Уполномоченный орган по защите прав субъектов персональных данных: итоги за 2011 год

Вчера Уполномоченный орган по защите прав субъектов персональных данных опубликовал на сайте Роскомнадзора отчет о своей деятельности за 2011 год.

Надо сказать, что Роскомнадзор в целом и Управление по защите прав субъектов персональных данных, в частности, весьма активно и результативно использует возможности своего интернет-портала, поддерживая актуальную новостную ленту, выкладывая новые документы, организовав форум и FAQ и т.д.

Естественно, 54-страничный документ требует пристального и детального анализа, что проще сделать, внимательно его рассмотрев самостоятельно. Тем, кому недосуг – взгляд моими слипшимися от бессонной ночи изучения отчета глазами.

Отчет подводит итоги деятельности уполномоченного органа в минувшем году по следующим направлениям:

·         осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации;

·         деятельность по ведению реестра операторов, осуществляющих обработку персональных данных;

·         рассмотрение обращений граждан и юридических лиц;

·         работа консультативного совета при надзорном органе;

·         международное сотрудничество.

Подобный документ ежегодно публикуется уполномоченным органом с 2008 года, но в этом году впервые включает в себя сведения о надзорной деятельности ФСБ и ФСТЭК в области персональных данных, что тоже очень интересно.

Роскомнадзор отмечает рост гражданской активности в вопросах защиты прав и законных интересов субъектов персональных данных, постоянное совершенствование механизмов защиты и внедрение новых мер профилактического характера в форме мониторинга деятельности операторов, что позволило ему уже на начальной стадии выявить и пресечь ряд серьезных нарушений прав значительного числа граждан, которые, впоследствии, могли вызвать широкий общественный резонанс.

В 2011 году контрольно-надзорная деятельность была спланирована с учетом итогов 2010 года, по результатам которых были выделены категории операторов, на деятельность которых поступало наибольшее количество жалоб граждан – кредитные организации и коллекторские агентства, а также обрабатывающие персональные данные значительного числа субъектов - авиакомпании и кадровые агентства. В отношении представителей этой группы в 2011 году были проведены 194 плановые проверки.

Общие итоги надзорной деятельности в 2008-2011 г.г. я свел в табличку:

Таблица 1 

		2008	2009	2010	2011
Проведено проверок	Всего	76	432	1253	2231
	% к прошлому году	-	568	290	178
	Плановых	36	284	804	1440
	% к прошлому году	-	789	283	179
	Внеплановых	40	148	449	791
	% к прошлому году	-	370	303	176
	% от общего числа в этом году	53	34	36	35
Выдано предписаний	Всего	19	557	1908	2250
	% к прошлому году	-	2931	343	118
	В среднем на 1 проверку	0,25	1,29	1,52	1,01
Составлено протоколов	Всего	0	54	2996	4901
	% к прошлому году	-	-	5548	164
	В среднем на 1 проверку	0	0,13	2,39	2,20
Всего выписано штрафов	На сумму, тыс. руб.	0	75	4480	7900
	Рост, в количество раз	-	-	60	1,8
Поступило обращений в Уполномоченный орган	Всего	146	465	1829	3920
	% к прошлому году	-	318	393	214

Интересно, что из 1706 намеченных на 2011 год  266 плановых проверок или почти 16%, отменено в связи с ликвидацией оператора.

Из таблицы видно, что проверки стали носить не профилактический или пресекающий, а откровенно карательный характер – число предписаний об устранении нарушений составляет в среднем 1 на каждую проверку, а количество протоколов, ведущих к наложению штрафа, - 2,2 на каждую проверку. Что не могло не сказаться на размере выписанных штрафов, которое выросло до 7,9 млн. рублей, что в 105 (!) раз больше, чем всего два года назад. Можно только представить, как вырастет объем взыскиваемых штрафов при принятии поправок в КоАП, о которых я писал на днях.

Если мы просмотрим результаты проверок в отношении четырех выявленных Роскомнадзором категорий наиболее часто нарушающих закон операторов, то результаты надзорной деятельности окажутся совсем неожиданными (таблица 2).

Таблица 2 

	Кредитные организации	Коллекторские агентства	Кадровые агентства	Авиакомпании
Проведено проверок	189	25	31	14
Выдано предписаний	125	13	30	8
В среднем на одну проверку	0,66	0,52	0,97	0,57
Составлено протоколов	36	14	13	0
В среднем на одну проверку	0,19	0,56	0,42	0

У прошлогодних нарушителей удельная доля мер воздействия по результатам проверок оказалась значительно ниже, чем в целом по операторам! То ли выводы правильные ими были сделаны, то ли не такие уж они и злостные. Особенно впечатляет количество протоколов, составленных в авиакомпаниях и банках, при среднем показателе 2,2 на проверку по стране.

В 2011 году по поручению органов прокуратуры проведено 116 внеплановых проверок, причем треть проверок были инициированы по жалобам граждан на организации ЖКХ.

Со своей стороны, в 2011 году в органы прокуратуры для рассмотрения вопроса о возбуждении дел об административном правонарушении по признакам ст. 13.11 КоАП РФ Роскомнадзором направлено около 900 материалов, но решения о возбуждении дел прокурорами были приняты лишь в 167 случаях, т.е. в одном случае из пяти. Основная причина отказа - истечение трехмесячного срока давности по данной статье, предусмотренного КоАП или принятие «иных мер прокурорского реагирования» (внесение представлений, направление предостережений). Но и эта проблема, похоже, скоро будет решена.

В двух субъектах Федерации (Алтайском и Краснодарском крае) прокуратура не согласилась с расширительным пониманием оснований для внеплановых проверок, в Административном регламенте Роскомнадзора. По ее мнению, при отсутствии угрозы жизни и здоровью субъектов или признаков нарушений прав потребителей проверки являются неправомерными, и привлекла инспекторов территориальных управлений к административной ответственности.

Роскомнадзор считает, что «привлечение к административной ответственности и принятие иных мер прокурорского реагирования в отношении должностных лиц, строго соблюдающих положения требований действующих нормативных правовых актов [имеются в виду инспекторы Роскомнадзора, следующие Административному регламенту], может оказать существенное негативное влияние на выполнение ими своих должностных обязанностей в будущем».

Про остальное - типичных нарушениях и результатах надзорной деятельности ФСБ и ФСТЭК – в следующем посте. 

А я предупреждал…

Предупреждал, что шутки кончились. А мне не верили. Вчера на сайте Минэкономразвития  появился законопроект о внесении изменений в КоАП РФ, подготовленный Минкомсвязи, и предусматривающий повышение штрафов и увеличение срока давности привлечения к ответственности за нарушение законодательства о защите персональных данных. Проект делит статью 13.11 КоАП на две части, вводя особо строгие наказания для рецидивистов. Штраф за нарушение установленного законодательством РФ порядка обработки персональных данных предполагается увеличить в 10 раз для граждан - с 300-500 руб. до 3000-5 000 руб., и в 50 раз  для должностных лиц – с 500-1000 руб. до 30 000-50 000 руб., и для юрлиц – с 5 000-10 000 руб. до 200 000-500 000 руб. Не забыты и индивидуальные предприниматели – для них предусмотрено наказание в размере от 30 000 до 50 000 руб.

Рецидивистам (тем, кто был ранее подвергнут наказанию за аналогичное правонарушение) придется еще хуже. Для должностных лиц предусмотрена дисквалификация на срок до 1 года, а для юридических лиц – штраф в размере от 500 000 до 1 000 000 руб.

Другим важным новшеством является возможная передача полномочий по возбуждению дел об административных правонарушениях по статье 13.11 КоАП от органов прокуратуры должностным лицам Роскомнадзора. При этом им же предполагается передать полномочия по рассмотрению дел данной категории или их передаче на рассмотрение судье.

Срок давности привлечения к ответственности за правонарушения по этой же статье может быть увеличен с 3-х месяцев до 1 года со дня совершения правонарушения.

Естественно, законопроект разработан по результатам правоприменительной практики Роскомнадзора (кто бы сомневался!), направлен на оптимизацию и повышение эффективности контрольно-надзорной деятельности и реализует положительный международный опыт защиты прав субъектов.

Правда, ничего нового про субъектов я там так и не увидел. Но близорук, извините, с 1-го класса начальной школы. По-прежнему, КоАП никакой разницы в наказаниях за самое распространенное нарушение, выявляемое надзорным органом – «несоблюдение требований по информированию работников, осуществляющих обработку персональных данных без использования средств автоматизации, о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки» и утечку миллионов смс-сообщений с сайта сотового оператора или сведений о закупках в секс-шопе предусматривать не будет. Не довел до кадровика под роспись, что личное дело и трудовая книжка содержат персданные работника два раза подряд – милости просим на годик на скамейку штрафников. Рулить компанией будет нельзя, только офисным работником подрабатывать.

Естественно, все это является «необходимым элементом приведения ответственности за нарушения в области защиты персональных данных к европейским нормам» (так в пояснительной записке). А к чему же еще? Действующая редакция КоАП признана фактором, препятствующим эффективному контролю и надзору за обработкой этих самых персданных, а также принципу неотвратимости наказания – в 2011 году прокуратурой возбуждены административные производства лишь в 1/6 части случаев предоставления материалов Роскомнадзором.

Учитывая еще одну инициативу Минкомсвязи – подготовку проекта постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», переводящего на новый уровень положения Административного регламента Роскомнадзора, в том числе предусматривающего внеплановые проверки по основаниям, не предусмотренным 294-ФЗ, жизнь у операторов (т.е. всех без исключения юрлиц и индивидуальных предпринимателей) станет скоро значительно веселее. Но станет ли легче субъекту? Пока не видно, почему это могло бы случиться.

Управление рисками как основа безопасности

Обычно такие посты проходят как пятничные. Но, учитывая длительность и частоту выходных дней в последнюю декаду, неизбежно появляется мысль про втягивание в рабочий процесс.

Итак, на фото - классическая модель построения безопасности на основе грамотного управления рисками. Налицо все признаки - оценка исходной обстановки, союзников и противников, выбор места и времени, передача части рисков и принятие остаточных. 

Удачи в новом рабочем цикле!

Проблемы реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и пути их преодоления

Выполнение требований законодательства в области персональных данных по-прежнему остается для кредитно-финансовых учреждений головной болью и предметом постоянных усилий.

В рамках сотрудничества с партнером нашего агентства – компанией «Код безопасности» подготовлена и опубликована статья о проблемах реализации требований законодательства о персональных данных в кредитно-финансовых учреждениях и путях их преодоления.

Несмотря на то, что статья достаточно большая по объему, в ней из-за формата и ограниченности жанра, конечно, затронуты только некоторые вопросы. Детально проблемы, а главное – пути и рекомендации по их решению рассматриваются на моих авторских семинарах для банковских структур.

Согласие на обработку и передачу банком персданных как камень преткновения

Исходя из практики работы нашего агентства, одним из наиболее сложных для банков вопросов по-прежнему остаются определение правовых оснований для обработки персональных данных, необходимость получения согласия конкретных категорий субъектов, а также возможность предоставления и передачи персональных данных банком иным лицам.

Новая редакция статьи 6 ФЗ-152 «О персональных данных» существенно расширила основания для обработки персональных данных без согласия субъекта, к которым теперь отнесено исполнение договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Однако наличие большого количества самых различных категорий субъектов, с которыми у банка договоров нет, но персональные данные которых обрабатываются, по-прежнему создает проблемы. При детальном анализе оказывается, что кроме собственно работников и клиентов, банк обрабатывает сведения о более чем 20 категориях субъектов. К ним относятся:

·         родственники работников,

·         акционеры,

·         учредители,

·         аффилированные с банком лица,

·         лица, вносящие денежные средства на счет вкладчика,

·         лица, осуществляющие от имени клиента распоряжения о перечислении и выдаче средств со счета,

·         залогодатели,

·         лица, имеющие право управления транспортным средством, приобретаемым в кредит,

·         держатели дополнительных платежных карт,

·         лица, от чьего имени осуществляется оплата коммунальных и иных платежей,

·         получатели денежных переводов,

·         лица, имеющие право пользования банковскими ячейками,

·         представители и работники контрагентов и клиентов банка,

·         получатели и плательщики по счетам и т.д.

Список этот можно продолжать достаточно долго.

Все эти категории субъектов не являются сторонами договора с банком, и правомерность обработки их персональных данных должна быть обоснована оператором.

При этом очень часто встает неизбежный вопрос о выполнении нормы ФЗ-152 в части уведомления субъекта о начале обработки персональных данных банком, когда данные получены не от самого субъекта. С одной стороны, банк в большинстве случаев вроде бы обязан это сделать, исходя из нормы, установленной ст.18, с другой, он связан требованиями о соблюдении банковской тайны и той же ст.18, допускающей не уведомлять субъекта, если предоставление ему сведений нарушает права и законные интересы третьих лиц, в частности – клиента банка.

Ситуация усугубляется еще больше, когда вопрос касается двух таких способов обработки, как предоставление и передача банком персональных данных иным лицам. Наиболее яркий пример столкновения различных точек зрения на допустимость такой передачи и ее принципиальную возможность даже при наличии согласия субъекта – уступка прав требования просроченной задолженности по кредиту (цессия). С одной стороны, ст.382 Гражданского кодекса допускает  передачу другому лицу права (требования), принадлежащего кредитору, без согласия должника, а, с другой, ст.388 не допускает возможности уступки требования по обязательству без согласия должника, если личность кредитора имеет для должника существенное значение.

По мнению Роспотребнадзора, например, такая уступка прав требования долга коллекторским агентствам, деятельность которых не регулируется законом и которые не являются участниками потребительского рынка, не допустима даже при наличии на это согласия заемщика в договоре, а само включение такого положения в договор уже нарушает права потребителя и влечет административную ответственность. Иной точки зрения придерживается Минэкономразвития, подготовившее законопроект «О деятельности по взысканию просроченной задолженности», и арбитражные суды, далеко не всегда находящиеся на стороне Роспотребнадзора. С судами общей юрисдикции, рассматривающими вопрос о взыскании невозвращенных кредитов, ситуация вообще особая.

Положение банков существенно ухудшают также b многочисленные жалобы их клиентов в различные органы - от прокуратуры до Роскомнадзора, на привлечение коллекторских агентств к взысканию просроченной задолженности, которые нередко приводят к проведению внеплановых проверок банка.

Эти и многие другие специфические вопросы соблюдения законодательства о персональных данных (например, такие непростые, как отнесение данных к биометрическим, трансграничная передача или вопросы передачи персональных данных на архивное хранение, судебная практика рассмотрения споров, связанных с персональными данными) будут рассмотрены на семинаре, который я буду проводить в Школе финансового мониторинга и контроля «ФКД консалт» 28-29 мая.

Семинар состоит из двух модулей, первый из которых предназначен для тех, кто только «вкатывается» в тематику персональных данных, например, назначен в юридическом лице ответственным за организацию их обработки, и будет интересен не только банкам, но и многим другим организациям, осознавшим необходимость выполнения законодательства. Второй модуль рассматривает специфические банковские проблемы, в том числе поставленные перед Консультационным центром Ассоциации российских банков, в подготовке информационных писем которого в качестве эксперта я принимал участие. Семинар проводится как очно, так и заочно, что позволяет его слушателям выбрать наиболее подходящий для них вариант. Благодаря транслируемому через Интернет вебинару те, кто не смогут приехать в Москву, также примут участие в мероприятии.

Традиционно семинар предусматривает живое обсуждение материала с его участниками, имеющими возможность и задавать вопросы, и высказывать свою точку зрения на рассматриваемые проблемы.

Можно ли защитить права обладателя секретов производства, не устанавливая режим коммерческой тайны?

Вы действительно знаете ответ на этот вопрос?

Практика показывает, что большинство представителей бизнеса считает, что на него можно дать положительный ответ. Постоянно сталкиваюсь с перечнями конфиденциальной, служебной, внутренней инфомации, информации ограниченного доступа и инфомации для внутреннего пользования. Все эти перечни формируются комерческими организациями и предусматривают использование широкого спектра ограничительных грифов и пометок «Конфиденциально», «Строго конфиденциально», «Для служебного пользования», «Из здания не выносить» и т.д.

На вопрос о правовом основании ограничения доступа, отличии служебной информации от информации, составляющей коммерческую тайну, ответ в большинстве случаев получить невозможно. Еще большее недоумение вызывает вопрос, а зачем ограничен доступ к тому, что названо служебной или внутренней тайной, и каковы последствия нарушения требования конфиденциальности в отношении нее работником, контрагентом или представителем органа власти. Спонтанный ответ: «Уволим к чертовой матери», при этом ссылкой на конкретную статью Трудового кодекса он никогда не обосновывается.

Разъснения про возможность ограничения доступа к информации только на основании федеральных законов и в случаях, ими предусмотренных, вызывают оторопь собеседника и встречный вопрос: «Это что, я и доступ к информации запретить не могу?».

Коллеги из служб безопасности и юридических департаментов! Давайте вместе бороться с правовой неграмотностью и правовым нигилизмом! Давайте читать решения судов и делать выводы. Давайте обосновывать позицию, а не прибегать к эмоциям. Пользы будет больше.  

Шутки кончились

Похоже, правоприменение ФЗ-152 «О персональных данных» вступает в принципиально новую стадию. Штрафы от полумиллиона рублей и больше еще неизвестно когда введут (а что введут – сомнений нет, зайдите на сайт Госдумы и посмотрите предложения по корректировке КоАП), а жить надо сегодня.

И вот в последнее время появились весьма интересные инициативы надзорных органов по наказанию операторов персональных данных, «не вписавшихся» в закон.

Тон задала прокуратура г.Уфы, которая проверила некие ООО «Исток-Сервис» и ООО «Инфорсер», занимающиеся оказанием справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. То, что эти два общества осуществляли обработку персональных данных без лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера по защите персональных данных клиентов, удивления не вызывает. Прокуратура с полным основанием посчитала, что это может повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. А вот выводы оказались совсем неожиданные. 

Можно было бы предположить, что нарушителей, как обычно, привлекут к ответственности по ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», поскольку, как отмечено, мер по защите персональных данных они не принимали. Или по ст.13.13 «Незаконная деятельность в области защиты информации» за занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такая лицензия в соответствии с федеральным законом обязательна. Ну, или уж по ст.19.20 за осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Последняя статья самая суровая и допускает наложение на юрлиц штрафа размером до 250 тысяч рублей или административное приостановление деятельности на срок до 90 суток.

И городская прокуратура направила в Октябрьский районный суд г. Уфы исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных. Основания для этого в весьма пространном пресс-релизе почему-то не указываются, но, похоже, речь идет именно о ст.19.20, поскольку ни 13.11, ни 13.13 приостановку деятельности не предусматривает в принципе.

Второй звоночек с весьма характерным звуком в те же последние дни марта раздался в Ярославле. Дело тоже обычное до зевоты. Местный агент МТС, как водится, оформил договор и симку на подставное лицо, настоящий владелец использованного паспорта об этом узнал, нажаловался в Роскомнадзор, который по жалобе организовал проверку (основания для этого – отдельная история), ну, и привлек, как положено, но не агента, а оператора – ОАО «МТС», который, как отмечено в акте, «не обеспечил внесение в базу данных достоверной информации об абоненте, не убедившись в личном предъявлении им документа, удостоверяющего личность, не заключил договор в письменной форме», и, самое главное, не обеспечил возможности получения сами понимаете кем информации об абоненте из базы данных для проведения оперативно-розыскных мероприятий.

Естественно, по факту выявленных нарушений составлен протокол об административном правонарушении, в данном случае – по основаниям, предусмотренным ч.3 ст.14.1 КоАП РФ «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)». Поскольку речь шла о персональных данных, к 14.1 добавлены еще и упоминавшаяся ранее ст.13.11, а также ст.13.14 «Разглашение информации с ограниченным доступом» - видимо, персональных данных того самого пострадавшего, на имя которого продали симку. Но эти две статьи – в ведении прокуратуры, куда и ушли протоколы.

А вот за нарушение ст.14.1 (дело-то идет о СОРМе!), помимо предписания об устранении выявленных нарушений, оператор сотовой связи получил предупреждение о приостановлении действия лицензии на предоставление услуг связи. А это вам не 5-10 тысяч рублей штрафа.

По поводу агентов, продающих сотовые контракты по копиям чужих паспортов, а то и без них, Дума уже озаботилась, приняв к рассмотрению законопроект с новой статьей КоАП 13.11.1 «Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных», предусматривающей штраф до 300 тысяч рублей.

Глядишь, скоро и время инициативы Роскомнадзора подойдет, о которой 1 марта на Консультационном совете рассказал заместитель руководителя надзорного органа Р.В.Шередин. Предусматривается увеличение срока давности при привлечении к ответственности по ст.13.11 КоАП с 3 месяцев до 1 года, передача Роскомнадзору полномочий по возбуждению административных дел по этой статье и повышение максимального размера штрафа по этой статье с 10 до 500 тысяч рублей.

Во вторник у меня на семинаре по персданным учился руководитель одной организации. Привела его ко мне неожиданная активность местного участкового полицейского, который стал регулярно захаживать в офис и интересоваться, как там идет обработка персональных данных и не нарушается ли чего.

Интерес к теме растет повсеместно.

По лезвию бритвы: между privacy и исключительными правами

Любой интеллектуальный продукт, который создается в современном мире, создается на компьютере. Для многих компаний результат интеллектуальной деятельности - практически все, что у них есть.

Работодатель платит деньги. Работник работает. И работодателю хотелось бы знать, над чем он работает и как. И кто, кроме заплатившего, пользуется полученными результатами. Современные технологии позволяют это сделать достаточно просто. Есть системы, контролирующие работу с почтой, интернет-мессенджерами, доступ в интернет, a при желании – и вообще любые действия пользователя компьютера, звонки по сотовому и стационарному телефону, отправку факсов и многое другое.

Сделать это довольно легко. Но вот допустимо ли? Как провести грань между конституционными правами на неприкосновенность частной жизни, личную тайну, тайну переписки (в том числе электронной), телефонных переговоров и правами работодателя контролировать использование предоставленных работнику средств производства, результаты оплаченной работы и соблюдение своих исключительных прав на результаты интеллектуальной деятельности, полученные за свои же деньги?

Законодатели за двадцать лет творчества в парламенте новой России ничего внятного по этому поводу не сказали. Продекларировав в Гражданском кодексе исключительное право работодателя на служебные секреты, созданные работником в рамках трудовых обязанностей или по заданию работодателя, вопросы ведения личной переписки на рабочем месте и использования средств коммуникаций они аккуратно обошли. А грань между правом на приватность и правами работника, если и существует, по толщине не превосходит лезвие бритвы, по которому и приходится проходить тем, для кого секреты производства – главный, хотя и нематериальный актив.

За пределами России единства взглядов на эту проблему тоже нет. В континентальной Европе мощные и авторитетные профсоюзы работодателям развернуться на поприще контроля категорически не позволяют, и системы контроля и предотвращения утечек – DLP (Data Loss или Leak Prevention или Protection) там редки почти как волки в европейских лесах. Англоязычные страны, в первую очередь – США и Великобритания, на проблему смотрят несколько иначе, ставя во главу угла интересы бизнеса, из чьего кармана оплачивается рабочее время, веб-серфинг и обмен электронными сообщениями.

В США периодически к ответственности привлекаются работодатели, не обеспечившие контроля за использование средств коммуникации и допустившие рассылку по корпоративной почте информации дискриминирующего, оскорбительного или экстремистского характера. Еще проще взгляды на проблему в Азии и Латинской Америке. Там пока проблема примата личного над общественным не стоит. Работодатель платит – и заказывает музыку. Любую, которую любит.

Россия, как обычно, где-то посередине. В некоторых компаниях вопрос мониторинга действий сотрудников даже не поднимается и не рассматривается, где-то контролируется вся переписка, фактически перекрыт доступ к большинству ресурсов интернета, в опен-спейсе – видеокамеры, а на входе – системы контроля доступа учета рабочего времени.

И вот уже отечественный производитель этих самых DLP систем доводит до широкой общественности результаты операции по предотвращению переманивания конкурентом ценного работника, проведенной с перлюстрацией электронной почты.

Есть у этой проблемы и другая сторона. Российские арбитражные суды отказывают в защите компаниям, пострадавшим от кражи коммерческой тайны  своими или уже бывшими работниками. Наличие технической возможности использования почтового ящика работника, через который произошел слив информации, администраторами или службой безопасности, создают у судов «неразрешимые сомнения» в виновности ответчика.

Если специальных средств контроля и логирования нет  – доказать правоту будет невозможно при всей кажущейся очевидности вопроса о бессмысленности «подставы» уволившегося вместе с клиентской базой бывшего коммерческого директора.

Представляется, что тем, кому есть что защищать в этой хрупкой нематериальной сфере интеллектуальной деятельности, принимать меры контроля так или иначе придется. Открыто говоря об этом работникам, документально регламентируя порядок и степень вмешательства, получая подтверждаемое согласие работников на чтение служебной переписки. И делая еще много чего – не будем забывать, что у электронного письма есть получатель или отправитель, а в телефонном разговоре – второй собеседник, которые предупрежденными и согласившимися на это работниками могут и не являться.

Важно еще и не переходить разумные и этические границы. Не стал бы я организовывать прослушку телефона, даже и служебного. Нельзя запретить работнику пользоваться им в личных целях. Забота о здоровье больного ребенка важнее установленных правил. Но знать об этом работодателю вовсе не надо.

Здравый смысл, уважение к личности работника и защита своих прав, предоставленных законами – непростые и не всегда дружащие между собой поводыри для работодателя, создавшего почву для инноваций и ожидающих отдачи от них.