Компании следят за сотрудниками. Слежка за сотрудниками, или когда суд признает видеонаблюдение в офисе и чтение электронной почты сотрудников законными. Бесплатные и системные средства
Настоящим положением уведомляем Вас, что использование программного обеспечения CleverControl для мониторинга сотрудников на компьютерах или других устройствах, для которых у вас нет достаточных прав доступа считается нарушением российских федеральных и государственных законов в их числе 273 УК РФ "Создание, использование и распространение вредоносных компьютерных программ" и 272 УК РФ "Неправомерный доступ к компьютерной информации". Права доступа подразумевают, что вы можете устанавливать такое программное обеспечение только для мониторинга устройств, которые принадлежат вам или у вас есть разрешение законного владельца, и вы также должны надлежащим образом проинформировать всех пользователей устройств, на которых вы установили такое программное обеспечение. Несоблюдение вышеуказанных условий может привести к нарушению закона и к административной и уголовной ответственности. Вы должны проконсультироваться со своим юристом о законности использования программного обеспечения CleverControl в вашей сфере полномочий, прежде чем загружать и использовать его. Программное обеспечение CleverControl предназначено только для целей мониторинга сотрудников. При установке программного обеспечения CleverControl для целей контроля сотрудников - сотрудники должны дать на это письменное согласие.
Компания разработала программу, которая позволит работодателям прослушивать и анализировать разговоры сотрудников по мобильному телефону. Появление подобного инструмента уже обеспокоило тех, кто посчитал его вторжением в частную жизнь. Насколько уместно существование личной жизни в рабочее время - вопрос отдельный. Но инструменты, позволяющие работодателям контролировать работу сотрудников, существуют уже не первый год и даже век. Они всегда в той или иной степени ограничивали свободу работников.
Сначала, например, для контроля рабочего времени были введены журналы регистрации, затем им на смену пришли системы электронных пропусков, позволяющие понять, кто опаздывает или слишком часто отлучается, и видеокамеры, фиксирующие то, чем заняты сотрудники в рабочее время. В наши дни они уже никого не удивляют.
"Сейчас средства видеонаблюдения и контроля доступа уже фактически стали нормой, сотрудники воспринимают их как должное, практически не задумываясь", - отмечает Михаил Самошкин, ведущий специалист по информационной безопасности группы компаний .
Отследить причину
Он также объясняет, что работодатели, которые устанавливают наблюдение за персоналом, как правило, преследуют две цели. Во-первых, обеспечение безопасности, в основном экономической и информационной, иногда и физической (например охраны труда на производстве), и во-вторых - повышение эффективности работы сотрудников.
Причем чаще всего следят именно ради эффективности. А для предотвращения утечки важной информации используют запретительные меры. Например, специальные программы, просто не позволяющие сотрудникам использовать личную флешку.
Что касается эффективности, то здесь, считает доцент Санкт-Петербургской школы экономики и менеджмента НИУ ВШЭ - Санкт-Петербург Елена Кудрявцева, работодателю прежде всего интересны следующие вещи: структура рабочего времени, то есть то, чем в течение дня занят сотрудник, и то, насколько адекватно сотрудник использует то или иное программное обеспечение (нередко дорогостоящее). В решении этих вопросов, если речь идет об офисе, уже могут помочь только современные программы: при помощи обычного видеонаблюдения определить, чем именно занят сотрудник, сидящий за компьютером, достаточно сложно.
Оставить отпечаток
Разработки же последних лет решают эти и многие другие задачи. Сейчас набирает популярность контроль сотрудников при помощи специальных программ - их используют около 10-15% российских компаний. В Европе таким образом за сотрудниками следят около 70% компаний, в США - более 80%.
Прежде всего работодателей привлекает стоимость таких программ, она начинается от 1 тыс. рублей. Кроме того, установить программное обеспечение проще, чем поставить в офисе несколько видеокамер, а спектр применения гораздо шире.
Например, программа Mipko Employee Monitor, которую можно установить на любой компьютер, позволяет записывать общение сотрудников в социальных сетях и мессенджерах, делать снимки экрана и рабочего места (при помощи веб-камеры) и фиксировать нажатие каждой клавиши. Все это позволяет определить, действительно ли сотрудники работают или просто создают видимость. Кроме того, при утечке тех или иных данных фотографии монитора послужат доказательствами того, что к этому причастен кто-то из компании. Правда, отмечают в "Мипко", чаще всего работодатели начинают интересоваться приобретением программы уже после того, как слив информации однажды произошел.
Система "Стахановец", кроме прочего, может распознать "клавиатурный почерк" того или иного сотрудника и определить, кто создал определенный документ, даже если работник схитрил и использовал чужой компьютер. Перехват телефонных разговоров с помощью "Стахановца", кстати, тоже возможен. Кроме того, система может вычислить, не печатает ли сотрудник доклад для племянницы на рабочем офисном принтере.
Иначе работает система "БОСС Контроль" , которая в каком-то смысле является своеобразной альтернативой электронной системы пропусков. Состоит она из двух частей - сервиса обработки данных и специальных терминалов. Последние, сканируя отпечатки пальцев, фиксируют время прихода и ухода сотрудников, а также делают фотографию работника. Затем сервис получает данные и формирует соответствующие отчеты для руководителей и бухгалтерии.
"Фотография нужна для того, чтобы застраховаться от сбоев системы, собирающей биометрические данные (отпечатки), которых трудно избежать в любых подобных системах. Если отпечатки по какой-то причине не будут считаны, то фотография все равно сможет доказать, что тот или иной сотрудник явился на работу", - поясняет директор по развитию бизнеса ООО "Биометрические технологии" Григорий Улькин.
В компании также рассказывают, что отличие "БОСС Контроля" от обычной системы электронных пропусков в том, что она помогает выстроить процесс учета рабочего времени в соответствии с нуждами конкретной компании. Григорий Улькин рассказывает, что чаще всего подобной системой пользуются работодатели из сферы услуг. Например, ее применяют в ресторанах, где важно не запутаться, кто кого подменил во время той или иной смены. Также систему используют строительные компании, которым необходимо учесть, что за сотрудники работали на определенном объекте. А вот производственные предприятия к таким услугам прибегают редко.
Программа CrocoTime также помогает вести учет рабочего времени. Но ее цель - не отслеживание присутствия сотрудника на рабочем месте, а мониторинг использования им различных программ и сайтов. Такая система помогает понять, кто проводит все рабочее время в социальных сетях, а кому необходимо дополнительное обучение, так как он не умеет пользоваться необходимыми программами.
"Один из наших клиентов обнаружил у себя сотрудника, который играл в “шарики” по 5-6 часов в день. В другой компании в офисе любили смотреть фильмы (те же 5-6 часов). Если не учитывать такие “вопиющие случаи”, то среднее количество времени, которое сотрудники тратят на работе впустую, варьируется от 15% до 30%", - рассказывает основатель и генеральный директор CrocoTime Александр Бочкин.
Тем не менее, в CrocoTime отмечают, что они решительно против контроля за личной жизнью сотрудников и сама система не может просматривать ни личную переписку, ни пароли от сайтов. Верхний предел наблюдения – заголовок активного окна.
Сами не рады
Отношение сотрудников к появлению в офисе тех или иных программ контроля обычно колеблется от безразличия до резкого неприятия. Некоторые производители программ для контроля за персоналом могут заверять, что сотрудники бывают даже рады введению таковых, например, в тех случаях, когда работник чувствует, что его труд недооценен, а коллега, выполняющий меньше работы, получает завышенную зарплату. Но рекрутеры признаются, что о таких случаях они не слышали.
"Я бы не стала говорить о радости со стороны сотрудников. Радоваться таким вещам для нашей культуры совершенно не характерно. Возможно, где-то в Европе, особенно в северной, сотрудники могут с радостью отнестись к введению системы слежения, но у нас речь в основном идет о понимании. Если человек понимает необходимость введения данных мер, тогда он спокойно относится к происходящему", - говорит Елена Кудрявцева.
Генеральный директор кадрового агентства iChar Иван Осипов также рассказывает, что ни разу не сталкивался с ситуацией, когда бы сотрудники были рады установленному за ними наблюдению. "В нашей практике даже были случаи, когда кандидаты, прошедшие все этапы длинного пути собеседований, отказывались работать на очень лакомых должностях из-за того, что оказывалось, что за ними следят. Тем не менее эти вакансии довольно быстро закрывались менее щепетильными кандидатами", - поясняет он.
Наблюдательное право
Часто сотрудникам подобные меры кажутся неправомерными, особенно если последние приводят к их увольнению. В начале этого года Европейский суд по правам человека вынес решение по делу, широко известному как Барбулеску против Румынии. Началось оно с того, что инженер из Бухареста Богдан Барбулеску в 2007 году был уволен за нарушение правил внутреннего распорядка. По факту причиной увольнения стало то, что инженер использовал установленный на рабочем компьютере мессенджер для переписки с невестой и братом. Когда Барбулеску начал отрицать ведение личной переписки, работодатель продемонстрировал ему распечатки всех сообщений за последние 8 дней. Тогда инженер решил, что его право на тайну переписки было нарушено, и обратился в суд. Румынские суды жалобу сотрудника несколько раз отклоняли, и он в итоге дошел до , где ему разъяснили, что раз истец был предупрежден о возможности проверки и был знаком с правилами компании, не допускающими ведения личной переписки, то увольнение следует признать законным.
В российском судопроизводстве подобные процессы также встречаются нередко. В большинстве случаев суды спокойно относятся к чтению переписки работодателями, даже если письма отправляются не с корпоративного, а с личного рабочего ящика, но с рабочего компьютера. У работодателя действительно есть право контролировать то, как сотрудник исполняет свои обязанности. Более того, рабочий компьютер считается оборудованием, предназначенным исключительно для выполнения трудовых обязанностей, в связи с чем вопросы о неприкосновенности личной переписки отпадают. А ссылка на 23 статью Конституции, в которой говорится о неприкосновенности частной жизни, становится бессмысленной. Тем не менее работник в соответствии с ч. 1 ст. 21 ТК РФ имеет право на получение полной информации об условиях труда. То есть все, что необходимо сделать работодателю, - просто предупредить о возможных проверках. Для этого достаточно внести соответствующие изменения в трудовой договор или выпустить отдельный приказ под подпись каждого сотрудника.
Как правило, о необходимости предупредить сотрудника о наблюдении напоминают и сами производители соответствующих программ. В ООО " " даже объясняют, что настаивают на том, чтобы работодатель структурировал работу по информированию сотрудников о сборе биометрических данных.
Представитель компании "Мипко" Владимир Жилинский объясняет, что иногда сам факт предупреждения уже мотивирует работников не отвлекаться от непосредственных обязанностей. "Вот появилось у бухгалтера на мониторе окно, что за его компьютером ведется наблюдение, и тот уже не открывает "Косынку", а продолжает работать", - иронизирует он.
Выделите фрагмент с текстом ошибки и нажмите Ctrl+Enter
В 2012 году две работницы из Красноярского края пригрозили работодателю сжечь себя, если он не выполнит их требования по дополнительным мерам охраны труда. Работодатель попытался пойти им на встречу, а в итоге оказался в суде по обвинению в нарушении права на неприкосновенность личной жизни. Дело дошло до краевого суда, который и поставил окончательную точку в споре. Но какую – несколько позже.
В последнее время на различных форумах, сайтах юридической помощи, в группах в социальных сетях, да и в моей практике, все чаще стали встречаться жалобы работников на "слежку" со стороны работодателя – последний осуществляет видеонаблюдение, читает электронную почту, отслеживает интернет-траффик и т. п. Все это вызывает дискомфорт, а самое опасное – нередко приводит к увольнению работника за, казалось бы, "банальные пустяки": отправленное с корпоративной почты личное письмо или сброшенные на флешку файлы для работы дома. Как, например, это было в деле, рассмотренном Мосгорсудом в апреле прошлого года ( и Определение Московского городского суда от 20 октября 2015 г. № 4г/8-9884/2015):
П. отправила на личную почту несколько файлов со служебной информацией, а затем сбросила их на флешку. Уже на следующий день на имя руководителя поступила служебная записка от специалиста по информационной безопасности о выявлении факта копирования на флеш-носитель файлов, содержащих конфиденциальную информацию с указанием времени копирования и наименования файлов. С работницы потребовали объяснений, а затем уволили по (разглашение охраняемой законом коммерческой тайны). По-видимому, работодатель не поверил словам П. о том, что копировала она файлы для работы на дому, в том числе и во время болезни, а намерений разглашать информацию не имела. Увольнение работница обжаловала в суде.
Со всеми указанными в материале судебными решениями вы можете ознакомиться в системе ГАРАНТ
. Получите бесплатный доступ на 3 дня!
Суд встал на сторону работодателя,поскольку работник и работодатель в обязательстве о неразглашении сведений предусмотрели запрет работника на производство несанкционированных выписок и копий документов с информацией, составляющую коммерческую и банковскую тайну. Скопировав конфиденциальную информацию на флеш-носитель и отправив ее на почтовый сервер, работник тем самым создал условия по выводу данной информации из-под контроля работодателя, что повлекло нарушение принятых на себя обязательств по неразглашению охраняемой тайны
Как видим, отслеживание активности компьютеров позволило работодателю применить столь радикальные меры за привычное копирование файлов на флеш-носитель.
Работодатели во всех подобных случаях оправдываются необходимостью контроля за выполнением работниками трудовых функций и обеспечением безопасных условий труда. Работники ссылаются на , согласно которой каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ограничение этого права допускается только на основании судебного решения, а сбор, хранение, использование и распространение информации о частной жизни лица без его согласия в соответствии с не допускаются.
Кто прав и может ли работодатель "следить" за своими работниками? В свете последнего решения ЕСПЧ по делу "Барбулеску против Румынии" от 12 января 2016 г. , этот вопрос стал особенно актуальным.
В декабре 2015 года в Верховном суде Республики Башкортостан было рассмотрено дело по апелляционной жалобе сотрудницы, которую уволили за нарушение кодекса этики государственного служащего и регламента использования служебной техники. Работодатель в ходе служебной проверки установил, что работница с рабочей почты вступала в переписку с гражданами по личным вопросам, а также в переписке обсуждала действия других сотрудников, критиковала их работу. Был составлен соответствующий акт осмотра рабочего места с фиксацией адресов, по которым шла переписка и краткого содержания переписки. Работница была уволена в связи с утратой представителем нанимателя доверия к гражданскому служащему (п. 1.1 ч. 1 ст. 37 Федерального закона РФ от 27 июля 2004 года " ").
Суд принял акт осмотра рабочего места и почтового ящика в качестве доказательства нарушения работником трудовой дисциплины и Кодекса этики, посчитал оправданным и допустимым просмотр личной переписки, так как она велась со служебного почтового ящика(Апелляционное определение Верховного суда Республики Башкортостан от 1 декабря 2015 г. по делу № 33-17852/2015).
В другом деле пострадала от своих действий работница почты, которая выгрузила из служебной программы данные о заработной плате сотрудников и отправила их на свой личный почтовый адрес и личный почтовый адрес другого сотрудника. Суд принял в качестве допустимого доказательства акт осмотра рабочего места и жесткого диска с компьютера сотрудницы с фиксацией адресов электронной почты и содержания личной переписки и признал законным увольнение работницы по за разглашение персональных данных других сотрудников ).
Суды спокойно реагируют на факт просмотра содержания переписки сотрудников с другими лицами, и не считают это нарушением тайны переписки, вмешательством в частную жизнь, даже если переписка шла не с корпоративного почтового ящика как в выше рассмотренных делах, а с личного, но с использованием рабочего компьютера (отслеживание при этом осуществляется через специальные программы мониторинга интернет-траффика и активности пользователей (компьютеров), в том числе через системы корпоративных пакетов класса Internet Security).
Так, работник был уволен за разглашение сведений, составляющих коммерческую тайну. Со своего рабочего места он с использованием сначала корпоративной почты, а затем и личного почтового ящика переслал несколько файлов со служебной информацией на почту другого лица. При этом работодатель в ходе осмотра корпоративного почтового ящика и через систему мониторинга интернет-траффика, по сути,просмотрел личную переписку работника, так как достоверно установил не только адреса почтовых ящиков,"с" и "на" которые шла переписка,но и содержание писем и файлов, которые работник пересылал с корпоративной и личной почты. Суд не посчитал это "вторжением в личную жизнь", акты осмотра рабочего места с фиксированием содержания переписки принял как допустимые доказательства, и признал увольнение законным (Апелляционное определение Московского городского суда от 8 сентября 2014 г. по делу № 33-18661/2014).
Другую работницу уволили по за прогул, и заблокировали ей доступ на рабочий компьютер, сменив пароль. По мнению сотрудницы, были нарушены ее права на неприкосновенность личной жизни и тайну переписки. Она требовала возмещения морального вреда, поскольку в почтовом ящике находились и личные письма работницы, а она потеряла доступ к их содержимому и адресной книге. Суд же рассудил иначе, так как компьютер является собственностью работодателя, почта – корпоративной, следовательно, работодатель вправе был заблокировать уволенной работнице доступ к почте, тем более, что увольнение за прогул было вполне законным, а просмотр работодателем в этом случае личной переписки работницы оправданным, так как велась она с корпоративного почтового ящика (Апелляционное определение Московского городского суда от 24 мая 2013 г. по делу № 11-16473).
Суды в таких спорах исходят из того, что согласно работодатель обязан обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей. Компьютер с установленным программным обеспечением, в том числе корпоративным почтовым ящиком также относится к рабочему оборудованию и предоставляются работнику для выполнения им трудовых обязанностей. Работник может использовать собственность работодателя только в рабочих целях.
При этом работодатель в силу вправе контролировать исполнение работником трудовых обязанностей и использование им оборудования и других технических средств, предоставленных работодателем для работы. Поэтому отслеживать содержание корпоративной почты, интернет-траффик, использование компьютера – законное право работодателя. Что и подтвердил также ЕСПЧ в указанном выше решении.
Между тем, и в решении ЕСПЧ, и в большинстве решений российских судов речь идет о законности отслеживания переписки с корпоративной почты, рабочих аккаунтах в соцсетях и т. п. с рабочего компьютера. В этом плане может возникнуть другой вопрос: вправе ли работодатель получать намеренно доступ к личному почтовому ящику работника? Ответ отрицательный, поскольку это уже будет прямым нарушением . Однако, в большинстве дел, в которых фигурирует фиксирование переписки работника с личной почты через рабочий компьютер данные о такой переписке работодатель получает без взлома почтового ящика только через системы отслеживания активности компьютера и интернет-траффика, которые позволяют фиксировать адреса, по которым шло обращение к сети, а также вид и содержание пересылаемой информации, особенно, если она шла в виде прикрепленных файлов. В этом случае формально не происходит несанкционированного доступа к личному почтовому ящику работника, так как анализируется использование работником интернет-траффика, а целью мониторинга является не раскрытие тайны переписки, а использование работником оборудования работодателя, выполнение им трудовых обязанностей (функций). Данные о такой переписке фиксируются системой в специальных журналах, в которых указано с какого компьютера, когда и под именем какого пользователя отправлена информацию и на какой сервер.
То есть работодатель может контролировать входящую и исходящую с рабочего места информацию, а значит вправе и перехватить информацию по личному почтовому ящику, если доступ к ящику идет с рабочего компьютера, как было в деле № 33-18661/2014 (см. выше). Но перехват не должен предусматривать намеренного взлома аккаунта на почтовом сервисе.
Примером подобного "просмотра" траффика может послужить дело, рассмотренное в Мосгорсуде в октябре 2014 года. Тогда на основании данных мониторинга использования корпоративной почтовой системы (т. е. посредством специального программного обеспечения) был установлен факт отправки служебной информации с корпоративного почтового ящика на личный почтовый ящик работника и ящик его супруги. Работник был уволен по за разглашение охраняемой законом тайны. Суд признал увольнение обоснованным, а данные системы с указанием адресов, по которым шла пересылка информации и содержанием писем допустимым доказательством (Определение Московского городского суда от 20 октября 2014 г. № 4г/9-9007/2014).
Однако отслеживание почтовой переписки работников лишь частный случай контроля за активностью пользователя на рабочем компьютере, работодатель вмешивается и в иные сферы жизни работников, прежде всего в их "жизнь" в социальных сетях, и это зачастую заканчивается для работника трагично.
Так, в одном деле работодатель обосновывал законность сокращения единицы юрисконсульта на 0,5 ставки тем, что значительно снизился объем претензионной работы из-за завершения проектного и строительного этапа реконструкции животноводческого комплекса. В качестве одного из доказательств были приведены данные мониторинга, из которых следовало, что штатный юрист большую часть рабочего времени проводил в социальных сетях с рабочего компьютера. Суд данный довод принял во внимание и отклонил требования работника о признании незаконным сокращения ставки юрисконсульта (Апелляционное определение Новгородского областного суда от 6 июня 2012 г. по делу № 2-1935/12-33-823).
В другом деле работника за просмотром социальных сетей и прочих развлекательных сайтов с рабочего компьютера "застукал" начальник, в целях проверки активности пользователя работодатель изъял компьютер и исследовал журнал посещения сайтов браузера, где были обнаружены ссылки на посещаемые работником страницы сайтов, касающиеся продажи автомобилей, сервисы выбора товаров личного пользования, развлекательные сайты и социальные сети. На основании осмотра работнику объявлен выговор. Суд, рассматривая иск работника о признании незаконным приказа о привлечении к дисциплинарной ответственности, принял в качестве допустимого доказательства акт осмотра журнала браузера (Апелляционное определение Рязанского областного суда от 11 февраля 2015 г. № 33-335).
А вот в третьем деле все закончилось увольнением: работодатель, проводя проверку по жалобе одного из интернет-пользователей, просмотрел личную страницу работницы в социальной сети, после осмотра работница была уволена основании за однократное грубое нарушение трудовых обязанностей – разглашение охраняемой законом служебной тайны, ставшей ей известной в связи с исполнением трудовых обязанностей. Суд, признавая увольнение законным, посчитал действия работодателя обоснованными.
Работница на своем рабочем месте в палате реанимации и интенсивной терапии стационара, произвела фотосъемку палаты и двух находящихся в ней без сознания пациенток и разместила фотографии палаты с пациентками, назвав их "Рабочая обстановка", на своей странице в социальной сети "ВКонтакте". Работодатель и суд сочли это разглашением информации о личной жизни пациентов, нарушением медицинской тайны, поскольку по фотографиям можно определить в каком состоянии и где находятся пациенты, а фотография сделана была в рабочее время при исполнении служебных обязанностей. ().
Последний пример показывает, что работодатель вправе осмотреть и личные аккаунты работника в социальных сетях и по результатам осмотра применить к нему меры дисциплинарной ответственности.
Во всех указанных выше делах работодатель получил доступ к содержанию личных писем или аккаунтов в социальных сетях, однако, использовал их только в объеме достаточном для установления факта нарушения трудовой дисциплины. Анализ информации проводился не для установления обстоятельств личной жизни работника, а в целях выявления признаков разглашения охраняемой законом информации или нарушения корпоративных кодексов этики и иных требований закона. Именно поэтому суды не воспринимали это как нарушение положений . А вот использование данной информации в иных целях уже было бы нарушением неприкосновенности частной жизни.
Видеонаблюдение на рабочем месте – законно или нарушение неприкосновенности личной жизни?
Хорошо, с перепиской работников с рабочего компьютера, и просмотром аккаунтов в соцсетях немного разобрались, а как быть с иной формой "слежки" – такой как видеонаблюдение?
Вначале мы завели разговор о работниках из Красноярского края, их угрозах, и судебном споре с работодателем по обвинению во вмешательстве в частную жизнь. Напомню, что сотрудницы требовали от работодателя принять дополнительные меры по обеспечению безопасности труда. Работодатель в качестве такой меры установил камеры видеонаблюдения в рабочем кабинете, и тут же работницы обратились в суд с иском обязать работодателя демонтировать камеры и возместить компенсацию морального вреда. Свои требования мотивировали тем, что в рабочем кабинете они переодеваются, обедают, совершают личные звонки по мобильным телефонам, ведут личные разговоры друг с другом, а все это фиксируется камерами; непонятно каким образом работодатель потом будет использовать их изображение и иную полученную через камеры информацию; видеонаблюдение нарушает их право на неприкосновенность частной жизни.
Суд отклонил такие доводы и признал правомерность установления видеокамер, поскольку такая мера была продиктована обязанностью работодателя создать безопасные условия труда в силу . Камеры установлены в том числе под давлением самих работниц, которые писали жалобы во всевозможные инстанции, грозили работодателю самоубийством, жаловались на небезопасные условия труда. При установке камер работодатель в соответствии со проинформировал работников о введении видеонаблюдения, объявления об этом размещены и для посетителей. Работодатель вел наблюдение на рабочем месте, на котором работники осуществляют свои трудовые функции, следовательно, вмешательства в частную жизнь не происходило (Апелляционное определение Красноярского краевого суда от 14 ноября 2012 г. по делу № 33-9899).
В другом деле действия работника не были столь мелодраматичными, но тоже отличились некоторым артистизмом. В поликлинике в качестве антитеррористической меры и в целях обеспечения безопасных условий труда установили видеонаблюдение в рабочих кабинетах, работники были ознакомлены под роспись с положением о видеонаблюдении, уведомлены о запрете препятствовать работе видеокамер. Однако одна из работниц посчитала установку камеры вмешательством в свою личную жизнь, и каждый день, когда приходила в кабинет, развешивала перед камерой воздушные шары, так чтобы перегородить обзор. По результатам служебного расследования сотрудница была привлечена к дисциплинарной ответственности в виде выговора, что и послужило поводом для обращения в суд с иском о признании соответствующего приказа незаконным.
Суд, отказывая в удовлетворении иска, указал на то, что работница была ознакомлена под роспись с положением о видеонаблюдении и обязана была соблюдать нормы ЛНА, а использование работодателем средств видео- и аудио-фиксации не может нарушать основные конституционные права истца, поскольку видеозапись рабочего процесса не является раскрытием персональных данных работника и не использовалась для того, чтобы установить обстоятельства ее частной жизни либо его личную и семейную тайну. Видеонаблюдение в кабинетах установлено в целях обеспечения антитеррористической защищенности и безопасности в организации, данные обрабатываются исключительно в объеме, необходимом для достижения указанных целей (Апелляционное определение Оренбургского областного суда от 3 декабря 2014 г. по делу № 33-7039/2014, аналогичный вывод содержится и в Апелляционное определение Московского областного суда от 2 июня 2014 г. по делу № 33-11953/2014).
Сделаем выводы на основе просмотренных судебных споров.
Работодатель вправе контролировать исполнение работником трудовой функции любыми законными способами, в том числе и осуществлять контроль за использованием служебной техники, корпоративной почты. При этом риск раскрытия личной переписки лежит на работнике, если он ведет ее со служебного компьютера и с использованием рабочего почтового ящика, иных средств связи, предоставленных работодателем. Отметим, что работодатель при этом не вправе использовать технические и программные средства, применение которых разрешено только ограниченному кругу лиц в специальных условиях (спецслужбы, правоохранительные органы и т. п.), например, средств дистанционной прослушки или дистанционного доступа к личным мобильным и иным устройствам работника. В этом плане более правильным выглядит применение программных средств основанных на анализе интернет-траффика, использования приложений, аппаратных ресурсов, но весьма сомнительно использование средств перехвата по типу кейлоггеров.
Работник согласно имеет право на полную достоверную информацию об условиях труда и требованиях охраны труда на рабочем месте, поэтому работодатель обязан уведомить работника под роспись о возможности проведения контрольных мероприятий. В частности, в обязательном порядке работников уведомляют о ведении видео- и аудио-наблюдения. Нарушение данного требования дает право работнику требовать компенсации морального вреда за нарушение его трудовых прав, а именно права на получение достоверной и полной информации об условии труда и мерах по охране труда. В этом плане, на мой взгляд, работник имеет право знать и о ведении контроля за активностью рабочих компьютеров, прочих мониторинговых действий, так как они также являются составляющими условий труда и охраны труда. Правда, на практике, работники редко обращают на это внимание и редко предъявляют претензии работодателю при отслеживании активности пользователей на рабочих компьютерах, т. к. работники не воспринимают это как угрозу, в отличии от видеонаблюдения.
И все же работодателю рекомендуется разработать (и ознакомить с ним под роспись работников) специальный ЛНА, в котором бы регулировались вопросы использования средств мониторинга за поведением работника (видеонаблюдение, системы отслеживания активности пользователя и т. п.).
Работникам не рекомендуется использовать корпоративную рабочую почту, рабочие аккаунты в социальных сетях и т. п. для личной переписки и личных дел, так как это может расцениваться как нарушение трудовой дисциплины. Работодатель вправе привлечь работника за такие действия к дисциплинарной ответственности. Однако, работодатель не вправе использовать полученную информацию о личной переписке гражданина в каких-либо целях, кроме установления факта нарушения трудовой дисциплины.
Чтобы узнать, как работают подчиненные, не нужно подкарауливать их в курилке или в столовой. Есть более современные средства.
Наиболее распространенный способ сбора информации о сотрудниках - это видеокамеры с датчиками слежения. Но этот способ является также самым неудобным: ведь по российским законам над каждой камерой должна висеть табличка о том, что ведется видеонаблюдение. Это же касается и установки прослушивающих устройств: лицензию на аудиозапись может выдать только ФСБ, и вряд ли работодатель будет ее получать () . Те, кто все-таки устанавливает камеры наблюдения в офисах, все чаще используют сервис HighlightCam , который автоматически группирует происходящее по событиям. В том случае, если видеокамера фиксирует активность в наблюдаемой зоне, начальник получает письмо, в котором ему предлагается просмотреть данный фрагмент.
Но чаще всего работодателей беспокоит, чем именно занят сотрудник в течение дня за монитором компьютера. В этом случае он может просто запросить в IT-отделе распечатку сайтов, посещенных человеком в течение дня. Самостоятельно узнать свою статистику, если вы работаете на разных компьютерах, вы можете, скачав программу hooeey , - она отслеживает время и периодичность посещений интернет-страничек. Также, проставив метки, можно увидеть соотношение сайтов, просмотренных по рабочим и по личным делам.
Часто руководителю нужно знать, достаточно ли внимательно работник прочитал его письмо. Например, прошел ли он по всем ссылкам, упомянутым в сообщении. Для этого используется сервис LinkBlip - он генерирует ссылку, а потом отправителю приходит по почте уведомление о том, сколько человек и в какое время открыли эту ссылку из письма шефа. Кстати, заодно она зафиксирует и географическое положение кликнувшего.
Денис Разжигаев, директор Razzhigaev & Company в перечислил еще несколько способов «высокотехнологичной» слежки:
Еще в прошлом году The Times сообщила, что Microsoft разрабатывает программное обеспечение, которое заставляет вспомнить о "Большом брате". Оно позволит дистанционно отслеживать продуктивность сотрудников, их физическую форму и степень соответствия профессиональным требованиям. Microsoft уже подготовил патентную заявку на компьютерную систему, в рамках которой сотрудники будут соединены со своими ПК посредством беспроводных сенсоров, измеряющих параметры их метаболизма.
В свою очередь, компания Nicekit Software разработала программу Time Boss. Ее широкие возможности начинаются с простого регулирования времени работы на ПК до сбора статистики о пользователях и списка запрещенных или разрешенных программ и сайтов. Неавторизированный пользователь не сможет удалить Time Boss со своего компьютера даже в Безопасном Режиме, то есть программа хорошо защищена.
StatWin следит за работой сотрудника на одном компьютере. Разработчиком StatWin является компания SXR Software (автор - Виталий Дворак). Система контролирует начало и завершение работы пользователя, процессы, приложения, Интернет и посещенные сайты, активность и др.
Еще есть StaffCop , позволяющая предотвратить возможные утечки корпоративной информации из локальной сети благодаря осуществлению мониторинга email переписки, сайтов, ICQ / MSN сообщений, USB-устройств, доступа к файлам/папкам и снятию скриншотов экрана. А программа-шпион Actual Spy позволяет узнать, что другие делают за компьютером в ваше отсутствие. Перехватывает все нажатия клавиш, запоминает запуск и закрытие программ, осуществляет мониторинг файловой системы. Она абсолютно невидима во всех операционных системах.
Недавно на российский рынок вышла и компания PaperCut Software , которая представила программу PaperCut NG на русском языке. Это лидирующее в мире решение для контроля за печатью документов и использованием Интернета. PaperCut NG выдает квоты, записывает на счет и занимается мониторингом. Диапазон работы системы от контроля за квотами на печать до режима «платит пользователь». Она разработана для компаний, которым требуется следить за стоимостью распечаток. Система работает, позволяя пользователям посылать документы на печать под уникальными аккаунтами, параллельно осуществляя учет всех процессов.
Пока системные администраторы по указанию руководства компаний закрывают доступ на различные сайты сотрудникам, а те выдумывают обходные пути - игра в «кошки-мышки» продолжается. С программами воевать сложнее, их возможности расширяются с каждым годом. Но чего компьютерные программы не смогут никогда, так это заставить сотрудников на своем рабочем месте быть занятыми делом.
В российском законодательстве больше 60 видов тайн и иной информации ограниченного доступа - начиная от пресловутых персональных данных и тайны связи и заканчивая банковской тайной и инсайдерской информацией. Все эти тайны принадлежат либо обычным людям (например, тайна переписки или тайна исповеди), либо предприятиям (например, коммерческая или служебная тайна).
Но причастность к тайне накладывает ответственность - её обладатель должен сделать так, чтобы тайна не попала в посторонние руки. В одних случаях (например, в отношении персональных данных или банковской и служебной тайны) за соблюдением защиты информации следит государство, в других - защиту обеспечивает непосредственный владелец.
Чем защищают тайны
Итак, оставим в стороне частные тайны. Вы работаете в обычной компании, всё идет своим чередом, но коллеги иногда в шутку рассказывают, что все сотрудники под колпаком. Что рабочую почту не стоит использовать для романтических переписок, что все посещённые сайты, а также остальная ваша рабочая активность за компьютером проверяются и анализируются неразговорчивыми людьми из отдела информационной безопасности. Что происходит на самом деле?
Одним из основных средств по предотвращению утечек в компаниях являются программы класса DLP (Data Leak Prevention, "Предотвращение утечки данных" в пер. с англ.).
Задача DLP - контролировать обмен информации работниками по электронной почте (в том числе через браузер), переписку в чатах, посты в соцсетях и блогах, а также сетевые принтеры и всевозможные внешние устройства хранения, будь то USB-диски или карты памяти.
Конечно, это далеко не все каналы, которые могут быть использованы для случайной или целенаправленной утечки данных, но они являются самыми распространёнными. По мере развития технологий некоторые системы DLP уже обучились отслеживать IP-телефонию или даже корпоративные сотовые телефоны, но пока такие "универсальные солдаты" скорее исключение, чем правило.
Как DLP-системы ловят за руку
Самой очевидной разновидностью средств по предотвращению утечек являются сетевые решения. Такие DLP называются in motion , в их задачу входит анализирование данных, которые передаются внутри сети. К примеру, такие системы пристально наблюдают, какой информацией обмениваются друг с другом сотрудники, но доступа непосредственно к компьютерам и другим оконечным устройствам они не имеют. А значит, шифрование легко собьёт их с толку.
Так что же, достаточно включить Skype и вы неуловимы? Конечно, нет. На сцену выходит ваш личный кибернадсмотрщик типа in use . Он устанавливается непосредственно на рабочий компьютер, ноутбук или смартфон. Ему подвластны практически все каналы взаимодействия - от Bluetooth до портов USB и набираемого на клавиатуре текста.
От такого DLP-инструмента не спасёт ни мессенджер со сквозным шифрованием, ни браузер Tor, а обнаружить сам факт его присутствия практически невозможно, если ваши специалисты по информационной безопасности знают свое дело. Они просто не имеют права предоставить вам, к примеру, корпоративный ноутбук, не подготовив его к работе должным образом.
Конечно, мессенджерами и поиском в сети работа in use не ограничивается. Хороший DLP-инструмент этого типа в курсе практически всего, что происходит с компьютером. Какие файлы были записаны на флешку? Какой документ вы послали на печать? Правильно настроенная программа без лишнего шума перехватит данные и заблокирует подозрительную операцию или, наоборот, даст добро и пропустит до адресата.
Третий тип - это DLP-программы дляконтроля сохранённых данных или at rest . Такие "антишпионы" анализируют информацию на локальных и внешних (на USB-носителях или CD), а также удалённых хранилищах (например, на файловых серверах или облачных платформах).
Общую ситуацию, когда с вами начинает работать инструмент at rest , можно описать так: вы приходите на рабочее место с личным ноутбуком, включаетесь в общую сеть, а специалисты по безопасности не могут получить полный доступ к вашему гаджету.
Такая система регулярно будет сканировать все доступные папки и файлы в дистанционном режиме в поисках следов защищаемой информации. Например, только так можно следить за тем, что ваши коллеги выкладывают в Facebook или загружают на Dropbox и "Яндекс.Диск".
Как обмануть систему?
Гарантированно ли поймают вас DLP- программы, если вы захотите "слить" ценные данные конкурентам? Как показывают исследования, нет.
Дело в том, что их цель - случайные утечки. Именно на них по статистике приходится до 90 - 95% нарушений конфиденциальности данных. В то же время более-менее подкованный в сфере ИТ пользователь вполне способен обойти все системы DLP.
Шифрование. Как мы уже рассказали, для большинства инструментов DLP-шифрование становится непреодолимой преградой. Шифровать можно что угодно - от сообщений в чатах, до файлов и электронных писем.
Фото- и видеосъёмка. Нет ни одного инструмента против съёмки экрана монитора, кроме, разве что, постоянного наблюдения за работником. Да и то, обычно в таких случаях факт утечки можно установить только постфактум, когда чёрное дело уже будет сделано, а вы получите 30 серебряников.
Маскировка. Ещё одним очень эффективным методом сокрытия факта передачи конфиденциальной информации является стеганография (тайнопись). Она основана на маскировке - нужная информация прячется, на первый взгляд, в ничем не примечательных документах, например, в картинках или музыкальных файлах. Большинство DLP-решений просто не умеют работать со стеганографическими методами, ведь в отличие от зашифрованных данных информация после стеганографической обработки не вызывает подозрений.
Какое они имеют право?
Действительно, гражданское право на тайну переписки и телефонных переговоров закреплено законом, а нарушить его можно только по решению суда. Получается, что некоторые DLP-системы если и не вне закона, то как минимум балансируют на грани его нарушения? Не совсем так.
В качестве защиты производители DLP-систем заявляют, что их программы ничего не нарушают, и они правы - само программное обеспечение не является субъектом права и не может ничего нарушать. Зато нарушает человек, например, сотрудник службы информационной безопасности, который использует результаты работы DLP.
Сейчас в России сложился определённый баланс между интересами работодателей и конституционными правами граждан. С одной стороны организации обязаны по закону защищать информацию и предотвращать утечки собственных данных и принадлежащих государству. С другой стороны, у граждан есть вполне разумное желание знать, когда их контролируют и является ли данная деятельность законной, а отстаивать свои интересы в суде они пока не научились.
Среди участников процесса нет единства. Одни считают, что "слушать" коммуникации сотрудников нельзя ни при каких условиях. Другие рассматривают возможность читать чужую переписку при условии, что она ведётся на служебных компьютерах и мобильных устройствах. Третьи ставят обязательное условие - получить согласие работника на мониторинг его активности. Четвёртые же и вовсе говорят, что работодатель имеет право защищать свои права и законные интересы, применяя любые официально продаваемые в России средства.
Но в любом случае не лишним будет напомнить, что в переписке или телефонных разговорах обычно участвуют два человека и конституционные права должны быть соблюдены для обоих, а не только для своих сотрудников.
