Сергей Ожегов, коммерческий директор компании SearchInform
В наследство от советских времен нам осталось много всего. В том числе и «народная мудрость», которая стала чуть ли не девизом «бизнесменов» 1990-х: всe, что не запрещено, – разрешено. Вот только с течением времени появилась новая проблема – большое количество законов, которые даже могли противоречить друг другу. В итоге некоторые действия оказывались в «подвешенном» состоянии: вроде бы разрешены, а вроде бы и нет. История повторилась примерно в 2009 г., когда на рынке информационной безопасности большую популярность обрели DLP-системы (от англ. Data Leak Prevention) – системы для предотвращения утечек информации. Системы этого класса позволяли осуществлять перехват информации, передающейся по различным каналам, таким как электронная почта, Skype, IM-мессенджеры и др. Но вместе с новыми возможностями пришли и новые проблемы – законность перехвата информации.
Примечательно, что проблема однозначно не решена до сих пор. Тем не менее с каждым годом появляется все больше ясности в данном вопросе. Эту статью мы разделим на две части: теоретическую и практическую. В первой разберем юридические вопросы контроля переписки сотрудников в фокусе современного российского законодательства. Вторая будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения не имеет, что мы будем контролировать: переписку в почте, «аське», Facebook или еще где. В нашем случае закон, как говорится, един для всех (каналов информации).
Учим матчасть
Желание работодателя контролировать деятельность своих сотрудников вполне понятно. Особенно другим работодателям. С учетом того, что сегодня двумя главными ресурсами любой компании считаются люди и информация, логично, что бизнес желает знать, чем заняты первые и куда передается вторая. Вот только законность контроля – весьма спорная тема. Противники часто любят приводить в качестве аргументов отдельные статьи из Конституции и УК РФ. В частности, в ст. 23 Конституции РФ определено:
- Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
- Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Аналогичная мысль прописана и в ст. 63 Федерального закона от 07.07.03 № 126-ФЗ «О связи».
На основании этого в случае нарушений к компании можно применить ч. 2 ст. 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений», в которой говорится, что «то же деяние, совершенное лицом с использованием своего служебного положения, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо принудительными работами на срок до четырех лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до четырех лет».
Казалось бы, все однозначно и против контроля. Как бы не так.
Аргументы за контроль таковы:
- ч. 2 ст. 209 ГК РФ гласит: «Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом». Это значит, что работодатель вправе контролировать работников на предмет использования оборудования компании по целевому назначению. Другими словами, так как компьютеры, почтовый сервер, доступ в Интернет, электроэнергия и т. д. принадлежат (оплачиваются) компании, она вправе проследить, чтобы на всем этом сотрудник работал, а не занимался своими делами;
- Трудовой кодекс. Точнее, ст. 22, по которой работодатель обязан «обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей», и ст. 189, где «работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда». Работник же, по ст. 21, обязан «добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка; соблюдать трудовую дисциплину; выполнять установленные нормы труда». При этом в той же ст. 189 «Дисциплина труда» определяется как «обязательное для всех работников подчинение правилам поведения, определенным в соответствии с настоящим Кодексом, иными федеральными законами, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором».
Таким образом, при решении вопроса о правомерности контроля за корпоративной перепиской сотрудников самое важное – понять, где проходит граница между частной жизнью работника и его рабочими обязанностями, если речь идет о сообщениях, которыми он обменивается.
Вносим ясность
Внести оную поможет дело 2007 г., которое разбиралось в Европейском Суде по правам человека (ЕСПЧ). Но сначала поясним, почему оно может быть важным для российской судебной системы. В части «в» п. 4 постановления Пленума Верховного суда от 19.12.03 № 23 «О судебном решении» говорится: «Суду также следует учитывать постановления Европейского Суда по правам человека, в которых дано толкование положений Конвенции о защите прав человека и основных свобод, подлежащих применению в данном деле». Но вернемся к делу «Копланд против Соединенного Королевства» (Copland v. United Kingdom) и вынесенному постановлению 03.04.07 № 62617/00.
Было установлено, что заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и Интернета. По утверждению работодателя, это было сделано с целью убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.
Однако из-за того, что правила подобного контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице 3000 евро. Суд привел следующие аргументы:
«Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать «все необходимое или целесообразное» для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться «необходимым в демократическом обществе» для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».
Какой вывод можно сделать из этого дела? Согласно решению ЕСПЧ № 62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. Поскольку от государства ждать помощи можно еще долго, решим проблему своими силами.
Право работодателя на контроль почты, Skype, «аськи» и т. д. (равно как и обязанность сотрудника использовать почту, Skype, «аську» и т. д. только в рабочих целях) должно быть прописано в правилах внутреннего трудового распорядка организации, так как именно на него ссылается п. 4 ст. 189 ТК РФ:
«Правила внутреннего трудового распорядка – локальный нормативный акт, регламентирующий в соответствии с настоящим Кодексом и иными федеральными законами порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы, время отдыха, применяемые к работникам меры поощрения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя».
Следует выполнить еще одно условие, из-за несоблюдения которого Соединенное Королевство и проиграло дело. В рассуждениях ЕСПЧ было отмечено, что «сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и Интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции». То есть суд обратил особое внимание на то, что работодатель не известил сотрудницу о ведущемся мониторинге ее деятельности.
Таким образом, в тех случаях, когда сотрудник знает, что работодатель имеет доступ к содержанию отправленных и полученных сообщений (и тем более выразил согласие на совершение подобных действий), это не должно квалифицироваться как нарушение конституционного права работника. К тому же согласно требованию ст. 22 ТК РФ работодатель обязан «знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью».
Поэтому лучше всего заручиться письменным согласием работника, прописав несколько дополнительных пунктов в трудовом договоре. Например, следующие.
- работодатель может контролировать использование сотрудниками оборудования (компьютеров) и ПО, принадлежащих работодателю, при помощи «системы»;
- работники извещены о том, что они не должны использовать оборудование работодателя (в рабочее и нерабочее время) для целей, не связанных с исполнением их производственных функций, указанных в должностных инструкциях;
- работники извещены о том, что в случае использования ими оборудования работодателя в личных целях – посещение личной почты, социальных сетей, общение в интернет-мессенджерах и т. п. – в силу специфики работы системы работодатель может непреднамеренно получать доступ к этим сведениям, при этом работник дает согласие на подобный доступ.
Или в более «жесткой» форме:
- работники признают, что выделенные им работодателем для осуществления трудовых обязанностей персональные компьютеры (стационарные и ноутбуки), планшетные устройства, мобильные телефоны, иные технические устройства с возможностью выхода в сеть Интернет, а также созданные работодателем для работников персональные адреса электронной корпоративной почты должны использоваться исключительно для получения и передачи информации рабочего характера. Использование перечисленных средств в личных целях не допускается;
- работодатель имеет право на получение доступа к информации о просмотренных работниками веб-страницах в сети Интернет, а также к содержанию отправленных и полученных по каналу корпоративной электронной почты сообщениях (электронных письмах). Реализация такого права возможна в целях контроля: за обоснованностью использования сети Интернет, соответствием данных действий производственной необходимости; за соблюдением работником при общении с контрагентами принятых в компании этических норм; за отсутствием в отправляемых сообщениях сведений конфиденциального характера и т. д.
Также можно внести соответствующее дополнение в «Положение о документообороте (делопроизводстве) компании»:
- вся электронная переписка (далее перечисляем по пунктам остальные «интересы»), сгенерированная (перечисляем варианты: созданная, полученная и т. п.) сотрудником компании, является собственностью компании.
Чем контролировать?
В итоге ответ на вопрос о легитимности контроля активности сотрудника работодателем вкратце можно сформулировать следующим образом: «можно, но при определенных условиях». Рассмотрим инструменты, которые в этом могут помочь.
Принципиально способы контроля можно разделить на «косвенные» и «прямые». Первый способ заключается в сборе различной информации, не относящейся к личной переписке сотрудника. Например, с помощью сетевого экрана фиксировать адреса посещенных страниц из-под той или иной учетной записи. Такой способ в контексте нашей статьи представляется простым и «неинтересным».
Поэтому перейдем к инструменту прямого контроля. В качестве примера можно взять DLP-системы – программные комплексы, главной задачей которых является предотвращение утечек информации посредствам перехвата и анализа информационных потоков, передаваемых в организации. Другими словами, DLP-система умеет:
- перехватывать почту, Skype, отправленные на печать документы и т. д.;
- анализировать перехваченную информацию по заранее заданным специалистом по информационной безопасности правилам;
- на основе правил выносить решение о нарушении и либо останавливать информацию, либо создавать уведомление для специалиста ИБ.
Перечисленные пункты – лишь небольшая часть того, что должна уметь хорошая DLP-система. Подробный разбор возможностей и решаемых задач – тема отдельной публикации. А это уже, как говорится, совсем другая история.
