Законно ли наказывать за переход по тестовому «фишинговому» письму работодателя?
Специалисты сайта Онлайнинспекция.рф ответили на вопрос, допустимо ли привлекать к дисциплинарной ответственности работников, которые перешли по тестовым «фишинговым» ссылкам из рассылки работодателя.
Вопрос: дисциплинарная ответственность за тестовый фишинг
В организации установлен запрет переходить по внешним ссылкам и отвечать на письма, поступившие не с адресов из утверждённого «белого списка». Служба безопасности регулярно проводит проверки: рассылает тестовые «фишинговые» письма и фиксирует, кто по ним перешёл или ответил. Работодателем планируется объявить выговоры всем, кто нарушил эти запреты, причём часть таких писем оформляется с учётом актуальных запросов сотрудников. Возникает вопрос, насколько правомерно дисциплинарное наказание, если работодатель сам создаёт ситуацию, в которой работник нарушает установленные правила.
Ответ: фишинговые проверки допустимы при ЛНА
Ответ Онлайнинспекции: порядок использования оборудования работодателя, корпоративной почты, интернета и соблюдения требований информационной безопасности трудовым законодательством подробно не урегулирован и определяется работодателем самостоятельно через локальные нормативные акты. Если в таких документах прямо закреплён запрет переходить по определённым ссылкам или отвечать на письма, не соответствующие установленным правилам, и работник был с ними надлежащим образом ознакомлен, он обязан эти требования соблюдать.
Когда работник нарушает такие правила по своей вине, это рассматривается как дисциплинарный проступок — ненадлежащее исполнение трудовых обязанностей. В этом случае работодатель вправе применить одно из предусмотренных Трудовым кодексом дисциплинарных взысканий (в том числе выговор), при условии соблюдения установленной законом процедуры. Чтобы избежать подобных последствий, работнику требуется добросовестно исполнять трудовые обязанности и следовать требованиям локальных актов, трудового договора и должностной инструкции, в том числе в части информационной безопасности.
Правовое обоснование позиции
Трудовой кодекс РФ обязывает работника добросовестно выполнять свои трудовые обязанности, соблюдать правила внутреннего трудового распорядка и трудовую дисциплину. Эти обязанности распространяются на все установленные работодателем правила, в том числе связанные с использованием его оборудования и обеспечением информационной безопасности, если они закреплены в трудовом договоре, должностной инструкции или локальных нормативных актах и доведены до сведения работника.
Работодатель, со своей стороны, обязан предоставлять работникам работу по трудовому договору, обеспечивать их необходимыми средствами труда и принимать локальные нормативные акты, регулирующие порядок работы, права, обязанности и ответственность сторон. К таким актам относятся, в частности, правила внутреннего трудового распорядка, где может быть определён порядок работы с электронной почтой, интернетом и установлены связанные с этим запреты и ограничения.
Если работник по собственной вине не исполняет или ненадлежащим образом исполняет возложенные на него трудовые обязанности, в том числе нарушает утверждённые правила информационной безопасности, это признаётся дисциплинарным проступком. За такой проступок Трудовой кодекс прямо допускает применение к работнику дисциплинарных взысканий — замечания, выговора или увольнения по соответствующим основаниям, при соблюдении работодателем установленного порядка привлечения к ответственности.
Трудовой кодекс РФ, статья 192: за совершение дисциплинарного проступка, то есть неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей, работодатель имеет право применить следующие дисциплинарные взыскания:1) замечание;2) выговор;3) увольнение по соответствующим основаниям.
Вывод: тестовый фишинг может наказываться
Таким образом, если запреты и правила работы с корпоративной почтой и ссылками закреплены в локальных актах работодателя и работники с ними надлежащим образом ознакомлены, переход по тестовому «фишинговому» письму считается нарушением трудовой дисциплины, за которое работодатель вправе применить предусмотренные законом дисциплинарные взыскания.
Отметим, что эта позиция, хотя и является официальной, была сформулирована специалистами Онлайнинспекции в ответ на конкретный вопрос и не может быть применена в отрыве от ситуации запроса пользователя.