Желание работодателя контролировать деятельность своих сотрудников вполне понятно. Особенно другим работодателям. Учитывая, что сегодня двумя главными ресурсами любой компании считаются люди и информация, логично, что бизнес желает знать, чем заняты первые и куда передаётся вторая. Вот только законность контроля – весьма спорная тема.
Примечательно, что проблема однозначно не решена до сих пор. Тем не менее, с каждым годом появляется всё больше ясности в этом вопросе. Эту статью мы разделим на две части: теоретическую и практическую. В первой разберём юридические вопросы контроля переписки сотрудников в фокусе современного российского законодательства. Не волнуйтесь, общую идею и выводы можно легко экстраполировать на законы других стран. Вторая же будет посвящена инструментам, с помощью которых этот самый контроль можно организовать. К слову, особого значения не имеет, что мы будем контролировать: переписку в почте, «аське», Facebook или ещё где. В нашем случае закон, как говорится, един для всех (каналов информации).
За и против
Противники часто любят приводить в качестве аргументов отдельные статьи из Конституции и УК РФ. В частности, в статье 23 Конституции РФ определяется, что:
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Аналогичная мысль прописана и в статье 63 Федерального закона от 07.07.03 № 126-ФЗ «О связи».
На основании этого, в случае нарушений, к компании можно применить часть 2 статьи 138 УК РФ «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений», в которой говорится, что «то же деяние, совершенное лицом с использованием своего служебного положения, наказывается штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо принудительными работами на срок до четырех лет, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до четырех лет».
Казалось бы, всё однозначно и против контроля. Как бы не так.
Аргументы за контроль таковы:
• Часть 2 статьи 209 ГК РФ гласит: «Собственник вправе по своему усмотрению совершать в отношении принадлежащего ему имущества любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе отчуждать свое имущество в собственность другим лицам, передавать им, оставаясь собственником, права владения, пользования и распоряжения имуществом, отдавать имущество в залог и обременять его другими способами, распоряжаться им иным образом». Это значит, что работодатель вправе контролировать работников на предмет использования оборудования компании по целевому назначению. Другими словами, так как компьютеры, почтовый сервер, доступ в интернет, электроэнергия и т.д. принадлежат (оплачиваются) компанией, она вправе проследить, чтобы на всём этом сотрудник работал, а не занимался своими делами.
• Трудовой кодекс. Точнее, статья 22, по которой работодатель обязан «обеспечивать работников оборудованием, инструментами, технической документацией и иными средствами, необходимыми для исполнения ими трудовых обязанностей», и статья 189, где «работодатель обязан в соответствии с трудовым законодательством и иными нормативными правовыми актами, содержащими нормы трудового права, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором создавать условия, необходимые для соблюдения работниками дисциплины труда». Работник же по статье 21 обязан «добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка; соблюдать трудовую дисциплину; выполнять установленные нормы труда». При этом извсё той же 189 статьи «Дисциплина труда» определяется как «обязательное для всех работников подчинение правилам поведения, определенным в соответствии с настоящим Кодексом, иными федеральными законами, коллективным договором, соглашениями, локальными нормативными актами, трудовым договором».
Таким образом, при решении вопроса о правомерности контроля за корпоративной перепиской сотрудников самое важное – это понять, где проходит граница между частной жизнью работника и его рабочими обязанностями, если речь идет о сообщениях, которыми он обменивается.
Вносим ясность
Внести оную поможет дело 2007 года, которое разбиралось в Европейском суде по правам человека (ЕСПЧ). Но сначала поясним, почему оно может быть важным для российской судебной системы. Дело в том, что в части «в» пункта 4 постановления Пленума Верховного суда от 19.12.03 № 23 «О судебном решении» говорится: «Суду также следует учитывать постановления Европейского суда по правам человека, в которых дано толкование положений Конвенции о защите прав человека и основных свобод, подлежащих применению в данном деле».
Но вернёмся к делу «Копланд против Соединённого Королевства» (Copland v.UnitedKingdom) и вынесенному постановлению 03.04.07 № 62617/00.
Было установлено, что заявительница (Копланд) работала в одном из британских колледжей в качестве личного помощника директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и интернета. По утверждению работодателя, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования электронной почты заключался в анализе адресов, дат и времени отправки электронных сообщений.
Однако из-за того, что правила подобного контроля в колледже разработаны не были (в законодательстве эта ситуация тоже не была прописана), ЕСПЧ присудил выплатить заявительнице 3000 евро. Суд привёл такие аргументы:
«Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать "всё необходимое или целесообразное" для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или интернета при определенных обстоятельствах считаться "необходимым в демократическом обществе" для достижения законной цели, Европейский суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону».
Какой вывод можно сделать из этого дела? Согласно решению ЕСПЧ № 62617/00, право работодателя контролировать переписку работника не исключается полностью. Однако это право должно быть закреплено в нормативном правовом акте или хотя бы в локальном нормативном акте. И так как от государства ждать помощи можно ещё долго, решим проблему своими силами.
Право работодателя на контроль почты, Skype, «аськи» и т.д. (равно как и обязанность сотрудника использовать почту, Skype, «аську» и т.д. только в рабочих целях) должно быть прописано в правилах внутреннего трудового распорядка организации, так как именно на него ссылается пункт 4 статьи 189 ТК РФ:
«Правила внутреннего трудового распорядка — локальный нормативный акт, регламентирующий в соответствии с настоящим Кодексом и иными федеральными законами порядок приема и увольнения работников, основные права, обязанности и ответственность сторон трудового договора, режим работы, время отдыха, применяемые к работникам меры поощрения и взыскания, а также иные вопросы регулирования трудовых отношений у данного работодателя».
Также следует выполнить ещё одно условие, из-за несоблюдения которого Соединённое Королевство и проиграло дело. В рассуждениях ЕСПЧ было отмечено, что «сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и интернета, представляли собой вмешательство в её право на уважение личной жизни и корреспонденции». То суд особо обратил особое внимание на то, что работодатель не известил сотрудницу о ведущемся мониторинге её деятельности.
Таким образом, в тех случаях, когда сотрудник знает, что работодатель имеет доступ к содержанию отправленных и полученных сообщений (и тем более выразил согласие на совершение подобных действий), они не должны квалифицироваться как нарушение конституционного права работника. К тому же, согласно требованию статьи 22 ТК РФ, работодатель обязан«знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью».
Поэтому лучше всего заручиться письменным согласием работника, прописав несколько дополнительных пунктов в трудовом договоре. Например, такие:
1. Работодатель может контролировать использование сотрудниками оборудования (компьютеров) и ПО, принадлежащих работодателю, при помощи «системы»;
2. Работники извещены о том, что они не должны использовать оборудование работодателя (в рабочее и нерабочее время) для целей, не связанных с исполнением их производственных функций, указанных в должностных инструкциях;
3. Работники извещены о том, что в случае использования ими оборудования работодателя в личных целях – посещение личной почты, социальных сетей, общение в интернет-мессенджерах и т.п. – в силу специфики работы системы, работодатель может непреднамеренно получать доступ к этим сведениям, при этом работник дает согласие на подобный доступ.
Или в более «жёсткой» форме:
1. Работники признают, что выделенные им работодателем для осуществления трудовых обязанностей персональные компьютеры (стационарные и ноутбуки), планшетные устройства, мобильные телефоны, иные технические устройства с возможностью выхода в сеть интернет, а также созданные работодателем для работников персональные адреса электронной корпоративной почты должны использоваться исключительно для получения и передачи информации рабочего характера. Использование перечисленных средств в личных целях не допускается.
2. Работодатель имеет право на получение доступа к информации о просмотренных работниками веб-страницах в сети интернет, а также к содержанию отправленных и полученных по каналу корпоративной электронной почты сообщениях (электронных письмах). Реализация такого права возможна с целью контроля: за обоснованностью использования сети интернет, соответствием данных действий производственной необходимости; за соблюдением работником при общении с контрагентами принятых в компании этических норм; за отсутствием в отправляемых сообщениях сведений конфиденциального характера и т. д.
Также можно внести соответствующее дополнение в «Положение о документообороте (делопроизводстве) компании»:
Вся электронная переписка (далее перечисляем по пунктам остальные «интересы»), сгенерированная (перечисляем варианты: созданная, полученная и т.п.) сотрудником компании, является собственностью компании.
Чем контролировать?
Итого, ответ на вопрос о легитимности контроля активности сотрудника работодателем вкратце можно сформулировать следующим образом «можно, но при определённых условий». А раз «можно», то рассмотрим инструменты, которые в этом могут помочь.
Принципиально способы контроля можно разделить на «косвенные» и «прямые». Первый способ заключается в сборе различной информации, не относящейся к личной переписке сотрудника. Например, с помощью сетевого экрана фиксировать адреса посещённых страниц из-под той или иной учётной записи. Такой способ в контексте нашей статьи представляется простым и «неинтересным».
Поэтому перейдём к инструменту прямого контроля. В качестве примера можно взять DLP-системы – программные комплексы, главной задачей которых является предотвращение утечек информации посредствам перехвата и анализа информационных потоков, передаваемых в организации. Другими словами, DLP-система умеет:
• перехватывать почту, Skype, отправленные на печать документы и т.д.;
• анализировать перехваченную информацию по заранее заданным специалистом по информационной безопасности правилам;
• на основе правил выносить решение о нарушении и либо останавливать информацию, либо создавать уведомление для специалиста ИБ.
Перечисленные пункты – лишь небольшая часть того, что должна уметь хорошая DLP-система. Подробный разбор возможностей и решаемых задач – тема отдельной публикации. А это, уже как говорится, совсем другая история.