Регламент корпоративной почты. Правила использования корпоративной электронной почты

"Кадровик. Кадровое делопроизводство", 2010, N 10

Примерный образец

Приложение N 5

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее. Электронная почта является собственностью компании и может быть использована только в служебных целях. Использование электронной почты в других целях категорически запрещено. Содержимое электронного почтового ящика сотрудника может быть проверено без предварительного уведомления по требованию непосредственного либо вышестоящего руководителя.

При работе с корпоративной системой электронной почты сотрудникам компании запрещается:

• использовать адрес корпоративной почты для оформления подписок, без предварительного согласования с сотрудниками ДИТ;
• публиковать свой адрес либо адреса других сотрудников компании на общедоступных интернет-ресурсах (форумы, конференции и т.п.);
• отправлять сообщения с вложенными файлами, общий объем которых превышает 5 мегабайт;
• открывать вложенные файлы во входящих сообщениях без предварительной проверки антивирусными средствами, даже если отправитель письма хорошо известен;
• осуществлять массовую рассылку почтовых сообщений (более 10) внешним адресатам без их на то согласия. Данные действия квалифицируются как спам и являются незаконными;
• осуществлять массовую рассылку почтовых сообщений рекламного характера без предварительного согласования с сотрудниками ДИТ;
• рассылка через электронную почту материалов, содержащих вирусы или другие компьютерные коды, файлы или программы, предназначенные для нарушения, уничтожения либо ограничения функциональности любого компьютерного или телекоммуникационного оборудования или программ, для осуществления несанкционированного доступа, а также серийные номера к коммерческим программным продуктам и программы для их генерации, логины, пароли и прочие средства для получения несанкционированного доступа к платным ресурсам в Интернете, а также ссылки на вышеуказанную информацию;
• распространение защищаемых авторскими правами материалов, затрагивающих какой-либо патент, торговую марку, коммерческую тайну, копирайт или прочие права собственности и/или авторские и смежные с ним права третьей стороны;
• распространять информацию, содержание и направленность которой запрещены международным и российским законодательствами, включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.;
• распространять информацию ограниченного доступа, представляющую коммерческую тайну;
• предоставлять кому бы-то ни было пароль доступа к своему почтовому ящику.

С настоящими Правилами согласен

Александр Синельников, менеджер по продвижению продуктов компании "Инфосистемы Джет"

ЭЛЕКТРОННАЯ почта сегодня - это дешевый и удобный канал связи для получения информации извне и способ ее распространения между сотрудниками компании. Она позволяет оперативно управлять бизнес-процессами, но вместе с тем является одним из наименее защищенных ресурсов корпоративной информационной системы.

Отсутствие контроля над использованием электронной почты сотрудниками компании со стороны руководства или сотрудников службы безопасности порождает ряд серьезных проблем: утечка конфиденциальной информации, распространение по локальной сети организации компьютерных вирусов и спа-ма, использование сотрудниками корпоративной почты в личных целях. Последнее приводит к потере сотрудниками рабочего времени, перегрузке каналов передачи информации и, как следствие, неоправданному росту стоимости их содержания. Для решения этих проблем необходимо использовать комплекс организационно-технических мер контроля корпоративной электронной почты.

Необходимость внедрения именно комплекса мер обусловлена тем, что одни только организационные меры неэффективны. Недостаточно создать политику использования корпоративной электронной почты, издать приказ или распоряжение, ознакомив с положениями этих документов сотрудников под роспись, необходимо еще иметь возможность контролировать выполнение сотрудниками этих директив техническими средствами, которые включают в себя контроль содержимого писем и ведения архива переписки по электронной почте.

Но в этом случае руководство компании сталкивается с иным риском - юридической ответственностью в части законности проверки почтового трафика и правом сотрудников на тайну личной переписки.

Разберем проблему противостояния работников и работодателей в данном вопросе подробно.

Каждый сотрудник имеет право

Согласно Конституции РФ (ст. 23 Конституции РФ), "каждый гражданин имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения".

Именно на эту статью чаще всего ссылаются сотрудники, если возникает вопрос о правомерности контроля переписки, ведущейся по корпоративной электронной почте, телефонных переговоров сотрудников, посещения ими тех или иных Интернет-сайтов со стороны работодателя. То есть законодательство РФ не дает работодателю права контролировать переписку сотрудников и не предусматривает возможностей нарушать ее конфиденциальность. При возникновении конфликтных ситуаций по вопросам использования корпоративной почты сотрудники компании чаще всего ссылаются на ст. 138 Уголовного кодекса РФ, которая гласит:

1. "Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом в размере до 80 тыс. рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до одного года".
2. "То же деяние, совершенное лицом с использованием служебного положения или специальных технических средств, предназначенных для негласного получения информации, наказывается штрафом в размере от 100 тыс. до 300 тыс. рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо обязательными работами на срок от 180 до 240 часов, либо арестом на срок от двух до четырех месяцев".

Однако абонентом телефонной сети, оплачивающим переговоры, является организация - юридическое лицо, а вовсе не ее сотрудники. То же относится и к вопросам использования электронного почтового ящика. Тем не менее многие сотрудники склонны рассматривать эти ресурсы, предоставленные им организацией в качестве инструмента для решения служебных задач, как элемент своей частной жизни.

Каждый работодатель имеет право

Работодатель правомерно считает, что корпоративная электронная почта принадлежит компании. Она должна использоваться сотрудником только для выполнения им служебных обязанностей и не предназначена для ведения личной переписки. Работодатель оплачивает почтовый трафик, используемый сотрудниками в личных целях, и их рабочее время, потраченное на личное общение. Он же будет нести убытки в случае утечки конфиденциальной информации. Все это и объясняется желанием владельца компании контролировать принадлежащий компании ресурс.

Федеральный закон Российской Федерации дает работодателю право контролировать каналы возможной утечки конфиденциальной информации, в том числе и электронную почту сотрудников. В частности, ст. 10 ч. 4 ФЗ РФ от 29 июля 2004 г. № 98-ФЗ "О коммерческой тайне" гласит: "Обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие, не противоречащие законодательству Российской Федерации, меры".

Приведем еще ряд законов, которые работодатель может использовать в случае необходимости отстаивания своих прав:

• Закон РФ от 21.07.03 №5485-1 "О государственной тайне".
• ФЗ от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и защите информации".
• ФЗ 27.07.06 № 152-ФЗ "О персональных данных".

Однако несмотря на достаточно большое количество законодательных актов, защищающих права владельцев компаний, руководителям организаций, внедряющим технические средства контроля каналов связи или передачи данных (в том числе и электронной почты), все же хочется знать, как в подобной ситуации не выйти за рамки закона.

Организация контроля корпоративной электронной почты

Тайна переписки распространяется на лиц, участвующих в ее процессе, только при оплате этих средств и услуг оператора связи самостоятельно.

Служебная переписка организуется в производственных целях в рабочее время при помощи технических средств, принадлежащих организации. Если сотрудник включает в этот процесс личные мотивы и цели, то подобные действия можно рассматривать как удовлетворение личных потребностей за счет организации, что, соответственно, попадает под действие УК РФ или КоАП РФ со всеми вытекающими для данного лица последствиями.

То есть вся переписка, осуществляемая в рабочее время при помощи технических средств, принадлежащих данной организации, и по оплаченным ею каналам связи или передачи данных, является служебной, даже если таковая ведется в нерабочее время.

Для того чтобы все вышесказанное имело правовую основу, руководителю организации необходимо выполнить ряд обязательных процедур:

1. Указать в Уставе организации, кто является собственником всех материальных, технических и интеллектуальных (информационных) ресурсов, в том числе и содержимого служебной переписки, которая осуществляется сотрудниками организации в служебное время и при помощи технических средств, принадлежащих организации.
2. Создать в организации структурное подразделение ИБ, на сотрудников которого возложить функции контроля соблюдения режима информационной безопасности. Издать "Положение о работе подразделения структурной безопасности". Основной задачей подразделения будет являться контроль технических средств обработки информации и служебных документов организации, к которым относится и служебная переписка. В этом же документе должны быть четко описаны все процедуры контроля исполнения данного Положения: периодичность и средства его проведения, ответственные лица, форма отчетности.
3. Установить в организации режим коммерческой тайны (согласно ст. 10 ч.1 Закона "О коммерческой тайне"). Руководитель должен издать приказ, определяющий права доступа сотрудников к информации, носящей конфиденциальный характер. Служба безопасности или уполномоченные лица обязаны контролировать соблюдение сотрудниками требований к работе с подобной информацией в целях исключения ее утечки. Отметим, что государство ограничивает права работника в данном вопросе и в том случае, если компания принадлежит частному лицу. Пример такого документа можно найти в справочно-правовой системе ГАРАНТ, набрав в графе "поиск" следующую фразу: "Положение о конфиденциальной информации (коммерческой тайне) открытого акционерного общества".
4. При заключении с сотрудником трудового договора необходимо включить пункт, по которому работодатель оставляет за собой право контроля деятельности сотрудника на рабочем месте в служебное время, в том числе проверку содержимого служебной переписки, каким бы способом она ни велась (на бумажных носителях, при помощи электронной почты или иным "экзотическим" способом). Кроме того, работодатель имеет возможность включить в данный контракт пункт о запрете использования эксплуатируемых им средств передачи данных или иных технических средств, принадлежащих организации, в личных целях.

Здравствуйте! Ситуация следующая: работник, в рабочее время, с рабочего компьютера использовал корпоративную почту в личных целях. При проверке передаваемой информации был вскрыт факт раскрытия коммерческих сведений. Работник был уволен. Доступ к почте заблокирован. В последующем работник обратился к нам с заявлением, с требованием предоставить доступ к электронной почте, так как на ней была ее личная информация и переписка. Обязаны ли мы предоставить работнику доступ к почте или имеем право ей отказать.

• Вопрос: №2631 от: 2016-04-26.

По существу заданного вопроса сообщаем следующее.

В ст. 22 ТК РФ перечислены основные права и обязанности работодателя, в число которых входят: обязанность предоставления работы, обусловленную трудовым договором; обеспечение работников оборудованием и иными средствами, необходимыми для исполнения ими трудовых обязанностей; знакомить работников под роспись с принимаемыми локальными нормативными актами, непосредственно связанными с их трудовой деятельностью; требовать от работников исполнения ими трудовых обязанностей.

В силу ст. 21 ТК РФ работник имеет право на рабочее место, соответствующее государственным нормативным требованиям охраны труда и условиям, предусмотренным коллективным договором и обязан добросовестно исполнять свои трудовые обязанности, возложенные на него трудовым договором.

В соответствии со ст. 209 ТК РФ под рабочим местом работника понимается место, где работник должен находиться или куда ему необходимо прибыть в связи с его работой и которое прямо или косвенно находится под контролем работодателя . Рабочим местом может являться часть пространства, в котором один или несколько работников выполняют трудовые функции (разъяснения Министерства труда России).

Согласно ст. 91 ТК РФ под рабочим временем понимается время, в течение которого работник в соответствии с правилами внутреннего трудового распорядка и условиями трудового договора должен исполнять трудовые обязанности.

Таким образом, с Вашей стороны (работодатель) были предприняты все необходимые меры, направленные на обеспечение работника всеми средствами необходимыми для работы, в частности компьютер и доступ к корпоративной электронной почте. Право пользования оборудованием работодателя должно отражаться в трудовом договоре либо в локальном акте, при этом данное оборудование является собственностью работодателя. Вопрос о предоставления доступа к оборудованию работодателя должен решаться им самим.

Следовательно, предоставление доступа работника к корпоративной электронной почте является правом работодателя, а не его обязанностью. Поскольку корпоративная электронная почта не предназначена для личного общения сотрудников и в связи с тем, что владельцем корпоративного почтового ящика является работодатель, то отказ работнику в предоставлении доступа к корпоративной почте не нарушает прав работника.

Внимание! Информация, предоставленная в статье, актуальна на момент ее публикации.