Перейти к содержанию
инструкция 18 февраля 2027 По состоянию на 18 февраля 2027

Тайный контроль работника: запрет

Тайный контроль работника — это сбор и обработка его персональных данных без уведомления и согласия, что прямо запрещено ст. 86 ТК РФ и ст. 9 ФЗ-152.
С 01.09.2025 требования к согласию ужесточились: каждое согласие — отдельный документ с обязательными реквизитами (ФЗ-156 от 24.06.2025). Штраф за обработку без надлежащего согласия по ч. 2 ст. 13.11 КоАП — 300 000 — 700 000 ₽, при повторном нарушении — 1 000 000 — 1 500 000 ₽.
Если в вашем HR-департаменте видеонаблюдение, СКУД, мониторинг переписки или геолокация — проверьте, оформлены ли согласия по новым требованиям. →

Контроль за действиями персонала — законная задача работодателя. Запрет распространяется не на сам факт контроля, а на его тайный характер: когда работник не знает, что именно собирается, зачем и как используется. С 30.05.2025 правовые последствия за нарушения в этой сфере выросли кратно. Инструкция ниже позволит HRD выстроить законный контроль за пятью шагами и избежать штрафов по ст. 13.11 КоАП.

Что считается тайным контролем и какие нормы нарушаются?

Ст. 86 ТК РФ устанавливает цели обработки персональных данных работника: обеспечение соответствия законодательству, содействие занятости, исполнение договора, безопасность. Обработка сверх этих целей или без уведомления работника — нарушение принципа законности.

Ст. 9 ФЗ-152 требует, чтобы согласие было конкретным, информированным и добровольным. После вступления в силу ФЗ-156 от 24.06.2025 согласие оформляется исключительно отдельным документом — его нельзя включать в трудовой договор, должностную инструкцию или оферту.

Тайный контроль на практике принимает несколько форм:

  • скрытое видеонаблюдение в рабочих зонах без уведомления;
  • перехват электронной переписки и мессенджеров без письменного согласия;
  • отслеживание геолокации личного или корпоративного телефона без согласия;
  • сбор биометрии (отпечатки, распознавание лица) через СКУД без письменного согласия по ст. 11 ФЗ-152;
  • мониторинг рабочего стола или активности на ПК без уведомления в локальном акте.
«Ст. 86 ТК РФ: обработка персональных данных работника допустима исключительно в целях, прямо указанных в законе. Сбор сведений, не нужных для трудовых отношений, запрещён. Ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025): согласие — отдельный документ с перечнем обрабатываемых данных, целей, действий и сроком. Обработка без такого согласия, когда оно требуется, — состав ч. 2 ст. 13.11 КоАП.»

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работников в локальном нормативном акте. Отсутствие такого акта само по себе образует состав нарушения по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽) за непубликацию политики обработки ПДн.

Согласия работников ещё в трудовом договоре или в анкете при приёме?

Если HRD не переоформил согласия работников после 01.09.2025, каждый старый документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за одно нарушение. Срок не восстанавливается: если РКН обнаружит несоответствие при проверке, предписание выдаётся немедленно.

Юристы DATUM соберут пакет согласий под новые требования ФЗ-156 и проведут аудит ОРД HR-департамента.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Составьте реестр инструментов контроля

До оформления любого документа нужно понять, что именно собирает компания. Выпишите все инструменты мониторинга персонала: видеокамеры (зоны, режим записи), СКУД (данные прохода, биометрия), системы контроля рабочего времени (таймтрекеры, DLP), корпоративную почту и мессенджеры, GPS-трекеры в корпоративных авто, мониторинг ПК.

Для каждого инструмента зафиксируйте: какие персональные данные обрабатываются, на каком правовом основании (ст. 6 ФЗ-152: исполнение договора, законная обязанность или согласие), где данные хранятся и кто имеет доступ. Результат — таблица реестра активов обработки (РАО), которая станет основой для локального акта и согласий.

Шаг 2. Проверьте правовые основания по каждому инструменту

Не все виды контроля требуют согласия. Видеонаблюдение в общих рабочих зонах (не раздевалки, не туалеты) может опираться на законный интерес и трудовой договор при условии уведомления работника. Однако биометрия в СКУД — распознавание лица, отпечатки пальцев — требует письменного согласия по ст. 11 ФЗ-152 без каких-либо исключений для трудовых отношений.

Мониторинг переписки в корпоративных каналах допустим при двух условиях: работник использует корпоративное оборудование и корпоративные аккаунты, а в трудовом договоре или локальном акте прямо указано, что переписка в этих каналах может проверяться. Мониторинг личных мессенджеров на личном устройстве — за пределами закона вне зависимости от согласия, поскольку нарушает ст. 23 Конституции РФ.

«Ст. 11 ФЗ-152: биометрические персональные данные — изображение лица, голос, отпечатки пальцев, радужка — обрабатываются только с письменного согласия. Исключения п. 2 ст. 11 для трудовых отношений ограничены: они касаются осуществления правосудия, транспортной безопасности и иных прямо указанных случаев. Стандартная СКУД с распознаванием лица под исключения не подпадает.»

Шаг 3. Подготовьте локальный нормативный акт о защите персональных данных работников

Ст. 87 ТК РФ требует локального акта. Минимальный состав: цели обработки, перечень данных по каждой цели, правовое основание, порядок доступа, сроки хранения, меры защиты, порядок уничтожения по требованию субъекта или истечении срока.

Если в компании действует КЭДО (кадровый электронный документооборот), в локальном акте отдельно укажите: кто является оператором КЭДО-системы — компания или вендор. Если данные передаются вендору, необходимо соглашение о поручении обработки по п. 3 ст. 6 ФЗ-152. Без такого соглашения передача данных вендору — самостоятельное нарушение.

Локальный акт вводится приказом, работники знакомятся с ним под подпись до начала обработки данных. Это фиксирует уведомление — ключевое условие законного контроля.

Шаг 4. Оформите согласия по требованиям ФЗ-156 (с 01.09.2025)

С 01.09.2025 согласие на обработку персональных данных работника — отдельный документ. Нельзя включить его в трудовой договор, анкету при приёме или любой другой документ. Если у вас согласия встроены в типовые формы до этой даты, они действительны для ранее собранных данных, но новые работники должны подписывать отдельный документ.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО и контактные данные субъекта, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с данными, срок действия согласия, способ отзыва. Отсутствие любого реквизита означает, что согласие не соответствует требованиям — это состав ч. 2 ст. 13.11 КоАП.

Для биометрии СКУД согласие оформляется отдельно от общего согласия на обработку — биометрия не может быть включена в единый документ с иными категориями данных.

«Ч. 2 ст. 13.11 КоАП (редакция с 30.05.2025): обработка персональных данных без письменного согласия, когда оно требуется, или с нарушением требований к составу согласия — штраф для юридического лица 300 000 — 700 000 ₽. Повторное нарушение (ч. 2.1) — 1 000 000 — 1 500 000 ₽.»

Шаг 5. Настройте процедуру ответа на запросы работников

Работник вправе запросить информацию о своих персональных данных, потребовать исправления недостоверных сведений или уничтожения данных, обработка которых более не нужна. Срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней с момента обращения (с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта).

Назначьте ответственного по ст. 22.1 ФЗ-152 — лицо, к которому поступают такие запросы. Введите журнал учёта обращений субъектов: дата, суть запроса, дата ответа, результат. Отсутствие ответа в срок — состав ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽ для юрлица).

При увольнении работника персональные данные уничтожаются в сроки, установленные локальным актом, за исключением данных, которые необходимо хранить по законодательству (личное дело — 75 лет по типовым перечням архивных документов).

Что подготовить для законного контроля работников

  • Реестр активов обработки ПДн: инструменты контроля, правовое основание, категория данных, срок хранения.
  • Локальный нормативный акт о защите ПДн работников по ст. 87 ТК РФ, введённый приказом и подписанный всеми работниками.
  • Отдельные согласия по новым требованиям ФЗ-156 для каждого вида обработки, требующего согласия (биометрия, геолокация, мониторинг переписки).
  • Соглашение о поручении обработки с вендором КЭДО и иными подрядчиками, получающими доступ к ПДн работников.
  • Журнал учёта обращений субъектов и приказ о назначении ответственного по ст. 22.1 ФЗ-152.

Какие сценарии нарушений чаще всего встречаются в HR?

Сценарий 1. СКУД с распознаванием лица без письменных согласий. Компания внедрила биометрическую систему контроля доступа. Работники прошли регистрацию, но письменных согласий по ст. 11 ФЗ-152 нет — только отметка в анкете при приёме. РКН при плановой проверке фиксирует нарушение. Квалификация — ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Дополнительно — предписание об уничтожении уже собранной биометрии. Стратегия: оформить согласия ретроактивно невозможно — биометрию придётся удалить и повторно собрать при наличии корректных согласий.

Сценарий 2. Мониторинг переписки в корпоративном мессенджере без уведомления. ИТ-служба по запросу руководства выгружает переписку сотрудника для служебного расследования. Локального акта, предусматривающего такой мониторинг, нет. Работник узнаёт об этом при ознакомлении с материалами расследования и подаёт жалобу в РКН. Помимо штрафа по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽), возникает риск признания результатов расследования недопустимыми доказательствами в трудовом споре. Стратегия: ввести локальный акт, прямо указывающий на возможность проверки корпоративных каналов, и ознакомить с ним всех работников.

Сценарий 3. Согласия работников в трудовом договоре после 01.09.2025. Компания продолжает использовать старые формы трудовых договоров с включёнными согласиями. При приёме в октябре 2025 года оформляет нового работника по прежней схеме. Согласие не является отдельным документом — нарушение ч. 2 ст. 13.11 КоАП. Стратегия: обновить все типовые HR-формы, внедрить отдельный бланк согласия по ФЗ-156.

Если в вашей компании СКУД с биометрией или мониторинг корпоративных устройств — и согласия не соответствуют требованиям ФЗ-156 с 01.09.2025 — каждый новый работник, принятый без корректного согласия, увеличивает штрафной риск. Юристы DATUM соберут пакет ОРД HR-департамента под ключ.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Производственная компания Приволжского ФО (лето 2025) внедрила систему распознавания лиц на проходной без оформления письменных согласий. В ходе внеплановой проверки, инициированной жалобой работника, РКН зафиксировал обработку биометрических персональных данных без надлежащего правового основания. Компании выдано предписание об уничтожении биометрии и назначен штраф в диапазоне сотен тысяч рублей по ч. 2 ст. 13.11 КоАП. Юристы, привлечённые HR-директором после получения акта проверки, добились снижения штрафа через арбитражное оспаривание, опираясь на первичность нарушения и наличие иных мер защиты данных.

Кейс 2. Торговая сеть Центрального ФО (осень 2024) использовала DLP-систему для мониторинга исходящей почты работников. Локальный акт существовал, но работников с ним не ознакомили под подпись. При рассмотрении трудового спора об увольнении за разглашение коммерческой тайны суд признал доказательства, полученные из DLP, ненадлежащими: уведомление работника о возможности мониторинга не было зафиксировано. Работник восстановлен. Урок для HRD: уведомление и ознакомление под подпись — не формальность, а условие допустимости доказательств.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД HR-департамента по 38 пунктам, отчёт с приоритизированным планом.
  • Комплект ОРД под ключ — согласия по ФЗ-156, локальные акты, приказы, журналы учёта обращений.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы работников.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, полученные до 01.09.2025, сохраняют силу для данных, уже собранных на их основании: ФЗ-156 от 24.06.2025 обратной силы не имеет. Однако при сборе новых данных или оформлении новых работников с 01.09.2025 согласие должно быть отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152. Рекомендуется также провести ревизию действующих форм и обновить их, чтобы при следующей проверке РКН все форматы соответствовали актуальным требованиям.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает собирать данные, не нужные для исполнения трудового договора и требований законодательства. Под запрет подпадают: сведения о членстве в партиях и профсоюзах, вероисповедание, состояние здоровья (за исключением медосмотров, предусмотренных законом), национальность, семейное положение сверх минимума для налоговых вычетов. Нарушение — ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽ для юрлица).

3. Можно ли вести видеонаблюдение в офисе?

Видеонаблюдение в рабочих зонах законно при одновременном соблюдении трёх условий: работники уведомлены о наблюдении (в локальном акте и под подпись), камеры не установлены в местах, где работник вправе ожидать приватности (туалеты, раздевалки, комнаты отдыха), цель наблюдения закреплена в локальном акте (охрана, безопасность, контроль трудовой дисциплины). Скрытое видеонаблюдение в рабочих зонах без уведомления — нарушение ст. 86 ТК РФ и ст. 9 ФЗ-152.

4. Сколько хранить согласия после увольнения работника?

Согласие как документ хранится в течение срока обработки персональных данных плюс срок исковой давности по трудовым спорам (3 года по ст. 392 ТК РФ). Само личное дело работника по типовым перечням архивных документов хранится 75 лет. Уничтожение согласия раньше этого срока лишает работодателя доказательства законности обработки, что создаёт риск при административном или судебном разбирательстве.

5. Кто является оператором при использовании КЭДО?

При использовании КЭДО оператором персональных данных работников остаётся работодатель: именно он определяет цели и состав обработки. Вендор КЭДО-системы выступает лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152), и не несёт самостоятельной ответственности перед субъектами. Без письменного соглашения о поручении обработки передача данных в систему вендора является нарушением — оператор несёт за это ответственность самостоятельно.

6. Что грозит за тайный сбор данных через корпоративные приложения?

Тайный сбор данных через корпоративные приложения без уведомления и согласия работника может образовывать состав не только административного, но и уголовного правонарушения. Ст. 272.1 УК РФ, действующая с 11.12.2024, предусматривает ответственность за незаконный сбор и хранение компьютерной информации с персональными данными. Максимальное наказание по квалифицированным составам — лишение свободы до 10 лет (ч. 5 ст. 272.1 УК РФ).

Итог

Законный контроль работника строится на трёх элементах: уведомление, надлежащее правовое основание и соразмерность цели. Тайный контроль — это не усиленный контроль, а нарушение, которое превращает результаты расследований в недопустимые доказательства и открывает путь к штрафам от 150 000 до 1 500 000 ₽ и выше.

Практика DATUM по защите персональных данных в HR-сфере охватывает аудит согласий и локальных актов, внедрение КЭДО-комплаенса, сопровождение проверок РКН в HR-департаментах крупных работодателей.

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции ФЗ-156, КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

18 февраля 2027 года