У сучасному світі інформація є одним з головних активів, а отже питання цифрової гігієни є основою функціонування будь-якого бізнесу. Саме тому кібербезпека на робочому місці є сферою відповідальності, де перетинаються обов’язки та інтереси як роботодавця, так і працівників. Детальніше про це розповідає Михайло Ткаченко, молодший юрист практики трудового права юридичної компанії ARZINGER, для budni.robota.ua

В українському законодавстві немає чіткого переліку мінімальних гарантій кібербезпеки, у тому числі для віддалених працівників. Проте, виходячи із Законів України «Про захист персональних даних» та «Про інформацію», роботодавець зобов’язаний:

• отримати згоду на збір та обробку їхніх персональних даних;
• запобігти несанкціонованому доступу або витоку персональних даних працівників;
• інформувати та ознайомлювати працівників із правами, пов’язаними зі збором та обробкою персональних даних.

Отже, закон встановлює лише загальний обов’язок захищати персональні дані працівників.

Всі інші вимоги – наприклад, використання ліцензійного ПЗ, антивірусних програм, правил роботи з документами чи технологіями штучного інтелекту – можуть бути прописані у внутрішніх політиках компанії або в трудових договорах, але вони не є обов’язковими.

Виняток становлять держслужбовці, військові, депутати, працівники державних органів та підприємств. Для них закон прямо передбачає проведення інструктажів і регулярних тренінгів із кібергігієни (п. 27 ч. 3 ст. 8 Закону «Про основні засади забезпечення кібербезпеки України»). У приватному секторі таке зобов’язання відсутнє.

Чи можна юридично зобов’язати працівника дотримуватися політик інформаційної безпеки?

Так, можна. Для цього компанія повинна:

• оформити правила та вимоги з інформаційної безпеки у вигляді внутрішніх політик чи положень;
• офіційно затвердити їх на рівні підприємства;
• ознайомити з ними всіх працівників у належний спосіб.

Лише тоді такі документи матимуть юридичну силу, а компанія зможе застосовувати дисциплінарні заходи у разі порушення.

Коли мова йде про політики групи компаній, то вони мають бути адаптовані до українського законодавства, а також затверджені належним чином на кожному конкретному підприємстві.

Яку відповідальність несе працівник у разі порушення правил кібербезпеки (наприклад, якщо він випадково «злив» дані конкурентам)? Як розподіляється відповідальність між працівником і роботодавцем у разі витоку даних?

У випадку випадкового витоку даних, працівник може бути притягнутий до відповідальності, в тому числі перед роботодавцем.

Основними видами відповідальності, які може застосовувати роботодавець, є:

• Дисциплінарна відповідальність (ст. 147 КЗпП України) у вигляді догани або звільнення (за наявності відповідних підстав, наприклад, систематичного невиконання працівником покладених на нього обов’язків у контексті дотримання внутрішніх політик роботодавця – п. 3 ч. 1 ст. 40 КЗпП України, або невиконання працівником правил поведінки, якщо основи кібербезпеки закріплені саме в них – п. 14 ч. 1 ст. 40 КЗпП України).
• Матеріальна відповідальність у вигляді відшкодування в розмірі заподіяної шкоди, але, як правило, не більше середнього місячного заробітку (ст. 133 КЗпП України).

Ключовою умовою для притягнення до вказаних видів відповідальності є доведення роботодавцем того факту, що працівник був належним чином (під особистий підпис) ознайомлений з відповідними внутрішніми політиками.

Якщо ж працівник свідомо збирав та передавав дані, які є комерційною таємницею, такі дії можуть бути кваліфіковані як кримінальне правопорушення, що тягне за собою накладення штрафу в розмірі від 51 000 до 136 000 гривень (ст. 231 КК України). У такому випадку головними умовами є наявність умислу та спричинення істотної шкоди роботодавцю.

Окрім цього, у випадку несанкціонованого витоку інформації, яка зберігається або обробляється в комп’ютерах, комп’ютерних мережах або зберігається на носіях такої інформації, особа, яка має право доступу до такої інформації, може бути притягнена до кримінальної відповідальності за ч. 2 ст. 362 КК України, що тягне за собою позбавлення волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю.

У разі недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу у розмірі від 1 700 до 8 500 гривень для працівників, та від 5 100 до 17 000 гривень для посадових осіб підприємства (ст. 188-39 КУпАП).

Серед основних видів відповідальності роботодавця у разі витоку даних, окрім тих, що зазначені вище, є цивільно-правова відповідальність у вигляді відшкодування збитків, завданих третім особам (в т. ч. працівникам) внаслідок витоку даних, а також кримінальна відповідальність для посадових осіб роботодавця:

• За порушення правил захисту інформації в комп’ютерних системах, якщо це заподіяло значну шкоду, особа, яка відповідає за їх експлуатацію може бути притягнута до відповідальності у вигляді штрафу від 34 000 до 68 000 гривень, або пробаційним наглядом на строк до трьох років, або обмеженням волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю (ст. 363 КК України).
• Якщо буде доведено, що посадова особа не виконала, або неналежно виконала свої обов’язки, що призвело до істотної шкоди правам, свободам та інтересам працівників, посадові особи можуть бути притягнуті до відповідальності у вигляду штрафу від 34 000 до 68 000 гривень, або виправними роботами на строк до двох років, або обмеженням волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю (ст. 367 КК України).

Чи потрібно включати положення про кібербезпеку у трудовий договір?

Включення положень про кібербезпеку до трудового договору не є обов’язковою вимогою згідно з чинним законодавством України та не є істотною умовою трудового договору.

Однак, незважаючи на відсутність такого обов’язку, рекомендується додавати такі положення до трудового договору та/або внутрішніх політик, оскільки в такому випадку вони стають складовою частиною трудових функцій працівника.

Окрім цього, наявність таких положень є, беззаперечно, підвищенням рівня уваги працівників до питань кібербезпеки.

Які особливості звільнення працівників у випадках порушення правил кібербезпеки?

Важливо розуміти, що звільнення та притягнення працівника до дисциплінарної відповідальності за порушення правил кібербезпеки, можливе виключно у випадках, якщо працівник був належним чином ознайомлений із відповідними внутрішніми політиками або якщо такі обов’язки прямо зазначені в трудовому договорі.

Якщо до працівника раніше застосувалися заходи дисциплінарного стягнення (наприклад, догана) то можна застосувати звільнення на підставі п. 3 ч. 1 ст. 40 КЗпП України (систематичне невиконання працівником покладених на нього обов’язків) за умови, що відповідний обов’язок був передбачений трудовим договором або правилами внутрішнього трудового розпорядку.

Альтернативним можливим варіантом є звільнення на підставі п. 14 ч. 1 ст. 40 КЗпП України (невиконання працівником правил поведінки), однак застосування цієї підстави можливе в тому випадку, якщо відповідні положення є складовою частиною правил поведінки на підприємстві, затверджених разом з правилами внутрішнього трудового розпорядку.

Своєю чергою, законодавство надає більше можливостей для звільнення окремих категорій осіб (керівник, головний бухгалтер, їх заступники) підприємства за такі порушення на підставі п. 1 ч. 1 ст. 41 КЗпП України (одноразове грубе порушення трудових обов’язків). Однак, для застосування такої норми необхідно, щоб у трудовому договорі чи у відповідних політиках було чітко визначено, що порушення правил кібербезпеки вважається грубим порушенням.

Вказані вище види звільнення вважаються дисциплінарними звільненнями. Тому, роботодавець зобов’язаний зафіксувати факт порушення, а також запросити письмові пояснення від працівника, дотримуватись строків притягнення до дисциплінарної відповідальності та інших належних процедур.

Слід зауважити, що чинним законодавством України передбачені також і інші застосовні види звільнень, які не вважаються дисциплінарними стягненнями.

Відтак, з певними категоріями осіб (керівники, члени виконавчого органу та наглядової ради підприємств, а також працівники резидента Дія Сіті) передбачена можливість укладення трудового контракту, в якому можуть бути також передбачені додаткові підстави для звільнення, зокрема і за порушення правил кібербезпеки.

Також додатковою підставою для розірвання трудового договору (контракту) з посадовими особами товариств з обмеженою відповідальністю є розголошення конфіденційної інформації або комерційної таємниці, за винятком випадків, коли розкриття такої інформації вимагається законом (ч.ч. 7-8 ст. 42 Закону України «Про товариства з обмеженою та додатковою відповідальністю»).