Судебная практика по дисциплинарной ответственности медицинских работников, связанная с информационной безопасностью.
1. ЧТО ПРОИЗОШЛО?
Администрация больницы обнаружила, что в кабинете врача-дерматолога на персональном компьютере было удалено лицензионное программное обеспечение, установлена нелицензионная копия windows 10, что повысило риск вирусной атаки в отношении программного обеспечения, использующегося больнице, могло повлечь утечку персональных данных пациентов, сотрудников и парализовать работу всей информационной системы.
Члены комиссии по информационной безопасности выявили, что было совершено незаконное вмешательство в автоматизированное место врача без привлечения системного администратора и техника, о чем составлен акт.
На основании приказа к врачу дерматологу (назовем его Андрей) применено дисциплинарное взыскание в виде выговора за самовольное удаление лицензионного программного обеспечения и установку нелицензионной копии windows 10, повлекшее удаление лицензии КРИПТО-ПРО, закрытых контейнеров с личными сертификатами и ключей врачей, работающих в кабинете N, удаление лицензии антивируса Kaspersky, рабочей информации.
Андрей обратился в … районный суд … области с иском к БУЗ … области "Центральная межрайонная больница". Он потребовал признать незаконным приказ о дисциплинарном взыскании.
2. ПОЗИЦИЯ ИСТЦА
Андрей обосновал свои требования тем, что не имел знаний и обязанностей, связанных с установкой или удалением программного обеспечения на рабочем компьютере. Он ссылался на отсутствие доказательств, что именно он совершил указанные действия. Более того, в кабинете, где он работал, имели доступ и другие сотрудники, что позволяло предположить, что нарушение могло быть осуществлено кем-то другим. Кроме того, истец утверждал о наличии предвзятости со стороны главного врача, что также могло повлиять на вынесение приказа.
3. ПОЗИЦИЯ ОТВЕТЧИКА
Представители БУЗ не признали исковые требования. Они утверждали, что действия истца создали угрозу безопасности данных, так как он самовольно удалил лицензионное ПО, что могло повлечь утечку персональных данных пациентов. Ответчик сослался на акты и служебные записки, подтверждающие, что истец нарушил трудовую дисциплину, и подтвердил, что порядок применения дисциплинарного взыскания был соблюден.
4. ОБСТОЯТЕЛЬСТВА, УСТАНОВЛЕННЫЕ СУДОМ
Суд установил факты наличия удаления лицензионного программного обеспечения и установки нелицензионного, однако выяснил, что в день инцидента истец не работал, так как находился на охоте.
Доступ к компьютеру имели не только он, но и другие сотрудники больницы. Представленные доказательства не подтвердили, что истец непосредственно осуществлял данные действия. Не были опрошены все лица, которые могли дать объяснения по обстоятельствам происшествия, не был установлен размер ущерб, причиненный больнице, и причин его возникновения.
Истец не является лицом, в должностные обязанности которого на основании трудового договора, должностной инструкции или иных локальных нормативных актов входит установка или удаление программного обеспечения на автоматизированном рабочем месте (АРМ) - компьютере, с помощью которого истец осуществляет свою врачебную деятельность и выполняет непосредственные должностные обязанности в качестве врача-дерматовенеролога, он является пользователем автоматизированного рабочего места, истцу никто не объяснял и никто не предупреждал об ответственности за то, что в результате удаления программного обеспечения на АРМ и установки другого нелицензированного программного обеспечения может возникнуть угроза безопасности информационной защищенности и утечки персональных данных пациентов, сотрудников больницы.
Установление работодателем факта удаления лицензионного программного обеспечения на АРМ, установленном в кабинете поликлиники больницы, не свидетельствует о наличии нарушений со стороны Андрея трудовых обязанностей, законодательства о защите персональных данных, локальных нормативных актов учреждения, регулирующих защиту персональных данных, организацию работы АРМ врача.
5. РЕШЕНИЕ СУДА
Суд признал приказ о дисциплинарном взыскании незаконным.
Решение суда в окончательной форме принято 13 июня 2024 г.
Сведения об апелляционной жалобе БУЗ отсутствуют.
МОИ КОММЕНТАРИЙ
1. Доказательства противоправных действий
Если программное обеспечение персонального компьютера претерпело изменение в кабинете врача – этого факта недостаточно для констатации его действий, как противоправных, посягающих на информационную безопасность БУЗ. Для суда нужны доказательства, что злоумышленник именно он.
2. Неопределенность обязательств
Важно отметить, что поскольку должностные обязанности Андрея не включали в себя установку или удаление программного обеспечения, то он не мог нести ответственность за возникновение ситуации. В случае неясности обязанности работника по ремонту или установке ПО, следует обращаться к нормам трудового законодательства и внутренним регламентам учреждения о том, кто несет ответственность за информационную безопасность.
3. Отсутствие информированности
В случае, если работник не был должным образом проинформирован о политике информационной безопасности и последствиях установки нелицензионного ПО, это является обстоятельством в пользу работника. Работодателю следует обеспечить необходимое обучение и информирование сотрудников. Если такой меры не было предпринято, это ставит под сомнение законность дисциплинарного взыскания.
4. Необоснованность спешки в вынесении решений
Дисциплинарные меры, инициированные без полного и глубокого расследования инцидента, рассматриваются судом как необоснованные. Важно предоставлять справедливую возможность работнику защитить свои интересы. Если дисциплинарное отношение было принято без полного анализа всех обстоятельств дела, это является значимым основанием для его оспаривания. Андрей ссылался на предвзятость главного врача. Может быть инициатива о привлечении к дисциплинарной ответственности врача исходила от руководителя, желающего объявить выговор в отсутствии фактических доказательств совершения дисциплинарного проступка.
5. Роль коллективной ответственности
Важно рассматривать, как работодатель организует доступ к компьютерам, на которых находятся персональные данные. Если доступ к АРМ имели и другие сотрудники, это необходимо учитывать при вынесении решения о привлечении к дисциплинарной ответственности только одного сотрудника из числа имеющих доступ.
Задать вопрос по теме публикации медицинскому юристу Алексею Панову можно 😊! Для этого надо оформить заявку.
ПЕРСОНАЛЬНАЯ КОНСУЛЬТАЦИЯ ЮРИСТА
О ценах на юридические услуги можно узнать, нажав на эту ссылку: Хочу получить грамотную юридическую консультацию по медицинскому праву!
