инструкция 17 марта 2028 По состоянию на 17 марта 2028

Корпоративный мониторинг компьютера: правовые риски

Корпоративный мониторинг компьютера — обработка персональных данных работников, которая требует отдельного согласия, локальных актов и соответствия ст. 86–87 ТК РФ и ФЗ-152.

С 01.09.2025 согласие работника оформляется отдельным документом по ФЗ-156. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 руб. за единицу. Видеонаблюдение, СКУД и КЭДО создают три независимых блока рисков.

Если вы HRD и согласия работников встроены в трудовой договор — каждый из них нарушает закон с 01.09.2025. Читайте инструкцию и проверьте свой пакет документов.

Мониторинг рабочих компьютеров, камеры в офисе, СКУД с биометрией — каждый из этих инструментов обрабатывает персональные данные работников. С 30.05.2025 ст. 13.11 КоАП действует в новой редакции с 18 частями. Штраф за обработку без надлежащего согласия достигает 700 000 руб., а при повторном нарушении — до 1,5 млн руб. Эта инструкция описывает шесть последовательных шагов: от классификации данных до выстраивания процесса реагирования на запросы работников.

Шаг 1. Какие данные работника обрабатываются при мониторинге?

Корпоративный мониторинг порождает несколько категорий персональных данных. Журналы активности рабочей станции (посещённые ресурсы, запускаемые приложения, время активности) относятся к общим ПДн. Запись экрана или клавиатурного ввода может захватывать сведения о состоянии здоровья, политических взглядах или частной переписке — это специальные категории по ст. 10 ФЗ-152. Биометрические данные (отпечаток пальца, геометрия лица) для СКУД — отдельная категория по ст. 11 ФЗ-152, требующая письменного согласия.

Чем выше категория данных, тем жёстче требования. Специальные категории можно обрабатывать только по основаниям п. 2 ст. 10 ФЗ-152 — в большинстве производственных случаев это письменное согласие. Биометрию нельзя хранить в локальных базах с 01.06.2023 (ФЗ-572): если СКУД собирает изображение лица и сопоставляет его с шаблоном — требуется передача в ГИС ЕБС или переход на иные технологии идентификации.

«Ст. 10 ФЗ-152 — обработка специальных категорий ПДн (здоровье, политические убеждения, частная жизнь) по общему правилу запрещена; исключение — наличие согласия субъекта или прямое указание закона. Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия, если иное не установлено законом.»

Шаг 2. Что изменилось в согласии работника после 01.09.2025?

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: согласие на обработку персональных данных с 01.09.2025 оформляется отдельным документом. Его нельзя включать в текст трудового договора, должностной инструкции, политики компании или оферты. Каждый документ — один субъект, одна цель, один перечень данных.

Обязательные реквизиты согласия: ФИО работника, его контактные данные, наименование работодателя-оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия и способ отзыва. Отсутствие хотя бы одного реквизита означает, что согласие не соответствует требованиям ст. 9 ФЗ-152, — и это основание для протокола по ч. 2 ст. 13.11 КоАП.

Ранее выданные согласия до 01.09.2025 обратной силой не затрагиваются: переоформлять их не требуется. Но если работодатель расширяет цели или меняет перечень данных — необходимо новое отдельное согласие.

«Ч. 2 ст. 13.11 КоАП (ред. с 30.05.2025) — обработка ПДн без письменного согласия или с нарушением состава согласия — штраф для юрлица 300 000 — 700 000 руб. Повторное нарушение по ч. 2.1 — 1 000 000 — 1 500 000 руб.»

Согласия работников ещё в трудовом договоре?

Если HRD не переоформил согласия после 01.09.2025, каждый работающий трудовой договор с встроенным согласием создаёт основание для штрафа до 700 000 руб. по ч. 2 ст. 13.11 КоАП. Срок на устранение — до первой проверки РКН или жалобы работника. Юристы DATUM проведут аудит пакета ОРД по HR-функции и соберут согласия по новым требованиям ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Как оформить локальные акты для мониторинга?

Ст. 22.2 ТК РФ обязывает работодателя при использовании электронного документооборота утвердить локальный нормативный акт о порядке его применения и ознакомить работников под подпись. Для мониторинга компьютеров этот принцип распространяется через ст. 87 ТК РФ: хранение, использование и передача ПДн работников регулируются локальными актами, с которыми работник ознакомлен до начала обработки.

Минимальный состав документов при запуске мониторинга: положение об обработке ПДн работников (цели, перечень данных, сроки, меры защиты), регламент мониторинга рабочих станций (что фиксируется, кто имеет доступ к данным, порядок хранения логов), отдельные согласия работников на каждый тип мониторинга, приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152. При использовании КЭДО — дополнительное соглашение или раздел в акте о КЭДО с указанием состава ПДн.

Работник должен быть ознакомлен с актами до начала мониторинга, а не одновременно с подписанием трудового договора. Ознакомление через КЭДО допустимо, если система обеспечивает фиксацию факта прочтения с датой и идентификацией работника.

Что подготовить для запуска мониторинга

Положение об обработке ПДн работников с перечнем целей и категорий данных (ст. 18.1 ФЗ-152)
Регламент мониторинга рабочих станций: что логируется, кто имеет доступ, срок хранения журналов
Отдельные согласия работников под каждую цель — по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Журнал ознакомления работников с локальными актами с датами и подписями

Шаг 4. Какие правила действуют для видеонаблюдения и СКУД в офисе?

Видеонаблюдение в офисе фиксирует изображение работников — это персональные данные. Основание обработки по ст. 6 ФЗ-152 — законный интерес работодателя (обеспечение безопасности, охрана имущества) при условии, что он задокументирован и не подавляет права работников. Работники должны быть уведомлены о наблюдении до его начала — табличками у входа, уведомлением в локальном акте и в трудовом договоре.

СКУД с идентификацией по изображению лица или отпечатку пальца обрабатывает биометрию. Письменное согласие работника на биометрическую идентификацию обязательно по ст. 11 ФЗ-152. Отказ работника от дачи биометрии не может быть основанием для отказа в приёме на работу или расторжения договора — ст. 86 ТК РФ запрещает получать данные, не связанные с трудовыми отношениями. Работодатель обязан предусмотреть альтернативный способ прохода (магнитная карта, PIN-код).

Хранить биометрические шаблоны в собственных базах данных с 01.06.2023 нельзя: ФЗ-572 требует использования ГИС ЕБС через оператора АО «Центр Биометрических Технологий». Исключение — случаи, прямо предусмотренные законом (например, паспортно-визовые сервисы).

Если HRD использует СКУД с биометрией без письменного согласия работников — нарушение ст. 11 ФЗ-152 квалифицируется по ч. 16 ст. 13.11 КоАП. Штраф для юрлица — существенный; проверка РКН может инициироваться по жалобе одного работника. Юристы DATUM соберут пакет ОРД для биометрического СКУД.

Собрать ОРД под ключ

Шаг 5. Как работает КЭДО и кто оператор персональных данных?

При КЭДО работодатель — оператор персональных данных работников, которые обрабатываются через платформу. Если КЭДО реализован через сторонний сервис (HR-система, облачная платформа) — работодатель остаётся оператором, а поставщик системы выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). С поставщиком необходимо заключить договор поручения, в котором зафиксированы: перечень обрабатываемых данных, цели, меры защиты, запрет передачи третьим лицам.

Если КЭДО-платформа расположена на серверах за рубежом — возникает вопрос локализации. Ст. 18 ч. 5 ФЗ-152 требует первичной записи, систематизации и хранения ПДн граждан РФ на серверах в России. Нарушение локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 руб. При повторном нарушении — от 6 000 000 до 18 000 000 руб. по ч. 9.

Уведомление РКН о намерении обрабатывать персональные данные (ст. 22 ФЗ-152) обязательно для работодателя как оператора. Если компания уже внесена в реестр, но в уведомлении не отражены КЭДО-системы или новые категории данных — необходимо подать уточнение через pd.rkn.gov.ru.

Шаг 6. Как реагировать на запрос работника о своих данных?

Работник как субъект персональных данных вправе запросить информацию об обрабатываемых данных, потребовать уточнения, блокирования или уничтожения. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с даты обращения с возможностью продления ещё на 5 рабочих дней при уведомлении работника о причинах. Нарушение срока — основание для протокола по ч. 4 ст. 13.11 КоАП (40 000 — 80 000 руб.).

Работник, уволенный или расторгнувший договор, может потребовать уничтожения персональных данных. Работодатель вправе отказать в уничтожении, если сохранение обусловлено законодательным требованием: личное дело хранится 75 лет (приказы о приёме и увольнении, трудовой договор), расчётные ведомости — 50 лет. Основание — ст. 21 ч. 3 ФЗ-152 и нормы архивного законодательства. Отказ необходимо оформить письменно со ссылкой на конкретную норму.

Журнал учёта обращений субъектов — обязательный документ. Он фиксирует дату обращения, суть требования, срок ответа и принятое решение. Отсутствие журнала при проверке РКН расценивается как нарушение ст. 18.1 ФЗ-152.

Типовые ситуации при корпоративном мониторинге

Ситуация 1. Мониторинг без уведомления работников. Компания установила программное обеспечение для снятия скриншотов экрана и логирования трафика, не уведомив работников и не собрав согласий. Работник обнаружил факт записи, обратился с жалобой в РКН. РКН провёл внеплановую проверку, установил отсутствие согласий и локальных актов. Протокол по ч. 1 и ч. 2 ст. 13.11 КоАП — два состава одновременно. Общий штраф для юрлица — в диапазоне 450 000 — 1 000 000 руб. Стратегия: до начала мониторинга — локальный акт, уведомление, отдельное согласие на каждый вид сбора данных.

Ситуация 2. СКУД с биометрией и отказ работника. Работодатель внедрил биометрический СКУД, сбор согласий провёл, но одному работнику отказал в допуске к рабочему месту после его отказа сдать биометрию. Работник обратился в трудовую инспекцию и РКН одновременно. Нарушение ст. 86 ТК РФ (получение данных, не связанных с трудовыми обязанностями, в принудительном порядке) и ст. 11 ФЗ-152. Работодатель обязан предусмотреть альтернативный способ идентификации. Вероятный исход — предписание, штраф по ч. 16 ст. 13.11 и трудовой спор.

Ситуация 3. КЭДО-платформа на зарубежном облаке. HRD внедрил КЭДО через SaaS-платформу с серверами в Нидерландах без анализа локализации. РКН в ходе плановой проверки установил, что первичная запись и хранение ПДн работников производятся за пределами РФ. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 руб. Стратегия: до внедрения SaaS-платформы — юридический анализ договора, проверка расположения серверов, при необходимости — уведомление РКН о трансграничной передаче.

Практика: как это выглядит в реальных делах

Кейс 1. Производственная компания (Приволжский ФО, весна 2026): HR-директор выявила, что все согласия работников на обработку ПДн включены в приложение к трудовым договорам. После 01.09.2025 это нарушает ч. 1 ст. 9 ФЗ-152 (ФЗ-156). Юристы провели аудит, выявили 340 несоответствующих согласий. Сформирован пакет отдельных согласий, проведено ознакомление в три волны через КЭДО. РКН при последующей проверке нарушений не установил.

Кейс 2. Сеть розничных магазинов (Центральный ФО, осень 2025): компания использовала систему видеоаналитики с идентификацией лиц сотрудников для учёта рабочего времени. Биометрические шаблоны хранились на локальных серверах. После жалобы одного из работников РКН провёл проверку — установлено нарушение требований ФЗ-572 и ст. 11 ФЗ-152. Компания получила предписание об устранении, штраф в сотни тысяч рублей по ч. 16 ст. 13.11. Мониторинг переведён на карточную идентификацию, биометрия исключена. Защиту интересов при взаимодействии с РКН сопровождали внешние юристы.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка пакета ОРД HR-функции по чек-листу из 38 пунктов
Комплект ОРД под ключ — согласия, положения, регламенты по новым требованиям ФЗ-156
DPO-аутсорсинг — ответы на запросы работников, сопровождение проверок РКН

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, юридической силы не теряют — ФЗ-156 обратной силы не имеет. Переоформление требуется, если работодатель меняет цели обработки, расширяет перечень данных или согласие не содержит обязательных реквизитов ст. 9 ФЗ-152. Новые работники с 01.09.2025 подписывают только отдельный документ — согласие не может быть частью трудового договора или иного документа.

2. Какие данные нельзя запрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать персональные данные, не связанные напрямую с трудовой деятельностью. Нельзя запрашивать сведения о политических, религиозных убеждениях, членстве в профсоюзах, состоянии здоровья (за исключением медосмотра по закону), национальности, семейном положении без производственной необходимости. Сбор таких данных без основания — нарушение ст. 10 ФЗ-152 и основание для протокола по ч. 1 ст. 13.11 КоАП.

3. Можно ли вести видеонаблюдение в офисе без согласия работников?

Да, при соблюдении условий. Видеонаблюдение в целях охраны труда и безопасности имущества может вестись на основании законного интереса работодателя (ст. 6 ФЗ-152) без отдельного согласия — при условии, что работники уведомлены заранее через локальный акт и видимые обозначения зон наблюдения. Скрытое наблюдение в зонах, где работники обоснованно ожидают конфиденциальности (раздевалки, санузлы), — незаконно в любом случае.

4. Сколько хранить согласия работников после их увольнения?

Само согласие — документ, подтверждающий правомерность обработки. Его необходимо хранить в течение всего срока, пока обработка ведётся, плюс срок исковой давности (3 года по ст. 196 ГК РФ). Личное дело работника хранится 75 лет — в течение этого срока и согласие как часть пакета ОРД должно быть доступно для предъявления при проверке РКН или в суде.

5. Кто является оператором персональных данных при использовании КЭДО?

Оператором всегда остаётся работодатель, поскольку он определяет цели и состав обрабатываемых данных. Поставщик КЭДО-платформы выступает лицом, осуществляющим обработку по поручению, согласно п. 3 ст. 6 ФЗ-152. Договор поручения с вендором обязателен — без него работодатель несёт риск по ч. 1 ст. 13.11 КоАП (обработка в отсутствие правового основания). Ответственность за утечку данных через платформу-подрядчика лежит на операторе.

6. Что делать, если работник потребовал удалить все его данные после увольнения?

Работодатель обязан уничтожить данные, обработка которых более не нужна и не предусмотрена законом. Однако личное дело (трудовой договор, приказы, ведомости) хранится на основании ст. 21 ч. 3 ФЗ-152 и норм об архивном деле — 75 лет для кадровых документов. Отказ в уничтожении оформляется письменно со ссылкой на конкретную норму. Уничтожаются данные, собранные сверх необходимого: история мониторинга, временные логи, маркетинговые профили.

Итог

Корпоративный мониторинг компьютеров, видеонаблюдение и СКУД создают три самостоятельных блока правовых рисков: согласия по обновлённой ст. 9 ФЗ-152, требования к биометрии по ст. 11 ФЗ-152 и ФЗ-572, а также локализация данных при использовании облачных КЭДО-платформ. Каждый блок имеет собственный состав нарушения в ст. 13.11 КоАП с штрафами от 300 000 до 6 000 000 руб. за первое нарушение.

Юристы DATUM сопровождают HR-департаменты в подготовке пакета ОРД, приведении согласий к требованиям ФЗ-156 и прохождении проверок РКН. Опыт — с 2014 года в рамках практики «Ветров и партнёры».

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

17 марта 2028 года