Штраф в $125 млн – за использование личной электронной почты и мессенджеров

Декабрь сделал празднование Рождества гораздо менее радужным для инвестиционной J.P. Morgan Securities LLC (JPMS): 17 декабря 2021 г. компания объявила о том, что была оштрафована на 125 млн долларов США Комиссией по ценным бумагам и биржам США. Причина – несоблюдение правил, связанных с хранением переписки. При чем там приватность? Разберемся!  

email

Правила для всех

JPMS получила многомиллионный штраф за несоблюдение компанией и ее сотрудниками правил по сохранению письменных сообщений: инвестиционные компании США в течение нескольких лет сохраняют всю переписку со всеми клиентами и партнерами для контроля со стороны Комиссии. Для этого все сотрудники обязаны использовать только официальные каналы связи (например, корпоративную электронную почту). Но, видимо, не всем это было удобно, поэтому переписка велась и с личной электронной почты, и через личные мессенджеры, да еще и с устройств, принадлежащих самим сотрудникам (причем эти сообщения не сохранялись так, как предписывается законом).  

рассылка

Комиссия по ценным бумагам и биржам США особо отметила то, что этой порочной практике предавались не только рядовые сотрудники, но и вышестоящие специалисты, в том числе руководители. А ведь их основная задача как раз и состояла в том, чтобы обеспечивать соблюдение этих правил своими подчиненными. Посчитав нарушение весьма серьезным (особенно с учетом того, что сотрудники компании использовали личные устройства для переписки не месяцами – годами!), Комиссия предписала JPMS пересмотреть политики комплаенса компании – и наложила штраф.  

Даже если ваша компания не ведет инвестиционный бизнес в США, эта история все равно может быть вам полезна – как повод обратить внимание на риски приватности, связанные с использованием личных мессенджеров, электронной почты и устройств сотрудников. 

Bring Your Own Device (BYOD): удобство или угроза приватности?

Сотрудники используют личные устройства для работы по разным причинам. Во-первых, не все наниматели дают корпоративную технику: компьютеры, смартфоны, флешки и т.д. Во-вторых, некоторым работникам просто неудобно иметь несколько устройств: личный и рабочий телефон, личный и рабочий компьютер (“лишняя” техника занимает место, ее можно забыть и т.д.). Однако использование сотрудниками личных устройств ставит дополнительные риски с точки зрения приватности, поскольку наниматель (контролер или процессор персональных данных) следит за такими устройствами значительно меньше, чем за теми, что им же и предоставлены. 

computer

Согласно ст. 32 GDPR контролер и процессор должны реализовать соответствующие технические и организационные меры для обеспечения безопасности персональных данных (с учетом обнаруженных рисков). Использование же работниками собственных устройств само по себе создает следующие риски: 

⚠️  ограниченный доступ нанимателя как к устройству работника, так и к данным, хранящимся на нем; 

⚠️  невозможность контролировать нарушения безопасности персональных данных (если работник потеряет свой смартфон, он может купить новый и не сообщить об этом инциденте компании); 

⚠️  доступность хранящихся на устройстве персональных данных для третьих лиц (личным смартфоном работника может воспользоваться его супруг, ребенок, друг и т.д.); 

⚠️  невозможность контролировать установленные на устройстве программы, настройки синхронизации (в том числе автоматическую загрузку данных в “облако”), антивирусную защиту; 

⚠️  невозможность удостовериться, что при увольнении или смерти работника данные будут полностью удалены с устройства работника и всех его личных учетных записей. 

Итак, есть риски, есть обязанность принять меры. Что же делать?

Политика использования личных устройств (BYOD Policy)

Если компания не может отказаться от использования работниками их личной техники, следует установить рамки такого использования. Например, принять политику использования личных устройств (BYOD Policy), в которой следует определить, помимо прочего: 

✓  какие персональные данные могут обрабатываться на личных устройствах, а какие – только на устройствах нанимателя; 

✓  где должны храниться персональные данные (на устройстве или на корпоративном сервере); 

✓  пароль какого уровня сложности должен использоваться и для чего (для блокировки устройства в целом, для блокировки доступа к отдельным файлам и/или приложениям и т.д.); 

✓  может ли работник использовать общественные сети Wi-Fi для передачи персональных данных (например, в кафе); 

✓  какую антивирусную систему должен использовать работник на устройстве; 

✓  порядок возвращения/удаления персональных данных с устройства работника при увольнении, уходе в длительный отпуск и т.д.; 

✓  порядок оповещения нанимателя о нарушениях безопасности персональных данных (в том числе при утере, взломе устройства). 

E-mail

Важно также помнить, что любые правила остаются лишь правилами на бумаге, если нет возможность контролировать их исполнение. Предусмотрите в BYOD Policy порядок проверки устройств работника системным администратором, обязанность работника предоставлять устройства для проверки по первому требованию. Нелишним будет продумать, как часто и в каком порядке компания будет проверять знание работниками правил обращения с устройствами. 

Удобство использования личных устройств должно идти не вместо приватности, а вместе с ней! 

Расписание курсов загружается, подожди несколько секунд