Артур Абузов о вызовах в сфере тайны личной и корпоративной переписки

В эпоху бурного развития цифровых технологий вопросы защиты личной и корпоративной переписки становятся все более актуальными. С одной стороны, онлайн-коммуникация значительно ускоряет и упрощает ведение дел, с другой — увеличивает количество рисков, связанных с утечкой персональных данных и коммерческой информации.

Современные вызовы в сфере тайны личной и корпоративной переписки требуют комплексного подхода. Необходима комбинация технических решений, правового регулирования и повышения осведомленности пользователей. Защита конфиденциальности должна стать частью культуры общения в цифровом мире.

О том, как минимизировать риски и обеспечить безопасность личных и коммерческих данных рассказывает управляющий партнер AB Lawyers Артур Абузов.

Трудно представить современный мир без постоянных коммуникаций по электронной почте и мессенджерам. Мы используем их везде — на работе, дома, на отдыхе, в командировках. Тут есть свои нюансы с правовой точки зрения. Все, наверное, слышали о тайне переписки. Это право каждого гражданина, гарантированное на самом высоком законодательном уровне Конституцией России.  Его можно ограничить только на основании судебного решения. Но действует правило о тайне только в отношении личной переписки. С корпоративной перепиской все обстоит иначе — она конфиденциальна в том смысле, что ее нельзя разглашать всем подряд, но не тайная в том смысле, что получить доступ к ней можно, но при определенных условиях и определенному кругу лиц.

Если доступ к личной переписке незаконно (то есть без согласия) получил кто-то, не являющийся ее участником, может наступить даже уголовная ответственность. Также есть более «мягкие» меры в виде компенсации морального вреда, которую можно взыскать с нарушителя в суде. И здесь мы еще не говорим про случаи, когда из-за неправомерного доступа к переписке произошла утечка персональных данных — это отдельная история с многомиллионными штрафами и уголовной ответственностью.

Каким образом работодатели могут контролировать корпоративную переписку своих сотрудников, не нарушая закон

Во-первых, в локальных нормативных актах компании нужно указать, что сотрудники обязаны использовать корпоративные средства связи и устройства только в рабочих целях. Во-вторых, в этих же документах обязательно нужно предусмотреть право работодателя получать доступ ко всем корпоративным средствам связи и устройствам, включая доступ к их содержимому. В-третьих, ознакомить работников с этими правилами под роспись.

В качестве обоснования своей позиции ссылайтесь на право работодателя требовать от работников исполнения трудовых обязанностей. Если должностные обязанности работника в большей степени подразумевают использование электронной почты (а это практически все офисные работники), то свое право работодатель может реализовать в большинстве случаев только посредством мониторинга электронной переписки своих работников.

Более того, работодатель возмещает вред, причиненный его работникам при исполнении трудовых обязанностей, если работники действовали или должны были действовать по его заданию. Данная норма косвенно поддерживает право работодателя требовать от работников исполнения трудовых обязанностей. Ведь, если работодатель не сможет вовремя проконтролировать работу своих сотрудников, это как минимум может привести к убыткам в хозяйственной деятельности, потере клиента, разглашению конфиденциальной информации, причинению вреда и прочее. Не исключены и умышленные незаконные действия со стороны работников: например, мошенничество, злоупотребление должностными полномочиями. И если работодатель вовремя не выявит такие факты, он может сам стать субъектом ответственности.

Но здесь важно помнить, что эти правила неплохо работают в случае, когда работники используют корпоративные устройства (компьютеры, телефоны, сим-карты и пр.). Если же для рабочих целей сотрудники используют личные устройства, то изъять их и проконтролировать содержимое без согласия работника не получится. Хорошо, если у вас корпоративная почта зарегистрирована на принадлежащий работодателю домен. В таком случае IT-служба может зайти по логину и паролю в учетную запись работника, минуя его личное устройство.

В каких случаях можно законно раскрыть информацию переписки без согласия ее участников

В случае с личной перепиской это можно сделать только, если у вас есть соответствующее решение суда. Если вы захотите принести в суд личную переписку в качестве доказательства по делу — по общему правилу, при отсутствии согласия ее участников, она может быть исследована судом только в закрытом судебном заседании.

С корпоративной перепиской другая история. В суде вы можете на нее ссылаться и раскрывать без согласия ее участников. Если же вы не хотите, чтобы корпоративная переписка стала достоянием общественности (в качестве слушателя в суд может прийти кто угодно, у нас принцип гласности судебных заседаний), попробуйте сослаться на то, что переписка содержит коммерческую тайну компании и просите провести дело в закрытом заседании. Тогда, кроме сторон дела, ее никто не увидит. Но это может сработать только при условии, что у вас в компании надлежащим образом введен режим коммерческой тайны. Иначе велика вероятность, что суд откажет в вашей просьбе.

Все слышали о тренде на ужесточение ответственности за нарушение правил обработки и защиты персональных данных.  Пользователи все чаще сталкиваются с несанкционированным распространением своих персональных данных в различных сферах. Большая степень риска в этом плане у банковского сектора и сервисов, обрабатывающих большие объемы клиентских данных (доставка, такси и пр.). При этом много персональных данных проходит через переписку по электронной почте и мессенджерам. Причем не просто данных, а даже документов, содержащих персональные данные.

Я думаю каждый хоть раз, но сталкивался с просьбой от сервисов по бронированию, банков и других компаний направить фото паспорта. На это уже потихоньку реагирует государство — с этого года был введен запрет на использование государственными учреждениями и банками пока только иностранных мессенджеров. В их число попали и такие популярные мессенджеры как Telegram, WhatsApp (принадлежит корпорации Meta, деятельность которой признана в России экстремистской и запрещена), Viber. Кроме того, серьезно усилилась ответственность за утечки персональных данных. Так, компания может быть оштрафована вплоть до 500 млн рублей, если повторно не смогла предотвратить утечку большого количества персональных данных. При определенных условиях может наступить даже уголовная ответственность. Поэтому мой вам совет — не используйте переписку для обмена персональными данными в больших объемах или документами (клиентские базы данных, сканы документов и т.п.). А если по-другому никак, то регулярно удаляйте ее, не накапливая информацию.

Что сделать для обеспечения сохранности коммерческой информации

Первое, что нужно понимать — это большая работа и, прежде всего, организационная. Обойтись парой «бумажек» не получится. Закон четко говорит, что если хочешь охранять свою информацию — вводи режим коммерческой тайны. Для того, чтобы это сделать, следует определить перечень важной для бизнеса информации, которую нужно сохранить в тайне; разработать внутренние документы, регулирующие порядок обращения с ней, ознакомить работников с ними; вести журнал учета лиц, имеющих доступ к такой информации; предусмотреть соответствующие положения в трудовых договорах с работниками и соглашениях с контрагентами (те самые NDA); наносить на все материальные носители конфиденциальной информации специальные пометки или как их еще называют — грифы.

Второе, что важно понимать — эти правила должны быть не только на бумаге, но и реально соблюдаться на практике, иначе велик риск, что режим коммерческой тайны будет признан не введенным и ваша информация не получит желаемой защиты. Поэтому, чтобы достичь нужного результата, нужна слаженная работа юристов, которые помогут сделать необходимые документы, и внутренней команды менеджеров, которые будут контролировать соблюдение этих правил и объяснять важность мер, кажущихся многим обременительными и лишними.

Еще важно не забывать об обязанности обеспечения безопасности не только коммерческой тайны, но и персональных данных. Здесь не могу не упомянуть об очень распространенном заблуждении, с которым регулярно сталкиваюсь. Так, многие считают, что достаточно иметь некую политику о конфиденциальности и этим «убить двух зайцев»: и ввести режим коммерческой тайны, и защитить персональные данные. В этом случае не пострадает ни один заяц, потому что такая политика не решит ваши задачи. Это просто декларативный красивый документ. О том, что у вас должно быть для защиты коммерческой тайны, я рассказал ранее. А вот с персональными данными — все еще сложнее. Но это хороший повод для отдельного разговора.