Доказательная сила логов

[Djalolatdin Rakhimov]

то есть обрабатываемая в корпоративной сети инфо, хранящаяся на жестких дисках рабочих станций, в том числе персональных сотрудника - не есть личное инфо по определению? и работодатель не должен получать согласия сотрудника для доступа к ней?

[Ibrohim Djuraev]

Цитата:

Сообщение от Djalolatdin Rakhimov

то есть обрабатываемая в корпоративной сети инфо, хранящаяся на жестких дисках рабочих станций, в том числе персональных сотрудника - не есть личное инфо по определению? и работодатель не должен получать согласия сотрудника для доступа к ней?

насколько известно любые файлы или информации созданные на оборудовании компании являются собственностью компании. Компания оставляет за собой право на доступ и аудит к любым файлам, информациям поддерживаемым на оборудовании компании без предварительного согласия или уведомления работника.
а личные инфо должны хранится на домашнем компьютере, офисная техника не для хранения личных информаций

[Djalolatdin Rakhimov]

ИД, мне тоже так кажется. Но с точки зрения руководителям предприятия очень важно точно мнение именно юристов. И юристов в этом направлении.

[Iskander Koneev]

Юридическая тонкость, как я понимаю, заключается в следующем.
Предприятие может продекларировать, что вся информация и все сообщения на оборудовании предприятия, принадлежат предприятию. Беда в том, как Вы понимаете, что односторонняя декларация не приводит к переходу прав собственности. (Ведь от того, что кто-то продекларирует, что моя квартира стало теперь его, право собственности не перейдет.)
Таким образом, если я размещаю на рабочем компьютере личную информацию, она не может автоматически стать принадлежащей предприятию.
Я думаю, даже простое подписание работником согласия с Правилами, где будет указано, что вся информация на компьютере принадлежит организации, не изменит ситуации. В гражданском праве, скорее всего, передача прав собственности требует нотариального заверения или вообще оформления договора.
Проблема еще и в том, что выяснить что лежит в файле – рабочая информация или личная, работники ИБ предприятия смогут лишь получив доступ к файлу, то есть, нарушив закон.

Даже, если предположить, что сотрудник согласился со сложной системой распределения прав и признал, что все что в организации, принадлежит организации, и в этом случае у него есть серьезный аргумент
“Да, я использовал электронную почту в личных целях и тем самым нарушил КОРПОРАТИВНЫЕ правила. Но, получая доступ к моей электронной переписке без моего разрешения, служба ИБ нарушила закон ГОСУДАРСТВА!”
Ощущаете разницу?

Именно поэтому, получить прямое и явное разрешение на доступ/анализ и т.д. электронных сообщений сотрудника это очень важно. Для тех стран, где подобное ограничение в законах есть, конечно…

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Iskander Koneev

Даже, если предположить, что сотрудник согласился со сложной системой распределения прав и признал, что все что в организации, принадлежит организации, и в этом случае у него есть серьезный аргумент
“Да, я использовал электронную почту в личных целях и тем самым нарушил КОРПОРАТИВНЫЕ правила. Но, получая доступ к моей электронной переписке без моего разрешения, служба ИБ нарушила закон ГОСУДАРСТВА!”
Ощущаете разницу?

Именно в этом и заморочка.

Цитата:

Именно поэтому, получить прямое и явное разрешение на доступ/анализ и т.д. электронных сообщений сотрудника это очень важно. Для тех стран, где подобное ограничение в законах есть, конечно…

И этого достаточно?

[Iskander Koneev]

Я могу ориентироваться на российское законодательство (оно мне доступно)
Вот, из последней редакции закона о Персональных данных

Статья 16.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

[Vladimir Sheyanov]

В законодательстве РУз термин "персональная информация" практически не встречается. Однако, ввод правил на предприятии, в части ограничения хранения и использования персональных данных и иной неслужебной информации на служебных вычислительных средствах не является нарушением основных трудовых прав работника обозначенных в ст.16 Трудового кодекса РУз. Иными словами работнику для выполнения своих служебных обязанностей нет необходимости переписываться с друзьями о проведённых выходных, хранить фотографии с последнего пикника, игрушки, дневники и иные данные. Но всегда найдётся работник, который использует личную почту на яндексе или gmail посредством предоставляемого предприятием интернета - в этом случае её просмотр сотрудниками отдела ИБ будет незаконным.

[Iskander Koneev]

Я сейчас не вспомню уже, но что-то на эту тему было в Законе об информации (или как-то так он называется). Настаивать не буду, просто смутные воспоминания.

На самом деле, пренебрегать этим вопросом не стоит. С ростом правосознания граждан количество обращений в суд по подобным вопросам будет расти и предприятия могут получить серьезную проблему.

Западные коллеги, например, рассказывали мне о том, откуда взялось стандартное предупреждение типа “Несанкционированное использование данного ресурса запрещено” на первых страницах веб-сайтов, приложений и т.д.
Потому что адвокаты разваливали любые нагромождения доказательств простым утверждением, что обвиняемый не знал, что нельзя заниматься зловредной деятельностью в системе…

[Vladimir Sheyanov]

Цитата:

Сообщение от Iskander Koneev

Западные коллеги, например, рассказывали мне о том, откуда взялось стандартное предупреждение типа “Несанкционированное использование данного ресурса запрещено” на первых страницах веб-сайтов, приложений и т.д.
Потому что адвокаты разваливали любые нагромождения доказательств простым утверждением, что обвиняемый не знал, что нельзя заниматься зловредной деятельностью в системе…

На этот случай суду предоставляется его подписка об ознакомлении с политикой ИБ, где имеются положения, запрещающие деятельность по несанкционированной установке программного обеспечения и посещению сайтов, не относящихся к роду их служебной деятельности.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Vladimir Sheyanov

В законодательстве РУз термин "персональная информация" практически не встречается. Однако, ввод правил на предприятии, в части ограничения хранения и использования персональных данных и иной неслужебной информации на служебных вычислительных средствах не является нарушением основных трудовых прав работника обозначенных в ст.16 Трудового кодекса РУз. Иными словами работнику для выполнения своих служебных обязанностей нет необходимости переписываться с друзьями о проведённых выходных, хранить фотографии с последнего пикника, игрушки, дневники и иные данные. Но всегда найдётся работник, который использует личную почту на яндексе или gmail посредством предоставляемого предприятием интернета - в этом случае её просмотр сотрудниками отдела ИБ будет незаконным.

Вот как раз об этом и хотел задать вопрос. Организация предоставляет рабочее место (ПК) для выполнения задач сотрудником. При этом оговаривает, что имеет право проверять (контролировать), на что используется предоставленная инфраструктура (мы же спрашиваем отчеты о проделанной работе в командировке).

А сотрудник (1) использовал интернет для доступа в личному почтовому ящику на стороне (веб-сервис) в рабочее время, (2) сохранил письма локально или личные файлы. Работодатель, реализуя свое право контроля данных на своей технике, открыл эти личные файлы, не зная, что они личные (определить то не всегда можно).

Является ли это нарушением со стороны сотрудника?
Нарушение ли это со стороны работодателя - доступ к личной инфо неумышленно?
Как поступить работодателю?