За мной следит работодатель, это законно?
Несанкционированная слежка — нарушение неприкосновенности частной жизни, она запрещена законом. И всё же организации следят за сотрудниками: прослушивают телефоны, устанавливают видеонаблюдение, мониторят рабочие компьютеры. Кто имеет право наблюдать за работниками — разбираемся вместе с ведущим юристом ООО «АТОМ БЕЗОПАСНОСТЬ» Ольгой Поповой.
Существуют законы, которые позволяют следить за сотрудниками?
Напрямую ни один закон не позволяет устанавливать «слежку». В прямом понимании этого слова слежка должна быть санкционирована судом для проведения оперативно-разыскных мероприятий или противодействия преступлению, это предусмотрено ст. 8 ФЗ-144 «Об оперативно-розыскной деятельности».
Но! В Трудовом кодексе РФ зафиксировано, что работодатель имеет право контролировать выполнение рабочего процесса, чтобы обеспечить надлежащее качество.
Кроме того, компании должны соблюдать требования законов о персональных данных и коммерческой тайне (ФЗ-152 «О персональных данных» и ФЗ-98 «О коммерческой тайне»). За их нарушение предусмотрена административная, уголовная, гражданско-правовая и дисциплинарная ответственность.
Отталкиваясь от этого, юристы дают однозначный ответ: работодатель имеет право контролировать действия сотрудников на рабочем месте. Ключевые слова здесь «контроль» и «рабочее место». Вмешиваться в частную жизнь работника компания не вправе, но может «приглядывать» за трудовым процессом. Естественно, о контроле работники (как и посетители) компании должны быть проинформированы.
К примеру, если в медицинской организации установлены камеры для контроля работы оборудования и медперсонала, и на запись будут попадать и врачи, и пациенты — им необходимо об этом сообщить. Информацию размещают на видном месте, например при входе в кабинет.
Если компания ведет видеоконтроль производственного процесса, например конвейерной линии, или использует ПО, чтобы обеспечить информационную безопасность, — нужно зафиксировать это в локальном нормативном акте (ЛНА) и ознакомить с ним сотрудников под роспись.
Особое место занимают объекты критической информационной инфраструктуры: предприятия энергетики, связи, транспорта, банковского сектора, здравоохранения и других ключевых отраслей экономики. Для них необходимость контроля за действиями сотрудников определена на законодательном уровне в ФЗ-187 и Приказе ФСТЭК № 239.
В каких случаях контроль осуществляется по умолчанию?
Здесь снова отталкиваемся от того, что указано в действующем законодательстве.
1. В статьях 22 и 56 ТК РФ сказано:
- работодатель предоставляет работнику оснащенное рабочее место и доступ к инфраструктуре организации;
- работодатель вправе требовать бережного отношения к имуществу;
- работник трудится по трудовому договору, соблюдает правила внутреннего трудового распорядка (ПВТР), иные условия ЛНА, в том числе режим рабочего времени;
- работник трудится под управлением и контролем работодателя.
2. В статье 10 ФЗ-98 отмечено, что при необходимости работодатель имеет право применять средства и методы технической защиты конфиденциальности информации, не противоречащие законодательству РФ.
3. В статье 6 ФЗ-152 говорится, что согласие работников на обработку их персональных данных в связи с записью телефонных разговоров не обязательно при контроле качества выполняемой работы.
Итак, делаем вывод: внедрение технических средств, например ПО для мониторинга за действиями сотрудников, легально. Но нужно ознакомить всех работников с правилами внутреннего трудового распорядка (ПВТР) и другими локально-нормативными актами (ЛНА) компании, где прописано право работодателя на действия по контролю.
Какие нормативные акты нужны компании
Каждая компания сама решает, какие ЛНА по информационной безопасности издавать. Но есть минимально необходимый перечень документов.
1. Списки сотрудников:
- Тех, кто имеет доступ к коммерческой тайне, конфиденциальной информации и персональным данным (ПД).
- Тех, кто отвечает за информационную безопасность, организацию работы с ПД.
2. Правила работы с информацией ограниченного доступа:
- Положение о коммерческой тайне + соглашение о неразглашении (NDA).
- Положение об обработке ПД.
- Положение об использовании почты, паролей.
- Правила внутреннего трудового распорядка (ПВТР).
- Инструкции: о порядке обращения с информацией ограниченного распространения; об ответственности пользователей, допущенных к обработке персональных данных; об алгоритме действий при нарушении требований безопасности в информационной системе и другие.
3. Запреты и ограничения на использование корпоративных ресурсов и оборудования в личных целях: включить указанные условия в ПВТР и трудовые договоры с дистанционными работниками.
Всех работников нужно ознакомить под роспись с ПВТР, положениями об обработке ПД, использовании паролей и доступов. А ответственных лиц или лиц, имеющих доступ к конфиденциальной информации, — с соответствующими инструкциями и приказами.
Также все сотрудники подписывают согласия обработки ПД, а те, кто имеет доступ к конфиденциальной информации, — NDA.
Наблюдение установило нарушение. Что делать дальше?
В первую очередь нужно провести внутреннее расследование инцидента, как это происходит мы рассказали в статье.
Результат расследования можно использовать для привлечения виновного работника к ответственности и в качестве доказательств при обращении в суд за защитой интересов компании. Об этом мы тоже рассказали подробно.
Если компанию привлекут к ответственности за утечку информации, она сможет представить доказательства, что были приняты меры и в порядке регресса предъявить ущерб виновному работнику.
Также результаты расследования можно использовать для выявления белых пятен в работе компании. Расследование может подсветить, какие недочеты есть в сфере информационной безопасности, каких ЛНА не хватает и где возникли пробелы в работе с персоналом.
Может сотрудник оспорить результаты расследования, основанных на данных слежки?
Всё зависит от конкретной ситуации. Если речь идёт об объекте критической информационной инфраструктуры, работник обязан неукоснительно соблюдать все инструкции и регламенты. Любое нарушение с его стороны расценивается как инцидент или прецедент, и работник несет ответственность.
Сотрудник обычной организации может оспорить результаты расследования, если компания недолжным образом оформила документы или не ознакомили его с соответствующими локально-нормативными актами (ЛНА). Одним словом, сотрудник просто не знал, что чего-то делать нельзя, потому что это нигде не задокументировали и не дали ему прочитать и подписать.
Если есть нарушения со стороны компании, у работника высокие шансы добиться защиты интересов через суд. На его стороне ТК РФ, в котором четко сказано, что он не должен выполнять того, о чем не сказано в его должностной инструкции или трудовом договоре.
ВАЖНО!
В документах компании не должно быть противоречий. Если в трудовом договоре написано одно, а в регламенте другое, работник сможет оспорить любые претензии и обвинения работодателя. Нужно проверять, чтобы новые ЛНА согласовывались с уже действующими. А работникам следует внимательно читать, что они подписывают, чтобы не попасть впросак.
Ошибки компаний
При внедрении средств мониторинга каждая компания должна соблюдать три принципа легитимности:
- Разработать соответствующие ЛНА.
- Утвердить ЛНА.
- Ознакомить сотрудников с ЛНА.
На этом пути организации нередко допускают ошибки, вот основные из них:
- Нет перечня информации, которая относится к конфиденциальной, или не вся информация учтена.
- Нет списков сотрудников, имеющих доступ к коммерческой тайне, конфиденциальной информации, ЭЦП, или не все сотрудники учтены.
- Не работает система контроля и управления доступом (СКУД), нет разграничения доступа к данным или не обновляются пароли и коды доступа в ИТ-систему организации.
- Отсутствует запрет на блокировку ПК: отлучаясь, работник не блокирует компьютер, и к нему может получить доступ кто-угодно.
- С работниками не подписаны соглашения о неразглашении (NDA).
- С работниками не подписаны согласия на обработку персональных данных (ПД).
- Нет подписей сотрудников об ознакомлении с ЛНА.
- Не проводится обучение по информационной безопасности.
При наличии одной или нескольких проблем из этого списка компания рискует столкнуться с утечкой данных и проиграть в суде, если работник, допустивший нарушение, решит оспорить результаты проверки.
Чтобы снизить риск утечки данных, рекомендуется использовать корпоративную почту, а не бесплатные почтовые агенты, которые проще взломать, а также обновлять пароли и коды доступа 1 раз в месяц.
Как преодолеть неприязненное отношение сотрудников к наблюдению
Вам будет приятно узнать, что за вами постоянно следят? Наверняка, нет. Но все мы понимаем, что работодатель имеет право контролировать нашу работу. Неприязненное отношение персонала к контролю можно преодолеть, если не использовать слова «тайно» и «слежка».
Обучать сотрудников правилам ИБ, чтобы они знали о рисках, мерах предосторожности и категорических запретах. Разъясняйте плюсы использования ПО для мониторинга. Например, Staffcop Enterprise не только собирает данные для работодателя, но и позволяет сотрудникам оценить эффективность своей работы, понять, что исправить, чтобы повысить работоспособность.
СПРАВКА
Работодателю не стоит делать акцент на скрытом наблюдении и указывать название программы для мониторинга в документах, которые он передает на ознакомление работникам. Лучше использовать общие формулировки, а пояснения с примерами давать в процессе обучения по ИБ.
Резюме
У сотрудников нет «личной жизни» на рабочем месте. Они используют имущество работодателя для выполнения своих должностных обязанностей: и ПК, и вся информация на нем — собственность работодателя, и он вправе следить за ее сохранностью. Работник не может размещать на ресурсах компании личную информацию, а если он это сделает, работодатель не будет нести ответственность за нарушение конфиденциальности таких данных.
Согласно ТК РФ, работодатель имеет право контролировать работу сотрудников, а значит и применять ПО для мониторинга их действий. Главное — грамотно оформить это документально. Полученные сведения компания может использовать для защиты своих интересов.
Программа Staffcop Enterprise абсолютно незаметна для пользователей, её можно поставить на офисные ПК и девайсы удалённых сотрудников. Запросить тестовый доступ на 15 дней можно на нашем сайте, а узнать подробности о функционале ПО — в наших аккаунтах в VK и ТГ.
Интересно, а нужно ли условие о аудио-, видео- или электронном наблюдении считать существенным и вносить в порядке ст. 74 ТК РФ соответствующие изменения в трудовой договор? Ведь к условиям труда, составляющим часть существенных условий трудового договора, вполне можно отнести работу в условиях аудио-, видео- и электронного наблюдения.
Вопрос интересен постольку, поскольку несогласные с изменившимися по ст. 74 ТК РФ условиями подлежат увольнению. А это уже серьезно.
Роман, давайте разберемся.
В статье 74 ТК РФ указаны исключительные обстоятельства, влекущие изменение определенных сторонами условий трудового договора по причинам, связанным с изменением организационных или технологических условий труда.
К таким причинам относятся
изменения в технике и технологии производства,
структурная реорганизация производства, а также внедрение новых технологий производства;
внедрение новых машин, станков, агрегатов, механизмов;
усовершенствование рабочих мест;
разработка новых видов продукции;
введение новых или изменение технических регламентов,
изменение в режиме работы.
Условия о введении аудио-, видео- или электронном наблюдения относятся напрямую к разделу Трудового кодекса РФ «Права и обязанности работодателя и работника в области охраны труда», а право работодателя на введение указанного контроля установлены в ст. 214.2 ТК РФ.
При этом в силу части 3 статьи 214 Трудового кодекса Российской Федерации работодатель обязан обеспечить информирование работников о соответствующих решениях.
Также введение контроля в виде аудио-видео и т.д. наблюдения не является обязательным условием трудового договора согласно ч. 2 ст. 57 ТК РФ, а следовательно и не относятся к случаям, указанным в ст. 74 ТК РФ.
Такой подход поддерживается судами: Определение Восьмого кассационного суда общей юрисдикции от 10.11.2020 N 88-16003/2020, Московского городского суда от 26.04.2019 N 4г-4823/2019, Апелляционное определение Московского городского суда от 04.08.2016 N 33-30048/2016.
Таким образом, о введении аудио-, видео- или электронном наблюдении работодатели должны информировать своих работников с указанием целей этого наблюдения, например «В ЦЕЛЯХ КОНТРОЛЯ ЗА БЕЗОПАСНОСТЬЮ И КАЧЕСТВОМ ВЫПОЛНЕНИЯ РАБОТ» или «В ЦЕЛЯХ БЕЗОПАСНОСТИ РАБОТНИКА, РАБОЧЕГО ПРОЦЕССА И КОНТРОЛЯ КАЧЕСТВА РАБОТ» путем введения нового локального акта в виде положения о видео, аудио наблюдении с описанием форм, времени, режимов хранения записей, ответственных лиц и т.д. или данный вид контроля включить в перечень прав работодателя, указанных в правилах внутреннего трудового распорядка путем утверждения их в новой редакции. Соответственно вносить изменения в трудовой договор не требуется.