Риски утечки данных: как обезопасить свою компанию и не нарушить закон

Никита Рогозин, исполнительный директор компании «Стахановец», рассказал, что большая часть российских компаний страдает из-за утечки ценной информации. Многие, пытаясь найти выход из этой ситуации, прибегают к системам мониторинга сотрудников. Однако далеко не все знают, как это соотносится с законом.

Практика показывает

По данным недавнего опроса, 9 из 10 компаний сталкиваются с проблемой утечки информации. При этом больше, чем в половине случаев, главной причиной становятся целенаправленные действия сотрудников.

Обычно работники пытаются получать доступ к данным по нескольким причинам: для развития собственного бизнеса, для портфолио или возможной передачи конкурентам, иногда по неосторожности. Зачастую это происходит из-за отсутствия контроля персонала и доступа достаточно расширенного круга лиц к ценным данным.

Так, недавно стало известно о том, что бывший сотрудник «Лаборатории Касперского» скачал и сделал публичным часть кода, доступ к которому имел во время работы. По словам компании, они очень внимательно относятся к подобным случаям и на постоянной основе осуществляют мониторинг сети на наличие образцов кода, поэтому ситуацию достаточно быстро разрешили и обратились в компетентные органы с целью защиты прав интеллектуальной собственности. Известен и другой случай, когда сотрудник «Альфастрахования» совершил в корыстных целях разглашение сведений, которые стали известны ему по работе и составляли коммерческую тайну. Однако информация о несанкционированном копировании поступила в службу безопасности, в результате чего ситуация разрешалась также с обращением в правоохранительные органы.

В юридической практике известны и примеры, когда пересылка файлов, содержащих персональные данные коллег и коммерческую информацию компании, с рабочей электронной почты на личную признается нарушением режима конфиденциальности. Так, директор департамента по договорно-правовой работе одной из российских организаций переслал на личный почтовый ящик локальные нормативные акты работодателя. В компании посчитали, что это нарушение со стороны сотрудника и уволили его. Работник пытался обжаловать решение, и в октябре 2017 дело дошло до Конституционного суда. В итоге КС постановил: отправка гражданином рабочей информации на свой электронный адрес создает условия для ее «дальнейшего неконтролируемого использования», поэтому подобные действия сотрудника могут расцениваться как нарушение прав работодателя независимо от того, получили ли к ней доступ третьи лица или нет.

Пожалуй, каждый хотя бы раз в рабочее время подыскивал гостиницу для отпуска, выбирал подарок родственникам или обсуждал по телефону личные дела. Казалось бы, ничего предосудительного сотрудник при этом не совершает и ощутимого вреда компании не наносит. Ведь все рабочие задания при этом завершаются в срок, тут же парирует большинство сотрудников. Однако для многих сюрпризом может стать тот факт, что, согласно трудовому кодексу, личные дела в рабочее время нарушают трудовую дисциплину и за это предусмотрено наказание (используют оборудование, предоставленное компанией-работодателем не с целью выполнения своих трудовых обязанностей, если быть точным): замечание, выговор и даже в случае неоднократного нарушения — увольнение. Далеко не всегда работодатели прибегают к таким мерам, хотя во многих случаях имеют на это полное право.

Действовать по закону

Исследования, проведенные в различных организациях Европы и США, показывают: до 94% компаний так или иначе мониторят действия своих работников. В России эти цифры пока скромнее: наблюдение за сотрудниками ведут 71,4% опрошенных организаций, а анализ перемещения данных — 35,7%. Впрочем, прежде чем устанавливать у себя в офисе любые системы мониторинга и контроля качества работы сотрудников, стоит внимательно изучить все юридические аспекты такого рода наблюдения.

Противники мониторинга обычно говорят о неприкосновенности частной жизни и нарушении тайны переписки, ссылаясь при этом на Конституцию, однако в стенах офиса это действует не совсем так. Конституция действительно гарантирует всем гражданам России неприкосновенность частной жизни, личную тайну, а также тайну переписки и любых переговоров. Впрочем, рабочие компьютеры, как и результаты деятельности сотрудника — это собственность работодателя, а значит, ни о каких личных тайнах на рабочем месте речи быть не может. Компания имеет полное право собирать информацию о сотруднике, чтобы проконтролировать качество его работы, именно об этом гласит 86 статья Трудового кодекса.

Тем не менее, прежде чем собирать какие-либо данные о работнике обязательно необходимо включить в трудовой договор уведомление о наблюдении за рабочим местом сотрудника.

Особенно это важно в случае, если система мониторинга ведет аудио- и видеозапись переговоров и рабочего места. Кроме того, лучше всего ввести в компании внутреннее положение о коммерческой тайне и под роспись ознакомить с ним всех сотрудников. Также дополнительно можно наносить на документы гриф конфиденциальности, это еще раз обратит внимание работников на проблемы безопасности. Помимо этого, компании, безусловно, важно систематизировать всю коммерчески ценную информацию и ограничить круг лиц, имеющих доступ к ней. Ведь по статистике, почти четверть утечек информации происходит из-за банальной халатности.

Безусловно, система мониторинга — не панацея, тем не менее, сегодня это весьма доступный вариант для компании любого размера и отрасли, позволяющий собирать и анализировать информацию о событиях внутри компании. Такой подход позволяет не только избегать / не повторять вышеуказанных ошибок, но и транслировать и расширять наработанные успешные практики именно вашего бизнеса, на основе данных, сгенерированных именно вашими сотрудниками.

Ведь почему-то именно внутренние знания и опыт на практике пока так мало используются в принятии тактических и стратегических вопросов кадровой политики.

Теги: бизнес, свое дело, управление персоналом