Пандемия коронавируса способствовала мгновенному переводу сотрудников во многих компаниях на удаленную работу. При переходе на такой способ работы компаниям важно, чтобы, находясь вне поля зрения руководства, сотрудники исправно выполняли задачи и не нарушали корпоративные правила. Чтобы держать ситуацию под контролем, существуют специальные инструменты — программы для мониторинга действий персонала и защиты от корпоративного мошенничества. О том, как их законно внедрить и использовать, рассказывает Георгий Минасян, директор по безопасности, компания «СерчИнформ».
Многие предприятия и до ситуации с пандемией использовали для некоторых сотрудников дистанционный формат работы. Во многом это касается IT-компаний, издательств, предприятий интернет-торговли, онлайн-обучения. Но за последние месяцы вынужденно ускорился и значительно расширился переход на «удаленку» даже консервативных видов бизнеса. После окончания пандемии многие компании, возможно, предпочтут сохранить дистанционный формат хотя бы частично, чтобы экономить затраты на офис, время сотрудников на дорогу до работы, привлекать специалистов из других регионов и т.д. В связи с этим организация контроля за дисциплиной и эффективностью сотрудников, работающих дистанционно, как никогда актуальна.
Как организовать контроль за «удаленщиками»?
Вне офиса неизбежно падает дисциплина, у сотрудников появляется больше отвлекающих факторов. Поэтому первоочередная задача работодателя после перехода на «удаленку» — наладить контроль за продуктивностью работы сотрудников.
Второй пункт повестки — обеспечить безопасность. Утечка информации и нарушения корпоративных правил со стороны сотрудников — проблемы, с которыми обычно сталкиваются практически все компании (см. исследование «СерчИнформ»1). По прогнозам экспертов, при удаленной работе число таких инцидентов вырастает вдвое.
Для комплексного контроля подходят продвинутые DLP-системы, они объединяют мониторинг активности персонала и защиту от утечек информации. Компоненты системы устанавливаются на рабочие компьютеры и учитывают все действия сотрудников: во сколько они начинают работать, какие программы и сайты используют в течение дня, с какой информацией работают и не «сливают» ли секреты фирмы посторонним.
Надежнее отпускать людей в «домашние офисы» с корпоративными ноутбуками. Если из дома сотрудник будет работать на личном устройстве (это менее предпочтительный вариант, но в текущей ситуации распространенный), правильнее организовать терминальное подключение к рабочим компьютерам или серверам. Тогда системы контроля устанавливают на них, а личные устройства сотрудников работают только для ввода и вывода информации — как удаленный монитор, клавиатура и мышь.
Что говорит закон о допустимости контроля за работой сотрудников на «удаленке»?
По закону работодатель имеет полное право использовать системы контроля. В ТК РФ говорится, что сотрудник в рабочее время обязан трудиться (ст. 91); что работодатель имеет право требовать исполнения трудовых обязанностей (ст. 22) и обязан создать условия для поддержания дисциплины труда (ст. 189). Гражданский кодекс РФ уточняет: если вы организуете условия труда, то можете распоряжаться собственным имуществом по своему усмотрению (ст. 209), в том числе защищать корпоративные компьютеры и информацию на них так, как посчитаете нужным.
А еще компании обязаны защищать персональные данные клиентов, банковскую, налоговую и другие виды тайн, информацию в государственных информационных системах — в зависимости от сферы бизнеса. Для этого просто необходимо контролировать, как сотрудники с ними работают. Но нужно правильно документально оформить факт контроля.
Как организовать режим защиты информации в компании?
Если деятельность компании не попадает под специальные требования (не работает с критичной информационной инфраструктурой, не имеет дела с банковской тайной и т.д.), действенный способ защитить рабочие данные — ввести режим коммерческой тайны (КТ). Под этим термином понимают меры по защите конфиденциальной информации, критически важной для бизнеса, например ноу-хау или стратегий продвижения, обеспечивающих преимущество на рынке. Данный режим необходимо ввести, чтобы законно ограничить доступ к такой информации, а в случае, если она попадет к посторонним, иметь возможность компенсировать ущерб от потерь в суде.
Это работает, если в компании соблюдены следующие условия:
-
введено положение о служебной или коммерческой тайне. В нем четко следует изложить, что составляет тайну, какая информация подлежит, а какая не подлежит разглашению. Обратите внимание: некоторые данные по закону «О коммерческой тайне» конфиденциальными быть не могут, например, сведения о выплате зарплат;
-
в трудовых договорах (ТД) сотрудников есть пункт о неразглашении тайны. Условие можно прописать в отдельных дополнительных соглашениях к ТД сотрудников, которые уже работают в компании на момент внедрения режима. Для вновь набираемого персонала пункт обычно включается в основной текст ТД;
-
составлен перечень сотрудников или должностей, которым можно работать с данными, составляющими коммерческую тайну. Техническими средствами (например, через настройку прав для учетных записей пользователей) разграничены уровни доступа к файлам;
-
внедрен регламент работы с конфиденциальной информацией, в котором перечислены правила хранения, учета, уничтожения и оборота таких данных. Например, утверждены следующие требования: помечать специальным грифом каждую копию документа, составляющего коммерческую тайну; нумеровать экземпляры таких документов; указывать, кому они принадлежат и что вправе с ними делать те или иные сотрудники.
Законы этичного контроля: как закрепить документально
В рамках режима КТ компания обязана фактически обеспечивать защиту информации, в том числе использовать средства контроля. Но сотрудники должны об этом знать, четко понимать, для чего внедряются системы, и дать на это информированное согласие.
Чтобы его получить, составьте документ, в котором по пунктам изложите задачи использования системы в компании:
-
для контроля за соблюдением трудового распорядка и должностных инструкций;
-
для контроля за использованием предоставленного сотрудникам оборудования компании;
-
для обеспечения защиты коммерческой тайны и соблюдения конфиденциальности информации, как того требуют регуляторы.
Подчеркните: контроль нужен, чтобы защищать данные компании, и не более того. Эти данные содержатся в файлах в памяти компьютера и других хранилищах, могут передаваться в переписках. Именно за ними «следит» система — объясните это персоналу.
Документ следует подписать с каждым сотрудником индивидуально. Важно, чтобы процедура не стала формальностью: перед подписанием убедитесь, что все прочитали и усвоили написанное.
Кроме того, введите обязательство использовать информационные ресурсы и технические средства компании исключительно для выполнения трудовых обязанностей. Официально запретите хранить и передавать личную информацию на рабочем оборудовании и в корпоративных сервисах. Дополните этими пунктами все трудовые договоры и должностные инструкции персонала.
Так вы донесете до коллектива, что компьютеры и данные на них принадлежат компании. Это подстраховка на случай, если вне офиса сотрудники будут использовать ПК как «домашние» — например, после работы решат посмотреть сериал или зайти в личные соцсети. С другой стороны, вы буквально документально поручитесь, что не посягаете на личную жизнь работников. Чтобы случайно не впустить работодателя на «частную территорию» — например, в тот же аккаунт в соцсети, — сотрудникам придется не использовать имущество компании в личных целях.
***
В целом контроль за удаленными сотрудниками мало отличается от стандартных мер в офисе, разве что, как показывает практика, работодатели стараются пристальнее следить за дисциплиной и безопасностью. Когда эти намерения прозрачно отражены в документах, работодатель защищен, а у сотрудников будет меньше поводов для переживаний. И если компания действует в открытую, в конечном счете повышается доверие коллектива, а значит, снижается вероятность нарушений рабочего распорядка и внутренних правил, даже когда «начальства нет рядом».
1 https://searchinform.ru/research-2019/.