственного начальника была возможность отслеживать сообщения в чатах в режиме реального времени. B, посчитав данный инцидент грубым нарушением права на тайну личной переписки, обратился сперва в местный суд, а затем и в ЕСПЧ. Все перечисленные инстанции признали действия работодателя законными. Однако Большая палата с этим выводом не согласилась, все же усмотрев в действиях начальства B определенные нарушения. Согласно постановлению ЕСПЧ, вынесенному 5 сентября 2017 года, работодатель обязан:
- Предварительно уведомить сотрудника о том, что за его деятельностью будет осуществляться контроль.
При этом подчиненному необходимо сообщить о типе контроля (видеонаблюдение, программа мониторинга, установленная на рабочий ПК) и его глубине (анализ истории браузера, отслеживание переписки в реальном времени, стриминг рабочего стола и т. д.).
- Выбрать соразмерную степень контроля за работником в зависимости от исполняемых им должностных обязанностей.
Работодатель обязан выбирать такой вариант контроля подчиненных, который позволил бы защитить его законные интересы, однако при этом не был бы чрезмерным. Так, например, если сотрудник имеет доступ к конфиденциальной информации, составляющей коммерческую тайну, установка на его служебный компьютер многофункциональной программы мониторинга, способной отслеживать практически любые действия пользователя и фильтровать сетевой трафик, вполне оправдана. В то же время установка подобного ПО на смартфон обычного курьера, который занимается доставкой еды, является избыточной мерой: здесь достаточно отслеживания его передвижений в рабочее время по GPS.
- Работодатель может вмешиваться в личную жизнь сотрудника лишь в той мере, которая необходима для отслеживания исполнения им трудовых обязанностей.
Как мы выяснили выше, если сотрудник вел личную переписку с рабочего компьютера и отправленные e-mail или сообщения в мессенджере были перехвачены и прочитаны начальством, это не является нарушением тайны переписки, а полученные таким образом сведения могут использоваться в качестве доказательств в суде (например, в том случае, когда имело место разглашение информации, составляющей коммерческую тайну). Однако при этом работодатель должен принять все возможные меры для предотвращения разглашения информации о личной жизни работника и содержании его корреспонденции, не имеющей отношения к делу, ограничить круг лиц, которые смогут просматривать и оценивать характер переписки, и избегать избыточного цитирования личных писем в документах дисциплинарного расследования.
Все перечисленное справедливо и для российского законодательства, однако первый пункт требует некоторых уточнений. В соответствии с законами РФ обычное уведомление о контроле с помощью видеонаблюдения или специализированного ПО не имеет юридической силы, а значит, не может регулировать трудовые взаимоотношения между работником и работодателем. В данном случае, согласно статье 8 ТК РФ, требуется принятие соответствующего ЛНА. Это может быть как отдельный документ (например, «Положение о контроле за профессиональной деятельностью сотрудников»), так и особый раздел или пункт в действующем локальном нормативном акте, регламентирующем использование корпоративной почты, введение режима коммерческой тайны и т. д. На эту необходимость указывает, в частности, постановление Конституционного суда Российской Федерации № 25-П от 26 октября 2017 года. После принятия нового ЛНА или изменения существующего, работник, в соответствии с ч. 2 ст. 22, ст. 68, ст. 86 ТК РФ, должен быть ознакомлен с данным документом под подпись.
Напоследок нам осталось обсудить правовые аспекты наблюдения за подчиненными в режиме дистанционной работы. Впрочем, давайте привнесем в сегодняшний материал толику интерактива. Поскольку мы с вами уже рассмотрели немало кейсов, затрагивающих работу в офисе, попробуйте самостоятельно ответить на несколько вопросов о контроле сотрудников на удаленке. Если вы внимательно прочли сегодняшнюю статью, то сможете сделать это без особых затруднений. Итак, приступим.
- Можно ли использовать для контроля за сотрудником, находящимся на удаленной работе, систему видеонаблюдения? Если да, то на каких основаниях? Если нет, то почему?
- Можно ли использовать специализированный софт для мониторинга ПК или ноутбука, предоставленного сотруднику работодателем для исполнения профессиональных обязанностей на удаленной работе? Если да, то на каких основаниях? Если нет, то почему?
- Можно ли использовать специализированный софт для мониторинга личных девайсов сотрудника, которые тот использует во время дистанционной работы? Если да, то на каких основаниях? Если нет, то почему?
Когда будете готовы, просто загляните под спойлер, чтобы проверить себя.
Ответы для самопроверки
1. Нет. Вы не имеете права устанавливать систему видеонаблюдения или требовать подключение к домашней системе безопасности сотрудника, находящегося на удаленной работе, поскольку в соответствии со ст. 23 Конституции РФ это будет прямым нарушением права человека на неприкосновенность частной жизни.
2. Да. Как мы уже писали выше, в случае, если вы предоставили сотруднику необходимый для работы компьютер, ноутбук, или другой девайс, то имеете полное право устанавливать на него любой софт, включая программы, отслеживающие действия пользователя (ч. 1 и ч. 2 ст. 22 ТК РФ). В данном случае не имеет значения, где работник использует вверенный ему ПК — в офисе или дома. Факт использования контролирующего ПО, его тип, объем, в котором будет осуществляться сбор данных, должны быть отражены в локальных нормативных актах, а самого сотрудника необходимо предварительно уведомить под подпись о ведущемся наблюдении с помощью программных средств (ч. 2 ст. 22, ст. 68, ст. 86 ТК РФ).
3. Можно, но с важной оговоркой. Поскольку сотрудник будет использовать один и тот же девайс как для работы, так и в личных целях, в ЛНА должно быть четко описано не только то, какими программными средствами будет осуществляться контроль и в каком объеме, но и временной период, в течение которого программа мониторинга будет контролировать действия пользователя. Такой подход отвечает третьему принципу из решения ЕСПЧ по делу «Барбулеску против Румынии», согласно которому наблюдение за работой подчиненных должно вестись в адекватном объеме. Как и в случае с оборудованием, предоставленным работодателем, для установки программ мониторинга на собственные девайсы сотрудника требуется письменное согласие последнего.
2. Да. Как мы уже писали выше, в случае, если вы предоставили сотруднику необходимый для работы компьютер, ноутбук, или другой девайс, то имеете полное право устанавливать на него любой софт, включая программы, отслеживающие действия пользователя (ч. 1 и ч. 2 ст. 22 ТК РФ). В данном случае не имеет значения, где работник использует вверенный ему ПК — в офисе или дома. Факт использования контролирующего ПО, его тип, объем, в котором будет осуществляться сбор данных, должны быть отражены в локальных нормативных актах, а самого сотрудника необходимо предварительно уведомить под подпись о ведущемся наблюдении с помощью программных средств (ч. 2 ст. 22, ст. 68, ст. 86 ТК РФ).
3. Можно, но с важной оговоркой. Поскольку сотрудник будет использовать один и тот же девайс как для работы, так и в личных целях, в ЛНА должно быть четко описано не только то, какими программными средствами будет осуществляться контроль и в каком объеме, но и временной период, в течение которого программа мониторинга будет контролировать действия пользователя. Такой подход отвечает третьему принципу из решения ЕСПЧ по делу «Барбулеску против Румынии», согласно которому наблюдение за работой подчиненных должно вестись в адекватном объеме. Как и в случае с оборудованием, предоставленным работодателем, для установки программ мониторинга на собственные девайсы сотрудника требуется письменное согласие последнего.