Перейти к содержанию
инструкция 21 октября 2026 По состоянию на 21 октября 2026

Слежение за мессенджерами: пределы

Контроль переписки работника в мессенджерах — это обработка персональных данных. Без письменного согласия или иного правового основания по ст. 6 ФЗ-152 она незаконна.
За нарушение требований к согласию с 30.05.2025 — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; при повторности — до 1 500 000 ₽. Трудовой кодекс ограничивает сбор сведений о работнике целями трудовых отношений (ст. 86 ТК РФ).
→ Если вы HRD и корпоративная политика мониторинга ещё не приведена в соответствие — проверьте правовую базу по шагам ниже до первой проверки РКН.

Мониторинг корпоративных мессенджеров стал стандартной практикой: службы безопасности хотят видеть переписку в Telegram, WhatsApp, корпоративных Slack и Teams. Вопрос не в том, хочет ли работодатель контролировать коммуникации, а в том, какой контроль законен. С 01.09.2025 требования к согласию работника ужесточились по ФЗ-156 от 24.06.2025: согласие теперь оформляется отдельным документом. В этой инструкции — пошаговый порядок для HRD: от правового основания до хранения документов.

Шаг 1. Определите правовое основание для мониторинга

Мониторинг переписки в корпоративных системах — это обработка персональных данных работника по смыслу ст. 3 ФЗ-152. Прежде чем внедрять DLP-систему или устанавливать агент на корпоративный телефон, нужно определить, на каком из 11 оснований ст. 6 ФЗ-152 строится обработка.

Для HR-практики применимы два основания. Первое — согласие работника (п. 1 ч. 1 ст. 6 ФЗ-152): работник подписывает отдельный документ с перечнем контролируемых каналов, целью, объёмом данных и порядком хранения. Второе — исполнение трудового договора (п. 5 ч. 1 ст. 6 ФЗ-152): если мониторинг прямо предусмотрен трудовым договором или локальным нормативным актом, с которым работник ознакомлен под роспись.

Ст. 86 ТК РФ устанавливает принцип: работодатель вправе обрабатывать только те персональные данные, которые необходимы для исполнения трудовых обязанностей. Мониторинг личной переписки на корпоративном устройстве в нерабочее время под это основание не подпадает.

«Ст. 86 ТК РФ — обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.»

Практический вывод: мониторинг переписки в корпоративном мессенджере в рабочее время на корпоративном оборудовании — допустим при наличии ЛНА. Мониторинг личных мессенджеров на личном устройстве работника — не допускается ни при каком основании без явного согласия и только в объёме, связанном с трудовой функцией.

Шаг 2. Проверьте состав и форму согласия после 01.09.2025

С 01.09.2025 согласие на обработку персональных данных работника оформляется отдельным документом — его нельзя встраивать в трудовой договор, должностную инструкцию или общую политику конфиденциальности (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Ранее полученные согласия, подписанные до 01.09.2025, обратной силы не теряют — переподписывать их не требуется, если они отвечают старым реквизитам.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: фамилия, имя, отчество и контактные данные субъекта; наименование и адрес оператора; цель обработки; перечень персональных данных; перечень действий с данными; срок действия согласия или условие его прекращения; способ отзыва.

Для мониторинга мессенджеров в согласии дополнительно указывается: какие именно мессенджеры охватываются (Telegram-корпоративный аккаунт, Microsoft Teams, Slack — конкретно), какие метаданные или содержание сообщений фиксируются, кто имеет доступ к результатам (служба безопасности, непосредственный руководитель, HR), срок хранения логов.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных, если оно является основанием обработки, должно быть оформлено в виде отдельного документа. Объединение согласия с иными документами не допускается.»

Типовая ошибка: согласие на мониторинг включено в многостраничный трудовой договор мелким шрифтом. После 01.09.2025 такое согласие недействительно как основание обработки — штраф по ч. 2 ст. 13.11 КоАП составляет 300 000–700 000 ₽ для юридического лица.

Согласия работников ещё встроены в трудовой договор?

Если HRD не перевёл согласия на мониторинг в отдельные документы до 01.09.2025 — каждый действующий трудовой договор с таким условием создаёт основание для протокола по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Срок не восстанавливается: требование действует с 01.09.2025. Юристы DATUM соберут пакет согласий по новым требованиям ФЗ-156 и проверят весь ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте локальный нормативный акт о мониторинге

Согласие — не единственный инструмент. Если мониторинг корпоративных коммуникаций обусловлен производственной необходимостью (защита коммерческой тайны, расследование инцидентов ИБ), он может быть основан на ЛНА — при условии, что работник ознакомлен под роспись до начала трудовых отношений или при введении ЛНА в действие (ст. 22.2 ТК РФ).

Обязательные разделы ЛНА о мониторинге корпоративных коммуникаций:

  • Цель мониторинга — конкретная, не «безопасность компании» в общем
  • Перечень контролируемых каналов и устройств
  • Категории фиксируемых данных (метаданные / содержание)
  • Лица, имеющие доступ к результатам
  • Порядок хранения и уничтожения данных мониторинга
  • Права работника: как получить информацию о фактах мониторинга, куда обратиться

Ст. 87 ТК РФ обязывает работодателя утвердить порядок хранения и использования персональных данных работников. ЛНА о мониторинге — часть этого порядка. Его отсутствие при наличии DLP-системы — самостоятельное нарушение ч. 3 ст. 13.11 КоАП (непубликация политики): штраф 30 000–60 000 ₽.

«Ст. 87 ТК РФ — порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований Трудового кодекса и иных федеральных законов.»

Что запрещено при слежении за мессенджерами в любом случае?

Независимо от наличия согласия или ЛНА, ряд действий остаётся незаконным. Ст. 5 ФЗ-152 запрещает обрабатывать данные сверх объёма, необходимого для заявленной цели. Ст. 86 ТК РФ прямо запрещает получать и обрабатывать данные о частной жизни работника.

Запрещено при любом основании:

  • Мониторинг личных мессенджеров на личном устройстве работника
  • Фиксация содержания переписки с адвокатом, врачом, родственниками — даже с корпоративного устройства
  • Передача результатов мониторинга третьим лицам без отдельного основания
  • Хранение данных мониторинга дольше срока, указанного в согласии или ЛНА
  • Использование данных мониторинга для целей, не указанных в согласии (например, для оценки лояльности при повышении)

Особая зона — биометрические данные. Если DLP-система или СКУД записывает голос в мессенджере или изображение с веб-камеры для идентификации работника — это биометрические персональные данные по ст. 11 ФЗ-152. Их обработка требует письменного согласия, а нарушение влечёт штраф по ч. 16 ст. 13.11 КоАП.

«Ст. 11 ФЗ-152 — биометрические персональные данные (изображение лица, голос, используемые для идентификации личности) обрабатываются только с письменного согласия субъекта, за исключением прямо предусмотренных законом случаев.»

Шаг 4. Организуйте хранение и уничтожение данных мониторинга

Данные, полученные в ходе мониторинга, хранятся только в базах данных, расположенных на территории России (ч. 5 ст. 18 ФЗ-152, действует с 2015 года). Использование зарубежных DLP-облаков (EU, US) без выполнения требований локализации — нарушение ч. 8 ст. 13.11 КоАП: штраф 1 000 000–6 000 000 ₽.

Срок хранения данных мониторинга определяется в ЛНА или согласии. После истечения срока — уничтожение. Ст. 21 ФЗ-152 требует уничтожить данные при достижении цели обработки или отзыве согласия в течение 30 дней. Факт уничтожения фиксируется актом.

Журнал мониторинга и акты уничтожения хранятся как документы по личному составу. Если мониторинг проводился в контексте дисциплинарного расследования — материалы хранятся в составе дела о расследовании по правилам ст. 193 ТК РФ.

Что подготовить HRD для законного мониторинга мессенджеров

  • Отдельные письменные согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156 с перечнем контролируемых каналов, целью и сроком
  • ЛНА о мониторинге корпоративных коммуникаций с разделами: цель, каналы, доступ, хранение, права работника — подписи об ознакомлении
  • Политика обработки персональных данных с разделом о мониторинге, опубликованная на сайте или во внутренней сети (ст. 18.1 ФЗ-152)
  • Договор поручения обработки с вендором DLP-системы (ст. 6 ч. 3 ФЗ-152) с указанием российского местонахождения серверов
  • Журнал учёта и акты уничтожения данных мониторинга по истечении установленных сроков

Как это выглядит на практике: разбор типовых сценариев

Сценарий 1 — DLP без ЛНА и согласия. Компания внедрила DLP-систему и перехватывает сообщения корпоративного Telegram. ЛНА отсутствует, согласия не подписывались. При проверке РКН зафиксирует обработку ПДн без правового основания — ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Если выяснится, что ПДн передавались на зарубежный сервер DLP-вендора без уведомления — добавляется ч. 8 той же статьи (1 000 000–6 000 000 ₽). Стратегия: немедленно ввести ЛНА, собрать согласия, уведомить РКН о намерении обрабатывать по ст. 22 ФЗ-152.

Сценарий 2 — Старые согласия в трудовом договоре после 01.09.2025. Работодатель использует типовой трудовой договор с разделом «Согласие на обработку ПДн и мониторинг переписки». После вступления в силу ФЗ-156 от 24.06.2025 такие согласия по новым договорам, подписанным после 01.09.2025, недействительны как основание обработки. РКН при жалобе работника возбудит дело по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: разработать отдельную форму согласия для новых трудовых отношений; для действующих работников переподписывание не обязательно — обратной силы у поправки нет.

Сценарий 3 — Мониторинг личного устройства. Служба безопасности установила агент-приложение на личные смартфоны менеджеров по продажам «для контроля работы с клиентами». Работники подписали согласие, однако приложение фиксирует переписку не только в корпоративном мессенджере, но и в личном WhatsApp. Это обработка сверх цели (ст. 5 ФЗ-152) и вторжение в частную жизнь (ст. 86 ТК РФ). Дополнительно — потенциальная уголовная ответственность по ст. 137 УК РФ (нарушение неприкосновенности частной жизни, до 2 лет лишения свободы). Стратегия: немедленно ограничить агент только корпоративными приложениями; переподписать согласия с исправленным перечнем действий.

Если в вашей компании DLP-система уже работает, но ЛНА и согласия не приведены в порядок — это открытое нарушение ст. 6 ФЗ-152. Юристы DATUM проведут аудит комплаенса HR-департамента и соберут ОРД под ключ в течение 10 рабочих дней.

Собрать ОРД под ключ

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Нет, если согласия подписаны до 01.09.2025 и отвечали требованиям ст. 9 ФЗ-152 в прежней редакции — они сохраняют силу. Поправки ФЗ-156 от 24.06.2025 не имеют обратной силы. Однако согласия, подписанные после 01.09.2025 как часть трудового договора или иного документа, недействительны: требуется отдельный документ. Рекомендуется провести ревизию и выявить, какие согласия подписаны после этой даты с нарушением.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать персональные данные о работнике, не связанные с трудовой функцией: политические, религиозные и философские убеждения, членство в профсоюзах, состояние здоровья (за пределами требований охраны труда), семейное положение и интимная жизнь. Запрашивать их можно только при наличии прямого законодательного основания или письменного согласия работника, предоставленного добровольно. Запрос с фактическим принуждением согласие не обеспечивает.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении условий: цель видеонаблюдения должна быть прямо указана в ЛНА, работники ознакомлены под роспись, зоны съёмки обозначены предупреждающими знаками. Запись в зонах отдыха, туалетах, переговорных без публичного уведомления — нарушение ст. 86 ТК РФ и ст. 5 ФЗ-152. Если видеозапись используется для идентификации работника по лицу — это биометрические ПДн (ст. 11 ФЗ-152), для них требуется отдельное письменное согласие.

4. Сколько хранить согласия после увольнения работника?

Согласие на обработку персональных данных является документом по личному составу. Типовой срок хранения личного дела работника — 75 лет (для документов, созданных до 2003 года — 75 лет, для созданных с 2003 года — 50 лет согласно Приказу Росархива № 236 от 20.12.2019). Само согласие хранится в составе личного дела. Дополнительно: после увольнения работник вправе потребовать уничтожения данных по ст. 21 ФЗ-152, однако работодатель вправе сохранить данные, необходимые для выполнения требований законодательства (налогового, трудового, архивного).

5. Кто оператор при использовании КЭДО?

При ведении кадрового электронного документооборота оператором персональных данных остаётся работодатель — он определяет цели и объём обработки. Провайдер КЭДО-платформы выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). Обязательно заключить договор поручения обработки с провайдером, в котором зафиксированы: перечень обрабатываемых данных, цели, меры защиты, запрет передачи третьим лицам. Отсутствие такого договора — нарушение ч. 3 ст. 6 ФЗ-152 и основание для претензий РКН.

6. Что делать, если работник отозвал согласие на мониторинг?

По ст. 9 ФЗ-152 работник вправе отозвать согласие в любой момент. Оператор обязан прекратить обработку в течение 30 дней и уничтожить собранные данные, если нет иного правового основания для их хранения. Если мониторинг основан не только на согласии, но и на ЛНА с производственной необходимостью — обработка в рамках ЛНА продолжается; данные, собранные только на основании согласия, уничтожаются. Отказ работнику в трудоустройстве или применение дисциплинарного взыскания за отзыв согласия незаконны.

Итог

Законный мониторинг мессенджеров строится на трёх элементах: правовое основание (согласие или ЛНА), ограничение объёма данных целью (ст. 5 ФЗ-152, ст. 86 ТК РФ) и соблюдение требований к согласию в редакции ФЗ-156 с 01.09.2025. Нарушение любого из трёх элементов — самостоятельный состав по ст. 13.11 КоАП с санкцией от 150 000 до 6 000 000 ₽.

Практика DATUM по HR-комплаенсу охватывает аудит согласий работников, разработку ЛНА о мониторинге, сопровождение при проверках РКН в кадровых подразделениях и КЭДО-интеграции с 2014 года.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка согласий, ЛНА и ОРД HR-департамента по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — 38-документный пакет включая согласия работников, ЛНА о мониторинге, политику
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия СКУД, сопровождение проверок РКН в HR.

21 октября 2026 года