Правовые аспекты контроля электронной почты

Александр Синельников, менеджер по продвижению продуктов компании "Инфосистемы Джет"

ЭЛЕКТРОННАЯ почта сегодня - это дешевый и удобный канал связи для получения информации извне и способ ее распространения между сотрудниками компании. Она позволяет оперативно управлять бизнес-процессами, но вместе с тем является одним из наименее защищенных ресурсов корпоративной информационной системы.

Отсутствие контроля над использованием электронной почты сотрудниками компании со стороны руководства или сотрудников службы безопасности порождает ряд серьезных проблем: утечка конфиденциальной информации, распространение по локальной сети организации компьютерных вирусов и спа-ма, использование сотрудниками корпоративной почты в личных целях. Последнее приводит к потере сотрудниками рабочего времени, перегрузке каналов передачи информации и, как следствие, неоправданному росту стоимости их содержания. Для решения этих проблем необходимо использовать комплекс организационно-технических мер контроля корпоративной электронной почты.

Необходимость внедрения именно комплекса мер обусловлена тем, что одни только организационные меры неэффективны. Недостаточно создать политику использования корпоративной электронной почты, издать приказ или распоряжение, ознакомив с положениями этих документов сотрудников под роспись, необходимо еще иметь возможность контролировать выполнение сотрудниками этих директив техническими средствами, которые включают в себя контроль содержимого писем и ведения архива переписки по электронной почте.

Но в этом случае руководство компании сталкивается с иным риском - юридической ответственностью в части законности проверки почтового трафика и правом сотрудников на тайну личной переписки.

Разберем проблему противостояния работников и работодателей в данном вопросе подробно.

Каждый сотрудник имеет право

Согласно Конституции РФ (ст. 23 Конституции РФ), "каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".

Именно на эту статью чаще всего ссылаются сотрудники, если возникает вопрос о правомерности контроля переписки, ведущейся по корпоративной электронной почте, телефонных переговоров сотрудников, посещения ими тех или иных Интернет-сайтов со стороны работодателя. То есть законодательство РФ не дает работодателю права контролировать переписку сотрудников и не предусматривает возможностей нарушать ее конфиденциальность. При возникновении конфликтных ситуаций по вопросам использования корпоративной почты сотрудники компании чаще всего ссылаются на ст. 138 Уголовного кодекса РФ, которая гласит:

1. "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере до 80 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года".
2. "То же деяние, совершенное лицом с использованием служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом в размере от 100 тыс. до 300 тыс. рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от двух до четырех месяцев".

Однако абонентом телефонной сети, оплачивающим переговоры, является организация - юридическое лицо, а вовсе не ее сотрудники. То же относится и к вопросам использования электронного почтового ящика. Тем не менее многие сотрудники склонны рассматривать эти ресурсы, предоставленные им организацией в качестве инструмента для решения служебных задач, как элемент своей частной жизни.

Каждый работодатель имеет право

Работодатель правомерно считает, что корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки. Работодатель оплачивает почтовый трафик, используемый сотрудниками в личных целях, и их рабочее время, потраченное на личное общение. Он же будет нести убытки в случае утечки конфиденциальной информации. Все это и объясняется желанием владельца компании контролировать принадлежащий компании ресурс.

Федеральный закон Российской Федерации дает работодателю право контролировать каналы возможной утечки конфиденциальной информации, в том числе и электронную почту сотрудников. В частности, ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" гласит: "Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры".

Приведем еще ряд законов, которые работодатель может использовать в случае необходимости отстаивания своих прав:

• Закон РФ от 21.07.03 №5485-1 "О государственной тайне".
• ФЗ от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и защите информации".
• ФЗ 27.07.06 № 152-ФЗ "О персональных данных".

Однако несмотря на достаточно большое количество законодательных актов, защищающих права владельцев компаний, руководителям организаций, внедряющим технические средства контроля каналов связи или передачи данных (в том числе и электронной почты), все же хочется знать, как в подобной ситуации не выйти за рамки закона.

Организация контроля корпоративной электронной почты

Тайна переписки распространяется на лиц, участвующих в ее процессе, только при оплате этих средств и услуг оператора связи самостоятельно.

Служебная переписка организуется в производственных целях в рабочее время при помощи технических средств, принадлежащих организации. Если сотрудник включает в этот процесс личные мотивы и цели, то подобные действия можно рассматривать как удовлетворение личных потребностей за счет организации, что, соответственно, попадает под действие УК РФ или КоАП РФ со всеми вытекающими для данного лица последствиями.

То есть вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время.

Для того чтобы все вышесказанное имело правовую основу, руководителю организации необходимо выполнить ряд обязательных процедур:

1. Указать в Уставе организации, кто является собственником всех материальных, технических и интеллектуальных (информационных) ресурсов, в том числе и содержимого служебной переписки, которая осуществляется сотрудниками организации в служебное время и при помощи технических средств, принадлежащих организации.
2. Создать в организации структурное подразделение ИБ, на сотрудников которого возложить функции контроля соблюдения режима информационной безопасности. Издать "Положение о работе подразделения структурной безопасности". Основной задачей подразделения будет являться контроль технических средств обработки информации и служебных документов организации, к которым относится и служебная переписка. В этом же документе должны быть четко описаны все процедуры контроля исполнения данного Положения: периодичность и средства его проведения, ответственные лица, форма отчетности.
3. Установить в организации режим коммерческой тайны (согласно ст. 10 ч.1 Закона "О коммерческой тайне"). Руководитель должен издать приказ, определяющий права доступа сотрудников к информации, носящей конфиденциальный характер. Служба безопасности или уполномоченные лица обязаны контролировать соблюдение сотрудниками требований к работе с подобной информацией в целях исключения ее утечки. Отметим, что государство ограничивает права работника в данном вопросе и в том случае, если компания принадлежит частному лицу. Пример такого документа можно найти в справочно-правовой системе ГАРАНТ, набрав в графе "поиск" следующую фразу: "Положение о конфиденциальной информации (коммерческой тайне) открытого акционерного общества".
4. При заключении с сотрудником трудового договора необходимо включить пункт, по которому работодатель оставляет за собой право контроля деятельности сотрудника на рабочем месте в служебное время, в том числе проверку содержимого служебной переписки, каким бы способом она ни велась (на бумажных носителях, при помощи электронной почты или иным "экзотическим" способом). Кроме того, работодатель имеет возможность включить в данный контракт пункт о запрете использования эксплуатируемых им средств передачи данных или иных технических средств, принадлежащих организации, в личных целях.

Вывод

Подведем некоторые итоги. Для того чтобы у руководителей компании не возникло проблем с законом в вопросах организации ИБ, юристы рекомендуют:

1. Создать перечень сведений, которые составляют коммерческую тайну предприятия и не подлежат разглашению, и ознакомить с данным документом всех сотрудников организации.
2. Включить в трудовой договор пункт, запрещающий использование предоставляемых ему рабочих ресурсов в личных целях.
3. Ознакомить сотрудников предприятия с процедурами обжалования действий контролирующих подразделений компании.

В свою очередь, сотрудникам организации (чтобы у них не возникло конфликтов с работодателем) юристы советуют соблюдать трудовую дисциплину и помнить, что личная переписка защищена законом лишь в том случае, если она ведется в свободное от работы время, на личном оборудовании и оплачивается человеком самостоятельно.