Статья Сурайе Рахмоновой, юриста-практика, выпускницы исследовательско-образовательного центра японского права при университете Нагоя (Япония) и начальника отдела ИБ ООО "IT-TEAM SERVICE" Антона Ракитского вышла в журнале «Управление предприятием», издаваемом Международным центром финансово-экономического развития - Узбекистан. Статья вышла в журнале №3 за март 2021 г. под названием «Утечка данных / тайна переписки и переговоров. Как найти баланс»
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.
Всё больше современных специалистов работают с информацией бухгалтеры, менеджеры по продажам, программисты, юристы. Проще говоря, это практически все современные «офисные» профессии. У всех них основной рабочий инструмент это компьютер или, шире, интерфейс информационной системы. Но и проблемы контроля дисциплины и обеспечения информационной безопасности становятся всё острее. Для некоторых специальностей проконтролировать дисциплину отчасти можно введением целевых показателей или KPI (англ. Key Performance Indicators). Но уже для оператора службы поддержки важно не только количество принятых звонков, но и качество обслуживания. А как его можно проконтролировать? Ещё больше вопросов возникает при обеспечении информационной безопасности, особенно там, где множество сотрудников работает с конфиденциальными данными, утечка которых станет катастрофой для бизнеса - банки, медицинские клиники и т.п. Многолетняя практика обеспечения информационной безопасности показывает, что причиной подавляющего числа нарушений (более 90%) в области ИБ являются ошибки персонала (ссылка раз, ссылка два). значительного числа инцидентов становятся действия штатных сотрудников. И чаше это именно ошибочные действия, чем злой умысел. Поэтому логично, что и внимание к действиям сотрудников должно быть особым.
Рассмотрим основные способы технического контроля дисциплины и обеспечения безопасности:
1. Система видеонаблюдения и аудиофиксации. Все важные помещения и каналы связи охватываются такой системой, записи сохраняются определённое время (как правило, хотя бы три месяца) для проведения расследований. Практически всегда производится запись телефонных звонков с обращениями пользователей в службу поддержки. Но иногда служба безопасности может производить запись всех телефонных переговоров в организации.
2. Системы контроля и безопасности в информационных системах. Самый известный пример системы предотвращения утечки данных (англ. Data Leak/Loss Prevention, DLP). По сути, принцип работы таких систем строится на перлюстрации - скрытном мониторинге пересылаемой информации. Т.е. все отправляемые письма в электронной почте, сообщения в мессенджерах, документы и изображения перехватываются системой и анализируются на предмет утечки конфиденциальных данных. Подавляющее число сообщений подвергаются автоматизированной обработке, но с некоторыми работает и человек. Администратор работает с перехваченными данным при настройке системы, а служба безопасности в случае срабатывания тревоги о том, что происходит несанкционированная отправка конфиденциальных данных за пределы организации.
3. Системы контроля и учета доступа (СКУД). Такие системы отмечают время входа/выхода сотрудников в помещения, фиксируют перемещения их по территории. Такие системы использую в качестве пропуска три вида данных (их ещё называют факторами аутентификации):
• что-то что знает сотрудник - пароль, пин-код, код доступа к замку.
• что-то, чем владеет сотрудник - паспорт, водительское удостоверение, пропуск, бесконтактный пропуск, ключ и т.д.
• что-то неотъемлемо связанное с сотрудником, биометрическая информация - отпечатки пальцев, рисунок радужной оболочки глаза, изображение лица Такие биометрические системы контроля доступа всё чаще встречаются и набирают популярность.
Все эти системы имеют два неочевидных, но очень серьезных барьера на пути их внедрения:
1. Морально-этический аспект. Факт применения любых систем контроля может восприниматься сотрудниками как знак недоверия со стороны работодателя. Особенно это чувствительно в сфере контроля переговоров и переписки. Если не учитывать этот аспект, то велик риск формирования нелояльности со стороны сотрудников. Ещё хуже, что может возникнуть желание уклониться от контроля, будут использоваться обходные каналы связи, т.е. все системы контроля будут неэффективны.
Наблюдение: большинство систем безопасности защищают в основном от непреднамеренных ошибок. Если сотрудник поставит себе целью совершить правонарушение, например, вынести и продать базу пользователей конкурентам, то остановить его будет очень трудно.
Здесь важна разъяснительная работа, которая покажет, что меры контроля призваны не «подловить», уличить и наказать сотрудника, а для обеспечения качества работы и даже защиты его интересов. Пример из жизни - всё больше в общественных пространствах в городе применяются системы видеонаблюдения. Если в поле действия такой системы происходит правонарушение, например, кража, то такая система поможет разоблачить преступника. Т.е. система работает против правонарушителя и защищает добропорядочного гражданина. Так и средства контроля на рабочем месте не должны стеснять сотрудника, а, наоборот, подтверждать факт качественного исполнения им своих обязанностей. Сформировать такое отношение к средствам контроля очень непростая задача. При этом очень важен личный пример и открытость со стороны тех, кто осуществляет контроль - службы безопасности, кадровиков, руководства.
2. Правовой аспект. Личные права и свободы человека определены законодательством на высшем уровне законодательной иерархии, они прописаны в главе VII Конституции Республики Узбекистан. Осуществление контроля и безопасности без нарушения личных прав сотрудника - нетривиальная задача, требующая тщательной подготовки и проработки на уровне кадровой и юридической служб. Разберём основные проблемы и правовые коллизии по каждому из средств контроля.
1. Система видеонаблюдения и аудиофиксации. Есть ли какие-то ограничение на применение таких систем на предприятии? В общем случае, право на изображение определяется ст.99 Гражданского кодекса Республики Узбекистан «... право на изображение ... иные личные неимущественные права ... принадлежащие гражданину от рождения не отчуждаемы и не передаваемы иным способом.». В январе 2020 года Министерство Юстиции РУз дало комментарий о возможности использования изображения граждан без их согласия, в котором отмечено, что «в национальном законодательстве четко не определены границы неприкосновенности права граждан на изображение ». В сентябре 2020 года на пресс-конференции посвящённой новой редакции Гражданского кодекса было отмечено, что «Сегодня очень актуален вопрос использования фотографий граждан без их согласия. Действующий Гражданский кодекс прямо не требует согласия владельца на съемку или использование фотографии. Многие сейчас свободно используют фотографии других людей без их согласия. В новый законопроект добавляется отдельная статья, чтобы урегулировать вопрос и обеспечить правовую защиту потерпевшего. В этом случае имидж гражданина охраняется законом. Если человек хочет использовать изображение или фотографию гражданина, требуется получение его согласия.»
Текст проекта нового кодекса доступен на портал обсуждения проектов нормативно-правовых актов. В нём предусмотрена такая статья:
ст 31 Проекта ГК. Защита изображения гражданина
Для фотографирования гражданина (включая создание фотоизображения и видеоизображения или произведения изобразительного искусства с его изображением), а также для использования его изображения требуется согласие этого гражданина.
Обращаем внимание, что это проект документа, который не имеет юридической силы.
Учитывая недостаточную правоприменительную практику, проще превентивно проинформировать сотрудников о возможности фиксации их действий и таким образом снизить вероятность встречных претензий. (см. пример информирования ниже).
2. Системы контроля и безопасности в информационных системах. В описании функционала таких системы выше отмечено, что фактически осуществляются перехват и анализ содержимого пересылаемых сообщением автоматически или службой безопасности, т.е. перлюстрация. Статьей 27 Конституции Республики Узбекистан прямо определено «Никто не вправе ... нарушать тайну переписки и телефонных разговоров иначе как в случае и порядке, предусмотренных законом.» Но дословное толкование статьи делает фактически невозможным никакой мониторинг. Поэтому целесообразнее рассмотреть вопрос о правовой обоснованности использования средств контроля сотрудников со стороны трудового законодательства. Согласно ст. 176 Трудового кодекса РУз «Работник обязан добросовестно выполнять свои трудовые обязанности... Трудовые обязанности работника конкретизируются в правилах внутреннего распорядка, уставах и положениях о дисциплине, локальных актах, принимаемых на предприятии (коллективных договорах, инструкциях и т. д.), трудовом договоре». Работодатель, создавая для работника средства производства и рабочее место, декларирует, что они предназначены исключительно для выполнения должностных обязанностей. Для этого в политику информационной безопасности или подобный ей документ необходимо внести соответствующее требование, что все информационные ресурсы предприятия предназначены для выполнения трудовых обязанностей и не могут быть использованы для частных/личных переговоров и переписки. Также лучше явно уведомить о возможности контроля за действиями пользователя, возможности просмотра отправляемых данных. Ознакомить с этим документом при трудоустройстве и периодически (например, ежегодно) предлагать пользователю подтвердить понимание его роли в обеспечении безопасности на предприятии под подпись.
Если после этого сотрудник всё-таки отправит по рабочей электронной почте письмо личного характера и оно будет перехвачено службой безопасности предприятия, то о нарушении тайны переписки речи быть не может, т.к. пользователь знал о недопустимости использования ресурсов предприятия для личных целей. И отправляя сообщение он заведомо знал, что тайна переписки и переговоров не обеспечивается (Обзор практики в РФ по аналогичному вопросу).
В случае если сотрудник допустит утечку данных или в целом нарушит действующие инструкции по ИТ и ИБ, то к нему могут быть применены меры воздействия в рамках трудового, административного или уголовного законодательства. Поэтому административные процедуры (штрафы, лишения премии, выговоры) должны быть предварительно задокументированы и понятны сотруднику.
3. Системы контроля и учета доступа (СКУД). Пропускная система (СКУД) таит в себе множество неочевидных проблем соблюдения законодательства, которые обострились с принятием в Узбекистане закона «О персональных данных». Теме персональных данных на предприятии уже были посвящены несколько статей в нашем издании (например, статья "Как соответствовать Закону «О персональных данных»" в журнале "Управление предприятием" №11 (149) за ноябрь 2019 г.) Наибольшие риски в плане возможного нарушения закондательства со стороны собственника представляют системы, использующие биометрические данные сотрудников. Чаще всего на практике такие систем используют в качестве пропусков отпечатки пальцев сотрудников, изображения их лиц. Порядок работы таких систем описывается ст.26 закона «О персональных данных»:
1. Обработки биометрических персональных данных (отпечатков, фотографий) возможно только при наличии согласия субъекта. Уверены ли вы, что все сотрудники давали своё согласие на сбор и обработку их биометрических данных?
2. К биометрическим данным предъявляются ещё и дополнительные требования по их защите: «Использование и хранение биометрических и генетических данных в электронной форме вне информационных систем может осуществляться только на материальных носителях информации, исключающих несанкционированный доступ к ним.»
Что нужно делать в общем случае:
• иметь готовую форму типовую согласия на обработку ПДн, с указанием условий, целей, сроков и порядка обработки данных. И получать согласие на обработку ПДн у всех, чьи данные принимаются к обработке. Если биометрические данные используются для контроля и учета доступа (СКУД), то нужно явно прописать этот пункт в типовую форму согласия на обработку данных.
• при регистрации всех видов пропусков в СКУД взять отдельно согласие именно на обработку биометрических персональных данных для целей пропуска и контроля доступа. Этот вариант даже более универсален, т.к. в систему СКУД могут вноситься и внешатные сотрудники - практиканты, аудиторы, гости, специалисты подрядных организаций. Но обработка их биометрических ПДн возможна тоже только с их согласия.
Пример, формулировки в политику информационной безопасности или правила внутреннего трудового распорядка, информирующие сотрудника о праве организации осуществлять видеонаблюдение, мониторинг и контроль его переписки и переговоров. Предприятие оставляет за собой право осуществлять видеонаблюдение во всех общедоступных помещениях. Все средства обработки информации, передаваемые работнику для исполнения трудовых обязанностей, а также созданные с их помощью информационные ресурсы являются собственностью организации. Организация оставляет за собой право без предварительного уведомления проверять информацию, которая содержится в полученных или отправленных работником почтовых сообщениях (с использованием корпоративной электронной почты), осуществлять запись и контроль телефонных переговоров через средства связи организации, осуществлять мониторинг других средств обмена информацией, в том числе средств обмена мгновенными сообщениями, видеосвязи, телеконференций. |
Контроль сотрудников и удалённая работа. Значительно сложнее осуществлять контроль за действиями сотрудника, когда он работает удалённо и особенно, если он использует собственное личное оборудование. В этом случае при установке какого-то специального программного обеспечения на личный компьютер уже существует риск нарушения прав на тайну переписки и переговоров. Ведь сотрудник с этого оборудования может как выполнять производственные задачи, так и использовать его в личных целях. Поэтому самым надёжным способом является выделение предприятием своим сотрудникам отдельного оборудования для удалённой работы. И применение к нему тех же процедур, что и для оборудования в офисе запрет на использование выделенного оборудования в личных целях.
Общие рекомендации - юридической службе предприятия необходимо внимательно отслеживать изменения в законодательстве и своевременно дорабатывать административные процедуры. К сожалению, наша практика показывает, что даже работы по реализации требований принятого в 2019 году закона «О персональных данных» не начаты даже на многих крупных предприятиях.