Цифровой контроль за сотрудниками (использование технологий мониторинга на рабочем месте)

Цифровизация труда, в частности популяризация гибридного или удаленного формата работы, вызвала стремительное развитие технологий мониторинга рабочего процесса сотрудников.

Резонансный кейс с российским подразделением компании Xsolla иллюстрирует, что, исходя из данных об активности сотрудников в рабочей почте и прочих программах, работники могут быть уволены за «невовлеченность» и «малопродуктивность».

Более того, в 2016 году стало известно, что ряд крупных международных компаний (например, Walmart) используют большие данные, чтобы узнавать о серьезных заболеваниях или беременности сотрудников. Это делается с помощью аналитических инструментов, позволяющих изучать данные об обращениях к врачу, выписанных рецептах, поисковых запросах.

Согласно психологическим исследованиям, слежка на рабочем месте может привести к снижению производительности труда, потере чувства личного контроля у сотрудников, потере доверия к работодателю.

Компанией StandOut CV на основе американского и британского опыта проведено исследование методов цифрового контроля за персоналом.

По оценкам экспертов каждый третий работодатель теперь использует инструменты для отслеживания местонахождения своих сотрудников, что на 44,85% больше, чем за последние 2 года.

Изучив 50 самых популярных инструментов мониторинга за 2 года, эксперты пришли к выводу о том, что почти 25% руководителей применяют более агрессивные функции отслеживания, чем годом ранее.

Из всех программ мониторинга наиболее популярные функции наблюдения среди работодателей включают:

· отслеживание рабочего времени (96%);
· скриншоты экрана компьютера сотрудника (78%);
· видеонаблюдение (42%);
· кейлоггинг (40%);
· отслеживание по местоположению GPS (34%);
· запись звука сотрудника через внутренний микрофон устройства (8%).

При этом 38% инструментов используются в скрытом режиме без ведома работника.

Кроме того, эксперты отмечают, что более 80% сотрудников находятся под наблюдением в режиме реального времени.

По оценкам экспертов в 78% случаев использование инструментов отслеживания указывается в условиях трудового договора.

Опыт различных стран допускает различную степень контроля за сотрудниками. Следующий сравнительный анализ проводится на основе таких критериев:

- наличие специального законодательного регулирования;
- допустимые методы контроля;
- необходимость уведомления работника;
- наличие правоприменительной практики.

1. США

По смыслу положений Закона о конфиденциальности электронной коммуникации (The Electronic Communications Privacy Act of 1986, ECPA) работодатель может следить за вербальной и письменной коммуникацией работников, если на это существует законная причина. Иные способы мониторинга за работником допустимы только при наличии согласия работника.

Исходя из норм Закона о хранимых сообщениях (The Stored Communications Act), можно отслеживать электронные сообщения сотрудников, сохраненные на компьютерах компании.

Таким образом, допустимыми признаются те методы мониторинга, которые отвечают законной цели работодателя или осуществляются с согласия работника.

1.1. Законодательство штатов

В отличие от федерального законодательства на уровне штатов существуют конкретные нормы о мониторинге сотрудников.

Например, закон о внесении изменений в законодательство о гражданских правах штата Нью-Йорк требует, чтобы все работодатели частного сектора уведомляли сотрудников о любом электронном контроле при приеме на работу с письменным подтверждением работника, а также размещали уведомление на видном месте, доступном всем сотрудникам.

Аналогичные нормы предусмотрены законодательством штата Делавэр, однако, уведомление на рабочем месте не требуется, необходимо поставить сотрудников в известность лишь при приеме на работу.

Закон об электронном мониторинге в штате Коннектикут, наоборот, обязывает работодателей уведомлять сотрудников о проводимом на рабочем месте мониторинге с указанием конкретных видов мониторинга на видном месте, доступном всем сотрудникам. В Коннектикуте не требуется письменного уведомления принимаемых работников о том, что они будут контролироваться.

В настоящее время в Комитете по Труду Ассамблеи штата Нью-Йорк находится также законопроект о внесении изменений в трудовое законодательство в связи с «Единым законом о защите конфиденциальности работников и студентов в Интернете» (А01360). Нормы предлагаемого документа предусматривают, в частности, запрет использования полученных по системе мониторинга данных для входа в личный аккаунт работника, а также обязывают работодателя приложить разумные усилия для обеспечения безопасности такой информации.

1.2. Правоприменительная практика

В американских судах существует позиция, что правовой режим охраняемой законом тайны (личной, адвокатской и т.д.) превалирует над правом работодателя на мониторинг. Так, Верховный суд Нью-Джерси в деле Стенгарт против Loving Care Agency, Inc. рассмотрел случай, когда сотрудница с личной электронной почты на рабочем компьютере вела переписку с адвокатом относительно подачи судебного иска против ее работодателя. Работодатель, установивший программу мониторинга сотрудников, смог получить доступ к электронной почте сотрудницы и прочитать переписку. Суд указал, что работница по-прежнему имел разумные ожидания в отношении конфиденциальности и что отправка и получение электронных писем на рабочем устройстве не отменяет правового режима адвокатской тайны. Суд потребовал от работодателя удалить эту электронную переписку со своих жестких дисков и постановил, что, хотя «работодатель может в некоторой степени вторгаться в частную жизнь работника, если он подкрепляется законным деловым интересом», но такой деловой интерес имеет «небольшую силу, когда предлагается в качестве основания для нарушения адвокатской тайны».

В мае 2023 года Администрация США направила запрос работникам и работодателям об использовании систем слежения за персоналом. В сообщении Белого дома указывается, что постоянная слежка за работниками может негативно сказаться на работниках: например, они будут вынуждены «работать слишком быстро», что создаст риски для их безопасности и психологического здоровья.

2. Страны ЕС

На уровне ЕС нет общего специального регулирования контроля за сотрудниками, однако, такие нормы существуют в ряде государств-членов ЕС.

Например, Трудовой кодекс Португалии (закон № 7 от 12 февраля 2009 г.) предусматривает, что работодатель может использовать механизмы дистанционного контроля на рабочем месте с помощью технологического оборудования только в целях защиты работников, клиентов и имущества, а не для контроля за работой сотрудников.

В Испании Органическим законом 3/2018 о защите персональных данных и гарантиях цифровых прав, вводится право работников на неприкосновенность частной жизни в отношении цифровых устройств, переданных работодателем. Также, законом закреплено право работодателя на доступ к содержимому таких цифровых устройств с целью контроля за соблюдением трудовых отношений и обеспечения целостности указанных устройств. Для этого работодатель должен внедрить политику использования цифровых устройств, которая соблюдает минимальные стандарты конфиденциальности, в разработке которой должны участвовать представители работников.

В Люксембурге статья L.261-1 Трудового кодекса ранее закрепляла закрытый перечень случаев осуществления мониторинга: для безопасности и здоровья работников; для защиты активов компании; для контроля за производственным процессом; для временного контроля над производством или услугами рабочего, если такая мера является единственным средством определения точной оплаты; в рамках организации труда на основе гибкого рабочего времени. Кроме того, прежнее законодательство требовало от работодателей получение разрешения на мониторинг у Национальной комиссии по защите данных (CNPD) каждый раз, когда они собираются контролировать сотрудников на рабочем месте. После вступления в силу норм GDPR были внесены поправки в статью L.261-1 Трудового кодекса, которые закрепили возможность осуществления контроля в любых случаях при наличии на то согласия работника.

В Хорватии Законом о безопасности труда регулируются случи применения видеонаблюдения. Использование видеонаблюдения разрешено только в целях: (1) контроля за входом и выходом из рабочих помещений и (2) защиты работников от рисков хищения, насилия и иных подобных случаев на работе. Кроме того, работодатель не может использовать записанные материалы для целей, отличных от тех, которые указаны в законе, не может транслировать их публично или передавать неуполномоченным лицам. Также, установлено, что работодатели должны письменно уведомить работников о мониторинге при приеме на работу.

В Финляндии действует Закон о защите приватности в трудовой жизни, которым установлено, что цели и процедуры видеонаблюдения, контроля доступа и иных методов мониторинга сотрудников должны вырабатываться работодателем совместно с представителями работников. Поимо контроля доступа и видеонаблюдения перечислены такие варианты мониторинга, как мониторинг через интранет или иные внутренние системы, контроль электронной почты или информационной сети, отслеживание местоположения работника. Установлено также, что работодатель обязан утвердить цель и методы мониторинга и ознакомить с ними работников.

На уровне отдельных стран-участниц Европейского союза существуют и рекомендательные положения. Например, в апреле 2023 года Комиссия по защите данных Ирландии (DPC) выпустила руководство для работодателей по защите данных на рабочем месте. В документе указывается, что сбор, использование или хранение информации о работниках, мониторинг их доступа в Интернет или электронной почты, а также наблюдение за ними с помощью видеокамер требуют выработки соответствующих политик мониторинга.

2.1. Правоприменительная практика

В мае 2023 года Управление по защите данных Италии (Garante) наложила на сеть магазинов H&M штраф в размере 50 тыс. евро из-за отсутствия уведомления работников и трудовой инспекции об использовании камер видеонаблюдения в местах, предназначенных для сотрудников.

Таким образом, специфическое регулирование контроля за сотрудниками существует на национальном уровне государств-членов ЕС. Ряд стран перечисляет допустимые методы контроля, ряд стран оставляет перечень методов на усмотрение работодателя. Большинство европейских правопорядков закрепляет необходимость получения согласия работника или профсоюза на использование систем мониторинга, все страны-участницы ЕС сходятся на том, что уведомление работника – обязательно.

3. Великобритания

Законом о регулировании полномочий по расследованию (Regulation of Investigatory Powers Act, RIPA) и Правилами о телекоммуникации (перехвате сообщений) 2000 года работодателю разрешено контролировать и записывать коммуникации сотрудника в телекоммуникационной системе работодателя без согласия работника для следующих целей: (1) для установления фактов (например, для предоставления доказательств коммерческих сделок или других деловых контактов в случае возникновения споров); (2) для того, чтобы удостовериться в соблюдении регуляторных или саморегулируемых практик или процедур; (3) для того, чтобы установить или продемонстрировать стандарты, которые должны быть достигнуты лицами, использующими систему при выполнении своих обязанностей (например, мониторинг звонков клиентов для контроля качества и обучения персонала); (4) для предотвращения или выявления преступлений (таких как мошенничество или коррупция); (5) для расследования или выявления несанкционированного использования той или иной телекоммуникационной системы (например, для проверки того, что сотрудники не используют Интернет в целях, запрещенных политикой работодателя в отношении использования Интернета); (6) для обеспечения эффективной работы системы или в качестве ее неотъемлемой части (например, для защиты системы от вирусов и хакеров, а также для выполнения рутинных перехватов в оперативных целях, таких как резервное копирование.

Работодатель также может отслеживать, но не записывать сообщения:

- которые предназначены для получения сотрудником (независимо от того, получил он их или нет), чтобы определить, относятся ли они к его бизнесу (например, работодатель может проверить голосовую почту сотрудника и ящики входящей электронной почты);
- поступающие на горячую линию, которая предоставляется бесплатно и гарантирует анонимность звонящего (в целях поддержки или защиты персонала горячей линии).

Тем не менее, мониторинг или запись сообщений для любой из перечисленных выше целей не разрешены, за исключением случаев, когда:

- сообщение относится к деятельности работодателя или иным образом происходит в ходе этой деятельности;
- рассматриваемая система предназначена для использования полностью или частично, в связи с этим бизнесом; и
- работодатель «предпринял все разумные усилия» для информирования «каждого лица, которое может использовать рассматриваемую телекоммуникационную систему» о том, что сообщения, передаваемые через нее, могут быть прослушаны.

Таким образом, установлен четкий перечень случаев, в которых допускается мониторинг коммуникаций без согласия сотрудников. Однако работники, а также в ряде случаев и клиенты работодателя, должны быть уведомлены о прослушивании или просмотре сообщений, осуществляемых в телекоммуникационной системе работодателя.

3.1. Правоприменительная практика

Правоприменительная практика касается, в основном, нарушений конфиденциальности данных при использовании систем мониторинга. Так, например, в 2020 году Британским Управлением комиссара по информации (англ. Information Commissioner’s Office, ICO) было начато расследование против британского банка Barclays за негласное отслеживание компьютерной активности сотрудников.

Следовательно, британскими уполномоченными органами признается необходимость информирования работников о применении к ним систем мониторинга.

4. Канада

На федеральном уровне в Канаде нет специальных правил контроля за персоналом.

В провинции Онтарио принят Законопроект 88 (в рамках Working for Workers Act 2022), вносящий поправки в Закон Онтарио о стандартах занятости 2000 года (ESA). На основании этих поправок работодатели Онтарио с 25 и более сотрудниками должны иметь письменную политику электронного мониторинга за работниками.

Примечательно, что Законопроект 88 не дает работникам права отказа от электронного контроля со стороны работодателя, не устанавливает никаких новых прав на неприкосновенность частной жизни, а лишь требует от работодателей прозрачности в отношении электронного контроля. Письменная политика должна включать описание мониторинга и случаи его применения, а также объяснение, для каких целей может быть использована информация, полученная с помощью электронного мониторинга.

Это делает провинцию Онтарио единственной в Канаде, где действует законодательство о мониторинге сотрудников. Квебек, Альберта и Британская Колумбия требуют от работодателей лишь раскрывать сбор данных в соответствии с законами о приватности.

4.1. Правоприменительная практика

Верховный суд Канады по делу Р. против Коула постановил, что канадцы могут разумно ожидать конфиденциальности информации, содержащейся на рабочих компьютерах, где использование в личных целях разрешено или разумно ожидаемо. Суд охарактеризовал такую информацию как «значимую, интимную и касающуюся биографического ядра пользователя». Принадлежность устройства и данных, политика работодателя и сложившаяся практика на рабочем месте, а также технологии для мониторинга сетевой активности могут уменьшить персональные ожидания сотрудника в отношении конфиденциальности, но такие «операционные реалии» не уничтожат ожидания в отношении конфиденциальности в целом.

Таким образом, федеральное законодательство Канады не содержит конкретных правил применения систем контроля за работниками, в частности перечня допустимых методов мониторинга, требований о получении согласия или иного уведомления сотрудников. Специфическое регулирование выработано лишь в провинции Онтарио, где работодатели с 25 и более работниками должны уведомлять сотрудников о применении мер электронного мониторинга путем выработки соответствующей политики.

5. ЮАР

Действовавший ранее Закон о запрете прослушивания и наблюдения от 1992 года (Interception and Monitoring Prohibition Act of 1992, IMP) позволял вести запись коммуникаций в тех случаях, когда такая коммуникация не была конфиденциальной.

В соответствии с новым Положением о прослушивании сообщений и предоставлении информации, связанной с коммуникацией (англ. Regulation of Interception of Communication and Provision of Communication-Related Information Act, RICA), работодатели имеют право прослушивать или мониторить сообщения сотрудников в рабочей среде. Однако работодатели могут перехватывать сообщения только в том случае, если они являются стороной сообщений, или имеют согласие субъекта, или сообщения получены в ходе ведения обычной предпринимательской деятельности.

Кроме того, установлено, что такой мониторинг должен осуществляться системным администратором или с его явного или подразумеваемого согласия, в целях контроля или ведения учета непрямых коммуникаций; для установления наличия фактов, если соответствующая телекоммуникационная система предоставляется для использования полностью или частично в связи с этой предпринимательской деятельностью; и если системный администратор предпринял все разумные усилия, чтобы заранее проинформировать лицо, которое намеревается использовать соответствующую систему электросвязи, о том, что непрямые сообщения, передаваемые с ее помощью, могут быть прослушаны.

5.1. Правоприменительная практика

До принятия нового закона суд по делу Satawu obo Assagai против Autopax, по обстоятельствам которого сотрудник во время совершения проступка был заснят на камеру видеонаблюдения, о которой он не знал, постановил, что записанное не было конфиденциальным, следовательно, к работнику могли быть применены меры юридической ответственности. С принятием RICA данное решение могло быть иным.

Таким образом, с учетом требований RICA, работодатели имеют право контролировать деятельность работника, если работник был уведомлен об этом надлежащим образом. Например, уведомление может быть включено в трудовой договор или в локальные нормативные акты. Закреплены случаи, когда на такой мониторинг не требуется согласие работника, а также законодательно установлены цели такого мониторинга.

6. Международный уровень

Специальное регулирование установлено и на уровне международных организаций.

Например, в 1997 году Международной организации труда (МОТ) издан Кодекс поведения по защите персональных данных работников.

Под мониторингом в данном документе понимается использование таких устройств, как компьютеры, камеры, видеооборудование, звуковые устройства, телефоны и другое оборудование связи, различные методы установления личности и местонахождения или любой другой метод наблюдения.

В кодексе поведения указано, что данные, собранные с помощью электронного мониторинга, не должны быть единственным фактором при оценке эффективности работы персонала.

Кроме того, установлено, что, если работники находятся под наблюдением, они должны быть заранее проинформированы о целях наблюдения, используемых методах и приемах, а работодатель должен свести к минимуму вмешательство в частную жизнь работников.

Тайное наблюдение должно быть разрешено только в случаях, если:

- это соответствует национальному законодательству; или
- есть обоснованные подозрения в преступной деятельности или ином серьезном правонарушении.

Непрерывный мониторинг должен разрешаться только в том случае, если это необходимо для здоровья и безопасности или защиты имущества.

В 2022 году выпущен доклад Управления Верховного комиссара ООН по правам человека об угрозах для глобальной цифровой конфиденциальности и прав человека, где среди рекомендаций указано избежание общего мониторинга общественных мест с нарушением неприкосновенности частной жизни и обеспечения, чтобы все меры общественного наблюдения были строго необходимы и соразмерны для достижения важных законных целей, в том числе путем строгого ограничения их места и времени, а также продолжительности хранения данных, цели использования данных и доступа к ним.

6.1. Правоприменительная практика

Наглядные примеры содержатся и в решениях международных судебных органов.

В соответствии с Постановлением Европейского суда по правам человека (ЕСПЧ) по делу Барбулеску против Румынии (жалоба № 61496/08) наблюдение за работниками должно осуществляться с соблюдением баланса между интересами работодателя и правами работника на частную жизнь. По материалам дела работник использовал аккаунт в мессенджере, заведенный по поручению работодателя для рабочей переписки на рабочем компьютере, для целей личного общения. До предъявления текстов личных переписок работник свою вину отрицал, после предъявления – письменно уведомил работодателя в нарушении права на тайну переписки. Суд постановил, что сообщения, отправляемые с территории работодателя, все равно подпадают под тайну переписки, а сотрудники должны быть проинформированы не только о факте мониторинга, но и о его масштабах и объеме.

Данное решение стало основой для так называемого «теста Барбулеску», устанавливающего для национальных судов факторы, которыми необходимо руководствоваться при оценке баланса интересов работника и работодателя. Среди фактов, подлежащих оценке: был ли работник уведомлен о возможности контроля его сообщений работодателем; степень такого контроля; обоснование контроля; можно ли было бы создать систему контроля, основанную на методах с меньшим вмешательством; последствия для работника; были ли работнику предоставлены надлежащие гарантии.

В другом решении по делу Лопес Рибальда и другие против Испании (жалобы № 1874/13 и № 8567/13) ЕСПЧ признал, что в отдельных случаях допустима слежка за работниками в том числе с использованием скрытых видеокамер. Согласно материалам дела работодатели не предупредили работников об установке скрытых камер видеонаблюдения, которые впоследствии зафиксировали правонарушение. Суд постановил, что такая слежка является правомерной в том случае, если у работодателя есть обоснованное подозрение в незаконном присвоении имущества компании или любом другом правонарушении работников, способном причинить или уже причинившем значительный вред работодателю.