У сучасному світі інформація є одним з головних активів, а отже питання цифрової гігієни є основою функціонування будь-якого бізнесу. Саме тому кібербезпека на робочому місці є сферою відповідальності, де перетинаються обов’язки та інтереси як роботодавця, так і працівників.


Звернулися до експерта, аби дізнатися, які правила та вимоги до кібербезпеки існують у законодавстві, як правильно закріпити внутрішні політики та яку відповідальність несуть сторони у випадку витоку даних.


Нагадуємо, якщо у вас є запитання до юристів, які потребують розяснень, – надішліть нам його на пошту budni.info@robota.ua і ми спробуємо вам допомогти разом з фахівцями з трудового права.


Михайло Ткаченко


Михайло Ткаченко, молодший юрист практики трудового права юридичної компанії ARZINGER


Які мінімальні гарантії кібербезпеки роботодавець має забезпечити працівникам, у тому числі віддаленим?


В українському законодавстві немає чіткого переліку мінімальних гарантій кібербезпеки, у тому числі для віддалених працівників. Проте, виходячи із Законів України «Про захист персональних даних» та «Про інформацію», роботодавець зобов’язаний:


    

  • отримати згоду на збір та обробку їхніх персональних даних;
    • 

  • запобігти несанкціонованому доступу або витоку персональних даних працівників;
    • 

  • інформувати та ознайомлювати працівників із правами, пов’язаними зі збором та обробкою персональних даних.
    • 



Отже, закон встановлює лише загальний обов’язок захищати персональні дані працівників.


Всі інші вимоги – наприклад, використання ліцензійного ПЗ, антивірусних програм, правил роботи з документами чи технологіями штучного інтелекту – можуть бути прописані у внутрішніх політиках компанії або в трудових договорах, але вони не є обов’язковими.


Виняток становлять держслужбовці, військові, депутати, працівники державних органів та підприємств. Для них закон прямо передбачає проведення інструктажів і регулярних тренінгів із кібергігієни (п. 27 ч. 3 ст. 8 Закону «Про основні засади забезпечення кібербезпеки України»). У приватному секторі таке зобов’язання відсутнє.


Чи можна юридично зобов’язати працівника дотримуватися політик інформаційної безпеки?


Так, можна. Для цього компанія повинна:


    

  • оформити правила та вимоги з інформаційної безпеки у вигляді внутрішніх політик чи положень;
    • 

  • офіційно затвердити їх на рівні підприємства;
    • 

  • ознайомити з ними всіх працівників у належний спосіб.
    • 



Лише тоді такі документи матимуть юридичну силу, а компанія зможе застосовувати дисциплінарні заходи у разі порушення.


Коли мова йде про політики групи компаній, то вони мають бути адаптовані до українського законодавства, а також затверджені належним чином на кожному конкретному підприємстві.


Чи може роботодавець контролювати електронну пошту, чати працівників з метою запобігання витоку інформації?


Так, але будь-який контроль вважається обробкою персональних даних і повинен відповідати Закону України «Про захист персональних даних».


Основні моменти:


    

  • працівник має надати згоду на обробку персональних даних;
    • 

  • збирати можна тільки ті дані, які безпосередньо стосуються трудових функцій та обовʼязків.
    • 



Роботодавець повинен повідомити працівника про застосування засобів контролю:


    

  • до початку роботи для нових працівників (ст. 29 КЗпП України);
    • 

  • для існуючих – не менше ніж за 2 місяці до введення змін (ст. 32 КЗпП України) (у період дії воєнного стану – безпосередньо до початку запровадження).
    • 



Досить показовим є рішення Європейського суду з прав людини у справі BĂRBULESCU v. ROMANIA, в якому було визначено чіткі вимоги для здійснення контролю у вигляді відстеження електронної пошти та інших онлайн-інструментів:


    

  • Мета збору та обробки даних повинна бути чітко визначена та доведена до відома працівника.
    • 

  • Обробка персональних даних повинна бути зведена до мінімуму, необхідного для досягнення мети.
    • 

  • Будь-які заходи моніторингу повинні бути пропорційними до ризиків, з якими стикається роботодавець, а також враховувати законні інтереси працівників стосовно приватності.
    • 

  • Роботодавець зобов’язаний оцінити, чи можна досягти мети менш обмежувальними заходами.
    • 

  • Роботодавець зобов’язаний вжити всіх можливих заходів безпеки, з метою нерозповсюдження зібраних даних.
    • 

  • На обробку персональних даних необхідно отримати згоду працівника.
    • 

  • Забороняється здійснювати контроль відправлення та отримання приватної електронної кореспонденції.
    • 



Таким чином, контроль дозволений, але лише у межах закону, прозоро та з повагою до прав працівників.


Яку відповідальність несе працівник у разі порушення правил кібербезпеки (наприклад, якщо він випадково «злив» дані конкурентам)? Як розподіляється відповідальність між працівником і роботодавцем у разі витоку даних?


У випадку випадкового витоку даних, працівник може бути притягнутий до відповідальності, в тому числі перед роботодавцем.


Основними видами відповідальності, які може застосовувати роботодавець, є:


    

  • Дисциплінарна відповідальність (ст. 147 КЗпП України) у вигляді догани або звільнення (за наявності відповідних підстав, наприклад, систематичного невиконання працівником покладених на нього обов’язків у контексті дотримання внутрішніх політик роботодавця – п. 3 ч. 1 ст. 40 КЗпП України, або невиконання працівником правил поведінки, якщо основи кібербезпеки закріплені саме в них – п. 14 ч. 1 ст. 40 КЗпП України).
    • 

  • Матеріальна відповідальність у вигляді відшкодування в розмірі заподіяної шкоди, але, як правило, не більше середнього місячного заробітку (ст. 133 КЗпП України).
    • 



Ключовою умовою для притягнення до вказаних видів відповідальності є доведення роботодавцем того факту, що працівник був належним чином (під особистий підпис) ознайомлений з відповідними внутрішніми політиками.


Якщо ж працівник свідомо збирав та передавав дані, які є комерційною таємницею, такі дії можуть бути кваліфіковані як кримінальне правопорушення, що тягне за собою накладення штрафу в розмірі від 51 000 до 136 000 гривень (ст. 231 КК України). У такому випадку головними умовами є наявність умислу та спричинення істотної шкоди роботодавцю.


Окрім цього, у випадку несанкціонованого витоку інформації, яка зберігається або обробляється в комп’ютерах, комп’ютерних мережах або зберігається на носіях такої інформації, особа, яка має право доступу до такої інформації, може бути притягнена до кримінальної відповідальності за ч. 2 ст. 362 КК України, що тягне за собою позбавлення волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю.


У разі недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу у розмірі від 1 700 до 8 500 гривень для працівників, та від 5 100 до 17 000 гривень для посадових осіб підприємства (ст. 188-39 КУпАП).


Серед основних видів відповідальності роботодавця у разі витоку даних, окрім тих, що зазначені вище, є цивільно-правова відповідальність у вигляді відшкодування збитків, завданих третім особам (в т. ч. працівникам) внаслідок витоку даних, а також кримінальна відповідальність для посадових осіб роботодавця:


    

  • За порушення правил захисту інформації в комп’ютерних системах, якщо це заподіяло значну шкоду, особа, яка відповідає за їх експлуатацію може бути притягнута до відповідальності у вигляді штрафу від 34 000 до 68 000 гривень, або пробаційним наглядом на строк до трьох років, або обмеженням волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю (ст. 363 КК України).
    • 

  • Якщо буде доведено, що посадова особа не виконала, або неналежно виконала свої обов’язки, що призвело до істотної шкоди правам, свободам та інтересам працівників, посадові особи можуть бути притягнуті до відповідальності у вигляду штрафу від 34 000 до 68 000 гривень, або виправними роботами на строк до двох років, або обмеженням волі на строк до 3 років із позбавленням права обіймати певні посади або займатися певною діяльністю (ст. 367 КК України).
    • 



Чи потрібно включати положення про кібербезпеку у трудовий договір?


Включення положень про кібербезпеку до трудового договору не є обов’язковою вимогою згідно з чинним законодавством України та не є істотною умовою трудового договору.


Однак, незважаючи на відсутність такого обов’язку, рекомендується додавати такі положення до трудового договору та/або внутрішніх політик, оскільки в такому випадку вони стають складовою частиною трудових функцій працівника.


Окрім цього, наявність таких положень є, беззаперечно, підвищенням рівня уваги працівників до питань кібербезпеки.


Які особливості звільнення працівників у випадках порушення правил кібербезпеки?


Важливо розуміти, що звільнення та притягнення працівника до дисциплінарної відповідальності за порушення правил кібербезпеки, можливе виключно у випадках, якщо працівник був належним чином ознайомлений із відповідними внутрішніми політиками або якщо такі обов’язки прямо зазначені в трудовому договорі.


Якщо до працівника раніше застосувалися заходи дисциплінарного стягнення (наприклад, догана) то можна застосувати звільнення на підставі п. 3 ч. 1 ст. 40 КЗпП України (систематичне невиконання працівником покладених на нього обов’язків) за умови, що відповідний обов’язок був передбачений трудовим договором або правилами внутрішнього трудового розпорядку.


Альтернативним можливим варіантом є звільнення на підставі п. 14 ч. 1 ст. 40 КЗпП України (невиконання працівником правил поведінки), однак застосування цієї підстави можливе в тому випадку, якщо відповідні положення є складовою частиною правил поведінки на підприємстві, затверджених разом з правилами внутрішнього трудового розпорядку.


Своєю чергою, законодавство надає більше можливостей для звільнення окремих категорій осіб (керівник, головний бухгалтер, їх заступники) підприємства за такі порушення на підставі п. 1 ч. 1 ст. 41 КЗпП України (одноразове грубе порушення трудових обов’язків). Однак, для застосування такої норми необхідно, щоб у трудовому договорі чи у відповідних політиках було чітко визначено, що порушення правил кібербезпеки вважається грубим порушенням.


Вказані вище види звільнення вважаються дисциплінарними звільненнями. Тому, роботодавець зобов’язаний зафіксувати факт порушення, а також запросити письмові пояснення від працівника, дотримуватись строків притягнення до дисциплінарної відповідальності та інших належних процедур.


Слід зауважити, що чинним законодавством України передбачені також і інші застосовні види звільнень, які не вважаються дисциплінарними стягненнями.


Відтак, з певними категоріями осіб (керівники, члени виконавчого органу та наглядової ради підприємств, а також працівники резидента Дія Сіті) передбачена можливість укладення трудового контракту, в якому можуть бути також передбачені додаткові підстави для звільнення, зокрема і за порушення правил кібербезпеки.


Також додатковою підставою для розірвання трудового договору (контракту) з посадовими особами товариств з обмеженою відповідальністю є розголошення конфіденційної інформації або комерційної таємниці, за винятком випадків, коли розкриття такої інформації вимагається законом (ч.ч. 7-8 ст. 42 Закону України «Про товариства з обмеженою та додатковою відповідальністю»).


Читайте ще: Як отримати допомогу по безробіттю у 2025 році? Коментар фахівця Державного центру зайнятості