инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Слежение за email работника: пределы

Контроль корпоративной переписки работника — законная мера защиты бизнеса, но только в пределах, установленных ст. 86–87 ТК РФ и ст. 9 ФЗ-152. За рамками этих пределов — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за одно нарушение.

С 01.09.2025 согласие работника на обработку персональных данных должно быть отдельным документом (ФЗ-156 от 24.06.2025). Мониторинг электронной почты, встроенный в трудовой договор или правила внутреннего распорядка, с этой даты не считается надлежащим основанием обработки.

→ Если HRD не привёл документы в соответствие после 01.09.2025, каждая проверка РКН — это готовый протокол. Ниже — пошаговый порядок, как выстроить мониторинг email в рамках закона.

Слежение за корпоративным email работника находится на пересечении трёх правовых пластов: трудового законодательства (ст. 86–87 ТК РФ), законодательства о персональных данных (ФЗ-152) и конституционного права на тайну переписки (ст. 23 Конституции РФ). Для HR-директора это означает одно: любой мониторинг без правильно оформленного согласия и локальных актов превращается в нарушение, за которым следует протокол РКН. С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Ниже — пошаговая инструкция, которая позволяет HRD выстроить законный мониторинг и не получить предписание на проверке.

Шаг 1. Определите правовое основание: почему без согласия не обойтись

Корпоративная почта — это инструмент работодателя, однако письма работника содержат его персональные данные: ФИО, должность, контактные данные, содержание переговоров. Обработка этих данных подпадает под ФЗ-152, и оператором является работодатель. Обработка ПДн допускается на одном из оснований ст. 6 ФЗ-152. Для мониторинга переписки основным является согласие субъекта — п. 1 ч. 1 ст. 6 ФЗ-152. Исключение — обработка в рамках исполнения трудового договора (п. 5 ч. 1 ст. 6), однако суды толкуют его ограничительно: только данные, необходимые непосредственно для расчётов, кадрового учёта, командировочного оформления. Мониторинг содержания переписки в этот периметр не входит.

«Ст. 86 ТК РФ запрещает работодателю получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни без его письменного согласия. Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования ПДн в локальном нормативном акте.»

Ст. 9 ФЗ-152 в редакции ФЗ-156 (действует с 01.09.2025) требует, чтобы согласие было оформлено отдельным документом — не вместе с трудовым договором, не в ПВТР, не в соглашении о неразглашении. Обязательные реквизиты: ФИО и контактные данные работника, наименование работодателя-оператора, конкретная цель обработки (именно «мониторинг корпоративной электронной почты»), перечень ПДн, перечень действий (чтение, хранение, анализ), срок действия согласия, способ его отзыва. Отсутствие хотя бы одного реквизита влечёт недействительность согласия и, как следствие, — нарушение по ч. 2 ст. 13.11 КоАП.

Шаг 2. Издайте локальный нормативный акт о мониторинге

Согласие работника — необходимое, но не достаточное условие. Ст. 87 ТК РФ и ст. 18.1 ФЗ-152 обязывают оператора принять локальный нормативный акт, регулирующий порядок обработки ПДн. Для мониторинга email этот акт должен описывать три вещи: что именно проверяется (метаданные, тема письма, тело письма, вложения), кто имеет доступ к результатам мониторинга, в каких случаях содержимое может быть изучено (нарушение политики ИБ, расследование инцидента).

Работодатель вправе контролировать использование корпоративных ресурсов — это следует из права собственности на IT-инфраструктуру. Но работник должен быть заранее уведомлён о возможности такого контроля. Уведомление без согласия — достаточное основание для мониторинга метаданных (факт отправки, получатель, объём). Для чтения содержимого писем — нужно отдельное согласие. Это различие принципиально: РКН при проверке запрашивает оба документа.

«Ч. 2 ст. 18.1 ФЗ-152: политика оператора в отношении обработки ПДн должна включать категории обрабатываемых ПДн, цели, правовые основания, сроки хранения и порядок уничтожения. Публикация политики обязательна — за её отсутствие предусмотрен штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽.»

Согласия работников оформлены до 01.09.2025?

Если HRD не переоформил согласия на обработку ПДн работников после 01.09.2025, каждый старый документ — основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Срок не восстанавливается: закон не предусматривает переходного периода для ранее заключённых согласий. Юристы DATUM соберут пакет согласий по требованиям ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте, не затрагиваете ли вы специальные категории данных

Электронная переписка работника нередко содержит информацию, которую ст. 10 ФЗ-152 относит к специальным категориям: сведения о состоянии здоровья (больничные листы, переписка с врачом), религиозных убеждениях, политических взглядах. Обработка таких данных по общему правилу запрещена. Исключение — письменное согласие, явно называющее соответствующую категорию. Общее согласие на «мониторинг переписки» это не покрывает.

На практике это означает следующее. Если при мониторинге системный администратор или HR получили доступ к письму с медицинскими данными — факт доступа уже является обработкой специальной категории. Достаточно жалобы работника в РКН, чтобы возбудили дело не по ч. 1, а по ч. 2 ст. 13.11 с санкцией до 700 000 ₽. При повторности — ч. 2.1, от 1 до 1,5 млн ₽.

«Ст. 10 ФЗ-152 — специальные категории ПДн: расовая и национальная принадлежность, политические и религиозные убеждения, состояние здоровья, интимная жизнь, судимость. Обработка без явного письменного согласия запрещена, за исключением закрытого перечня случаев ч. 2 ст. 10.»

Технически устранить риск можно через настройку DLP-системы: автоматическое исключение писем с определёнными ключевыми словами из лога мониторинга. Однако организационное решение — отдельный раздел в согласии и в регламенте мониторинга — надёжнее при проверке, потому что доказуемо.

Шаг 4. Оформите мониторинг при использовании КЭДО

Если компания использует кадровый электронный документооборот, ситуация усложняется. КЭДО-система является информационной системой персональных данных. Работник при регистрации в КЭДО передаёт оператору набор ПДн, который может включать данные для идентификации, ЭП, историю документов. Вопрос о том, кто является оператором — работодатель или провайдер КЭДО-платформы, — требует прямого ответа в договоре поручения обработки (ст. 6 ч. 3 ФЗ-152).

Уведомление РКН о намерении обрабатывать ПДн через КЭДО-систему обязательно. Если в реестре операторов на pd.rkn.gov.ru сведения о КЭДО-обработке отсутствуют — это нарушение ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Наличие КЭДО не освобождает от обязанности подать уведомление или обновить действующее.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление или несвоевременное уведомление — штраф для юрлица 100 000 — 300 000 ₽.»

Если HRD использует КЭДО-платформу и не уверен, включена ли она в уведомление РКН — у вас 30 дней с момента начала обработки на подачу уведомления. Опоздание фиксируется автоматически при плановой проверке.

Собрать ОРД под ключ

Шаг 5. Определите сроки хранения данных мониторинга и порядок уничтожения

Данные мониторинга электронной почты — это ПДн, хранить которые можно только в пределах достижения цели обработки (ст. 5 ФЗ-152, принцип минимизации). Цель — контроль использования корпоративных ресурсов и расследование инцидентов ИБ. После завершения расследования или прекращения трудовых отношений с конкретным работником дальнейшее хранение данных его переписки не имеет правового основания.

Исключение: если данные мониторинга используются как доказательства в рамках трудового спора или дисциплинарного производства. В этом случае срок хранения определяется продолжительностью спора. По окончании — уничтожение с составлением акта. Акт об уничтожении — обязательный документ, который РКН запрашивает при проверке наравне с согласиями.

Для личного дела работника (не для данных мониторинга) действует типовой срок 75 лет. Путать эти категории нельзя: мониторинговые логи — оперативные данные с коротким сроком хранения; личное дело — кадровый документ с установленным архивным сроком.

Как выглядит типичная проверочная ситуация

Ситуация 1. Жалоба уволенного работника. Работник после увольнения подаёт жалобу в РКН: работодатель читал его переписку без согласия. РКН назначает внеплановую проверку. HR предъявляет согласие, оформленное в приложении к трудовому договору (до 01.09.2025 это было допустимо, после — нет). Протокол по ч. 2 ст. 13.11 КоАП. Стратегия: при первичном нарушении и статусе микропредприятия — ходатайство о замене штрафа предупреждением по ст. 4.1.1 КоАП. При среднем бизнесе — мотивированные возражения о добросовестности и незначительности.

Ситуация 2. Плановая проверка РКН. Ретейл-компания Центрального ФО (осень 2025), 300 работников. При проверке РКН выявил: согласия работников включены в ПВТР (единый документ), регламент мониторинга отсутствует, уведомление в реестре не обновлялось с 2021 года. Три нарушения — три протокола: по ч. 2 (некорректное согласие), по ч. 3 (нет политики), по ч. 10 (устаревшее уведомление). Совокупная санкция — штраф в сотни тысяч рублей. Юридическое сопровождение позволило снизить итоговую сумму за счёт применения ст. 4.1 КоАП и доказательств устранения нарушений до вынесения постановления.

Ситуация 3. Инцидент ИБ и мониторинг как доказательство. IT-компания Северо-Западного ФО (начало 2026): утечка базы клиентов через корпоративный email. Расследование показало — данные отправлял менеджер. Однако данные мониторинга не могли быть использованы в арбитраже, потому что согласие работника на мониторинг содержания писем отсутствовало. Доказательная база рассыпалась. Суд отказал в иске к работнику. Стратегия на будущее: согласие подписывается на этапе onboarding, регламент мониторинга вводится приказом.

Что подготовить HRD для законного мониторинга email

Отдельное согласие работника на мониторинг корпоративной почты по форме ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156) — все реквизиты обязательны
Регламент (локальный нормативный акт) о мониторинге: что проверяется, кто имеет доступ, в каких случаях изучается содержимое
Актуальное уведомление в реестре РКН на pd.rkn.gov.ru с указанием целей мониторинга и КЭДО-обработки
Акты об уничтожении данных мониторинга по завершении расследований или при увольнении работника
Договор поручения обработки с провайдером КЭДО-платформы, если платформа хранит ПДн работников

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, ОРД и реестра РКН по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия работников, регламент мониторинга, приказы
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 в составе другого документа (трудового договора, ПВТР, соглашения о неразглашении), с этой даты не соответствуют требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Переподписывать их нужно не потому, что закон требует обратного действия — он его не предусматривает, — а потому что при следующем обращении к данным работника, в том числе в рамках мониторинга, правового основания у вас не будет. РКН при проверке оценивает наличие действующего согласия на момент обработки, а не на момент его подписания.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает работодателю без письменного согласия работника запрашивать сведения о политических, религиозных и иных убеждениях, частной жизни, а также о членстве в общественных объединениях и профсоюзах (кроме случаев, установленных законом). Данные о состоянии здоровья допустимы только в объёме, необходимом для выяснения способности выполнять трудовую функцию, — и только после предложения о работе, не в анкете.

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в офисе допустимо при одновременном соблюдении трёх условий: работник уведомлён об этом под подпись (ст. 22 ТК РФ, ст. 18.1 ФЗ-152), камеры размещены только в рабочих зонах (не в санузлах, раздевалках, комнатах психологической разгрузки), в локальном акте определены цели наблюдения и срок хранения записей. Биометрическая идентификация работников через СКУД — это обработка биометрических ПДн по ст. 11 ФЗ-152, которая требует отдельного письменного согласия с явным указанием на биометрию.

4. Сколько хранить согласия после увольнения?

Согласие работника является частью личного дела. Типовой срок хранения личного дела — 75 лет (ст. 22.1 Федерального закона об архивном деле). Само согласие нужно хранить не менее срока хранения ПДн плюс период, в который работник или РКН могут предъявить претензии. На практике — не менее 3 лет после увольнения (срок исковой давности по трудовым спорам — 1 год по ст. 392 ТК РФ, по спорам о защите ПДн — общий срок 3 года). Данные мониторинга переписки — отдельно, их хранить после увольнения нет оснований.

5. Кто оператор при использовании КЭДО?

Работодатель, принявший решение о применении КЭДО, является оператором ПДн работников вне зависимости от того, использует ли он собственную систему или платформу провайдера. Провайдер платформы — обработчик, действующий по поручению оператора (ст. 6 ч. 3 ФЗ-152). Договор поручения должен содержать обязанность провайдера соблюдать конфиденциальность и перечень допустимых действий с ПДн. Без такого договора работодатель несёт ответственность за действия провайдера как за свои собственные.

6. Что будет, если работник отзовёт согласие на мониторинг?

Отзыв согласия по ст. 9 ФЗ-152 обязывает оператора прекратить обработку. Продолжение мониторинга после отзыва — нарушение ч. 1 ст. 13.11 КоАП, штраф от 150 000 до 300 000 ₽. Однако отзыв согласия не означает запрета любого контроля: мониторинг метаданных (факт отправки, адресат), основанный на праве собственности работодателя на инфраструктуру и уведомлении работника, может продолжаться. Важно разграничить в локальном акте мониторинг метаданных и мониторинг содержимого.

Итог

Законный мониторинг корпоративного email — это не запрет, а процедура: отдельное согласие по ст. 9 ФЗ-152 (ред. с 01.09.2025), локальный акт о мониторинге, актуальное уведомление РКН, договор поручения с КЭДО-провайдером, регламент уничтожения данных. Пять документов, которые закрывают все основания для протокола по ст. 13.11 КоАП.

DATUM сопровождает HR-департаменты среднего и крупного бизнеса в приведении обработки ПДн работников в соответствие с требованиями ТК РФ и ФЗ-152 — включая подготовку к проверкам РКН и защиту в арбитраже при штрафах по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, проверки РКН в HR-департаментах.

18 февраля 2027 года