Мониторинг сотрудников: зачем нужен, насколько законен и как его проводить

Контроль за действиями сотрудников позволяет решить пять задач: защитить конфиденциальную информацию, избежать операционных проблем, организовать эффективную работу в удаленном формате, защититься от штрафов со стороны регуляторов и избежать репутационных рисков. 

Сотрудники могут преднамеренно или по неосторожности использовать свой доступ к конфиденциальной информации и передать ее третьим лицам. Мониторинг активности пользователей на рабочих компьютерах позволяет выявлять подозрительные действия и предотвращать утечки данных.

Контроль за действиями персонала помогает компаниям снижать финансовые потери. Например, можно обнаружить нецелевое использование корпоративных средств или предотвратить инциденты утечки информации.

Во время пандемии COVID-19 многие работодатели сомневались в эффективности удаленной работы, опасаясь, что сотрудники тратят время на соцсети и развлечения. Хотя со временем эти страхи уменьшились, потребность в контроле осталась — компании хотят быть уверены, что оплачивают именно труд, а не бездействие.

Большинство компаний обрабатывают не только данные своих сотрудников, но и персональные данные клиентов, поэтому все без исключения должны соблюдать требования закона 152-ФЗ. Нарушения могут привести к штрафам до полумиллиарда рублей для организаций и уголовной ответственности для должностных лиц.

Мониторинг действий сотрудников помогает минимизировать риски утечки персональных данных и избежать санкций.

Компании стремятся защитить свой имидж и избежать даже неформального статуса ненадежного партнера. Наиболее уязвимы в этом отношении крупные ритейлеры, медицинские и образовательные учреждения, чья репутация напрямую зависит от доверия клиентов.

Если кратко, то законно собирать любые данные, которые касаются выполнения должностных обязанностей в рамках его должностной инструкции. 

Работодатель может контролировать, сколько часов сотрудники тратят на решение задач, во сколько начинают и заканчивают рабочий день, как часто устраивают перерывы. Также важно отслеживать, как часто сотрудники перерабатывают, чтобы по закону оплачивать «сверхурочку». 

Кроме этого можно оценить эффективность работы: сколько задач успевает выполнять работник и что для этого делает. Например, может оказаться, что сотрудник не сидит на сторонних ресурсах в рабочее время, но весь день собирает простой отчет. 

Также важно узнать, как сотрудник использует инфраструктуру компании: с какими папками и документами работает, как общается с коллегами, взаимодействует с другими отделами, как он соблюдает регламенты по передаче визуальной и аудиоинформации. 

Сильнее всего на репутации компании может сказать общение сотрудников с клиентами, поэтому важно отслеживать, как работники проводят вебинары, звонки и сеансы ВКС. 

Нельзя использовать и записывать личные переписки сотрудников, которые касаются их личной жизни. Но если переписка затрагивает интересы фирмы, например, в ней обсуждаются мошеннические схемы, влияющие на деятельность компании, тогда информация не будет относится к личной. 

Поэтому до сотрудников необходимо доносить правила корпоративной культуры и недопустимости создания конфликтной ситуации в коллективе.

Также нельзя контролировать личные устройства сотрудников. Но на некоторых компаниях с секретными объектами сотрудникам просто нельзя проносить с собой на территорию личные телефоны или другую технику. 

С помощью мониторинга компания реализует несколько функций:

• Контролирует сохранность имущества.

  Компания передает работнику компьютер для решения рабочих задач и может контролировать, как используется имущество работодателя. 

• Контролирует защиту коммерческой информации.

  Компания является обладателем информации по закону о коммерческой тайне и имеет право контролировать эту информацию, обеспечивать ее защиту с помощью программных средств, не запрещенных законодательством. 

• Контролирует защиту персональных данных. 

  Каждая компания, в которой трудоустроен хотя бы один человек, является оператором обработки персональных данных. Соответственно, она должна их правильно обрабатывать, сохранять, обеспечивать их защиту, в том числе с помощью автоматизированных программных средств. 

Устанавливая средства мониторинга, компания защищает работника от последствий возможных инцидентов, позволяя доказать невиновность в случае его непричастности. 

От этого зависит выбор решения и его функциональность. Если компания хочет оценить производительность работы каждого сотрудника, то можно обойтись трекером для учета рабочего времени. Если необходимо логировать поведение сотрудника и затем расследовать инциденты, то нужна полноценная IRM-система. 

Без легализации нельзя использовать данные мониторинга в суде. Для легализации нужно разработать локальные акты, которые регулируют защиту коммерческой информации и персональных данных, описать в них порядок использования средства мониторинга, издать приказы и ознакомить с ними сотрудников. 

Важно понимать, кто будет использовать систему мониторинга — настроить права доступа, чтобы рядовой сотрудник не удалил данные о своей активности. 

Кроме этого важно решить технические проблемы — настроить нужные компоненты, построить интеграции с другими ИБ-решениями, например, средства двухфакторной аутентификации.