Работник привлечен к дисциплинарной ответственности за хранение на рабочем компьютере в открытом виде в текстовом файле паролей к важным информационным ресурсам. Не согласившись с наказанием, работник подал на работодателя в суд, утверждая, что обеспечение сохранности паролей лежит на работодателе.
Вопросы информационной безопасности
В текущее время вопросы информационной безопасности имеют особую актуальность. Организации обрабатывают и хранят массивы данных, которые содержат информацию по деятельности организации, персональные данные клиентов и работников, а также иную важную информацию.
Режим работы с информационными базами устанавливается организацией в локальных нормативных актах. К таким документам, как правило, относятся:
- Правила внутреннего трудового распорядка;
- Политика информационной безопасности;
- Положение об обработке персональных данных;
- Инструкция по делопроизводству, в том числе электронному делопроизводству
- Инструкции и регламенты по работе в информационной системе и др.
При приеме на работу работник должен быть ознакомлен со всеми правилами, положениями и регламентами.
При первоначальном допуске к работе в информационной системе ему устанавливается пароль доступа и проводится инструктаж.
Работодатель обязан контролировать соблюдение работником установленных мер информационной безопасности.
Суть спора
Начальник управления информационной безопасности организации в ходе плановой проверки соблюдения работниками установленных требований обнаружил, что работник хранит пароли от доступа к различным информационным базам в виде открытого текстового файла на своем компьютере. При этом утечки информации из баз данных установлено не было.
По результатам служебной проверки работодатель пришел к выводу, что открытое хранение работником паролей является дисциплинарным проступком.
Работника привлекли к дисциплинарной ответственности. Работник с наказанием не согласен, так как считает, что защиту всех паролей должен был обеспечить работодатель.
Что решил суд
Выполнение требований локальных нормативных актов (правил, положений, инструкций, регламентов) является должностной обязанностью работника.
Правилами внутреннего трудового распорядка организации установлено, что при хранении пароля, пин-кода необходимо использовать защищенные способы хранения, обеспечивающие защиту от несанкционированного доступа (хранить в месте доступном только для Пользователя ИТ-актива), при этом запрещено хранить пароль, пин-код в программно-технических средствах в открытом виде (например, в текстовом виде на рабочем столе).
Суд принял сторону организации, аргументируя свои позицию:
1. Соблюдение локальных нормативных актов является прямой обязанностью работника.
2. Правила внутреннего трудового распорядка четко запрещают хранить пароли и пин-коды в открытом виде.
3. Работник был ознакомлен со этими правилами под подпись.
4. При возникновении сложностей с безопасным хранением паролей работник мог и должен был запросить у работодателя информацию о доступных защищенных способах хранения.
Вывод
Ключевой вывод из этой истории: ответственность за соблюдение правил информационной безопасности лежит не только на работодателе, но и на каждом работнике. Даже при отсутствии негативных последствий (утечке данных) нарушение установленных регламентов считается дисциплинарным проступком.
Рекомендации работодателям:
- четко прописывать требования к информационной безопасности в локальных нормативных актах.
- обеспечь ознакомление с ними работников.
- регулярно проводить инструктажи и проверки.
Рекомендации работникам:
- внимательно изучать правила и регламенты, установленные в организации.
- своевременно обращаться за разъяснением в случае возникновения вопросов и сложностей при реализации локальных нормативных актов.
- соблюдать установленные режимы информационной безопасности во избежание утечки.
Источник: Определение 6-го КСОЮ от 05.03.2026 N 88-3939/2026 (УИД 03RS0004-01-2025-004600-27)
Автор Елена Пономарева/Ponomarela