Сотрудник отправил рабочие файлы на личный ящик, а его за это уволили
Мужчина устроился на работу и получил доступ к служебной информации. Он мог читать договоры, видеть суммы контрактов, реквизиты клиентов и личные данные сотрудников. Работодатель указал в трудовом договоре, что это коммерческая тайна и ее нельзя разглашать. Сотрудника предупредили, что переписку по работе можно вести только с корпоративной почты.
Мужчина согласился и ничего не разглашал. Но иногда он отправлял служебные данные с корпоративного ящика на личный. Может быть, хотел поработать с документами из дома. Кажется, что ничего страшного.
Когда об этом узнал работодатель, сотрудника уволили по статье за разглашение коммерческой тайны. Доказательств, что служебную информацию передали посторонним, у компании не было. Сотрудник попробовал восстановиться на работе и дошел до Конституционного суда.
Почему сотрудника уволили за пересылку служебной информации самому себе?
Компания запретила передавать кому-либо служебную информацию. Пользоваться личной почтой для рабочей переписки тоже было нельзя. С сотрудника взяли расписку, что он знает эти требования и будет их соблюдать.
Когда мужчина отправил данные на личный ящик, он воспользовался услугами почтового сервиса «Мэйл-ру». Значит, как минимум оператор электронной почты получил доступ к служебной информации. Это уже третье лицо.
В компании решили так: режим коммерческой тайны нарушен и сотрудника надо уволить. Даже если он не отправлял данные конкурентам, не публиковал их в общем доступе и использовал только для работы на благо компании.
Какие аргументы были у сотрудника для восстановления на работе?
Мужчина отправлял документы только на личный ящик. Он думал, что эти данные защищены, не передавал их посторонним и не вредил компании.
Он посчитал, что «Мэйл-ру» нельзя называть обладателем информации пользователей. Когда кто-то отправляет кому-то почту, он не разрешает читать ее оператору связи, провайдеру или владельцу почтового сервера.
А если «Мэйл-ру» или другой почтовый оператор все-таки обладатель информации, то это нарушение Конституции. Получается, что вся личная переписка, которая хранится на таких серверах, не защищена и доступна третьим лицам без решения суда. Тогда любого сотрудника можно уволить по статье за использование личной почты и мессенджеров, даже если это не вредит компании. Только на том основании, что почта и мессенджеры лежат где-то на серверах.
Доказывать свою правоту мужчине пришлось в четырех инстанциях. Дело оказалось настолько важным, что подключился Конституционный суд. Он объяснил, кого считать обладателем информации и когда можно увольнять с работы за личную почту.
Что сказали суды?
Районный суд, городской и Верховный: 👎
Почтовый сервис имеет доступ к информации в письмах пользователей.
Пересылка данных с работы на личный ящик — это нарушение режима коммерческой тайны. Правильно уволили
Сотрудник пересылал служебные данные через почтовый сервис. В правилах «Мэйл-ру» написано, что сервис может разрешать или ограничивать доступ к информации в личных ящиках клиентов. Значит, «Мэйл-ру» автоматически стал обладателем информации — в законе именно такое определение.
Если обладателем информации, которая является коммерческой тайной, стал кто-то кроме компании и сотрудника, это нарушение. За такое увольняют по статье.
Три инстанции были единогласны: мужчину законно уволили и восстанавливать в должности его не нужно.
Почтовый сервис не считается обладателем информации.
Но это не значит, что сотрудника нельзя уволить за пересылку рабочих документов на личный ящик
Все имеют право свободно получать и передавать информацию законными способами. Это касается разговоров по телефону, электронной почты и любых сообщений.
Информация, которую передают законными способами, не может быть доступной посторонним без решения суда. Это право на тайну переписки и разговоров. Но им нужно пользоваться так, чтобы не вредить другим. Нельзя свободно распространять информацию, если это наносит кому-то ущерб — например работодателю.
Если у почтового сервиса есть доступ к информации в почте своих клиентов, это еще не значит, что он становится ее обладателем и может распространять. Все суды неправильно поняли закон и не так обосновали свое решение.
Надо было по-другому: хотя почтовый сервис и не считается обладателем информации, но сотрудника все равно можно уволить.
Работодатель решил, что есть коммерческая тайна. Ее нужно защищать от посторонних. Вот договор, инструкция и подписка о неразглашении.
Сотрудник все понял, согласился, но использовал личную почту. Значит, он может из дома открыть документы и сделать с ними что захочет. Например, отправить кому угодно.
Это нарушение. Не имеет значения, отправил сотрудник кому-то служебные данные на самом деле или нет. Достаточно факта пересылки рабочих данных на личный ящик.
Главное в таких случаях — какую информацию переслали и запрещал ли это работодатель. Если запрещал, сотрудника можно уволить по статье.
Итог. Дело об увольнении пересмотрят, но это формальность. Скорее всего, суд просто поменяет аргументы на те, которые описал Конституционный суд. В должности сотрудника не восстановят и компенсацию не выплатят.
Это касается только начальников, которые имеют доступ к чему-то секретному?
Нет, это может коснуться кого угодно: менеджера, секретаря, бухгалтера, программиста, технолога, инженера или журналиста.
В этой истории мужчина работал руководителем договорно-правового отдела в крупной компании. Он имел доступ к данным о клиентах, сотрудниках и договорах. Но это не имеет значения.
Важно, что какая-то информация в компании считалась коммерческой тайной. Это может быть любая информация на усмотрение руководства. Если все документы оформлены правильно, за пересылку рабочих файлов на личную почту могут уволить кого угодно.
Почему работодатель решает, что можно, а что нельзя отправлять на личную почту?
Работодатель имеет право ограничивать распространение какой-то служебной информации. Эти правила прописывают в трудовых договорах, инструкциях и соглашениях. Сотрудники должны их соблюдать.
За нарушение можно уволить человека по статье и взыскать с него все убытки — полностью, а не часть.
Как работодатель может узнать, что сотрудники отправляют себе на почту?
Работодатель может проверять корпоративные ящики сотрудников. Он может проверять мессенджеры, если сотрудник создал профиль по просьбе компании и общается в нем по работе.
Если сотрудник с корпоративной почты залогинился в мессенджере и общается там по личным вопросам, работодатель тоже может читать такие сообщения. Он же не знает, что они личные.
Это не нарушение прав и не посягательство на тайну личной переписки. Так сказал Европейский суд по правам человека.
Если в правилах почтового сервиса написано, что он может получить доступ к моей переписке, значит, она не защищена?
Она защищена, но это сложный вопрос. В законе прямо не написано, что владелец какого-то сервиса в интернете обязан сохранять тайну переписки. Но это не значит, что он не обязан.
Почтовый сервис не может свободно публиковать, распространять и пересылать вашу почту кому захочет. Закон ему вроде бы не запретил так делать, но Конституционный суд объяснил, что это подразумевается.
Даже если в правилах написано, что условный «Мэйл-ру» может разрешать и ограничивать доступ к вашей переписке (а чаще всего так и написано), он не владелец и не собственник содержимого писем. Получить доступ к личной почте могут только уполномоченные органы и только по правилам — например по решению суда.
В законах не хватает точности на этот счет. Может быть, их дополнят — Конституционный суд советовал так сделать.
Как правильно пользоваться почтой, чтобы не уволили по статье?
Все зависит от того, как работодатель защитил служебную информацию. Если он официально объявил ее коммерческой тайной и запретил отправлять на личный ящик, может быть повод для увольнения.
Прочитайте трудовой договор и должностную инструкцию. Если там есть особый режим и запреты, строго соблюдайте их. Для увольнения достаточно одного письма самому себе. Даже если там один договор с поставщиком и вы больше никому его не показывали.
Спросите у работодателя, что он думает по поводу личных ящиков. Директор может сам не знать, что коммерческую тайну нужно оформлять как-то по-особенному. Вдруг он против личной почты, но не составил документы. В суде вы выиграете, но репутацию испортите.
Не пользуйтесь личной почтой без разрешения. Если нужно поработать из дома, заранее согласуйте это с работодателем, даже если раньше он был не против. Если общаетесь по работе через личный ящик, пусть директор зафиксирует, что он не против. Отсутствие запрета — это не согласие. Потом ничего не докажете.
Следите, что и кому пишете из офиса, даже если это личный мессенджер.
Если официального запрета не было, но вы пользовались личной почтой и вас хотят уволить, ищите юриста и не бойтесь судиться. После пояснений Конституционного суда есть шанс восстановиться на работе и получить компенсацию.
КС РФ: увольнение работника за пересылку конфиденциальной информации на личную почту в нарушение запрета работодателя является обоснованным
 |
| Piotr Adamowicz/ Shutterstock.com |
КС РФ пришел к такому выводу, рассмотрев жалобу на несоответствие Конституции РФ п. 5 ст. 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Напомним, в ней говорится, что обладатель информации – это лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Cотрудник был уволен за отправку с рабочего компьютера на внешний электронный адрес информации с персональными данными работников организации, а также о суммах, установленных для них премий. При том, что был под роспись ознакомлен с приложениями к трудовому договору и принял на себя обязательства не разглашать конфиденциальную информацию и персональные данные работников, ставшие ему известными в связи с исполнением трудовых обязанностей.
В своем обращении заявитель отметил, что указанная норма дает право почтовому интернет-сервису разрешать или ограничивать доступ к информации, содержащейся в пересылаемых электронных сообщениях. А это, в свою очередь, позволяет привлекать работника, использовавшего почтовый интернет-сервис для отправки рабочих файлов с конфиденциальной информацией с корпоративного ящика на личный, к дисциплинарной ответственности за распространение охраняемой законом информации.
Суд указал, что, с одной стороны, закон прямо не обязывает владельца интернет-сервиса обеспечивать тайну связи, но, с другой стороны, это не означает отсутствие такой обязанности. Наличие доступа к информации вовсе не делает лицо ее обладателем, а условия пользовательского соглашения не предоставляют владельцу интернет-сервиса право самостоятельно разрешать или ограничивать доступ к информации.
К аналогичному заключению ранее приходили суды общей юрисдикции. К примеру, на сторону работодателя в подобной ситуации встал Воронежский областной суд (апелляционное определение Судебной коллегии по гражданским делам Воронежского областного суда от 19 января 2017 г. по делу № 33-478/2017). Так, в иске о признании увольнения незаконным работник также ссылался на то, что факт передачи информации третьим лицам не был доказан в ходе служебного расследования. Но суд не согласился и с этим доводом в силу того, что сотрудник создал условия для неконтролируемого использования конфиденциальной информации. Грубым нарушением трудовых обязанностей и основанием для увольнения посчитал аналогичные действия работника и Мосгорсуд (определение Московского городского суда от 16 июня 2016 г. № 33-23105/16).
Минцифры России: рекомендации по работе с персональными данными
 |
| pressmaster / Depositphotos.com |
Минцифры России направило методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных. Рекомендации содержат тезисы, которые могут быть интересны и другим категориями операторов персональных данных, включая работодателей в целом (Письмо Министерства цифрового развития, связи и массовых коммуникаций РФ от 28 августа 2020 г. № ЛБ-С-074-24059).
Так, приведен список актов, которые работодателю рекомендуется издать по вопросам работы с персональными данными:
Приведен также перечень рекомендованных структурных компонентов политики организации в отношении обработки персональных данных и их примерное содержание.
Кроме того, чиновники рекомендовали указывать сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Закона о персональных данных, а также в случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), цели осуществляемой передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
Рекомендовано хранение персональных данных осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также указывать сроки хранения персональных данных и иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
По вопросу о возможности предоставления согласия на обработку персональных данных в электронной форме в ведомстве отмечают, что такое согласие может быть дано, если иное не установлено федеральным законом, в любой позволяющей подтвердить факт его получения форме, в том числе в письменной форме, с использованием электронной цифровой подписи, акцептирования публичной оферты, получения на мобильный телефон и (или) электронную почту уникальной последовательности символов и иными способами и формами. Вместе с тем, в случаях, когда Законом о персональных данных предусмотрена обработка персональных данных только с согласия в письменной форме субъекта персональных данных, то равнозначным признается только согласие в форме электронного документа, подписанного электронной подписью.
Письменная форма согласия должна включать в себя цель обработки персональных данных, а согласие субъекта персональных данных на обработку его персональных данных может включать в себя только одну цель обработки персональных данных. Указанная норма является императивной и не подлежит расширенному толкованию. При обработке персональных данных субъекта в случаях, требующих составления письменной формы согласия в соответствии с ч. 4 ст. 9 Закона о персональных данных, указанное согласие составляется отдельно для каждой из целей обработки персональных данных.
Согласие работника на обработку персональных данных может быть оформлено как в виде отдельного документа, так и закреплено в тексте трудового договора и отвечать требованиям, предъявляемым к содержанию согласия, согласно ч. 4 ст. 9 Закона о персональных данных.
Приведены примеры, когда согласие работника на обработку персональных данных не требуется. Так, обязанность по обработке, в том числе опубликованию и размещению персональных данных работников в сети Интернет или при передаче персональных данных работника третьим лицам, предусмотрена законодательством РФ.
Примерами прямого указания в законодательстве РФ норм, связанных с обработкой персональных данных, могут стать следующие случаи:
Другим примером может служить обязанность в соответствии с п. 2 ст. 10 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» владельцев сайтов в сети «Интернет» разместить на принадлежащем ему сайте информацию о своих наименовании, месте нахождения и адресе, а также адресе электронной почты.
Согласие работника не требуется при получении, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной законодательством РФ. Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, работодатель обязан получить согласие работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
В соответствии с ч. 1 ст. 17 Федерального закона от 12 января 1996 г. № 10-ФЗ «О профессиональных союзах, их правах и гарантиях деятельности» для осуществления уставной деятельности профсоюзы вправе бесплатно и беспрепятственно получать от работодателей, их объединений (союзов, ассоциаций), органов государственной власти и органов местного самоуправления информацию по социально-трудовым вопросам. Согласно Определению Верховного Суда РФ от 20 июля 2012 г. № 56-КГ12-3 согласие работников на передачу их персональных данных профессиональному союзу не требуется, так как коллективный договор заключен от имени всех работников, а профсоюз, запрашивая персональные данные, контролирует соблюдение коллективного договора.
Не требуется согласие при обработке персональных данных близких родственников работника в объеме, предусмотренном унифицированной формой № Т-2 (утв. Постановлением Госкомстата РФ от 5 января 2004 г. № 1), либо в случаях, установленных законодательством (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
Согласно п. 1 ст. 20 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» граждане, претендующие на замещение должности гражданской службы и замещающие должность гражданской службы, включенную в перечень, установленный нормативными правовыми актами, обязаны предоставлять сведения о своих доходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов своей семьи.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
Не требуется согласие при обработке специальных категорий персональных данных работника, в том числе, сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения работником трудовой функции на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках трудового законодательства, в частности согласно ст. 228 ТК РФ о несчастном случае с работником работодатель обязан проинформировать соответствующие органы.
Передача персональных данных работника организации кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
Согласие работника не требуется при передаче его персональных данных в случаях, связанных с выполнением им должностных обязанностей, в том числе, при его командировании в соответствии с Правилами оказания гостиничных услуг в РФ.
Работодатель вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям, в том числе, относится обработка персональных данных в рамках бухгалтерского и налогового учета. С учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных, согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется, и соответственно, обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных ТК РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
В случае получения резюме соискателя по каналам электронной почты, факсимильной связи работодателю необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К примеру, к таким мероприятиям можно отнести приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, обратная связь посредством электронной почты и т. д.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, утвержденной оператором, то данная типовая форма анкеты должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687), а также содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу. Типовая форма анкеты соискателя может быть реализована в электронной форме на сайте организации, где согласие на обработку персональных данных подтверждается соискателем путем проставления отметки в соответствующем поле, за исключением случаев, когда работодателем запрашиваются сведения, предполагающие получение согласия в письменной форме.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством РФ, в частности законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
Получение согласия также является обязательным условием при направлении работодателем запросов в иные организации, в том числе, по прежним местам работы, для уточнения или получения дополнительной информации о соискателе. Исключение составляют случаи заключения трудового договора с бывшим государственным или муниципальным служащим. В соответствии со ст. 64.1 ТК РФ работодатель при заключении трудового договора с гражданами, замещавшими должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами РФ, в течение двух лет после их увольнения с государственной или муниципальной службы обязан в десятидневный срок сообщать о заключении такого договора представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами РФ.
Чиновники напомнили, что ст 16 Закона о персональных данных установлены права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных, в частности запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением следующих случаев: при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. В частности, примерами могут стать следующие ситуации:
Это подтверждается также ст. 86 ТК РФ, согласно которой при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
В рекомендациях отмечается, что оператор персональных данных обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Если предоставление персональных данных является обязательным, то оператор должен разъяснить последствия непредоставления таких данных, например, отказ в предоставлении персональных данных работодателю при заключении трудового договора повлечет невозможность заключения такого договора.
