Кто владеет информацией, тот... (А. Киселёв, журнал "Трудовое право", N 12, декабрь 2017 г.)

Кто владеет информацией, тот...

А. Киселёв

Журнал "Трудовое право", N 12, декабрь 2017 г., с. 91-100.

Кто владеет информацией, тот определяет порядок работы с ней. Такой простой вывод не так давно сделал Конституционный Суд Российской Федерации, который Постановлением от 26.10.2017 N 25-П поставил точку с запятой в очередном трудовом споре, возникшем из-за увольнения за разглашение персональных данных. Несмотря на то, что судебный акт предусматривает пересмотр решений заявителя, в целом его содержание нельзя назвать позитивным.

По стопам Европейского Суда?

Наконец и Конституционный Суд РФ смог высказаться на тему, которая уже стала рутиной для Европейского Суда по правам человека - защита персональных данных в свете трудовых отношений.

ЕСПЧ неоднократно рассматривал споры уволенных работников, в которых государство вставало на защиту работодателя и, как потом часто оказывалось, неправильно поступало. ЕСПЧ систематически находил нарушения статьи 8 Европейской Конвенции о защите прав человека и основных свобод, гарантирующей каждому уважение его личной жизни. Напомним, что концепцию личной жизни ЕСПЧ не ограничивает лишь домашним уютом, но распространяет и на трудовые отношения, объясняя это известным постулатом о том, что личность развивается в деятельности. ЕСПЧ особо подчёркивает, что некоторые люди имеют наибольшую, а иногда и единственную, возможность установить контакты с внешним миром на рабочем месте. И не имеет значения, что для общения выбираются инструменты, не принадлежащие самому работнику (телефон, электронная почта и т.п.).

Другой вопрос - какая информация уходит по каналам связи, принадлежащим работодателю как хозяйствующему субъекту. Одно дело - подробности семейной жизни, другое - конфиденциальная информация, защищённая законом.

Вот и в рассмотренном деле обстоятельства складывались не в пользу заявителя.

За однократное грубое нарушение трудовой дисциплины, выразившееся в разглашении охраняемой законом тайны путём передачи информации ограниченного доступа с рабочего стационарного компьютера директора департамента по договорно-правовой работе на его личный адрес электронной почты, заявитель был уволен. Выяснилось, что он систематически пересылал с корпоративного адреса электронной почты служебные и локальные нормативные документы, относящиеся к служебной (конфиденциальной) информации, а также персональные данные сотрудников на свой личный адрес электронной почты.

Увольнение было оспорено, аргументом со стороны истца было то, что передачу информации с корпоративного адреса электронной почты на личный адрес электронной почты нельзя рассматривать в качестве разглашения охраняемой законом тайны. Однако суды последовательно вставали на сторону работодателя, руководствуясь соглашением между работодателем и почтовым сервисом, а также спорным положением п. 5 ст. 2 ФЗ "Об информации, информационных технологиях и о защите информации", в силу которого обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Конституционный Суд РФ постановил, что положения ч. 2 ст. 23 Конституции России спорная норма не нарушает, поскольку не может рассматриваться как наделяющая правообладателя интернет-сервиса, с помощью которого осуществляются передача электронных сообщений и хранение информации, статусом обладателя информации в отношении сведений, содержащихся в сообщениях, получаемых или отправляемых пользователями по электронной почте, или в отношении информации, которую пользователи хранят с помощью данного интернет-сервиса.

Упрощённо говоря, почтовая служба в сети Интернет не получает никакого права на информацию, которая проходит через неё от пользователя к пользователю.

В то же время вынесенным Постановлением Конституционный Суд РФ дал "зелёный свет" включению работодателями в локальные нормативные акты положений, прямо запрещающих передачу информации с адреса электронной почты, контролируемой обладателем информации, на свой (личный) адрес электронной почты, по сути, придав им заранее силу федерального закона, хотя в последнем абзаце допускает оговорку о необходимости адекватного реагирования федеральным законодателем на состояние общественных отношений в сфере защиты информации и принятия надлежащих мер по совершенствованию регулирования юридической ответственности за нарушение прав и законных интересов обладателя информации.

Примечательно Постановление и тем, что Конституционный Суд РФ в мотивировочной части обратился к практике ЕСПЧ. В частности, было упомянуто прошлогоднее Постановление ЕСПЧ по жалобе N 61496/08 от 12.01.2016 ("Барбулеску против Румынии"), но, на наш взгляд, не вполне удачно.

Новый урок права Совета Европы

Конституционный Суд РФ в целом правильно резюмировал фабулу дела "Барбулеску против Румынии". Работодатель действительно осуществил доступ к отправленным с рабочего адреса электронной почты сообщениям работника, сделанным им с учётной записи в мессенджере, созданной по просьбе работодателя и необходимой для осуществления трудовых обязанностей. Данные обстоятельства, по мнению Палаты ЕСПЧ, позволили работодателю предполагать, что эти сообщения относятся к профессиональной деятельности работника, притом что сам работник не имел разумных ожиданий относительно неприкосновенности частной жизни применительно к переписке личного характера, производимой с указанной учётной записи.

Однако дело Барбулеску было пересмотрено Большой Палатой... в пользу заявителя!

Постановлением от 5 сентября 2017 г. Большая Палата Европейского Суда всё же констатировала нарушение статьи 8 Конвенции. Мотивы такого поворота в деле этого заявителя, несомненно, представляют для нас интерес.

В пунктах 121 и 122 Постановления Большая Палата ЕСПЧ привела тот перечень вопросов, ответы на которые играют существенную роль в подобных делах.

Во-первых, был ли работник предупреждён о возможности мониторинга работодателем переписки и иных сообщений.

Во-вторых, насколько широким был охват мониторинга и насколько глубоким было вторжение в личное пространство работника.

В-третьих, приводит ли работодатель легитимные обоснования проведения такого мониторинга и доступа к содержанию сообщений.

В-четвёртых, возможно ли установить систему отслеживания с меньшей степенью вторжения, чем прямой доступ к содержанию сообщений.

В-пятых, каковы последствия мониторинга для работника и какую пользу работодателю принёс мониторинг, в особенности, были ли результаты использованы для достижения поставленной цели.

В-шестых, предусмотрены ли для работника адекватные меры защиты прав в случаях, когда мониторинг глубоко вторгается в его личное пространство (например, запрет на доступ к содержанию сообщений без предварительного уведомления самого работника).

Наконец, интересует суд и то, имеет ли право работник на эффективную судебную защиту, осуществляя которую, возможно было бы проверить правомерность проводимого мониторинга.

Рассмотрев жалобу, суд усомнился в правильности выводов национальных судов и пришёл к заключению о том, что заявитель не был надлежащим образом уведомлен о проводимых мероприятиях по отслеживанию его сообщений в мессенджере, а также о том, насколько широким был мониторинг. Претензии у Большой Палаты были и к тому, что судами должным образом не проверялись ни соразмерность мероприятий по отслеживанию сообщений работника целям безопасности информации, ни возможность применения менее инвазивных методов. Не оценивались судами ни степень проникновения в личную жизнь заявителя (работодатель ознакомился с содержанием глубоко личной переписки с родственниками), ни серьёзность последствий мониторинга его увольнения.

Выявленные недостатки и позволили суду вынести новое решение, которое должно стать ориентиром не только для обеих палат ЕСПЧ, но и для национальных судов Румынии. Ничто не мешало и российским судам (как и работодателям) изучить описанный прецедент во избежание аналогичных нарушений.

Завершая экскурс в право Совета Европы, нельзя не отметить Рекомендацию СМ/Rec (2015)5 Комитета Министров об обработке персональных данных в контексте трудовых отношений, принятую 1 апреля 2015 г., на которую среди прочих ссылалась Большая Палата, формулируя интересующие её факты. Например, пункт 10 Рекомендации содержит требование прозрачности обработки данных, которое можно свести к обязанности работодателя информировать работника о содержании собираемых и хранимых персональных данных. Пункт 14.1 документа даёт ключевые требования к отслеживанию использования работником Интернета и электронных средств связи на рабочем месте. В частности, от работодателя требуется избегать неоправданного и необоснованного вторжения в частную жизнь работников. Распространяется это требование на все технические средства и информационно-коммуникационные технологии.

Особенности национального права

Возвращаясь к российским реалиям, следует отметить пробелы трудового законодательства в части регулирования оборота информации внутри компании и перемещения за её пределы.

С одной стороны, конституционное право работника на уважение его личной жизни в рамках трудовых отношений в силу ч. 3 ст. 55 Конституции РФ может быть ограничено федеральным законом, что гармонирует и с принципом законности, являющегося одним из основных при возложении дисциплинарного взыскания.

При этом обратим внимание на принцип соразмерности ограничения конституционных прав преследуемым целям и требование легитимности преследуемых целей, заложенных в ч. 3 ст. 55 Конституции РФ.

С другой стороны, пунктом 6.2 упоминавшейся выше Рекомендации предусматривается обязанность работодателя разработать и утвердить политику защиты данных, правила или иные механизмы регулирования внутрикорпоративного использования персональных данных в соответствии с принципами, заложенными в Рекомендации.

В соответствии с нормами международного права пунктами 1, 2 и 3 ст. 6 ФЗ "Об информации, информационных технологиях и о защите информации" предусмотрены обязанности обладателя информации соблюдать права и законные интересы иных лиц; принимать меры по защите информации; ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Статья 8 Трудового кодекса РФ предоставляет право работодателям принимать локальные нормативные акты (ч. 1), однако в силу приоритета норм международного права о защите персональных данных и федерального закона на работодателя возлагается обязанность по принятию локальных актов, регулирующих отношения по поводу охраны конфиденциальной информации и запрещающих какие-либо действия, которые действительно могут нанести ущерб правам работодателя и других работников. С этой точки зрения, ограничения личной сферы на рабочем месте изначально предусмотрены законом, хотя конкретные запреты остаются прерогативой работодателя, которому остаётся лишь грамотно сформулировать разумные и необходимые ограничения на сбор, хранение и передачу информации, ознакомить работника под роспись с принятыми локальными нормативными актами и предупредить его ещё до начала работы о масштабах слежения за его деятельностью в киберпространстве.

Но, кроме закона, существует его практика, изучение доказательств и оценка судом обстоятельств дела, стадии, на которых права работника могут быть нарушены с не меньшей вероятностью, чем на стадии дисциплинарного разбирательства. Можно сказать, что Конституционный Суд России постановлением предотвратил разбирательство дела заявителя в Европейском Суде и, вероятно, выявление не менее серьёзных упущений, чем те, которые выявила Большая Палата Европейского Суда.