GPS-трекинг служебного телефона
GPS-трекинг становится стандартом для полевых продаж, курьерских служб и выездных специалистов. Юридически это обработка геолокационных данных работника — специфической категории персональных данных, регулируемой одновременно ТК РФ и ФЗ-152. До 01.09.2025 согласие можно было включить в трудовой договор; теперь это нарушение. В этой инструкции — шесть шагов, которые приводят трекинг в соответствие с требованиями 2025–2026 года, не останавливая бизнес-процесс.
Шаг 1. Оцените правовые основания: нужно ли согласие или достаточно иного основания?
Геолокационные данные — сведения о местонахождении конкретного физического лица. По позиции Роскомнадзора, они относятся к персональным данным, поскольку позволяют идентифицировать субъекта. Обработка таких данных в контексте трудовых отношений регулируется ст. 86 ТК РФ: работодатель вправе запрашивать и обрабатывать только те данные, которые необходимы для исполнения трудового договора.
Геолокация через служебный телефон выходит за рамки минимально необходимого для исполнения трудового договора набора данных. Следовательно, правовое основание — согласие работника по п. 1 ч. 1 ст. 6 ФЗ-152. Альтернативных оснований (например, «необходимость для исполнения договора» по п. 5) здесь недостаточно: передвижение работника — не предмет трудового договора само по себе, а инструмент контроля работодателя.
Исключение: если в должностных обязанностях прямо прописано, что работник обязан предоставлять данные о местонахождении в рабочее время (курьер, выездной инспектор), — обработка может обосновываться через ст. 22.2 ТК РФ (КЭДО) в связке со ст. 86 ТК. Но даже в этом случае согласие на хранение и передачу геолокации третьим лицам (сервис трекинга) потребуется отдельно.
Шаг 2. Подготовьте согласие по требованиям ФЗ-156 (действуют с 01.09.2025)
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в трудовой договор, дополнительное соглашение, политику конфиденциальности или правила внутреннего распорядка. Это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Согласие на GPS-трекинг должно содержать обязательные реквизиты: ФИО и контактные данные работника; наименование и адрес работодателя-оператора; точную цель обработки (например, «контроль выполнения служебных заданий в рабочее время»); перечень данных (GPS-координаты, временные метки, маршрут); перечень действий (сбор, хранение, передача оператору сервиса трекинга); срок хранения; способ отзыва согласия.
Если данные передаются в сервис трекинга — это поручение обработки по п. 3 ст. 6 ФЗ-152. В согласии укажите наименование сервиса и перечень действий, которые он совершает. Договор-поручение с сервисом — отдельный документ пакета ОРД.
Согласия работников ещё не переоформлены по ФЗ-156?
Если HRD не привёл согласия работников в соответствие с требованиями с 01.09.2025, каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. Юристы DATUM соберут пакет согласий под GPS-трекинг, КЭДО и биометрию СКУД и проведут аудит ОРД HR-департамента.
Заказать аудит 152-ФЗ+7 (383) 310-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Включите трекинг в локальные нормативные акты
Согласие работника — необходимое, но не достаточное условие. Ст. 87 ТК РФ обязывает работодателя установить порядок хранения, использования, передачи и защиты персональных данных работников в локальных нормативных актах. Для GPS-трекинга это означает: регламент контроля местонахождения (что, когда, как, кто имеет доступ) в Положении о защите персональных данных работников или отдельном регламенте использования служебных устройств.
В регламент включите: перечень должностей, для которых применяется трекинг; временной режим сбора данных (только в рабочее время); перечень лиц, имеющих доступ к данным; порядок хранения (срок, место, условия); порядок уничтожения по истечении срока или после увольнения работника.
Отсутствие локального акта при наличии трекинга — самостоятельное нарушение ч. 3 ст. 13.11 КоАП (до 60 000 ₽ за непубликацию политики) и риск предписания РКН по ст. 18.1 ФЗ-152.
Шаг 4. Уведомите Роскомнадзор о новой цели обработки
Если компания уже стоит в реестре операторов, но геолокационные данные не были указаны в уведомлении — необходимо подать изменение сведений через pd.rkn.gov.ru. Форма уведомления об изменении утверждена Приказом РКН №180 от 28.10.2022. Срок включения изменений в реестр — до 30 дней.
Если компания ещё не в реестре — подать первичное уведомление о намерении обрабатывать персональные данные по ст. 22 ФЗ-152 обязательно до начала трекинга. Неуведомление влечёт штраф по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽.
В уведомлении укажите: цель — «контроль выполнения трудовых обязанностей»; категорию субъектов — «работники»; категорию данных — «данные о местонахождении»; правовое основание — «согласие субъекта (ст. 9 ФЗ-152), ст. 86 ТК РФ»; наименование получателя данных (оператор сервиса трекинга); при необходимости — трансграничную передачу, если сервис иностранный.
Шаг 5. Проверьте КЭДО и подписание согласий в электронном виде
Если в компании действует КЭДО, согласие на GPS-трекинг можно подписать электронной подписью работника. При этом важно: согласие по ст. 9 ФЗ-152 требует квалифицированной или усиленной неквалифицированной электронной подписи — простая ЭП (SMS-код, галочка на сайте) для согласия на обработку ПДн работника недостаточна.
Если КЭДО ещё не внедрён или не охватывает всех работников — используйте бумажный документ с собственноручной подписью. КЭДО в контексте ПДн регулируется ст. 22.2 ТК РФ и требует отдельного согласия работника на участие в КЭДО. Это ещё одно согласие, которое также должно быть оформлено отдельным документом после 01.09.2025.
При переходе на КЭДО после 01.09.2025 проверьте: согласие на КЭДО и согласие на GPS-трекинг — два разных документа, не один комбинированный.
Что подготовить до запуска GPS-трекинга
- Отдельное согласие работника на обработку геолокационных данных по реквизитам ст. 9 ФЗ-152 в ред. ФЗ-156 (не в трудовом договоре)
- Регламент использования служебных устройств или раздел в Положении о защите ПДн работников с порядком трекинга и перечнем должностей
- Договор-поручение с оператором сервиса трекинга по п. 3 ст. 6 ФЗ-152
- Актуальное уведомление в реестре РКН с целью «контроль выполнения трудовых обязанностей» и данными о местонахождении
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Шаг 6. Выстройте порядок реагирования на отзыв согласия и увольнение
Работник вправе отозвать согласие на обработку геолокационных данных в любой момент — ч. 2 ст. 9 ФЗ-152. После отзыва работодатель обязан прекратить обработку и уничтожить данные в срок, указанный в согласии (как правило, 30 дней), если отсутствуют иные законные основания для их хранения.
При увольнении работника: данные геолокации, собранные в период действия согласия, подлежат уничтожению по истечении срока хранения, установленного в регламенте. Хранить их «на всякий случай» после увольнения нельзя — это нарушение принципа ограничения срока хранения по ст. 5 ФЗ-152. Личное дело работника хранится 75 лет, но геолокационные данные в его состав не входят и под этот срок не подпадают.
Зафиксируйте порядок уничтожения в регламенте и ведите журнал уничтожения данных — он понадобится при проверке РКН для подтверждения соблюдения срока.
Какие сценарии приводят к штрафу по ст. 13.11 КоАП?
Сценарий 1. Согласие включено в трудовой договор (до или после 01.09.2025). Работодатель считает, что пункт о GPS-трекинге в трудовом договоре достаточен. РКН при проверке квалифицирует это как обработку без надлежащего согласия — нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица — от 300 000 до 700 000 ₽. С 01.09.2025 (ФЗ-156) такое согласие лишено юридической силы как документ об обработке ПДн в любом случае. Стратегия: оформить отдельные согласия до начала трекинга; если трекинг уже ведётся — незамедлительно переоформить.
Сценарий 2. Данные передаются в иностранный сервис трекинга без уведомления о трансграничной передаче. Популярные решения для трекинга флота и полевых сотрудников имеют серверы в ЕС или США. Передача ПДн работников туда — трансграничная передача по ст. 12 ФЗ-152. Без уведомления РКН и оценки страны на предмет адекватной защиты это нарушение. Штраф по ч. 1 ст. 13.11 — от 150 000 до 300 000 ₽, плюс риск предписания о прекращении передачи. Стратегия: проверить юрисдикцию сервиса, подать уведомление о трансграничной передаче, заключить соглашение с обработчиком.
Сценарий 3. Работник отозвал согласие — трекинг продолжается. HR получил заявление об отзыве, не передал его в ИТ, трекинг продолжается три недели. Работник подал жалобу в РКН. РКН возбуждает дело по ч. 5 ст. 13.11 (невыполнение требования субъекта об уничтожении ПДн) — штраф от 50 000 до 90 000 ₽. При повторности — ч. 5.1, штраф 300 000–500 000 ₽. Стратегия: регламент с чёткой цепочкой передачи отзыва (HR → ИТ → подтверждение прекращения в течение 7 дней).
Если HRD уже получил запрос от работника об уничтожении геолокационных данных или жалобу в РКН — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152. Юристы DATUM оценят ситуацию и подготовят ответ.
Оценить риски по 152-ФЗКак это применяется на практике
Кейс 1. Транспортная компания (Сибирский ФО, осень 2025) внедрила GPS-трекинг водителей через мобильное приложение. Согласие на трекинг было включено в трудовой договор в виде отдельного пункта. При плановой проверке РКН установил, что с 01.09.2025 такой порядок не соответствует требованиям ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156. Компания получила предписание об устранении нарушения и протокол по ч. 2 ст. 13.11 КоАП. HR-директор организовал переподписание согласий в КЭДО в течение 14 рабочих дней; штраф был снижен судом с учётом оперативного устранения нарушения.
Кейс 2. Торговая компания (Центральный ФО, начало 2026) использовала для трекинга торговых представителей иностранный SaaS-сервис с серверами в Германии. Трое работников уволились и подали жалобы в РКН на то, что их данные хранятся за рубежом без уведомления. Роскомнадзор инициировал внеплановую проверку. Выяснилось: уведомление о трансграничной передаче не подавалось, договор-поручение с сервисом не содержал требований ст. 12 ФЗ-152. Компании выдано предписание и возбуждено дело по ч. 1 ст. 13.11. Штраф для юрлица составил сотни тысяч рублей. После консультации с юристами компания перешла на российский сервис трекинга с локализованным хранением данных.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка согласий работников, ОРД и уведомления РКН
- Комплект ОРД под ключ — согласие на трекинг, регламент, договор-поручение с сервисом
- DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, полученные до 01.09.2025 и включённые в трудовой договор или иной документ, с этой даты не соответствуют требованию ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156 об оформлении отдельным документом. Их нужно переоформить. Порядок: уведомить работника о новых требованиях, подготовить отдельный документ согласия с полным набором реквизитов, подписать. Обратной силы поправки не имеют, но при проверке РКН старое согласие в договоре будет квалифицировано как ненадлежащее.
2. Какие данные нельзя спрашивать в анкете при приёме на работу?
Ст. 86 ТК РФ запрещает получать данные о политических, религиозных и иных убеждениях работника, членстве в партиях и профсоюзах, состоянии здоровья (кроме случаев, связанных с условиями труда), интимной жизни. Запрашивать разрешено только те сведения, которые непосредственно необходимы для исполнения трудового договора: ФИО, образование, опыт работы, контактные данные, ИНН, СНИЛС для кадрового учёта. Геолокационные данные в анкете при трудоустройстве не собираются — они возникают только после заключения договора и только с отдельного согласия.
3. Можно ли вести видеонаблюдение в офисе?
Видеонаблюдение в рабочих помещениях допустимо при соблюдении трёх условий: работники уведомлены об этом в локальном нормативном акте (правила внутреннего распорядка или отдельный приказ) и под роспись; система видеонаблюдения указана в уведомлении оператора в реестре РКН; записи хранятся не дольше установленного срока и с ограниченным доступом. Согласие работника на видеонаблюдение в рабочих зонах не обязательно, если это обусловлено трудовыми отношениями и прямо закреплено в локальном акте. Видеонаблюдение в санузлах, раздевалках и иных приватных зонах — абсолютный запрет.
4. Сколько хранить согласия после увольнения?
Согласие работника на обработку персональных данных — часть личного дела. Личное дело хранится 75 лет с момента закрытия (для принятых на работу после 2003 года — 50 лет по приказу Росархива). Геолокационные данные, собранные на основании этого согласия, хранятся отдельно — только в течение срока, указанного в согласии и регламенте, но не более срока трудовых отношений плюс необходимый период для разрешения споров (как правило, 3 года — исковая давность). После истечения срока — уничтожение с составлением акта.
5. Кто оператор при использовании КЭДО?
При использовании КЭДО работодатель остаётся оператором персональных данных работников по ФЗ-152 — он определяет цели и способы обработки. Поставщик КЭДО-сервиса — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). С ним необходимо заключить договор-поручение, в котором перечислены действия с ПДн, требования безопасности и запрет на обработку в иных целях. Если КЭДО-сервис иностранный — дополнительно уведомить РКН о трансграничной передаче.
6. Какой штраф грозит за трекинг без согласия?
Обработка персональных данных без письменного согласия, когда оно требуется по закону, — ч. 2 ст. 13.11 КоАП в ред. с 30.05.2025. Штраф для юрлица: 300 000–700 000 ₽. При повторном нарушении — ч. 2.1: 1 000 000–1 500 000 ₽. Помимо штрафа, РКН вправе выдать предписание о прекращении обработки, то есть фактически остановить трекинг до устранения нарушения.
Итог
GPS-трекинг служебного телефона законен при соблюдении шести условий: отдельное согласие работника по ст. 9 ФЗ-152 (с 01.09.2025 — не в трудовом договоре), локальный акт о порядке трекинга, договор-поручение с сервисом, актуальное уведомление в реестре РКН, порядок реагирования на отзыв согласия, уничтожение данных после увольнения. Нарушение любого из этих условий — самостоятельный состав по ст. 13.11 КоАП.
Практика DATUM охватывает сопровождение HR-операторов: от аудита согласий работников до подготовки регламентов для полевых служб и выездных команд.
17 декабря 2027 года