Подписаться
Читать в телеграм
Кто кому должен: обязанности компаний и сотрудников?
Как регламентировать работу с конфиденциальной информацией?
DLP-кейсы: почему компания может проиграть дело?
Чек-лист: как оформлять данные из DLP для судебного разбирательства?
У всех сотрудников складываются разные отношения с корпоративным оборудованием. Кто-то рассуждает: «Рабочий день официально завершен, могу наконец (!) заняться своими делами: подобрать тур для отпуска, разослать друзьям фотки со дня рождения, еще нужно выбрать подарок брату. Почему бы не сделать это с корпоративного ноутбука?» Другие считают, что рабочий компьютер вполне может выручить при решении срочных личных вопросов: «Ведь в этом нет ничего такого». Третьи же предпочитают все личные дела, включая переписку в мессенджерах, вести только на собственных девайсах.
Какая модель является правильной с точки зрения распоряжения активами компании? Как «отношения» с ноутбуком могут обернуться против обычного сотрудника? Или не такой уж он и обычный?
У людей есть секреты, а у компаний — коммерческие тайны. Утечка такой информации может стоить репутации, финансовых потерь, обернуться гражданскими или уголовными процессами и даже крахом бизнеса. Защищать конфиденциальные данные помогают DLP-системы. Они собирают логи с нарушениями пользователей, блокируют передачу важной информации и фиксируют инциденты. В будущем все это можно использовать против сотрудников-нарушителей.
Одно из них было возбуждено в 2019 году в отношении двух сотрудников МТС, которые решили слить базу с телефонными номерами и адресами более 500 000 абонентов. Естественно, за вознаграждение. Служба кибербезопасности вовремя пресекла эти действия и передала данные расследования правоохранительным органам Новосибирска (Дело № 1-62/2019). В итоге нарушителям было выдвинуто обвинение по статье 183 УК РФ (часть 3): «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну, причинившие крупный ущерб или совершенные из корыстной заинтересованности».
Судебная практика показывает: дела об утечках данных, зафиксированных при помощи DLP-систем или аналогичных решений, могут выиграть и работники, и работодатели. Критерии успеха зависят от множества факторов. Простой пример: дело об утечке информации, содержащей банковскую тайну, с корпоративной почты на личную (Дело №33-90/11). Инцидент зафиксировала DLP «Дозор-Джет». Компания хорошо подготовила материалы для суда: процесс использования системы был правильно задокументирован, служебное расследование оформлено, необходимые аргументы собраны. Но бизнесу не хватило прямых доказательств причастности сотрудника — что именно он был на рабочем месте в момент отправки письма. Теоретически это вполне можно доказать, но компания «не дожала». В итоге работник получил компенсацию (в том числе морального ущерба) и был восстановлен в должности. Кейс отлично показывает, насколько успех дела зависит от доказательной базы. Но об этом чуть позже.
Тайна должна остаться тайной
У каждой компании есть права и обязанности. Изначально правила «отношений» с ноутбуком, телефоном и другими корпоративными устройствами диктует работодатель. Он ссылается на федеральные законы и нормативные акты: «О коммерческой тайне» (№ 98-ФЗ), «О персональных данных» (№ 152-ФЗ), «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и др. И, конечно, на трудовое законодательство. Компания имеет полное право закрепить во внутренних положениях запрет на использование корпоративного оборудования в личных целях и категоризировать данные на конфиденциальные, для служебного использования, коммерческую тайну и др.
Если в компании легализованы DLP-системы и другие аналогичные решения, работнику будет сложно отстоять мнение о незаконности мониторинга. Важный момент: знание о том, что процесс работы с информацией регламентирован, повышает общий уровень трудовой дисциплины, а значит, автоматически снижает риски инцидентов. Но при этом повышается вероятность умышленных преступлений. Зная, что он работает с ценной информацией, недобросовестный работник вполне может пойти на риск: к примеру, ради финансовой выгоды или если хочет отомстить.
С начала года количество громких дел, связанных с утечками персональных данных, заметно увеличилось. Как результат — в мае Минцифры России вывело на обсуждение новый закон. Он предполагает, что компаниям будут грозить оборотные штрафы: 1% от годового оборота за утечку персональных данных и 3% за сокрытие подобных кейсов. Это в очередной раз подчеркивает, что бизнес несет ответственность за данные сотрудников, клиентов и партнеров. Но какую ответственность несут при этом сотрудники?
Согласно статье 21 ТК РФ «Основные права и обязанности работника», сотрудник должен добросовестно исполнять обязанности, возложенные на него трудовым договором. Именно в нем и других нормативных документах компания должна зафиксировать, какая информация является чувствительной, и регламентировать ее использование.
Кейс
На предприятии был внедрен режим коммерческой тайны, вся конфиденциальная информация была категоризирована и хранилась на защищенных серверах. DLP-система выявила, что один из сотрудников скопировал более 3 000 файлов, в том числе с грифом «Для служебного пользования», на внешний носитель. Поскольку процесс работы с чувствительными данными был задокументирован и имелась четкая доказательная база нарушения, компания выиграла суд (Дело № 8Г-1197/2021).
Правильное регламентирование и поддержание режима коммерческой тайны (Федеральный закон от 29.07.2004 г. № 98-ФЗ) необходимы, чтобы в случае утечки компания могла доказать — эта информация имела особую ценность. Важно включить понятие и правила обращения с коммерческой тайной в должностные инструкции. Все физические носители с коммерческой тайной «на борту» должны быть помечены соответствующим грифом. Параллельно необходимо подписать NDA c сотрудниками и контрагентами и четко изложить, какие данные являются чувствительными и какие действия будут считаться нарушением.
Но вернемся к хранению и использованию личных данных сотрудников. «Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени»; «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения», — гласит статья 23 (ч. 1) Конституции РФ. Есть компании, которые лояльно относятся к обмену личной информацией на рабочем месте. Действительно ли работодателю интересна ваша личная переписка? Нет, это просто один из каналов, который может попадать под мониторинг. Никто не планирует за вами следить, цель системы — выявлять угрозы или факты утечки конфиденциальной информации. Она подобна киту, который процеживает воду в поисках планктона. Но этой «воды» можно избежать: для этого нужно ввести в трудовой договор и внутренние регламенты запрет на использование рабочего оборудования в личных целях (в том числе — ведение переписок). А также предупредить сотрудников о мониторинге рабочих станций, которые предназначены только для решения служебных задач. Причем мониторинг может включать фото- и видеосъемку человека и его рабочего места, запись логов, фиксацию электронной почты, съемных носителей, мессенджеров, облачных и локальных хранилищ, веб-трафика и др. Между частной и трудовой жизнью должна быть четкая грань — в этом случае ничьи конституционные права не будут нарушены.
Нужно проводить обучение для сотрудников (под роспись) и объяснять, как нужно обращаться с рабочими устройствами и информацией. Четко разъяснять принятые в компании правила обработки данных и санкции, которые будут применены в случае нарушений. После этого любой кейс использования оборудования в личных целях — это исключительно ответственность сотрудника. Если человек получит замечание, но ситуация повторится, внутренние документы помогут зафиксировать дисциплинарное нарушение согласно ТК РФ.
Работа — это место для служебного общения в интересах работодателя. Сотрудник не сможет доказать факт нарушения своих конституционных прав, если компания четко все регламентировала. Но и здесь, само собой, бывают исключения. Тем не менее, регламенты помогут, если вам придется отстаивать интересы компании в суде.
Если суда не избежать
Процесс сбора данных из DLP не так прост: и в части документальной фиксации инцидента, и в плане сбора доказательной базы. От этих факторов будет зависеть не только успех дела, но и принятие кейса на рассмотрение судом. Помочь в этом вопросе на этапе проектирования и администрирования DLP-системы могут ИТ-специалисты, квалифицированные в области информационного права.
Работодатели достаточно часто выигрывают суды. Например, одна из сотрудниц Фонда социального страхования заинтересовала внутреннюю службу безопасности (Дело № 2-11976/2014). Она отключила DLP-агент на своем рабочем компьютере. Собирала на нем конфиденциальные данные, причем официального доступа к ним у нее не было.
Распространяла и распечатывала внутренние документы. При этом в организации были четкие регламенты по обращению с конфиденциальной информацией. Суд посчитал доказательства достаточными и признал вину нарушительницы — она была уволена. Но нужно помнить, что в зависимости от характера нарушения (от тяжести последствий и категории информации, ушедшей за периметр компании) к человеку может быть применено как административное, так и уголовное наказание.
Если вы решили провести служебное расследование и планируете использовать в нем данные из DLP-системы, нужно учесть множество нюансов. Несколько обязательных шагов:
Шаг 1. Убедитесь, что ваша DLP-система сертифицирована ФСТЭК России.
Шаг 2. Зафиксируйте и подробно опишите инцидент.
Шаг 3. Сформируйте приказ о проведении внутреннего расследования. Важный момент: сотрудники, которые занимаются служебными расследованиями, должны иметь соответствующие полномочия.
Шаг 4. Потребуйте у сотрудника объяснений. Если он не согласится, составьте акт об отказе от дачи объяснений о случившемся.
Шаг 5. Соберите доказательства по свежим следам. Например, скриншоты или видео с камер наблюдения, показания свидетелей. Все доказательства нужно нотариально зафиксировать — это существенно повысит их вес в суде.
Шаг 6. Составьте акт по результатам расследования.
При соблюдении всех тонкостей DLP-cистема может стать ценным инструментом для предотвращения угроз и сбора доказательств против сотрудников-нарушителей. Но важно помнить, что внедрение DLP — это не разовый проект, а процесс, который нужно легализовать, поддерживать и модифицировать вместе с развитием компании. Далеко не все готовы заниматься этим самостоятельно, но есть специалисты, которые всегда могут прийти на помощь.
