Работодатель контролировал сотрудников всегда. Но когда вместо журналов прихода-ухода появились куда более эффективные программы, вопрос о неприкосновенности частной жизни сотрудников стал ребром. Чтобы контроль был правомерным, важно понять, где проходит граница между частной жизнью работника и его рабочими обязанностями.

О том, как организовать контроль сотрудников с помощью системы контроля без рисков для нанимателя, – в руководстве от юристов «СёрчИнформ».

Почему придется подготовиться к внедрению системы контроля

По законодательству ваш сотрудник имеет право на:

• неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (статья 23 Конституции РФ);
• тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23 Конституции РФ);

Собирать, хранить и использовать эти данные можно лишь с согласия сотрудника (часть 1 статьи 24 Конституции РФ), а нарушение прав влечет уголовную ответственность (статьи 137-138 Уголовного кодекса РФ).

При этом возможности современных DLP настолько широки, что гипотетически могут нарушать права сотрудников (например, системы записывают разговоры и делают снимки экранов). Чтобы контроль не мог считаться противоправным действием со стороны нанимателя, нужно создать конкретные условия. Это и будет подготовкой к внедрению системы контроля работы сотрудников.

Разберемся в трудовых отношениях

Согласно Трудовому кодексу РФ в трудовых отношениях фигурируют:

• Человек, согласившийся на конкретную работу за оговоренную плату (выполняет обязанности и подчиняется правилам внутреннего распорядка) – статья 15.
• Наниматель (создает необходимые условия труда; обеспечивает оборудованием, инструментами, техдокументацией и т.д.) – статья 22.

Причем специалист обязан посвящать рабочее время исполнению трудовых обязанностей (статья 91 ТК РФ), а работодатель вправе контролировать количество и качество работы (пункт 1 статьи 86 ТК РФ), а также рабочее место сотрудника (статья 209 ТК РФ). Более того, в отношении своего имущества наниматель может совершать любые действия, не противоречащие закону (часть 2 статьи  209 Гражданского кодекса РФ). В частности – устанавливать на оборудование системы контроля.

Исходя из этого, использовать предоставленные нанимателем средства работник должен исключительно для выполнения своей трудовой функции. Любое личное использование будет трактоваться как нарушение трудовой дисциплины.

Документируем

Прежде всего обязанность работника использовать информационные ресурсы нанимателя и его технические средства исключительно для выполнения должностных обязанностей фиксируют трудовой контракт и должностная инструкция. Они же должны запрещать хранение личной информации на корпоративных ресурсах (ПК и файловые хранилища) и передавать ее по корпоративным каналам связи (электронная почта, сеть Интернет и др.).

Наниматель также обезопасит себя, если закрепит эти положения в локальных нормативных правовых актах организации. Например, в Правилах внутреннего трудового распорядка могут появиться пункты:

• «Предоставляемые работнику для выполнения трудовых обязанностей ЭВМ и другая оргтехника, имеющие доступ к сети Интернет, а также предоставленный работнику корпоративный email-адрес должны использоваться работником исключительно в целях получения и передачи информации рабочего характера. Пользование ЭВМ и оргтехникой в личных целях запрещается».
• «То же распространяется на мессенджеры и иные средства связи при условии, что такие виды связи являются общекорпоративными средствами и для их использования в служебных целях формируются отдельные аккаунты работников».

Идем дальше. По законодательству РФ наниматель не только вправе, но и обязан контролировать сотрудников, обеспечивая информационную безопасность в следующих направлениях:

• защита персональных данных (ФЗ от 27.07.2006 №152-ФЗ «О персональных данных»)
• защита банковской тайны (ФЗ от 02.12.1990 №395-1 «О банках и банковской деятельности»);
• защита информации, содержащейся в государственных информационных системах (ФЗ от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»);
• защита информации в АСУ на критически важных объектах и объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды;
• защита коммерческой тайны (ФЗ от 29.07.2004 №198-ФЗ «О коммерческой тайне»).

Так, работодатель обязан регулировать использование сотрудниками информации, составляющей коммерческую тайну (часть 1 статьи 10 ФЗ «О коммерческой тайне»). А часть 3 статьи 11 ФЗ «О коммерческой тайне» обязует работника:

• выполнять установленный работодателем режим коммерческой тайны;
• не разглашать эту информацию и не использовать ее в личных целях без согласия владельцев даже после прекращения действия трудового договора;
• передать работодателю материальные носители с данной информацией при прекращении или расторжении трудового договора.

Кстати, условия о неразглашении тайны (государственной, служебной, коммерческой и иной) в качестве дополнительных могут указываться в трудовом договоре (статья 57 ТК РФ).

Для выполнения требований регуляторов организации наделяются рядом прав. В частности – правом применять средства и методы технической защиты конфиденциальности информации (часть 4 статьи 10 Федерального закона «О коммерческой тайне»).

Порядок действий по «легализации» контроля

Шаг 1. Внесите упомянутые выше правки в трудовые договоры и подготовьте внутренние нормативные акты. Так вы установите режим использования информационных ресурсов и технических средств компании.

Шаг 2. Уведомите сотрудников под роспись, что компания систематически контролирует соблюдение ими правил внутреннего трудового распорядка и выполнение обязанностей.

Шаг 3. Закрепите локальным правовым актом цели использования системы:

• контроль соблюдения правил внутреннего трудового распорядка и должностных обязанностей;
• выполнение требований регуляторов по обеспечению конфиденциальности информации и коммерческой тайны;
• контроль предоставленных нанимателем технических средств.

Задокументируйте порядок использования программного комплекса и перечень лиц, которые будут его использовать.

Шаг 4. Получите от каждого работника письменное согласие на ознакомление работодателя со сведениями о частной жизни работника, если они вскроются в ходе контроля работы, использования ресурсов и технических средств компании, а также соблюдения внутренних правил и обязанностей.

Почему наниматель будет прав

Закрепленные в документах цели и порядок применения системы, которые запрещают собирать сведения частной жизни работников, а также запреты и предупреждения работникам говорят об отсутствии умысла нарушать неприкосновенность частной жизни сотрудников (статья 137 УК РФ).

Обвинить нанимателя в нарушении тайны переписки (статья 138 УК РФ) также нельзя. Учитывая указанные выше уведомления, запреты и обязательства сотрудников по их соблюдению, компания не может и не должна знать, что нарушит право человека на тайну личной переписки, если прочтет его рабочее сообщение. То есть действия работодателя неумышленны и, кроме того, о невиновности говорит согласие работника на ознакомление со сведениями его частной жизни.

В пользу легальности использования системы контроля говорит и специфика работы этих продуктов: как правило, анализирует перехваченные данные не человек, а сама программа, которая к уголовной ответственности привлечена быть не может (статья 19 УК РФ).

Эти рекомендации – обобщенная схема, но она позволяет понять стратегию внедрения систем контроля. За более четкими инструкциями вы можете обратиться к специалистам «СёрчИнформ».