• Главная
•  > 
• Статьи
•  > 
• Легитимность негласного просмотра корпоративной почты

Легитимность негласного просмотра корпоративной почты

Николай Иванов

Практически во всех российских банках и многих крупных компаниях распространена практика негласного чтения службами безопасности почтовых отправлений. В этой статье я хотел бы рассмотреть, насколько законна эта практика, и как ее легализовать с юридической точки зрения.

Являясь юристом, я, по роду своей деятельности, неоднократно привлекался к построению систем экономической и долговой безопасности компаний, в первую очередь, для разработки правового обеспечения деятельности служб безопасности и взыскания. Пример – перлюстрация почты.

Контроль за той информацией, которую сотрудниками пересылают в своих информационных сообщениях за пределы компании, является жизненно необходимым для многих работодателей. Ежегодно умышленные утечки информации, а также, совершенные по неосмотрительности, наносят многомиллионные убытки отечественным компаниям. Срываются сделки, уходят клиенты, разгораются крупные корпоративные скандалы – не раз причиной этому был, так называемый, «слив инсайда», то есть разглашение сведений составляющих конфиденциальную информацию, коммерческую тайну или ноу-хау участника рынка. При этом профилактика возможной утечки информации, как это обычно бывает, могла бы предотвратить многие из утечек.

Однако, например, с профилактикой проверки отправлений конфиденциальной служебной информации по корпоративной почте могут возникнуть проблемы. Если сотрудники службы безопасности просто втайне от отправителя-работника будут читать его корреспонденцию (перлюстрация почты), то они формально нарушают статью 23 Конституции РФ и часть 1 статьи 138 Уголовного Кодекса РФ, что чревато проблемами с законом не только для них, но и для руководства компании:

Статья 23 Конституции РФ

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Таким образом, как таковая в чистом виде перлюстрация почты силами собственных сотрудников банка, то есть без наличия разрешения суда не законна. Однако, на мой взгляд, действующее российское законодательство, а также практика Европейского Суда По Правам Человека позволяют банкам и компаниям, при правильном документальном оформлении процесса, знакомиться с сообщениями, отправляемыми работником по корпоративной электронной почте.

Для начала я предлагаю читателю познакомиться с одним интересным решением ЕСПЧ.

Копланд против Соединенного Королевства (Copland v. United Kingdom) (N 62617/00)
По материалам Постановления Европейского Суда по правам человека от 3 апреля 2007 года (вынесено IV Секцией)
Обстоятельства дела
Заявительница работала в колледже поствысшего образования, статутном учебном заведении, управляемом государством, в качестве личного помощника директора. Начиная с конца 1995 года ей пришлось тесно сотрудничать с заместителем директора. По требованию заместителя директора был установлен контроль использования ею телефона, электронной почты и Интернета. По утверждению государства-ответчика, это было сделано для того, чтобы убедиться в том, что она не использует оборудование колледжа в личных целях. Мониторинг использования телефона предусматривал анализ телефонных счетов колледжа, указывавших вызываемые телефонные номера, дату и время звонков, а также их продолжительность и стоимость; мониторинг использования Интернета заключался в анализе посещавшихся сайтов, дат и продолжительности визитов, а мониторинг электронной почты - в анализе адресов, дат и времени отправки электронных сообщений. В период этих событий правила мониторинга в колледже не были разработаны. В английском праве также отсутствовали общие гарантии защиты личной жизни, но впоследствии было принято законодательство, регулировавшее перехват сообщений и обстоятельства, при которых работодатели могли записывать или контролировать сообщения работников без их согласия.
Вопросы права. Колледж представляет собой публичное учреждение, за действия которого государство-ответчик несет ответственность для целей Конвенции. Следовательно, вопрос касается негативного обязательства государства-ответчика не допускать вмешательства в личную жизнь и тайну корреспонденции заявительницы. Вопрос о пределах личной жизни. Телефонные звонки из служебных помещений охватываются понятиями "личной жизни" и "корреспонденции". Отсюда следует логичный вывод о том, что электронные сообщения, отправленные с работы, должны быть защищены аналогичным образом, как и информация, полученная в результате мониторинга личного использования Интернета. Заявительница не была предупреждена о том, что ее звонки могут подвергаться мониторингу, и, следовательно, имела обоснованное ожидание в отношении тайны переговоров по своему рабочему телефону. Те же ожидания должны распространяться на электронную почту и использование Интернета.
Вопрос о наличии вмешательства в осуществление прав. Тот факт, что данные могли быть законно получены колледжем в виде счетов за телефонные разговоры, не является препятствием для установления вмешательства. Не имеет значения и то, что эти данные не раскрывались третьим лицам и не использовались против заявительницы в дисциплинарном или ином разбирательстве. Сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и Интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции.
Вопрос о том, было ли вмешательство в права осуществлено в "соответствии с законом". Чтобы отвечать требованию предсказуемости, формулировки закона должны быть достаточно ясными, обеспечивая достаточное представление об обстоятельствах, при которых власти вправе прибегнуть к предусмотренным им мерам. Довод государства-ответчика о том, что колледж в соответствии с его статутными правами был уполномочен предпринимать "все необходимое или целесообразное" для осуществления образовательной деятельности в области высшего и последующего образования, является неубедительным. Кроме того, отсутствуют данные о существовании в период событий каких-либо положений в общем законодательстве страны или локальных нормативных актах колледжа, устанавливавших обстоятельства, которые давали работодателю право осуществлять мониторинг использования работниками телефона, электронной почты и Интернета. Поэтому, оставив открытым вопрос о том, может ли мониторинг использования работником на рабочем месте телефона, электронной почты или Интернета при определенных обстоятельствах считаться "необходимым в демократическом обществе" для достижения законной цели, Европейский Суд заключает, что в отсутствие в законодательстве страны каких-либо положений, регулирующих такой мониторинг на момент событий, вмешательство не соответствовало закону.

Компенсация
В порядке применения Статьи 41 Конвенции. Европейский Суд присудил выплатить заявительнице 3000 евро в счет компенсации причиненного ей морального вреда.

Обращаю внимание читателей на то, что в своем решении ЕСПЧ основной акцент сделал не на незаконность мониторинга, как такового, а на недопустимость его без ведома контролируемого лица. Но об этом чуть ниже. Теперь перейдем к анализу российского законодательства. На мой взгляд, тут не следует лезть в юридические дебри, так как правильные ответы лежат на поверхности (подчеркиваю, что я пишу по корпоративным ящикам и, возможно, рабочим телефонам).

Сначала рассмотрим нормы права по отдельности.

1. Для начала, все та же Конституция РФ – п. 3 статьи 17 КРФ: « Осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц».
2. Смотрим Гражданский Кодекс Российской Федерации: Адреса и ресурсы принадлежат работодателю на праве собственности или пользования - отсюда его гражданско-правовые полномочия (права) по их использованию (в том числе - просмотру). Право пользования ими у работника возникает лишь в силу прямого согласия работодателя в рамках исполнения им трудовых функций.
3. Третий ключевой момент – нормы Трудового Кодекса РФ Статья 21 ТК РФ: работник обязан: добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка (Отсюда первый вывод – необходимо подготовить для своего банка - ПВТР с указанием на то, что электронку и рабочие телефоны нельзя использовать в личных целях или передавать через них служебную информацию посторонним лицам, не в рамках исполнения возложенных на работника должностных обязанностей); бережно относиться к имуществу работодателя.
   Статья 22 ТК РФ: работодатель имеет право: требовать от работников исполнения ими трудовых обязанностей и бережного отношения к имуществу работодателя, соблюдения правил внутреннего трудового распорядка (если в ПВТР есть пункт о том, что работники не должны передавать служебную информацию посторонним лицам – это основание для того, чтобы работодатель мог проверить).
4. Далее, смотрим международную практику (решения Европейского суда обязательны для России). Выше я выложил постановление ЕСПЧ по делу Копланд против Соединенного Королевства (Copland v. United Kingdom) На чем акцентировал внимание ЕС. Ключевые цитаты:
   «Заявительница не была предупреждена о том, что ее звонки могут подвергаться мониторингу, и, следовательно, имела обоснованное ожидание в отношении тайны переговоров по своему рабочему телефону. Те же ожидания должны распространяться на электронную почту и использование Интернета».
   «Сбор и хранение без ведома заявительницы персональной информации, относящейся к использованию телефона, электронной почты и Интернета, представляли собой вмешательство в ее право на уважение личной жизни и корреспонденции».

Итак, вырисовывается следующая картина. В соответствии с Гражданским и Трудовым Кодексами работодателю дано право контролировать использование своего имущества, с чем у работника корреспондирует право бережно к нему относиться и добросовестно исполнять свои обязанности.

При этом ЕСПЧ указывает на обязательную открытость контроля, то есть работник должен быть уведомлен, что его почту могут читать, а телефон прослушивать. Это мысль правильная. ЕСПЧ в плане ограничил возможность злоупотребления правом со стороны работников на тайность переписки, так как дают возможность работодателю обоснованно утверждать, что даже если работник отправил какую-то личную информацию по читаемому сотрудниками безопасности корпоративному электронному ящику, и в рамках аудита почты служба безопасности случайно ознакомилась с данной информацией, то он сознательно не делал из нее тайны, и никаких посягательств на его личные секреты со стороны «безопасников», если они прочтут письмо нет.

Посудите сами, в чем здесь принципиальная разница между направлением какой-то личной информации по открыто читаемому корпоративному ящику или выкладывание ее тем же человеком в общий доступ, скажем, на Интернет-форуме? И в том и в другом случае человек сознает, что его текст будут читать третьим лица, причем не только те, кому текст адресован. Например, я на подобном форуме создам тему с названием "Сообщение для пользователя такого-то, остальным не читать", потом захожу в тему и вижу, что ее читают, кроме этого человека, еще несколько участников. Совершат ли они тем самым преступление, нарушив тайну переписки? Ведь название темы ясно будет указывать, что она предназначена лишь одному конкретному участнику форума. Сомнительно, так как для меня и их изначально отсутствует тайность сообщения, так как я создал тему на открытом форуме, где ее может прочитать каждый. В чем же тогда буде принципиальная разница с чтением службы безопасности сообщений по корпоративной почте, если работник до отправки сообщения был официально предупрежден о возможности ее аудита?

А теперь переходим к Уголовному Кодексу.

Статья 138 УК РФ приведена выше, но сначала стоит ознакомиться с Общей частью УК РФ, так как, в свете того, что я написал выше, можно говорить либо об отсутствии события преступления, или об отсутствии состава.

Просто переберем применяемые статьи Общей части, навскидку.

• Ст. 8. Основание уголовной ответственности Основанием уголовной ответственности является совершение деяния, содержащего все признаки состава преступления, предусмотренного настоящим Кодексом.
• ч.1.ст. 14 УК РФ – понятие преступления - общественно опасное деяние – в нашем случае отсутствует, мы проверяем на законных основаниях использование своего имущества, делаем это открыто, о чем работник уведомлен;
• ч. 1 ст. 25 УК РФ ( преступлением, совершенным умышленно, признается деяние, совершенное с прямым или косвенным умыслом) - статья 138 УК РФ предполагает прямой умысел – у нас его нет, мы не пытаемся подсмотреть тайны работника, а опять же, с его ведома, осуществляем свои права. Тут такой пример приведу, работник говорит по телефону в присутствии сослуживцев, которые находятся на законных основаниях в этом же помещении, и случайно включает громкую связь, в результате все слышат разговор полностью, после чего работник обвиняет остальных в том, что они нарушили тайну его телефонных переговоров, однако, в чем было нарушение, в том, что они получили инфу из-за глупости самого «потерпевшего», который позволил им ее получить из-за собственной безалаберности.

То есть, если работодатель хочет на законных основаниях проводить аудит корпоративной почты, его юристам следует:

1. Прописать в ПВТР запрет на использование почты и телефона в личных целях;
2. Прописать в ПВТР право работодателя читать почту и слушать телефоны;
3. Ознакомить под роспись работника с этими ПВТР. Остается несколько подвешенным вопрос по чтению входящих сообщений на корпоративный ящик работника. Ведь, в них может содержаться личная информация отправителя, охраняемая законом. Конечно, можно не читать подобного рода письма, так как здесь утечки из Вашей компании быть не может. Однако, все же неплохо все в тех же ПВТР обязать работника предупреждать своих партнеров по переписке, которым он сообщает свой корпоративный адрес электронной почты, о возможности аудита сообщений. Да и в сам текст стандартного письма стоит включать информацию об этом.