Насколько законны программы мониторинга сотрудников во всем мире? Юридическая сторона вопроса

15.11.2018

Эдвард Сноуден – один из самых известных «инсайдеров», прославившийся тем, что выложил в открытом доступе засекреченные данные АНБ. Этот случай наглядно показывает недостатки того подхода, когда все усилия сосредоточены на внешних угрозах, а внутренняя угроза остается без внимания. 

К подобным инцидентам можно отнести и утечку паспортных данных «солсберецких» туристов – сотрудников Главного управления Генерального штаба Министерства обороны РФ А. Чепиги и А. Мишкина. 

Сейчас в открытом доступе можно найти анкеты «Петрова» и «Боширова» на получение загранпаспортов и другую информацию. ФСБ организовала масштабную проверку и провела более 60 обысков. Под прицелом оказались сотрудники госструктур, частные детективы и торговцы информацией из закрытых баз данных.

Возбуждены уголовные дела по статьям Уголовного кодекса РФ: 183-й (Незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну), 203-й (Превышение полномочий частным детективом), 137-й (Нарушение неприкосновенности частной жизни).

Подобные случаи краж данных заставляют коммерческие организации активно осваивать технологические разработки, которые бы помогали избежать информационных утечек и краж данных.  

Cистемы мониторинга сотрудников помогают компаниям обнаружить всевозможные аномальные активности и случаи поведения, с помощью, таких инструментов, как запись видео активности сотрудников, контроль нарушений рабочего распорядка, мониторинг сетевого трафика. 

И хотя существуют юридические основания, которые позволяют бизнес-организациям применять такие технологии, все же их использование, хотя и отчасти, может ограничиваться законодательством, которые защищают неприкосновенность частного существования (законы о системах мониторинга, нарушениях в киберпространстве, прослушивании телефонных разговоров и пр.)

Но, в любом случае, компаниям стоит учесть ряд вопросов, связанных с такими разработками, прежде чем внедрять их. 

Во-первых, за кем вы собираетесь следить? Во-вторых, что именно нужно отслеживать? В-третьих, где это нужно делать? Рассмотрим каждый из вопросов отдельно.

Кого вы отслеживаете? Очень важный вопрос, и для ответа на него, возможно, понадобится уведомить сотрудников и заручиться их согласием. Это может быть просто, если речь идет о корпоративной почте, но могут возникнуть сложности. Если компания отслеживает онлайн-активность сотрудников, вначале стоит принять во внимание то обстоятельство, что в некоторых странах работодателям запрещено следить за сотрудниками в онлайне без предварительного уведомления. 

Центр данных

Некоторые законы прямо не регламентируют мониторинг на рабочем месте, но косвенно ограничивают отслеживание коммуникаций в более широкой трактовке. К примеру, стоит принимать в расчет федеральный закон «О безопасности критической информационной инфраструктуры РФ». 

В Люксембурге, чтобы использовать мониторинговые системы на рабочем месте, работодателю до августа прошлого года нужно было только разрешение Национальной комиссии по защите данных, которая проверяла, насколько такой мониторинг оправдан. Согласие сотрудников не требовалось.

Но, согласно новому закону, компании должны информировать сотрудников о характере мониторинговых систем, которые могут устанавливаться. 

В законодательстве Польше после того, как на территории ЕС вступил в силу Общий регламент по защите данных (GDPR), появились новые положения, которые среди прочего регулируют мониторинг персонала. Отслеживание корреспонденции по электронной почте, а также другие типы мониторинга разрешены, в целях контроля рабочего времени и того, как используются рабочие инструменты. Но мониторинг не должен нарушать тайну переписки (нельзя читать или обмениваться личными имейлами).

Положения других законов разрешают работодателю отслеживать электронные коммуникации сотрудников, если на то есть «законная коммерческая цель». 

Работодатель имеет право отслеживать коммуникации сотрудников, если сами сотрудники согласны. 

Компании зачастую заручаются согласием сотрудников просто, когда знакомят новых сотрудников с работой, вводят их в курс дела. Или размещают уведомление на странице для входа в корпоративную сеть.

Коммуникации с третьей стороной

Если системы учета отслеживают и записывают сторонние коммуникации (например, с родственниками или друзьями, которые отправляют письма сотрудникам на рабочие домены, тогда компании также следует обратить внимание на существующие меры регулирования. 

В некоторых странах действуют законы, требующие от всех сторон согласия на перехват коммуникаций. Это значит, что прежде чем работодатель сможет просканировать отправленные имейлы друзьям или родственникам, понадобится поразмыслить над тем, как уведомить и получить согласие третьей стороны (т.е. друзей или родственников). 

Многие организации считают достаточным уведомления – на сайте компании, или в конце письма – о том, что все электронные коммуникации на или с доменов компании являются собственностью и объектом мониторинга, и что это предполагает согласие третьих сторон, которые общаются с сотрудниками. 

Что отслеживается? Этот вопрос можно рассматривать с нескольких сторон. Во-первых, определитесь, собираетесь ли вы отслеживать данные в момент их передачи и/или данные, собранные в базе. Многие законы запрещают перехват данных во время передачи без предварительного согласия. Из-за нарушений таких законов могут последовать уголовные или гражданские иски. С другой стороны, существуют законы о несанкционированном доступе или сборе информации из баз данных провайдеров. Некоторые законы не запрещают работодателям получать доступ к коммуникациям, хранящимся в их собственных системах.

Во-вторых, нужно учесть, какого типа пользование интернетом или электронными коммуникациями может отслеживаться.

Например, в 25 американских штатах работодатели не могут потребовать от сотрудника верифицировать персональные аккаунты (в соцсетях, блогах, или почте), или попросить учетные данные от личных аккаунтов. Технология мониторинга – будь то кейлогер или автоматизация скриншотов – может применяться в обход законодательства, когда работодатель непреднамеренно получает от сотрудника учетную информацию от персональных аккаунтов. 

В большинстве случаев должны учитываться личные интересы сотрудников в том, что касается личных данных и законных бизнес-интересов (подсчет эффективности персонала с помощью систем учета рабочего времени). 

Где осуществляется мониторинг? Этот вопрос в особенности важен, если компании планируют устанавливать мониторинговые технологии на персональные устройства, которые используются во время работы. Такая практика может нарушать законы, которые запрещают и во многих случаях криминализируют несанкционированный доступ к компьютеру. 

Помимо законов о неприкосновенности частного существования, или законов о потери данных и информационных утечках по вине ненадежных сотрудников, могут нарушаться и законы о своевременном уведомлении.  

Глобальный опыт

Общий регламент по защите данных (GDPR) и другие законы стран ЕС обеспечивают еще большую защиту личных данных, по сравнению с теми же американскими законами. 

Глобализация делает возможным для стартапов или крупных компаний сотрудничество с людьми из самых отдаленных уголков мира. И компании, чей персонал рассеян по всему миру, стоит разработать определенные стратегии соответствия, которые бы обеспечивали меры защиты в рамках глобального законодательства... 

Охватить все перечисленные соображения довольно сложно, но это может стать хорошей отправной точкой для оценки влияния прайвеси и юридических рисков, связанных с системами мониторинга и прочими технологиями, которые защищают от происков инсайдеров. 

Будет хорошей идеей вначале провести оценку юридических рисков – так вы окажетесь в более выгодном положении, чтобы уменьшить возможные юридические риски. 

Ваш план может содержать набор технических, организационных и прочих мер, относящихся к политике конфиденциальности. 

Правила, которые четко (i) описывают кейсы мониторинга; (ii) объясняют, что ни сотрудники, ни третьи стороны, с которыми сотрудники взаимодействуют посредством доменов компании, не должны рассчитывать на какую бы то ни было конфиденциальность этих контактов; и (iii) включить в определение корпоративной собственности все компьютерные устройства, учетные данные, пароли и все коммуникации в компании. 

Подход на основе анализа рисков

Оцените масштаб мониторинга с помощью тегирования и прочих подобных технологий, которые отслеживают, когда данные извлекаются из базы данных и передаются по корпоративной сети. 

Используйте шифрование всех данных и ограничение доступа до базового уровня «того, что сотрудникам нужно знать». 

Возможно, понадобится разработать план, который бы помог интегрировать мониторинг в рабочий процесс и создать ощущение общей цели и ценностей в том, что касается защиты корпоративных IP и прочих данных. 

Частые случаи информационных утечек повышают внимание к внешней угрозе и другим конфиденциальным данным. Но это не должно отвлекать внимание руководителей компаний от потенциальных внутренних угроз. Стоит предпринимать профилактические меры, например, использовать DLP-системы или программы контроля персонала. Для внедрения этих разработок нужен продуманный подход и предварительный юридический анализ. 

 

 

Вячеслав Зимятов,