Перейти к содержанию

Легитимность прелюстрации эл.почты


Рекомендуемые сообщения

Сегодня на Банкире обнаружил статью Лукацкого "Легитимна ли перлюстрация электронной почты на предприятии".

Для затравки.... :)

 

Начнем с вопроса: «На работе я написал письмо личного плана и отправил своему другу. Не нарушает ли служба информационной безопасности, осуществляющая перлюстрацию моей электронной почты, тайну переписки?» Казалось бы ответ на данный вопрос достаточно прост и он будет отрицательным («нет, не нарушает»). По крайней мере так считает подавляющее большинство специалистов по информационной безопасности, с которыми я поднимал эту тему как в личных беседах, так и на порталах bankir.ru и securitylab.ru, а также в эхоконференции RU.SECURITY в сети FIDO.

 

ВАЖНОЕ ПРИМЕЧАНИЕ:

 

Автор не является юристом, и изложенная им точка зрения по рассматриваемому вопросу является дискуссионной, спорной и может отличаться от позиций судебных, правоохранительных и иных уполномоченных органов.

 

 

Здравый смысл или буква закона?

На форумах я сталкивался с мнением, что для защиты компании от нарушения ее прав, для соблюдения режима коммерческой тайны и других типовых задач службы ИБ необходимо читать переписку сотрудников. Это следует из обычного здравого смысла. Но вот закон говорит нам немного о другом, и все последующие рассуждения доказывают этот факт, что лишний раз показывает, как далеко наша реальная жизнь от законодательства. Совсем недавно я столкнулся со схожей ситуацией в суде, когда федеральный судья Мазерлендова Л.В. Тушинского районного суда г.Москвы приняла парадоксальное с точки зрения закона, но логичное с точки зрения сути рассматриваемого дела решение – мой отказ от сделанной мне оферты и последующий мой ответ о согласии заключить договор на иных условиях, чем предложено в оферте, был признан акцептом в нарушении ст.443 ГК РФ.

...

 

Часть первая :_ttp://bankir.ru/analytics/infosec/480/141255

Часть вторая: _ttp://bankir.ru/analytics/infosec/480/141757( пожалуй самая полезная)

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 34
  • Создана
  • Последний ответ
Копланд против Соединенного Королевства

(Copland v. United Kingdom)

(N 62617/00)

 

По материалам Постановления

Европейского Суда по правам человека

от 3 апреля 2007 года

(вынесено IV Секцией)

 

Обстоятельства дела

 

Заявительница работала в колледже поствысшего образования, статутном учебном заведении, управляемом государством, в качестве личного помощника директора. Начиная с конца 1995 года ей пришлось тесно сотрудничать с заместителем директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и Интернета. По утверждению государства-ответчика, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования телефона предусматривал анализ телефонных счетов колледжа, указывавших вызываемые телефонные номера, дату и время звонков, а также их продолжительность и стоимость; мониторинг использования Интернета заключался в анализе посещавшихся сайтов, дат и продолжительности визитов, а мониторинг электронной почты - в анализе адресов, дат и времени отправки электронных сообщений. В период этих событий правила мониторинга в колледже не были разработаны. В английском праве также отсутствовали общие гарантии защиты личной жизни, но впоследствии было принято законодательство, регулировавшее перехват сообщений и обстоятельства, при которых работодатели могли записывать или контролировать сообщения работников без их согласия.

 

Вопросы права

 

Колледж представляет собой публичное учреждение, за действия которого государство-ответчик несет ответственность для целей Конвенции. Следовательно, вопрос касается негативного обязательства государства-ответчика не допускать вмешательства в личную жизнь и тайну корреспонденции заявительницы.

Вопрос о пределах личной жизни. Телефонные звонки из служебных помещений охватываются понятиями "личной жизни" и "корреспонденции". Отсюда следует логичный вывод о том, что электронные сообщения, отправленные с работы, должны быть защищены аналогичным образом, как и информация, полученная в результате мониторинга личного использования Интернета. Заявительница не была предупреждена о том, что ее звонки могут подвергаться мониторингу, и, следовательно, имела обоснованное ожидание в отношении тайны переговоров по своему рабочему телефону. Те же ожидания должны распространяться на электронную почту и использование Интернета.

Вопрос о наличии вмешательства в осуществление прав. Тот факт, что данные могли быть законно получены колледжем в виде счетов за телефонные разговоры, не является препятствием для установления вмешательства. Не имеет значения и то, что эти данные не раскрывались третьим лицам и не использовались против заявительницы в дисциплинарном или ином разбирательстве. Сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и Интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции.

Вопрос о том, было ли вмешательство в права осуществлено в "соответствии с законом". Чтобы отвечать требованию предсказуемости, формулировки закона должны быть достаточно ясными, обеспечивая достаточное представление об обстоятельствах, при которых власти вправе прибегнуть к предусмотренным им мерам. Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать "все необходимое или целесообразное" для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться "необходимым в демократическом обществе" для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону.

 

Постановление

 

По делу допущено нарушение требований Статьи 8 Конвенции (принято единогласно).

 

Компенсация

 

В порядке применения Статьи 41 Конвенции. Европейский Суд присудил выплатить заявительнице 3000 евро в счет компенсации причиненного ей морального вреда.

Ссылка на комментарий
Поделиться на другие сайты

Неужели чтоб закошмарить офисный планктон нужно просекать почту. Есть масса менее гуманных способов.

Вот-вот. Правильно там в комментах было написано

 

Правы-неправы работодатели, читающие почту сотрудников (даже с их согласия) уже была масса обсуждений. Кто то считает что это можно делать, кто то, что нельзя. К сожалению наше законодательство построено так, что каждый видит в законах то, что хочет. Даже если это незаконно, служба ИБ при необходимости будет смотреть почту. Просто легализовать полученную информацию будет нельзя. а с выявленным инсайдером разберуться по другому.

 

 

Мне, правда, понравился юридический выпад против расписки сотрудника про мониторинг его действий.

Уважаемый Топаренко, что скажете? :smile3:

 

Другая часто звучащая рекомендация – под распику ознакомить всех сотрудников с правилами пользования корпоративной электронной почтой, в которых будет написано, что они согласны с перлюстрацией и за нарушение правил могут последовать санкции вплоть до увольнения. Считается, что это хоть и не защищает нас от правильного использования электронной почты и иных средств коммуникаций, но огражадет компанию от обвинений в преднамеренном вмешательстве в частную жизнь.

 

Но… и тут нас подкарауливает множество подводных камней. Во-первых, максимум, на что «попадет» сотрудник – это увольнение, в то время как работодатель подпадает под действие КоАП и УК. Причем если уволенный работник захочет подать в суд за нарушение тайны переписки, то он дело выиграет практически однозначно. Ведь причиной его увольнения послужило использование корпоративного почтового сервера в личных целях, и работодатель этим увольнением сам признает, что он контролирует почту и нарушил тайну переписки. Т.е. работодатель попадает в патовую ситуацию – признавая ограничение тайны переписки, он становится участником уголовного разбирательства, а отказываясь от этого (желая уйти из под уголовной статьи), ссылаясь на ошибку, он попадает под огонь трудовой инспекции, которая не погладит его по головке за незаконное увольнение (да и суд потребует вернуть сотрудника на работу с выплатой всех необходимых сумм).

Вторая проблема с распиской в том, что она касается только отправителя сообщения. А ведь в переписке участвует как минимум двое человек. И даже если представить, что такая расписка была бы легитимна, то согласно ст.17 Конституции «осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц». А значит, такую расписку мы должны получать и от получателей корреспонденции, что выглядит даже не бесперспективной задачей, а просто безумной. Одно это требование ставит крест на всех остальных рассуждениях – заставлять постороннего гражданина выполнять мои требования я просто не имею права.

 

Третья сложность состоит в том, что такая расписка или включение соответствующего пункта в трудовой договор будут признаны ничтожным, т.к. ограничивают работника в правах (ст.9 ТК). Эта же статья не дает возможности работодателю отказаться от от обеспечения тайны переписки, т.к. это условие «ограничивает права или снижает уровень гарантий работников по сравнению с установленными» федеральным законодательством.

 

Да и уволить сотрудника за нарушение правил работы с электронной почтой нельзя – такой пункт отсутствует в ст.81 ТК РФ, описывающий причины расторжения трудового договора со стороны работодателя. Парадокс, но даже за утечку информации уволить сложно – это было продемонстрировано тремя абзацами выше. Аргумент 5, указанный выше, можно попытаться включить в отдельное соглашение или трудовой договор, но проверить его исполнение на практике будет невозможно, т.к. мы вступим в противоречие с уже упомянутыми нормами права.

 

Последняя проблема с такой распиской заключается в том, что она незаконна по сути своей. С одной стороны, я не могу, как бы ни хотел, отказаться от своих прав, дарованных мне Конституцией. С другой - работодатель вообще не имеет права требовать от своих работников согласия на ознакомление с их личной перепиской. Это запрещено согласно п.8 ст.9 Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», которая гласит «Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами». Единственный путь решения проблемы – перевести информацию из разряда личной в собственность предприятия.

 

Наказание за такой «пунктик» трудового договора:

• Для должностных лиц – от одной до пяти тысяч рублей

• Для юридических лиц – от тридцати до пятидесяти тысяч рублей или административное приостановление деятельности на срок до 90 суток.

 

При этом трудовая инспекция имеет право вменять эти штрафные санкции за каждый (!) подписанный договор.

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...