Слежка за сотрудниками

Недавно Европейский суд по правам человека постановил, что компании должны теперь сообщать сотрудникам заранее, что их электронная переписка контролируется
Об этом мы недавно сообщали на страницах нашего портала.
Мы решили узнать, а как обстоят дела у нас с мониторингом деятельности сотрудников. Как к этому относятся в наших компаниях – нужно ставить в известность сотрудников о слежке или нет?
Свой вопрос мы адресовали к руководителям компаний и разработчикам программного обеспечения, предназначенного для мониторинга работы сотрудников и защиты информации от кражи.

Ашот Оганесян, Технический директор и основатель DeviceLock
Ашот ОганесянСтоит уточнить, что здесь идет речь о том, что в 2016 г. ЕСПЧ признал право работодателя просматривать личные сообщения, отправленные и полученные сотрудником в рабочее время, если в организации установлены соответствующие правила. Разбор инцидента прошел несколько стадий от городского суда Бухареста до ЕСПЧ, и во всех инстанциях суды поддержали работодателя, сославшись на использование корпоративной техники при наличии соответствующих запретительных регламентов, о чем сотрудник был надлежащим образом уведомлен.
Что особенно важно, в определении ЕСПЧ говорится о неприемлемости неограниченной слежки и необходимости ввода четких правил, устанавливающих характер и методы сбора информации о сотрудниках. Один из судей, рассматривавших дело, подчеркнул, что компаниям стоит как можно более доходчиво доносить до своих сотрудников правила, согласно которым работодатель может проводить контроль и мониторинг действий сотрудников с корпоративной техникой и каналами связи.
Мы полагаем, что акцент следует делать не на слежку за сотрудниками, деликатно именуемую «мониторингом деятельности», а на контроль коммуникаций сотрудников, конечной целью которого является защита корпоративной информации от утечек. Эта задача решается совокупностью технических и организационных мер. Безусловно, сотрудники должны быть предварительно уведомлены о ведении компанией автоматизированного контроля их коммуникаций, при этом технические средства должны функционировать явно, не скрытым образом, как это порой реализуется в некоторых DLP-решениях. Проблема сбора и хранения личных коммуникаций решается за счет использования возможностей контентной фильтрации, когда DLP-система детектирует и обрабатывает только те данные, которые непосредственно являются конфиденциальной корпоративной информацией, — например, содержат интересующие службу ИБ признаки, теги, ключевые слова и выражения.

Роман Божков, руководитель пресс-службы компании Falcongaze
Роман БожковЛегальность использования средств мониторинга определяется законами Российской Федерации, в частности 149-ФЗ. Однако сотрудники должны знать о том, что их переписка контролируется. При этом работодателю не требуется получение согласия на мониторинг — достаточно простого уведомления. В случае грамотного обеспечения «бумажного» сопровождения контроля сотрудников — режима доступа к конфиденциальной информации, регламентов и т.д. — данные, полученные с помощью мониторинга, можно использовать в качестве доказательств в суде (при, например, оспаривании работником увольнения по статье). Мы в своей практике (как разработчики SecureTower — средства контроля за сотрудниками) периодически сталкиваемся с работодателями, практикующими негласный мониторинг, однако всячески рекомендуем им «легализовать» контроль, дабы избежать юридических рисков.

Илья Евсеев, руководитель службы информационных технологий компании «Код безопасности»
Илья ЕвсеевНасколько мне известно, законодательством не установлено прямых требований об информировании сотрудников о наличии корпоративных систем контроля. Также не установлены нормы, запрещающие или ограничивающие использование средств контроля со стороны работодателя.
Широко афишировать наличие систем мониторинга и применяемых в них технологий не стоит, но тем не менее настоятельно рекомендую оформить должным образом упоминания об этом в локальных нормативных актах компании, например, в правилах внутреннего трудового распорядка.

Кроме того, следует закрепить внутренними нормативными актами служебные обязанности уполномоченных сотрудников, осуществляющих администрирование систем контроля и анализ полученных данных.
Указанные действия будут дополнительным подспорьем при возможном расследовании дисциплинарных нарушений и смогут доказать легитимность собранных данных при обращении в суд и/или в правоохранительные органы.

Наличие систем контроля уже практически не пугает офисных сотрудников. Отчасти из-за того, что они по умолчанию подозревают работодателя в мониторинге, неважно, афиширует он это или нет. Отчасти из-за того, что в наше время при необходимости всю личную информацию легко отделить от корпоративных ресурсов – практически у каждого для этого есть смартфон или планшет.

Суммируя вышесказанное, считаю, что информировать сотрудников о наличии средств контроля необходимо.


Никита Рогозин, исполнительный директор системы контроля действий сотрудников «Стахановец»
Никита РогозинВ области мониторинга персонала российское законодательство и судебная практика несколько отстают от существующих мировых технологий и тенденций. В России использование специальных программ для контроля работы персонала ничем не регламентировано. Существует такое понятие, как «специальное техническое средство, предназначенное для негласного получения информации». По сути, в соответствующих нормативных актах речь идет исключительно об использовании специальных средств — «жучков» для проведения розыскных мероприятий. Программы для контроля персонала к этой категории не относятся.

Чтобы понять проблематику слежки за персоналом, сначала нужно определить, что она собой представляет и зачем нужна. Как правило, цель установки систем мониторинга — исключить нерациональное использование времени сотрудниками или расследовать инциденты, связанные с информационной и экономической безопасностью.

В зависимости от целей подобные сервисы помогают распределять время сотрудника при работе за компьютером, следить, какие программы он устанавливает и какие сайты посещает, мониторить переписку на рабочем месте, в том числе в мессенджерах, а также делать скриншоты рабочего стола и т.д.

Как видно из этого списка, в нём нет ничего такого, что бы работодатель не имел права контролировать согласно стандартным товарно-денежным отношениям на договорной основе. Так, работодатель приобретает время сотрудника за определенную сумму (заработную плату).

Всем, кто переживает по поводу слежки в компаниях на рабочем месте, я рекомендую не тратить оплачиваемое рабочее время на не связанные с работой активности. Не нужно использовать рабочий компьютер для личных дел или личной переписки — он выдается не для этого. Стоит ли уведомлять сотрудников о том, что применяются подобные решения по мониторингу работы персонала — дело каждого работодателя".


Максим Кулик, разработчик антишпиона — маскировщика COVERT
Максим КуликПоскольку вычислительная техника приобретается компанией для выполнения конкретных задач, работник обязан ее использовать по назначению и никаких негативных реакций у него не должно вызывать наличие программ для отслеживания его работы за компьютером. Но, в настоящее время, любой разумный работодатель понимает, что его сотрудники должны иметь возможность ответить в рабочее время на срочное обращение друзей, близких или посмотреть в интернете необходимую информацию для личных нужд. Например, время работы врача или адрес магазина. Контролировать сотрудников нужно по выполненным задачам, а не времени, которое они смотрят на текст договора на экране монитора. Все люди разные. Одним достаточно часа для выполнения поставленной задачи, а другим и четырех часов недостаточно. 
Я считаю, что работодатель обязан информировать своих сотрудников об установленных системах мониторинга на рабочих компьютерах. И делать это письменно, в виде документа, который работник должен прочесть и подписать.
Если же на каком-то этапе развития компании руководство считает этичным установить ПО для слежки за сотрудниками и сделать это тайно, без уведомления каждого работающего, то это принимает несколько другой оборот. В такой ситуации работник имеет право защитить свою личную информацию. И нас не удивляет, что нашу программу используют на флэшках на рабочих местах. Если работодатель поступает неэтично, тогда ничего другого не остается работнику.
Полагаю, что решение ЕСПЧ выглядит вполне логичным и в РФ следует дать однозначную трактовку подобной ситуации.

Юлия Буйницкая, руководитель Юнис-профи
Юлия БуйницкаяМы создаем электронный ящик корпоративный. По умолчанию он контролируется и просматривается. Личные ящики в процессе не участвуют и мы не считает возможным и нужным их контролировать. В свою очередь, сотрудник должен четко понимать, что, где и в какой мере писать. Если он позволит себе вести личную переписку с корпоративной почты, то он по умолчанию делится с нами своими секретами.
Такие программы и средства использовать не планируем. Чем занимается сотрудник в течение дня — видно по отчетам. Низкая производительность — общаемся, выясняем, устраняем. Сотрудник не имеет доступ к секретным материалам, поэтому страха, что может слить информацию — нет. Поэтому не вижу причин устраивать шпионские программы, все-таки сотрудникам надо хоть чуть-чуть доверять и не унижать его такой слежкой.

  • editor,
  • 639
  • 0