Решение Европейского
суда по правам человека (ЕСПЧ) по делу «Барбулеску
против Румынии» наше Агентство очень порадовало. И
даже «Особое частично несогласное мнение судьи г-на Пауло Пинто де Альбукерке»
порадовало. Но совсем не тем, о чем сразу после вынесения решения писали СМИ,
интернет-ресурсы и блогеры, как в России, так и за рубежом.
Дело в том, что нет в принятом определении разрешения работодателям
стран-членов Совета Европы, являющихся сторонами «Европейской конвенции о
защите прав человека и основных свобод» (ЕКПЧ) и «Европейской конвенции по
защите прав физических лиц при автоматизированной обработке данных» (ETS-108),
читать переписку работников и уж тем
более в нем нет полного снятия якобы существовавших в Европе ограничений на
использование DLP-систем, как бы не хотелось видеть это в документе некоторым
авторам. Но в нем есть другие, очень важные моменты.
Мы не стали
торопиться с комментариями, а не спеша, с чувством, толком и расстановкой
разбирались с этим объемным (более 30 страниц) интересным документом.
Одно очень важное предварительное
замечание. Вопреки мнению большого количества комментаторов этого судебного решения,
оно носит прецедентный характер. Так
работает ЕСПЧ. Именно поэтому в нем дается огромное количество ссылок на самые
разные решения не только европейских, но и американских и канадских судов. Нет
сомнения, что на дело Барбулеску, его обстоятельства и принятое решение будут
много и часто ссылаться в новых решениях, касающихся прав и свобод граждан,
работодателей, доступа в интернет и контроля за таким доступом, чтения
переписки и прослушивания переговоров, в первую очередь, когда это касается
негосударственных организаций.
Я не буду
пересказывать всю фабулу дела, об этом можно почитать у многих авторов (на мой
взгляд, самое объективное и взвешенное изложение, из того что я читал, – у Ильи Борисова. Остановлюсь только на
выводах и уроках из этого процесса.
Суд подтвердил
правоту румынских судов двух инстанций, признавших отсутствие нарушений прав
инженера Бурбулеску, установленных статьей 8 ЕКПЧ (право на уважение личной и
семейной жизни, жилища и корреспонденции и ограничения на вмешательство в них),
и не принял жалобу на нарушения положений статьи 6 той же Конвенции (право на
справедливое судебное разбирательство). Это все. Никакого права читать переписку в решении суда нет. Но вот в
обосновании вынесенного решения румынские и согласившийся с ними европейский
суды указали очень много важного и интересного.
В документе постоянно
упоминается об обязательности наличия правил доступа в интернет и использования
в личных целях компьютеров, копировальной техники и телефонов, о соразмерности
и пропорциональности действий работодателя по защите своих прав, допустимости и
прозрачности контроля, его регламентации, наличии у работника точных данных о
ведении такого контроля и необходимости документального подтверждения этой
осведомленности, допустимых способах получения работодателем доказательств
причинения работником вреда и наличии альтернатив получения таких доказательств.
Внимания заслуживают,
например, такие фразы из решения Суда муниципалитета Бухареста: «Работодатель
предоставил доступ в сеть интернет для использования в профессиональных целях,
поэтому неоспоримым является тот факт, что работодатель, в силу своего права
контролировать деятельность работников, обладает полномочиями осуществлять
проверки использования ими сети интернет в личных целях» или «мониторинг
переписки заявителя [Барбулеску] был единственным способом установить
подлинность линии его [работодателя] защиты».
Апелляционный суд г.
Бухареста в своем постановлении подчеркнул, что «нарушение тайны переписки со
стороны работодателя было единственным способом достичь указанной законной цели,
и надлежащий баланс между необходимостью работника защитить свою частную жизнь
и правом работодателя обеспечивать функционирование компании не был нарушен», а
ЕСПЧ согласился с тем, что «поведение работодателя было разумным, и мониторинг
переписки заявителя был единственным способом установить факт дисциплинарного
нарушения».
В особом мнении судьи
П.П. де Альбукерке указывается также на необходимость получения работодателем
согласия работника на такой контроль.
Так чем же нас так
порадовало решение? Оно подтвердило полную правильность, разумность и
достаточность предлагаемых нашим
Агентством мер по организации мониторинга за использованием работниками средств
хранения, передачи и обработки информации. Наши клиенты, в том числе
производители и внедренцы DLP-систем, а также
клиенты, ведущие мониторинг действий пользователей без специальных систем
предотвращения утечек, могут сопоставить содержание подготовленного нами пакета
документов с аргументами суда и увидеть, что все условия допустимости доступа к
электронным сообщениям, формируемым работником на рабочем месте, следам его
доступа к сети интернет и конкретным сайтам сети в документах соблюдены.
Что же это за условия?
1. Открытость мониторинга
Его нельзя осуществлять
втайне от работника, без ознакомления его под роспись с регламентом проведения
контрольных мероприятий. Из этого следует и требование к содержанию такого
регламента: отражение в нем возможных действий работодателя, четкое разделение
порядка анализа содержимого сообщений и файлов в автоматическом режиме,
техническими средствами, когда с ним не знакомятся третьи лица, в том числе
другие работники, и порядка ручного контроля с анализом контента.
2. Определение области мониторинга
Очень важно в таком
документе определить конкретно, что анализируется работодателем: электронная
почта, интернет-мессенджеры, файлы на файл-серверах и в системах хранения данных,
приложениях коллективного пользования, записи в базах данных, телефонные
переговоры и т.п. Должны быть определены четкие границы мониторинга и его
условия, обеспечивающие невмешательство в личную жизнь, защиту прав иных лиц,
не являющихся работниками, но осуществляющих с работниками коммуникации.
Такой подход требует
документального фиксирования двух ограничений:
·
запрета
на использование предоставленных работодателем средств хранения, обработки и
передачи информации в личных целях (как минимум в рабочее время и на рабочем
месте – в эру консьюмеризации ноутбуки и смартфоны часто покидают территорию
организации);
·
документально
подтверждаемого признания работником того, что он не может рассчитывать на
конфиденциальность переписки с рабочего места и с использованием учетных
записей, созданных в информационной системе работодателя.
3. Получение согласия работников на мониторинг
Исходя из той же
позиции, которую изложил в особом мнении судья де Альбукерке, мы всегда
рекомендовали получить явное и
недвусмысленное согласие работника на такой контроль, а, чтобы не создавать
конфликтную ситуацию в последующем, отразить такое согласие сразу при приеме на
работу – в трудовом договоре.
4. Ограничение возможностей доступа
В дополнение к
регламенту контроля необходимы детальные правила работы со средствами хранения,
обработки и передачи информации, а также снижение тяжести контрольных мер за
счет установления различного рода фильтров и ограничений – в отношении,
например, публичных почтовых сервисов типа mail.ru
или gmail.com,
интернет-месседжеров (Facebook, ICQ,
Telegram и пр.), социальных сетей и других ресурсов.
Чем меньше возможностей доступа – тем меньше надо контролировать и создавать
конфликтные зоны.
Но, по своему опыту,
скажу – при использовании списков запрещенных для посещения ресурсов интернет (RBL)
мне никогда не удавалось добиться того, чтобы в Топ-50 самых используемых работниками
сайтов хоть раз попал нужный для работы J.
Необходимо четко
определить запреты на типы хранимых и пересылаемых файлов, в первую очередь,
мультимедиа, действия при обнаружении вредоносного кода и массу других важных
вещей. Чем больше и конкретнее прописано – тем меньше поводов для судебных
споров.
Решение суда – не точка
Особенно, если
внимательно почитать особое мнение. Право на доступ к интернету как базовое и
фраза «работники не оставляют свое право на неприкосновенность частной жизни и
защиты данных каждое утро за дверью рабочего кабинета» еще не раз станут
предметом анализа в судах.
Небольшой комментарий.
Российский Трудовой кодекс не рассматривает нерациональное использование
рабочего времени, в том числе, доступ в интернет в личных целях, как
однократное грубое нарушение трудовой дисциплины, которое может быть основанием
для расторжения трудового договора по инициативе работодателя. Но повторное
нарушение – это уже повод при наличии дисциплинарного взыскания. Подробнее – у Марии Вороновой.
И еще. В решении ЕСПЧ
постоянно даются ссылки на документы рабочей группы Евросоюза по защите
физических лиц при обработке персональных данных, изучающей вопросы мониторинга
электронной переписки сотрудников на рабочем месте и оценивающей воздействие
защиты данных на работников и работодателей, а также на «Свод практических
правил Международной организации труда (МОТ) по защите персональных данных
работника» 1997 года, который содержит важные правовые руководства, не носящие
обязательного характера, для работодателей, работников и судов.
Именно рабочая группа
Евросоюза в мае 2002 года опубликовала «Рабочий документ по мониторингу
электронной переписки работников», в котором указывается, что работодатель
вправе осуществлять контроль за работниками, но это не может служить
оправданием нарушения неприкосновенности их частной жизни. Документом
устанавливается, что любые меры по контролю должны отвечать следующим
параметрам: прозрачность, необходимость, объективность, пропорциональность.
Мне кажется, нам в
России не хватает методической и разъяснительной работы регулятора и надзорных
органов именно в этом направлении – как правильно выполнять требования
законодательства о персональных данных, обеспечивая баланс интересов
государства, общества, бизнеса и граждан.
