Шаблон положения о корпоративном мониторинге
С 01.09.2025 согласие работника на обработку персональных данных оформляется только отдельным документом — по ФЗ-156 от 24.06.2025. Встроить его в трудовой договор или правила внутреннего трудового распорядка больше нельзя. Для HR-директора это означает переработку всей доказательной базы: от анкеты соискателя до регламента видеонаблюдения. Положение о корпоративном мониторинге — обязательный элемент этой системы.
Шаг 1. Определите виды мониторинга и правовые основания
Первый шаг — инвентаризация. Перечислите все формы контроля, которые фактически применяются: видеонаблюдение в офисе и на производстве, фиксация входа и выхода через СКУД, мониторинг корпоративной почты и мессенджеров, отслеживание действий на рабочем компьютере, GPS-мониторинг транспорта, биометрический доступ (отпечаток пальца, лицо).
Для каждого вида мониторинга укажите правовое основание по ст. 6 ФЗ-152. Видеонаблюдение и СКУД без биометрии — обычно обоснованы законным интересом работодателя (охрана имущества, безопасность труда по ст. 22 ТК РФ). Биометрия СКУД — исключительно письменное согласие по ст. 11 ФЗ-152. Мониторинг почты — необходим отдельный регламент со ссылкой на трудовые обязанности (ст. 87–88 ТК РФ).
Шаг 2. Составьте структуру положения о корпоративном мониторинге
Документ должен содержать обязательные разделы. Их минимальный состав определяется совокупностью ст. 18.1 ФЗ-152 (требования к политике оператора) и ст. 86–88 ТК РФ (гарантии работника при обработке его данных).
Обязательные разделы положения
- Общие положения: цели мониторинга, перечень применяемых технических средств, правовые основания обработки ПДн по каждому виду.
- Субъекты и категории ПДн: работники, соискатели, посетители — с указанием, какие данные собираются по каждой группе.
- Порядок ознакомления: каждый работник знакомится с положением под подпись до начала фактического мониторинга (ст. 87 ТК РФ).
- Права работника: право на доступ к своим данным, право подать возражение, порядок обращения к ответственному (ст. 14, 20 ФЗ-152).
- Сроки хранения и уничтожения: по каждому типу данных — конкретный срок, способ уничтожения, ответственное лицо.
Биометрические данные СКУД (изображение лица, отпечаток) выносятся в отдельный подраздел с указанием, что обработка ведётся только при наличии письменного согласия по ст. 11 ФЗ-152 и прекращается немедленно после его отзыва. Хранение исходных биометрических шаблонов вне специализированных систем с 01.06.2023 ограничено требованиями ФЗ-572.
Согласия работников не переоформлены после 01.09.2025?
Если HRD ещё не привёл документы в соответствие с ФЗ-156, каждое согласие, встроенное в трудовой договор или кадровый приказ, — потенциальное основание для штрафа по ч. 2 ст. 13.11 КоАП: 300 000–700 000 ₽. Срок для устранения нарушения не установлен — нарушение длящееся.
Собрать ОРД под ключОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 3. Как оформить согласие работника на мониторинг по новым правилам?
С 01.09.2025 согласие работника — строго отдельный документ. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие не вправе объединяться с договором, политикой или офертой. Согласие, которое работник подписал до 01.09.2025 в составе трудового договора, сохраняет силу для ранее начатой обработки — обратной силы у изменений нет. Но для новых работников и новых видов обработки требуется отдельный документ.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и реквизиты оператора, конкретная цель обработки, перечень персональных данных, перечень действий (сбор, хранение, передача третьим лицам — если применяется), срок действия согласия или условие его прекращения, способ отзыва.
Для биометрии СКУД согласие оформляется дополнительно — в письменной форме отдельно от общего согласия на обработку ПДн, поскольку биометрические данные относятся к специальной категории по ст. 11 ФЗ-152. Электронное согласие через КЭДО допустимо при наличии квалифицированной электронной подписи работника.
Шаг 4. Урегулируйте мониторинг при КЭДО
КЭДО — электронный кадровый документооборот по ст. 22.2 ТК РФ — сам является информационной системой, обрабатывающей персональные данные. Оператором КЭДО в большинстве случаев выступает работодатель, даже если техническая инфраструктура развёрнута на стороне вендора. Вендор в этой схеме — лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152), и с ним обязателен письменный договор поручения с указанием перечня действий, целей и ответственности.
В положении о корпоративном мониторинге КЭДО-блок должен описывать: какие персональные данные фиксируются в системе (действия пользователя, метаданные, содержание документов), кто имеет доступ к логам, срок хранения логов, порядок реагирования на запрос работника о предоставлении сведений о его данных в системе (10 рабочих дней по ст. 20 ФЗ-152).
Если HR-департамент уже использует КЭДО, но договор с вендором не содержит раздел о поручении обработки ПДн — это нарушение п. 3 ст. 6 ФЗ-152. При проверке РКН достаточно одного запроса к договору. Аудит ОРД HR-департамента выявит пробелы за 5 рабочих дней.
Заказать аудит 152-ФЗШаг 5. Установите порядок уведомления работников и хранения документов
Работник должен быть ознакомлен с положением о мониторинге до начала трудовых отношений или до начала нового вида обработки — такое требование вытекает из ст. 87 ТК РФ и ст. 18.1 ФЗ-152. Ознакомление фиксируется: подпись в листе ознакомления, отметка в КЭДО с усиленной КЭП, либо запись в личном деле.
Сроки хранения согласий и документов об ознакомлении с положением: согласие хранится в течение всего срока обработки ПДн и ещё три года после его прекращения (применяется срок исковой давности по ст. 196 ГК РФ). Личное дело работника — 50 лет для документов после 2003 года по Приказу Росархива №236 от 20.12.2019. Видеозаписи с камер — срок определяется целями, как правило 30–90 дней, за исключением записей, используемых как доказательства.
Шаг 6. Введите положение в действие и назначьте ответственного
Положение о корпоративном мониторинге утверждается приказом руководителя организации. Если в компании есть профсоюз — учёт его мнения обязателен по ст. 372 ТК РФ. Если профсоюза нет — достаточно приказа. Документ включается в перечень локальных нормативных актов по ст. 18.1 ФЗ-152 и размещается на внутреннем портале или доводится до работников иным фиксируемым способом.
Ответственным за исполнение положения назначается лицо по ст. 22.1 ФЗ-152 (ответственный за организацию обработки ПДн) или отдельный куратор направления безопасности. В крупных компаниях функцию ответственного выполняет DPO (Data Protection Officer) на аутсорсинге. Приказ о назначении хранится бессрочно.
После введения в действие — уведомление Роскомнадзора об изменении сведений об обрабатываемых ПДн через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022, если новые виды мониторинга изменяют ранее заявленные цели или категории данных.
Как выглядит практика: два показательных случая
Кейс 1. Производственное предприятие (Уральский ФО, осень 2025) внедрило биометрический СКУД без письменных согласий работников. При плановой проверке РКН инспектор запросил согласия — их не было. Протокол по ч. 2 ст. 13.11 КоАП. HR-директор инициировал срочный сбор согласий и обратился к юристам для подготовки возражений. Суд применил смягчение с учётом первичности нарушения и оперативного устранения — штраф в нижней части диапазона (300 000 ₽). Без положения о мониторинге и готовых шаблонов согласий реакция заняла бы вдвое больше времени.
Кейс 2. IT-компания (Центральный ФО, начало 2026) использовала систему мониторинга активности сотрудников на рабочих компьютерах. Бывший работник подал жалобу в РКН, указав, что не был ознакомлен с порядком мониторинга. РКН запросил локальный нормативный акт — документа не существовало. Компания получила предписание и штраф по ч. 3 ст. 13.11 (отсутствие опубликованной политики). Итог: 60 000 ₽ штраф плюс разработка положения и политики в срочном режиме с привлечением внешних юристов.
Услуги DATUM по теме
- Комплект ОРД под ключ — положение о мониторинге, согласия, приказы, регламент КЭДО за фиксированную стоимость.
- Аудит соответствия 152-ФЗ — проверка HR-документов по чек-листу из 38 пунктов с приоритизированным планом устранения нарушений.
- DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников.
Частые вопросы
1. Нужно ли переподписывать согласия работников после 01.09.2025?
Согласия, оформленные до 01.09.2025 в составе трудового договора или иного документа, сохраняют силу для той обработки, которая на их основании уже ведётся — ФЗ-156 обратной силы не имеет. Но для новых работников, принятых после 01.09.2025, и для расширения объёма обработки действующих — согласие оформляется только как отдельный документ по ст. 9 ФЗ-152 в новой редакции. Рекомендуется провести аудит и планомерно переоформить согласия при очередном кадровом взаимодействии с каждым работником.
2. Какие данные нельзя запрашивать в анкете соискателя?
По ст. 86 ТК РФ и ст. 10 ФЗ-152 работодатель не вправе собирать сведения о политических, религиозных и иных убеждениях, членстве в профсоюзах, состоянии здоровья (за исключением данных о противопоказаниях к работе по медзаключению), сексуальной жизни, судимости (если должность не предполагает ограничений по этому основанию). Нарушение образует состав по ч. 1 ст. 13.11 КоАП — обработка за пределами законных оснований.
3. Можно ли вести видеонаблюдение в офисе?
Да, если работники уведомлены об этом под подпись (ст. 87 ТК РФ) и мониторинг обоснован целями охраны имущества или безопасности труда. Видеонаблюдение фиксируется в положении о мониторинге с указанием мест расположения камер, цели записи и срока хранения видеоархива. Камеры в туалетах, раздевалках и иных местах, где работник обоснованно рассчитывает на уединение, — запрещены вне зависимости от наличия согласия.
4. Сколько хранить согласия после увольнения работника?
Согласие хранится в течение всего периода обработки персональных данных и не менее трёх лет после прекращения обработки — этот срок соответствует общему сроку исковой давности по ст. 196 ГК РФ и позволяет представить документ как доказательство правомерности обработки при возможном споре. Отдельные категории кадровых документов хранятся дольше: личное дело — 50 лет (Приказ Росархива №236 от 20.12.2019).
5. Кто является оператором при использовании КЭДО?
Оператором персональных данных при КЭДО является работодатель, поскольку именно он определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Вендор КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152) — с ним заключается письменный договор поручения. Ответственность перед работниками и РКН остаётся у работодателя вне зависимости от условий договора с вендором.
6. Что будет, если в компании нет положения о мониторинге?
Отсутствие положения означает, что обработка персональных данных при мониторинге ведётся без правового основания или без надлежащего уведомления работников. Это образует состав нарушения по ч. 1 ст. 13.11 КоАП (обработка вне целей и оснований) и по ч. 3 ст. 13.11 КоАП (отсутствие опубликованной политики). Штрафы соответственно 150 000–300 000 ₽ и 30 000–60 000 ₽ — оба состава могут быть вменены одновременно при одной проверке.
Итог
Положение о корпоративном мониторинге — не формальный документ «для галочки», а рабочий инструмент защиты от претензий РКН и трудовых споров. Оно фиксирует цели мониторинга, правовые основания по ст. 6 и ст. 11 ФЗ-152, порядок получения согласий по новым требованиям ФЗ-156 и права работников. Шесть шагов этой инструкции дают минимально достаточную структуру для разработки документа силами HR-департамента или внешних юристов.
DATUM разрабатывает положения о корпоративном мониторинге в составе полного пакета ОРД для HR-директоров — с учётом специфики КЭДО, биометрии СКУД и актуальных требований ФЗ-156 от 24.06.2025.