Как контролировать компьютеры сотрудников, не нарушая закон
Три шага для внедрения систем контроляКонституция России – статья 23 – гарантирует каждому гражданину право на неприкосновенность частной жизни. Это значит, что сотрудники могут хранить в тайне свою переписку и телефонные переговоры, электронные и любые другие личные сообщения. Но возможности систем контроля сегодня настолько широки, что гипотетически могут нарушать права сотрудников. Например, DLP – системы защиты от утечек данных – обрабатывают весь контент, генерируемый пользователем. И перед компанией возникает вопрос: как контролировать персонал, не посягая на личное и не нарушая закон? Делюсь опытом нашей компании.
Ваши отношения с сотрудниками регулирует Трудовой кодекс (ТК). И он вполне однозначно говорит две вещи:
сотрудник в рабочее время обязан трудиться (ст. 91 ТК);
работодатель имеет право требовать от работника исполнения трудовых обязанностей (ст. 22 ТК), а без соответствующего контроля сделать это практически нереально.
Кроме того, если вы даете человеку работу и организуете условия труда (ст. 209 ТК), то можете распоряжаться собственным имуществом по своему усмотрению (ч. 2 ст. 209 Гражданского кодекса). Проще говоря, предоставили компьютер для работы – можете установить систему контроля.
По закону вы не только вправе, но и обязаны контролировать сотрудников, чтобы защитить персональные данные, банковскую и коммерческую тайны, информацию в государственных информационных системах, а также данные в АСУ на объектах критической инфраструктуры. Это закреплено в федеральных законах «О персональных данных», «О банках и банковской деятельности», «Об информации, информационных технологиях и о защите информации», «О коммерческой тайне» и других нормативных актах. В конце концов, анализировать действия сотрудника будете не вы, а программа, которую невозможно привлечь к уголовной ответственности (ст. 19 Уголовного кодекса).
Это основа стратегии внедрения системы контроля. Вот конкретные шаги.
1. Донесите до сотрудников и закрепите в документах, что информация и компьютеры фирмы – только для работы. Можно внести дополнительные пункты в существующие документы и разработать новые нормативные акты. Например, трудовой договор, должностная инструкция и правила внутреннего трудового распорядка могут фиксировать, что сотрудник обязан использовать информационные ресурсы и технические средства нанимателя исключительно для выполнения должностных обязанностей. Отдельным пунктом стоит выделить запрет хранить личную информацию на любых корпоративных ресурсах, будь то компьютеры или файловые хранилища, а также передавать ее по корпоративной почте и другим каналам связи. И пусть в типовом трудовом договоре появится условие о неразглашении тайны – служебной, коммерческой или той, что продиктует специфика бизнеса (это разрешает ст. 57 ТК).
2. Объясните людям, зачем вы их контролируете. В отдельном документе следует указать, с какой целью используется система контроля в компании:
для контроля за соблюдением внутреннего трудового распорядка и должностных инструкций;
для контроля за использованием технических средств нанимателя;
для выполнения требований регуляторов по обеспечению конфиденциальности информации и коммерческой тайны.
И еще раз обратите внимание – свое и сотрудников – на последний пункт: наниматель обязан обеспечивать контроль с целью защиты данных.
3. Получите согласие сотрудников на контроль. Команда должна быть в курсе, что вы контролируете работу и следите за тем, соблюдает ли она правила. Причем в курсе не на словах, а под расписку: если не будет письменного согласия, можете понести уголовную ответственность по ст. 137 и ст. 138 Уголовного кодекса. Санкции варьируются от штрафов до тюремного заключения.
Почему это важно? Статья 24 Конституции говорит о том, что собирать, хранить и использовать сведения о частной жизни работника можно лишь с согласия сотрудника. А такие сведения – гипотетически – могут оказаться в рабочем компьютере и получить огласку в процессе работы. Письменное согласие сотрудника на обработку таких данных – напоминание ему же оставлять личное при себе и страховка для компании, чтобы ее не обвинили в нарушении тайны переписки.
Все три шага – способ работодателя заявить, что у него нет умысла посягать на частную жизнь сотрудников. Это доказывают описанные в документах цели контроля и запреты на личные дела в рабочее время. В конце концов, сотрудники дали письменное согласие оставлять частную жизнь дома. Учитывая это, компания не может и не должна опасаться, что нарушит право человека на тайну личной переписки, если прочтет его рабочее сообщение.