Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Нарушение работодателем тайны переписки/связи

Аватар пользователя ikor
Автор: Кораблев Игорь, ЛАНИТ
(4)
()
Опубликовано в:

В дополнение к сообщению Натальи Мутель о дискуссии, возникшей в ходе тематического вебинара.

Ситуация, на самом деле, выглядит, как патовая.

Да, работодатель может устанавливать правила трудовой дисциплины и, в том числе, организационными и техническими мерами ограничивать возможности работников по использованию средств связи, принадлежащих работодателю. Это никоим образом не ограничивает конституционные права работника.

Да, работник, нарушивший эти правила, может быть привлечен к дисциплинарной ответственности: замечание или выговор (для первого раза).

Для составления акта о нарушении трудовой дисциплины представителю работодателя необходимо быть ознакомленным с содержанием информации переданной по средствам связи работником.

Да, представитель работодателя, ознакомившийся с содержанием переписки или переговоров, совершает правонарушение, описанное ст. 138 УК РФ. Да, он может быть привлечен за это к уголовной ответственности. Особенно, если есть документ (акт о нарушении трудовой дисциплины), где он сам подписывается под своими словами о совершении правонарушения.

Если акта нет - нет и нарушения трудовой дисциплины работником. Если акт есть, есть нарушение трудовой дисциплины одним человеком и нарушение тайный связи или переписки другим. Работник легко оспорит дисциплинарное взыскание в суде, так как доказательства будут считаться полученными незаконным путем.

 

Это сухая теория. Давайте попробуем разобраться, что же можно сделать, чтобы волки были сыты и овцы целы.

При составлении акта о дисциплинарном нарушении представитель работодателя должен классифицировать факт или содержание переписки/переговоров работника, как нарушение. Для этого ему необходимы какие-либо критерии или правила, утвержденные внутренним нормативным документом, позволяющие сделать вывод о несооответствии их целей трудовым.

Если эти критерии слабо формализованы и расплывчаты (например, просто "запрещается использовать в личных целях"), то представитель работодателя будет выступать всего-лишь в роли эксперта. Его мнение будет противопоставляться мнению работника. С точки зрения суда мнение эксперта, являющегося к тому же еще и работником, не будет рассматриваться как независимое и объективное. Можно увеличить количество экспертов или привлекать сторонних независимых экспертов, но это проблематично, именно в связи с возможной уголовной ответственностью. Обвиняемый работник же это может сделать гораздо проще и без угрозы привлечения экспертов к ответственности.

Если критерии достаточно формализованы для определения факта нарушения и не требуют экспертного мнения, их контроль может быть полностью автоматизирован. Существующие системы защиты от утечек и контроля каналов связи предоставляют для этого достаточно возможностей. Кроме того, такие требования (критерии) проще доводить до персонала, они легче воспринимаются и проще выполняются работниками.

В общем, проблема лежит отнюдь не в юридическом поле. Проблема чисто организационная.

Total votes: 0
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

Предположим, нам удалось сформулировать абсолютно адекватные критерии и настроить систему. Человек попадается. С чем конкретно нам идти в суд? Только отчет системы не подойдет, ибо ст86 п6 ТК РФ.

up
54 users have voted.
Аватар пользователя ikor

Идея именно в том, что в случае автоматического контроля не будет нарушения. Если какие то факты соединений и/или передачи информации система может автоматически классифицировать, как нарушающие трудовую дисциплину, она же их и заблокирует.

В случае ложного срабатывания системы работник для отправки информации должен предъявить информацию и обосновать необходимость ее передачи. На основании этого информация может быть передана однократно (если это исключительная ситуация) при помощи уполномоченных лиц или внесены изменения в правила системы.

up
55 users have voted.
Аватар пользователя GeorgeG

Ага, то есть речь идет все-таки о предельной формализации критериев и создании на их основе четких правил - задача техническая. Но, боюсь, что идеально описать критерии и создать идеальные правила невозможно, ошибки 1-2 рода все равно останутся. И если мы не желаем мириться с ошибками 1 рода (утечками - допустим, нам стало о них известно), то нам придется согласиться на рост ошибок 2-го (безосновательное блокирование легитимных передач). В этом случае число обоснований со стороны работника и согласований с нашей вырастет многократно. Достаточно представить себе компанию с тысячью пользователей и десятком бизнес-направлений, чтобы увидеть, что это решение плохо мастабируется. На мой взгляд, в области всех возможных ответов, от "все разрешаем" до "все согласовываем" нужно искать баланс, а при таком сценарии перейти на полностью "бесчеловечную", автоматическую обработку не удастся. А значит, юристам от ИБ и ИТ и дальше будет, что обсудить;)

up
64 users have voted.
Аватар пользователя ikor

Задача "прослушивания" тысячи человек масштабируется еще хуже, зато лучше масштабируется превышение полномочий и демотивация персонала.

Я согласен, что будут ошибки первого и второго рода, и без участия в процессе специалистов по внутренней безопасности не обойтись. Но это уже детали, основные каналы утечек перекрываются простыми и понятными правилами.

up
62 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.