Буквально на днях кометой пронеслась по отечественным (и не только) СМИ новость о том, что «ЕСПЧ разрешил компаниям читать переписку сотрудников» и о деле пресловутого Барбулеску. Резонанс и правда ощутимый: споров о том, нарушены ли права человека на тайну частной переписки, было множество. Но есть ли для них повод?
Как известно, господин Барбулеску в личных целях воспользовался Yahoo Messenger со служебного компьютера (под личной учетной записью) во время рабочего дня и был уволен за «нарушение трудовой дисциплины» (в законодательстве РФ имеется иная формулировка). В этом случае не было ни утечки конфиденциальной информации, ни разглашения коммерческой тайны, ни распространения порочащей честь компании информации. Одним словом, вполне обыденная ситуация. Взрыв эмоций вызвало само признание судом законности «вскрытия» стороннего аккаунта и чтения всей переписки для доказательства правоты своих суждений.
Напомним, что решение ЕСПЧ действует во всех странах, ратифицировавших «Европейскую конвенцию о защите прав человека и основных свобод». В этот список входят 47 стран-участниц Совета Европы, среди которых есть и Россия.
На первый взгляд и вправду возмутительно: где же неприкосновенность личной жизни гражданина? Но это всего лишь на первый. Сам работник, отвечая на первоначальную претензию работодателя, утверждал, что не пользовался мессенджером в личных целях, подтвердив тем самым, что никакой «личной жизни» в его сообщениях нет. Далее компания делает ход конем, утверждая о массе существующих регламентов по организации рабочего времени, с которыми работник был ознакомлен под личную подпись (что логично, правомерно и дальновидно). Правда, предоставить экземпляр с подписью сотрудника компания не смогла, что, на мой взгляд, нонсенс. Как и оправдание работодателя самим ЕСПЧ, заявившим, что работник определенно был в курсе регламентов, так как за время его работы за аналогичное нарушение был уволен его коллега. Удивительно, но факт — суд признал просмотр сообщений «единственной» возможностью проверить, был ли инцидент.
Очень неоднозначное дело, но решение следует также из ряда ошибок заявителя, который сам себе и вырыл яму. Смею заметить, гораздо проще было бы написать объяснительную на тему «почему я воспользовался в личных целях» и на том закончить с этим делом.
Однако это всего лишь рассуждения на тему конкретного прецедента. Тогда как в последнее время все чаще появляются «громкие дела» — например, история об оштрафованном за чтение переписок Google. В результате многие компании начинают активно примерять такие ситуации на себя, изыскивая способы внести максимальную прозрачность в подобные процессы. И если уж быть совсем откровенными, с технологической точки зрения ответ прост, и обозначается он уже привычной нам трехбуквенной аббревиатурой — DLP (контроль утечек конфиденциальной информации), которая, как известно, по специфике своей работы близка к решению ЕСПЧ «читать переписку».
Кстати, будь у работодателя Барбулеску возможность использовать систему класса DLP— и переписку бы проверили, и, что главное, без суда бы обошлись. Ведь DLP-системы уже не один десяток лет стоят на страже информационной и экономической безопасности компаний, помогая предотвратить утечки информации, влекущие финансовые и репутационные потери, корректно прощаться с недобросовестными сотрудниками, выявлять узкие места в топологии движения информации внутри компании и выход ее за пределы и т. д. Технологии дают в руки работодателю инструмент для мониторинга почты (включая «личную»), сообщений в мессенджерах, на порталах и т. д. И к сегодняшнему дню в отечественной практике существует масса успешно реализованных проектов по защите информации и реальных привлечений таких «злоумышленников» к ответственности.
Стоит ли здесь спорить об их законности? Или законности использования систем такого класса? Не думаю, что есть основание для спора. Весь секрет в том, что, DLP— это одна из мер по обеспечению комплексной безопасности, сопровождающаяся разработкой целого ряда рекомендаций и документов, «легализующих действия и процессы системы DLP», включая регламенты, с которыми в обязательном порядке и под подпись знакомятся сотрудники компаний.