«Слежка» за сотрудниками на рабочем месте: зачем нужна и насколько законна
Отвечает Ольга Попова, юрист по кибербезопасности Staffcop.
Работодатели хотят контролировать сотрудников, но при этом часто задаются вопросом, насколько это законно. Разбираемся, чем отличается слежка от мониторинга, насколько законно его проводить, чем он может быть полезен и как его внедрить в компании.
Зачем контролировать действия сотрудников?
Контроль за действиями сотрудников позволяет решить 5 задач: защитить конфиденциальную информацию, избежать операционных проблем, организовать эффективную работу в удаленном формате, защититься от штрафов со стороны регуляторов и избежать репутационных рисков.
Защита конфиденциальной информации
Сотрудники случайно или специально могут воспользоваться своим доступом к конфиденциальной информации и передать ее злоумышленникам. Если фиксировать, что именно делают сотрудники на своих рабочих компьютерах, то можно заметить их странное поведение и предотвратить утечку данных.
Защита от операционных проблем
Контролируя действия сотрудников, компании могут защититься и от материальных рисков. Например, можно увидеть, что сотрудник тратит средства компании на личные нужды. В компаниях с КИИ, например, можно увидеть, что сотрудник совершает нестандартные действия и предотвратить энергетическую катастрофу.
Организация работы в удаленном формате
Во время пандемии Covid-19 многие работодатели боялись удаленного формата работы — им казалось, что они будут платить зарплату, а сотрудники вместо решения рабочих задач сидят в соцсетях и смотрят фильмы в онлайн-кинотеатрах. Спустя 5 лет страх стал меньше, но желание отслеживать эффективность сотрудников никуда не делось — компаниям хочется знать, за что именно они платят деньги.
Защита от штрафов со стороны регуляторов
Почти все компании работают с персональными данными своих клиентов, а значит, обязаны хранить и обрабатывать их в соответствии с 152-ФЗ. При невыполнении требований юрлица могут получить штраф до 500 млн рублей, а должностные лица — до 10 лет лишения свободы. Чтобы не допустить утечек персональных данных, компании могут тщательнее следить за действиями сотрудников и предотвратить их утечку.
Репутационные риски
Компании борются за свое имя и не хотят получить статус недобросовестных поставщиков или партнеров, пусть и не официальный. Сильнее всего уязвимы в этом плане крупные ретейлеры, медицинские организации и образовательные учреждения.
Насколько законно контролировать действия сотрудников?
Если кратко, то работодатель имеет полное право контролировать действия сотрудников. Теперь давайте разбираться с подробностями.
Сотрудники часто называют контроль за их действиями слежкой и считают ее незаконной. С одной стороны, они правы — слежка влечет уголовную ответственность. Но контроль за действиями сотрудников со стороны работодателя при выполнении ими должностных обязанностей это не слежка. Это мониторинг действий сотрудников для оценка качества их работы. Именно так нужно фиксировать его в локальных актах и так называть в разговорах с сотрудниками, чтобы они не привыкали к слову «слежка».
Работодатель имеет право контролировать качество работы сотрудников. Это и выполнение должностных обязанностей, и соблюдение инструкций и соблюдение требований информационной безопасности по защите конфиденциальной информации или персональных данных.
Кроме этого работодатель как собственник имущества имеет право контролировать, что именно делают сотрудники за рабочими компьютерами и каким образом используется IT-инфраструктура работодателя. Также работодатель является оператором по обработке персональных данных и владельцем конфиденциальной информации и может применять средства для защиты этих данных, не запрещенные законодательством.
Но важно, что для проведения мониторинга, его нужно легимитизировать, то есть, установить правовые основания. Для этого достаточно внести соответствующую информацию в правила внутреннего трудового распорядка, которые являются основным документом по установлению прав и обязанностей работодателя и работника.
Что именно может контролировать работодатель?
Все, что происходит на рабочем компьютере и IT-системе компании.
Работодатель обязан организовать рабочее место сотрудника, в том числе для удаленного работника. Например, выдать ему компьютер и необходимую оргтехнику, подключить виртуальную телефонию, снабдить доступами, паролями и токенами. И, как собственник этого имущества, работодатель имеет право его контролировать. Так он будет знать, что сотрудник не присвоил себе имущество, например, не продал ноутбук, использует его по назначению, а не выполняет заказы для сторонних компаний.
Также работодатель может контролировать объем выполняемого задания и убедиться, что сотрудник сейчас занят именно той задачей, о которой с ним договорились на служебной планерке.
Если у сотрудника нет постоянных задач, то например, можно контролировать его активность в течение рабочего дня.
Что делать, если на рабочем устройстве хранится личная информация сотрудника?
В идеале нужно в локальных актах прописывать, что на рабочих устройствах нельзя хранить личную информацию. Это защищает работодателя от претензий сотрудника — «я хранил личные фото на рабочем устройстве, они оказались в доступе работодателя и попали к третьим лицам». Если сотрудник устанавливает мессенджеры с личными аккаунтами на рабочее устройство или хранит свои личные данные, то он делает это на свой страх и риск.
С другой стороны, работодатель тоже должен понимать, что не имеет право использовать личную информацию о сотруднике, которую получил случайно. Например, при мониторинге рабочих действий случайно был записан разговор сотрудника с родственниками. Эти данные нельзя обрабатывать и хранить. Если эта информация «утечет» за периметр организации, то работник имеет право обратиться за защитой в суд и предъявить к работодателю требования. Если докажет, что эти сведения были получены работодателем не по вине сотрудника, то он имеет шансы выиграть дело.
Как предупредить сотрудников о мониторинге?
Внести изменения в ПВТР
Основной документ — это правила внутреннего трудового распорядка. В нем должны быть прописаны права и обязанности работника и работодателя, в том числе ответственность сотрудника за имущество компании и обязательства использовать его только в служебных целях.
Ознакомить сотрудников с документами и получить подписи
Сотрудник должен ознакомиться с локальными актами и поставить свою подпись. Это касается правил внутреннего распорядка и согласий на обработку персональных данных.
Когда сотруднику выдается рабочий компьютер или другая техника, то с ним подписывается акт приема-передачи имущества. Удаленный сотрудник должен дать письменное согласие о том, что что на его личное имущество устанавливаются средства для мониторинга рабочих действий. Также с таким сотрудником заключается дополнительное соглашение к трудовому договору об использовании личного имущества и выплаты компенсации.
Некоторые компании считают, что достаточно уведомлять сотрудников о том, что они используют средства мониторинга. В таком случае сотрудник может заявить, что не знал о мониторинге и суд может встать на его сторону при подаче компании иска о защите своих интересов
Как убедить тех, кто не согласен?
Самый простой способ — объяснить сотрудникам их зону ответственности. Если по вине сотрудников конфиденциальная информация попадет третьим лицам, то им могут выписать штраф как должностному лицу от 200 000 рублей.
Если сотрудники соглашаются, что компания будет использовать средства для мониторинга, то передают ей ответственность за свои потенциальные ошибки и риски.
Полностью ответственность с работника не снимается, но он может доказать, что не виноват в утечке данных. В приложении для мониторинга за действиями сотрудников фиксируется все, что он делал на рабочем компьютере.
Кроме этого сотрудник может использовать данные мониторинга в свою пользу. Например, он не успевает выполнять свои рабочие задачи. Тогда он обращается к специалисту, который отвечает за мониторинг и просит показать график его активности и понять, почему его рабочий день не эффективен и где происходит простой.
Реклама. ООО «Атом безопасность», ИНН: 5408298569, Erid: 2SDnjc1dMHN
