💡 DLP в офисе: где защита данных заканчивается и начинается контроль сотрудника
Когда компания внедряет систему предотвращения утечек данных (Data Loss Prevention, DLP), она обычно объясняет это защитой коммерческой тайны, персональных данных, клиентской базы, договоров, финансовых документов и другой служебной информации. На практике такая система действительно защищает бизнес, но одновременно становится инструментом контроля действий работников на корпоративных устройствах и в корпоративной информационной среде.
🗣 Простыми словами, DLP смотрит не за человеком как за личностью, а за тем, как служебная информация движется внутри компании и выходит за ее пределы. Система может анализировать письма, вложения, документы, сообщения в рабочих каналах связи, загрузку файлов в облачные сервисы, копирование на внешние носители, отправку на печать, пересылку файлов на личную почту, попытки отправить данные через интернет сервисы, а также действия с конфиденциальными документами на рабочем компьютере.
Что именно отслеживается, зависит от настроек работодателя. Обычно DLP ищет в передаваемых данных признаки риска: паспортные данные, номера банковских карт, договоры, базы клиентов, кадровые документы, финансовую отчетность, исходные коды, коммерческие предложения, внутренние таблицы, документы с грифами конфиденциальности. Если система видит совпадение с заданным правилом, она может создать уведомление для службы безопасности, заблокировать отправку, сохранить или передать инцидент ответственному сотруднику.
❗️ Важно понимать: наличие DLP не означает, что работодатель может тайно читать все подряд. Контроль должен быть связан с рабочими задачами, защитой имущества, соблюдением закона, сохранением коммерческой тайны и безопасностью персональных данных. Работник должен заранее понимать, какие корпоративные ресурсы контролируются, какие действия запрещены, какие данные считаются конфиденциальными и кто имеет доступ к результатам проверки.
✏️Чтобы использование DLP было законным и не превратилось в скрытую слежку, работодателю нужно заранее оформить внутренние документы и ознакомить с ними работников под подпись. Обычно необходимы:
1️⃣ Локальный акт о порядке использования корпоративной техники, электронной почты, интернета, рабочих мессенджеров и информационных систем.
2️⃣ Политика или положение об обработке и защите персональных данных работников.
3️⃣ Положение о коммерческой тайне или конфиденциальной информации, если компания защищает такие сведения.
4️⃣ Перечень сведений, которые работник не вправе передавать третьим лицам или использовать в личных целях.
5️⃣ Уведомление работника о том, что корпоративные устройства, учетные записи, рабочая почта и служебные каналы связи могут контролироваться техническими средствами защиты информации.
6️⃣ Обязательство о неразглашении конфиденциальной информации, если работник получает доступ к таким сведениям.
7️⃣ Согласие на обработку персональных данных, когда обработка выходит за пределы целей, прямо связанных с трудовым законодательством, договором или законными обязанностями работодателя.
✉️ Согласие работника не всегда является единственным основанием для обработки данных. В трудовых отношениях работодатель может обрабатывать часть персональных данных для исполнения закона, ведения кадрового учета, контроля количества и качества работы, обеспечения сохранности имущества и защиты информации. Но это не отменяет главного требования: работник должен быть ясно и заранее проинформирован о правилах контроля.
💬 Для работника главный вывод простой: корпоративный компьютер, рабочая почта и служебные каналы связи не являются личным пространством в полном смысле. Все, что делается в них с рабочими документами, может быть проверено, если это предусмотрено локальными актами и связано с законной целью работодателя.
⚙️ Для работодателя вывод другой: DLP нельзя внедрять как невидимый инструмент наблюдения. Сначала нужно описать правила, определить цели контроля, ограничить доступ к результатам мониторинга, назначить ответственных лиц, оформить документы и ознакомить сотрудников.
Позвонить