Для удобства работы и оперативного взаимодействия с клиентами, кандидатами на работу, сотрудниками и иными субъектами ПДн многие компании используют электронную почту. Эта практика довольно распространенная и уже стала настолько привычной, что многие и не задумываются, что и здесь есть риски нарушить законодательство о персональных данных.
Конечно, сам факт использования электронной почты не нарушает закон. Нарушением считается отсутствие мер безопасности и не соблюдение правил работы с ПДн, установленных законом и внутренними локальными актами компании.
Наиболее частые нарушения, встречающиеся при работе с электронной почтой, — отправка ПДн по незащищенным каналам связи, хранение писем с ПДн в незащищённых ящиках, отправка документов с ПДн без пароля, использование личной почты сотрудников. В последнем случае для многих сотрудников становится открытием, что, направляя данные самому себе, они нарушают закон и могут понести за это ответственность.
В ходе Дня открытых дверей в 2025 году Роскомнадзор заявил, что передача работником ПДн на свой личный email для работы из дома, может считаться утечкой, поскольку это нарушает требование о конфиденциальности. Личная почта работника не является защищенным ресурсом оператора, и передача на нее данных означает их распространение за пределы контролируемой информационной системы оператора, что представляет собой несанкционированное распространение.
Сегодня в статье: поделимся несколькими примерами судебной практики по делам, связанным с пересылкой ПДн на личные электронные почты; выделим основные моменты, на которые обращают внимание суды при рассмотрении подобных дел и узнаем «при чем тут локальные акты организации».
В первую очередь, отметим, что при рассмотрении подобных дел (когда работник направлял на личную почту конфиденциальные данные), суды руководствуются Постановлением Конституционного суда Российской Федерации от 26 октября 2017 г. № 25-П «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», из которого следует, что:
- отправка гражданином на свой (личный) адрес электронной почты информации, не принадлежащей ему, создает условия для ее дальнейшего неконтролируемого распространения. Совершив такие действия, гражданин получает возможность распоряжаться информацией по своему усмотрению (разрешать или ограничивать доступ к ней) без правового основания (например, договора или закона) и контроля со стороны обладателя информации, который уже не может в полной мере определять условия и порядок доступа к информации в дальнейшем.
- нарушением являются действия гражданина, осуществившего — вопреки установленному правовыми, в том числе локальными, актами (с которыми гражданин был ознакомлен) и (или) договорами запрету — передачу конфиденциальной информации с адреса электронной почты на свой (личный) адрес электронной почты, если обладатель информации принял все необходимые меры, исключающие несанкционированный доступ к этой информации третьих лиц.
Правовые последствия различаются в зависимости от степени разумности и осмотрительности самого обладателя информации (далее в примерах – компания, работодатель, оператор):
Вариант 1: Если оператор принял необходимые меры против несанкционированного доступа к соответствующей информации третьих лиц, включая прямой запрет на ее отправку на личный адрес электронной почты допускаемого к ней лица (о чем оператор поставил в известность это лицо), т.е. действовал разумно и осмотрительно, то отправка гражданином информации на свой (личный) адрес электронной почты, как явно совершенная вопреки предпринятым мерам, может рассматриваться в качестве нарушения безотносительно к тому, имело ли место разглашение (распространение) данной информации третьему лицу (третьим лицам).
Пример 1: Работник переслал с корпоративного адреса электронной почты на свой личный почтовый адрес письмо, вложив в него скриншот файла, где были данные о сотрудниках его организации: ФИО, должности и режим работы (подробнее). Работодатель объявил сотруднику выговор, который он обжаловал. Но суд его не поддержал, поскольку:
- работодатель принял меры по безопасности с возможностью фиксации и дальнейшего анализа действий сотрудников;
- был грамотно составлен ЛНА. В нем был установлен запрет на любую пересылку и копирование рабочей документации, данных, иной информации на электронные адреса. С этим актом сотрудник был ознакомлен под подпись.
Пример 2: Работник переслал со своей служебной на личную почту служебные документы работодателя, за что был уволен (подробнее).
Работник обратился в суд, однако проиграл дело по причине того, что у работодателя было Положение о конфиденциальной информации, с которым работник был ознакомлен. В нем было закреплено, что работник обязуется не копировать, не высылать из помещений работодателя любую конфиденциальную информацию (с помощью почты, средств электронной связи), а также было запрещено разглашать и передавать конфиденциальную информацию по незащищенным каналам связи, через сеть Интернет и иные публичные сети.
Пример 3: не про электронную почту, но тем не менее подходящий к тематике статьи.
Работник компании неоднократно пересылал на свой собственный Telegram-аккаунт документы и информацию, содержащие ПДн других работников, не считая это нарушением, поскольку данные не передавались третьим лицам (подробнее).
Внутренняя проверка показала, что своими действиями сотрудник нарушил положения трудового договора, должностной инструкции, соглашения о конфиденциальности и внутренних документов компании. Как следствие – увольнение по подп. «в» п. 6 ч. 1 ст. 81 Трудового кодекса Российской Федерации (разглашение охраняемой законом тайны). Работник обратился в суд, но дело проиграл, поскольку:
- работодатель имел Положение о конфиденциальности (и иные локальные акты), которые содержали обязанность не пересылать конфиденциальные документы и информацию с адреса корпоративной электронной почты на личную почту; не разглашать конфиденциальную информацию, полученную в ходе выполнения своих должностных обязанностей/договорных обязательств, в период действия трудового/гражданско-правового договора, а также в течение 5 лет после его окончания, если соглашением сторон не установлен иной срок. С этим положением работник был ознакомлен под подпись и обязался не разглашать сведения, составляющие конфиденциальную информацию;
- независимо от сложившихся обстоятельств работник обязан был соблюдать обязательства, предусмотренные трудовым договором, о неразглашении охраняемой законом тайны и исполнять требования должностной инструкции об обеспечении надлежащего режима конфиденциальности, как и иные требования локальных нормативных актов работодателя о порядке работы с конфиденциальной информацией;
- действия работника, отправившего на внешний (личный) телеграмм-аккаунт конфиденциальную информацию, признали разглашением такой информации, независимо от того, имел ли место факт ознакомления третьих лиц с конфиденциальной информацией.
Вариант 2: противоположная ситуация — когда, предоставляя доступ к информации, оператор безразлично относился к ее дальнейшей правовой судьбе, в том числе, не принимал мер к предотвращению ее выхода из-под своего контроля, то нет оснований рассматривать саму по себе отправку гражданином информации с адреса электронной почты на свой (личный) адрес электронной почты в качестве обстоятельства, меняющего правоотношения по поводу этой информации. Для наглядности приведем еще один пример – с противоположной практикой.
Пример 1: Экономист одного из предприятий Первоуральска восстановилась на работе через суд после увольнения за то, что она отправила документы с персональными данными на личный электронный ящик.
Экономист выиграл данный спор, поскольку среди прочего суд указал на наличие у предприятия нескольких вариантов Положения о защите конфиденциальной информации предприятия, содержание которых противоречит друг другу. Также отмечено, что в ЛНА отсутствовал пункт о запрете пересылки информации на личные почтовые ящики.
Анализируя приведенные примеры и подходы судов, мы начинаем понимать «причем тут локальные документы». Именно наличие локальных документов и обязательств, устанавливающих обязанности работников соблюдать конфиденциальность информации, ставшей им известной в ходе исполнения трудовых функций, во всех приведенных делах сыграло решающую роль в принятии судами решений.
Данные примеры подчеркивают, насколько важно правильно составить локальные акты, четко приписать в них инструкции для сотрудников и установить границы контролируемой зоны, в пределах которой допускается обработка ПДн. В документах, формируемых в сервисе 152DOC, пользователи определяют границы контролируемой зоны и устанавливают правило о недопустимости обработки ПДн за ее пределами, за исключением определенных случаев.
Подводя итог, отменим, что пересылка ПДн по электронной почте допускается, но только при выполнении мер, направленных на защиту данных. Например:
- Используйте корпоративные почтовые сервисы с шифрованием.
- Принимайте компенсирующие меры, например, запароленный архив с передачей пароля иным способом.
- Установите возможные способы для передачи ПДн, обмена документами и запрет на пересылку ПДн на личные почты сотрудников.
- Зафиксируйте данные требования в локальных актах и утвердите комплект документов по 152-ФЗ.
Когда организация оформляет и вводит в действие локальные документы по работе с персональными данными, это позволяет защитить интересы работодателя (как с точки зрения трудового законодательства, так и со стороны защиты персональных данных). А работник, который ознакомился с документами, может оценить последствия своих действий и понести персональную ответственность в случае нарушений в работе с ПДн.