Отношение некоторых сотрудников к соблюдению требований информационной безопасности вызывает, мягко говоря, удивление. То, что это может привести к неприятностям, показывает данное судебное дело.
Центральный районный суд города Тулы в октябре 2020 года рассмотрел дело №2-2368/2020, в котором сотрудник банка оспаривал свое дисциплинарное взыскание в виде замечания за то, что он отправил с адреса корпоративной электронной почты на внешний адрес электронной почты электронное сообщение с вложением файла, содержащего аналитические сведения и числовые показатели по более чем 16 тыс. клиентам всех региональных операционных офисов банка «Возрождение», а также сведения о коммерческой миграции клиентов банка в банк «ВТБ» и иную информацию.
Суть спора
Гражданин работает в банке в должности заместителя регионального управляющего по корпоративному бизнесу Регионального операционного офиса «Тульский» (РОО). Ему было объявлено дисциплинарное взыскание в виде замечания.
Гражданин обратился в суд с иском к ПАО Банк «Возрождение» об отмене приказа о наложении дисциплинарного взыскания, о взыскании недоплаты денежной премии и компенсации морального вреда.
Позиция Центрального районного суда города Тулы
Суд отметил, что при приеме на работу до подписания трудового договора, гражданин был ознакомлен с локальными нормативными актами, непосредственно связанными с его трудовой деятельностью, что подтверждается подписью в листе ознакомления кандидата на работу в Банк «Возрождение».
Он был ознакомлен под роспись с «Политикой информационной безопасности Процессинговой системы Банка «Возрождение»», «Политикой информационной безопасности Банка «Возрождение»», и «Инструкцией по защите информации при работе на автоматизированных рабочих местах корпоративной информационной системы Банка «Возрождение», версия 5.0».
Сотрудником с адреса корпоративной электронной почты на внешний адрес электронной почты была осуществлена отправка электронного сообщения с вложением файла формата XLSX содержащего аналитические сведения и числовые показатели по более чем 16 тыс. клиентам всех РОО Банка, а также сведения о коммерческой миграции клиентов банка в банк «ВТБ», с указанием: наименования и ИНН клиентов, Ф.И.О. и табельных номеров ответственных работников банка.
Суд отметил, что согласно «Перечню сведений конфиденциального характера, подлежащих защите в Банке «Возрождение»» в банке к информации, составляющей коммерческую тайну, относятся:
- Внутренние отчеты о работе банка;
- Сведения, раскрывающие стратегические, перспективные и текущие направления работы банка;
- Сведения, передаваемые клиентами банку и наоборот, касающиеся хозрасчетных и иных отношений между сторонами, оформленных соответствующими договорами;
- Файлы, содержащие регистрационную системную информацию о работе отдельных компонентов КИС банка, предназначенных для обработки информации, ограниченного доступа;
- Аналитические материалы, заключения и иные статистические документы, содержащие сведения об экономическом и финансовом состоянии банка.
К информации, составляющей банковскую тайну, в банке отнесены:
- Сведения о счетах юридических лиц и граждан осуществляющих предпринимательскую деятельность без образования юридического лица, сведения об операциях по счетам, о банковских операциях клиентов;
- Условия кредитных договоров;
- Суммы по депозитным договорам.
К сведениям, составляющим персональные данные, в банке отнесены: фамилия, имя, отчество и табельный номер работника.
Согласно требованиям «Инструкции по защите информации при работе на автоматизированных рабочих местах корпоративной информационной системы Банка «Возрождение»», утвержденной Правлением банка, при использовании электронной почты пользователю запрещается, в том числе, передавать электронные документы, содержащие информацию ограниченного доступа в открытом (незашифрованном, без применения мер защиты) виде на внешние адреса электронной почты вне утвержденного технологического процесса.
В ходе проведенной служебной проверки сотрудник сообщил, что адрес электронной почты, на который он направил документ, принадлежит лично ему. Выполнение должностных обязанностей в условиях удаленной работы он не осуществлял. Также он пояснил, что он осуществил отправку файла на адрес личной электронной почты с целью определения в свободное от работы время причин некорректной работы макроса в одной из граф отправленного файла. В связи с решением проблемы в рабочее время, отправленный файл в личном почтовом электронном ящике был безвозвратно удален, в том числе из «Корзины». Сведения ограниченного доступа на съемных носителях им не сохранялись, не распечатывались, в пользование третьим лицам не передавались. Направление данного файла на свою личную электронную почту он с руководством РОО «Тульский» не согласовывал.
В своих пояснениях гражданин утверждал, что отправленная им информация является общедоступной для всех пользователей сети Интернет, так как файл содержал только сведения об ИНН и наименования организаций. О том, что данный файл был специальным образом отформатирован и во вложении содержал скрытые листы с информацией ограниченного доступа, ему не было известно, в связи с чем он не усматривал в своих действиях нарушения требований политики информационной безопасности и инструкции по защите информации при работе на автоматизированных рабочих местах корпоративной информационной системы банка.
Опрошенная управляющая РОО «Тульский» в ходе проведения проверки пояснила, что об отправке массива информации конфиденциального характера банка на внешний адрес электронной почты сотрудником осведомлена не была.
Адрес электронной почты принадлежит сотруднику, с данного адреса последним направлялись документы при рассмотрении его кандидатуры для замещения вакантной должности. Также она сообщила, что профилактические беседы о недопустимости отправки сведений ограниченного доступа на внешние электронные адреса, включая личную почту, с сотрудниками РОО «Тульский» проводит лично на планерках, проводимых еженедельно.
Сотрудник добровольно предоставил пароль для входа в электронный почтовый ящик и дал свое согласие на ознакомление с его содержимым. В ходе осмотра установлено, что искомое письмо в папке «Входящие», «Отправленные», «Корзина» отсутствует. Факта пересылки на другие внешние электронные адреса сведений ограниченного доступа не выявлено. По результатам осмотра был составлен соответствующий акт.
Согласно письменным пояснениям сотрудника сообщение в почтовом ящике им не открывалось, на компьютер не сохранялось, на другие адреса электронной почты не отправлялось и было удалено им в течение 1-3 дней, так как удалось устранить ошибку с привлечением сотрудника отдела информационного обеспечения.
Доступ к почтовому ящику имеет только он, информация из этого файла в формате фото, на бумажных и съемных носителях не распечатывалась и никому не передавалась. В подтверждение этого был предоставлен доступ сотрудникам информационной безопасности банка к его почтовому ящику и домашнему компьютеру. Данный файл содержал информацию по Тульскому офису наименование и ИНН клиентов, комментарии сотрудников по процессу миграции в ВТБ.
Файл был получен от регионального руководителя, неоднократно отправлялся в центральный аппарат, и никакая иная информация, кроме указанной, при открытии файла ни ему, ни другим сотрудниками РОО не была доступна и известна. Поэтому указание на то, что им была отправлена информация клиентах всех региональных операционных офисов, ФИО и табельные номера ответственных работников банка является некорректной. Должностные обязанности, связанные с защитой конфиденциальной информации, им не нарушались, так как отнесённые банком к сведениям конфиденциального характера сведения о счетах клиентов и операциях по ним, условия и суммы по кредитным и депозитным договорам, сведения об экономическом и финансовом состоянии Банка и т.п., а также персональные данные сотрудников (ФИО и табельный номер) им не передавались.
Суд отметил, что службой экономической безопасности банка было установлено, что в отправленном с адреса его корпоративной электронной почты файле содержатся сведения о статусах клиентов (действующий/недействующий/заблокирован), сведения по наличию/отсутствию счетов в Банке ВТБ (ПАО), результаты переговоров с представителями организаций, что согласно пункту 2.7 «Перечня сведений конфиденциального характера, подлежащих защите в банке является коммерческой тайной. Кроме того, в данном фале имеется визуально скрытая информация, которая извлекается к обозрению без применения специальных программ и навыков, в которой содержатся аналитические сведения и числовые показатели по клиентам банка, а также сведения о коммерческой миграции клиентов Банка в Банк «ВТБ» (ПАО), с указанием: наименования и ИНН клиентов, Ф.И.О. и табельных номеров ответственных работников Банка, что также относится к сведениям ограниченного доступа в Банке.
По результатам проверки факт несанкционированной отправки сотрудником на внешний адрес электронной почты файла, содержащего сведения конфиденциального характера банка, был подтвержден. Незаконное разглашение сведений, составляющих банковскую или коммерческую тайну банка третьим лицам, выявлено не было. В связи с этим было принято решение рассмотреть вопрос о применении мер дисциплинарного воздействия, соразмерных содеянному.
По итогам проверки приказом сотрудник был привлечен к дисциплинарной ответственности - ему было объявлено дисциплинарное взыскание в виде замечания.
При проверке доводов истца о нарушении работодателем ПАО Банк «Возрождение» порядка проведения служебной проверки и порядка привлечения к дисциплинарной ответственности, суд пришел к выводу об отсутствии нарушений его прав при назначении проверки Службой экономической безопасности и привлечении его к дисциплинарной ответственности.
Суд отметил, что доводы сотрудника о том, что при принятии решения о привлечении его к дисциплинарной ответственности работодатель не учел всех обстоятельств, при которых были совершены действия по отправлению им файла на внешний адрес его личной электронной почты, не соответствуют приведенному выше нормативно-правовому регулированию спорных отношений.
Выбор вида применяемого дисциплинарного взыскания относится к компетенции работодателя, и оснований полагать, что взыскание несоразмерно допущенному нарушению, не имеется.
При таких обстоятельствах, учитывая результаты проверки и содержание акта проверки, привлечение сотрудника к дисциплинарной ответственности суд признал законным, а оспариваемый приказ не подлежащим отмене.
Судебная коллегия по гражданским делам Тульского областного суда в январе 2021 года (дело №33-232/2021) оставила без изменения решение Центрального районного суда г. Тулы, а апелляционную жалобу гражданина - без удовлетворения.
Судебная коллегия по гражданским делам Первого кассационного суда общей юрисдикции в июне 2021 года (дело№88-11632/2021) оставила без изменения решение Центрального районного суда г. Тулы и апелляционное определение судебной коллегии по гражданским делам Тульского областного суда, а кассационную жалобу гражданина - без удовлетворения.
Источник: сайт Судебные решения/ сайт Тульского областного суда
http://судебныерешения.рф/54992996
http://судебныерешения.рф/58757205
https://oblsud--tula.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=41197754&delo_id=5&new=5&text_number=1
Комментариев нет:
Отправить комментарий