Оформление внедрения и использования DLP (часть 2)

Появилась новая запись в блоге посвященном борьбе профсоюза работников Cisco с самой Cisco по вопросу нарушения прав работника. Первая часть описывалась у меня здесь. 

Так вот, поступил ответ Департамента персонала Cisco, в котором они сообщают о том, что в обращении профсоюза не содержалось доказательной базы (документов, записей и т.д.) и соответственно получается разговор не о чем. Поэтому они не будут консультироваться с профсоюзом по данному вопросу, но если необходимо будет, то они всегда рады помочь. 

Интересная позиция. С одной стороны вроде бы правильная. Чем коллеги могут доказать свои обвинения? Как говорится "Разговор к делу не пришьешь.". Мало ли кто и что сказал. Профсоюз планирует обращаться с требованием о проверке фактов. Правда не понятно куда. И еще написать в ФСБ и Министру связи. Думаю правильно обратиться в правоохранительные органы. Но в ответ на запрос органов Cisco вполне может сообщить (и предоставить документы), что имеется соответствующая политика, инструкция, и согласие работника. А может быть и нет таких документов у Cisco (правда я в этом сомневаюсь). Или написаны они не совсем правильно. 

В общем буду следить. Очень интересная ситуация.

Оформление внедрения и использования DLP

Наткнулся на интересную запись в блоге на CNews. Вкратце речь идет о представлении на увольнение директора Cisco Systems  в России П.Бетсиса от профсоюза работников. Основанием послужило то, что в отношении работников организации проводилось служебное расследование (насколько я понял). Основанием для служебного расследования явились данные полученные из перехвата частной переписки по Gmail полученные якобы негласно. Интересная ситуация. С точки зрения сотрудников я согласен. Нельзя негласно собирать информацию. И тем более передавать ее кому то. 

Однако с точки зрения работодателя все немного по другому. Получается, что процесс использования DLP системы не был должным образом оформлен. 

Как я уже писал ранее, в таких случаях нужно получать письменное согласие работника на проведение контроля. Уведомлять работника о наличии системы DLP. Доводить под роспись запрет на обработку личных данных, а также запрет на личную переписку. В этом случае, сразу отпадает уголовно наказуемый негласный сбор информации. А имея согласие работника на контроль за его работой (в том числе и перепиской) и его обязательство не использовать средства для личной переписки будет сложно ссылаться на конституционное право.

В общем я надеюсь, что компания Cisco все таки грамотно внедряет свои системы. 

А работникам желаю, чтобы наоборот.

Документы в рамках ФЗ №152

Просматривая перечень документов необходимых для выполнения требований ФЗ №152 "О персональных данных" обратил внимание на документы Инструкция пользователя ИСПДн, Инструкция администратора ИСПДн, Инструкция администратора безопасности ИСПДн. Возник вопрос, а насколько подробными должны быть эти инструкции? Будет ли достаточно инструкции размером в 2-3 страницы, описывающей основные действия пользователей и администраторов? Решил поискать в сети, какие варианты предлагаются обществом. Наткнулся на следующие варианты от Министерства здравоохранения и социального развития РФ (инструкция администратора безопасности, Инструкция администратора, Инструкция пользователя). Варианты весьма лаконичные. Но тем не менее описывают основные действия. Формально инструкция есть. Вопрос удовлетворит ли такая инструкция регуляторов? Может быть у кого то был опыт общения с регуляторами? Какие требования к таким документам?