инструкция 14 января 2028 По состоянию на 14 января 2028

Запись клавиатуры и мыши работника

Мониторинг нажатий клавиш и движений мыши работника — это обработка персональных данных по ст. 3 ФЗ-152, требующая отдельного письменного согласия с 01.09.2025 (ФЗ-156 от 24.06.2025).

За обработку без надлежащего согласия — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП; повторное нарушение — до 1 500 000 ₽ по ч. 2.1. Ответственный за согласия в компании — HR-директор.

Если HRD не проверил пакет согласий до запуска системы мониторинга — риск уже существует. → Разберём порядок действий по шагам.

С 01.09.2025 любое согласие работника на обработку персональных данных — включая данные систем контроля активности — оформляется отдельным документом, не включённым в трудовой договор или должностную инструкцию. Это требование ФЗ-156 от 24.06.2025. Одновременно ст. 86 и 87 ТК РФ устанавливают, что сбор сведений о работнике допускается только в целях трудовых отношений. Запись клавиатуры и мыши попадает в эту рамку при соблюдении четырёх условий: надлежащее согласие, законная цель, соразмерность объёма и надлежащая хранение. Ниже — пошаговый порядок для HR-директора, который запускает или проверяет такую систему.

Шаг 1. Определите, что именно записывает система

Перед тем как готовить документы, зафиксируйте технический состав данных. Важно разграничить три группы:

Метаданные активности — время начала и окончания сессии, суммарное число кликов, периоды бездействия. Это общие персональные данные по ст. 3 ФЗ-152.
Содержание ввода — дословный текст, набранный работником, включая пароли и личную переписку. Если система фиксирует переписку — возникает риск обработки данных третьих лиц и нарушения тайны переписки по ст. 23 Конституции РФ.
Биометрические данные — динамика нажатий (keystroke dynamics), используемая для идентификации личности. Это биометрические персональные данные по ст. 11 ФЗ-152: обработка требует письменного согласия и особых мер защиты.

Результат шага — письменный технический регламент системы: что именно собирается, в каком формате, куда передаётся и как хранится. Этот документ станет основой для составления согласия и политики обработки.

Ещё не запустили систему мониторинга, но планируете?

Если HRD только оценивает возможность внедрения, сейчас — правильный момент. До запуска системы согласия можно собрать без спешки, документы оформить корректно, а риск штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽) исключить заранее. Юристы DATUM соберут пакет ОРД под конкретную систему мониторинга и проведут аудит HR-обработок по чек-листу из 38 пунктов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 2. Проверьте правовое основание по ст. 6 и ст. 86 ТК РФ

Мониторинг активности работника допустим по двум основаниям в связке:

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — основное основание для сбора данных, выходящих за рамки непосредственного исполнения трудовых обязанностей.
Исполнение обязанностей работодателя (п. 2 ч. 1 ст. 6 ФЗ-152) — применяется для данных, минимально необходимых для контроля рабочего времени, если это прямо предусмотрено локальным нормативным актом.

Ст. 86 ТК РФ запрещает получение информации о работнике, не связанной с трудовыми отношениями. Это означает: если система записывает личную переписку или активность в нерабочее время — это нарушение ТК РФ вне зависимости от наличия согласия по ФЗ-152.

Ст. 87 ТК РФ обязывает работодателя установить порядок хранения и использования персональных данных работников в локальном нормативном акте. Без такого акта любой сбор данных — нарушение.

«Ст. 86 ТК РФ — обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.»

Результат шага — выбранное правовое основание зафиксировано в локальном нормативном акте (Положение об обработке ПДн работников) с указанием конкретных целей мониторинга.

Шаг 3. Составьте согласие работника по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025

С 01.09.2025 согласие на обработку персональных данных не включается в трудовой договор, КЭДО-соглашение или должностную инструкцию. Это отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 (ред. ФЗ-156):

Фамилия, имя, отчество и контактные данные субъекта (работника).
Наименование и реквизиты оператора — работодателя.
Конкретная цель обработки: контроль рабочего времени, обеспечение информационной безопасности, расследование инцидентов — перечислить все.
Перечень персональных данных: метаданные активности, содержание ввода (если собирается), динамика нажатий (если используется для идентификации).
Перечень действий с данными: сбор, запись, систематизация, хранение, анализ, уничтожение.
Срок действия согласия или условие его прекращения.
Способ отзыва согласия с указанием адреса направления заявления.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие на обработку персональных данных должно быть оформлено как отдельный документ, не совмещённый с иными документами. Ранее полученные согласия, оформленные до 01.09.2025, обратной силы не теряют — переоформлять их принудительно не требуется.»

Важно: если система фиксирует динамику нажатий для идентификации работника — это биометрические персональные данные по ст. 11 ФЗ-152. Согласие на их обработку должно быть составлено в письменной форме отдельно от согласия на обработку общих данных мониторинга.

Результат шага — заполненный и подписанный бланк согласия для каждого работника, чья активность будет записываться.

Шаг 4. Обновите локальные нормативные акты

Ст. 18.1 ФЗ-152 обязывает оператора обеспечить принятие локальных актов, регулирующих обработку. Для системы мониторинга необходимо обновить или создать:

Политику обработки персональных данных — добавить раздел о мониторинге активности: цели, категории данных, сроки хранения, меры защиты.
Положение об обработке ПДн работников — включить описание системы мониторинга, её технических параметров и правовых оснований по ст. 86–87 ТК РФ.
Приказ о назначении ответственного за обработку ПДн — по ст. 22.1 ФЗ-152; если уже есть, проверить, охватывает ли он систему мониторинга.
Регламент работы с системой мониторинга — для сотрудников ИТ и ИБ: кто имеет доступ к данным, в каких случаях, как документируется доступ.
Уведомление в РКН — если обработка данных мониторинга не охвачена текущим уведомлением по ст. 22 ФЗ-152, подать уведомление об изменении сведений через pd.rkn.gov.ru.

Ст. 22 ФЗ-152 предусматривает уведомление РКН об изменении сведений в срок не позднее 10 рабочих дней с момента изменения обработки. За неуведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Результат шага — обновлённый пакет ОРД и актуальная запись в реестре операторов ПДн.

Если система мониторинга уже работает, а ОРД не обновлялся — каждый день обработки без надлежащих документов увеличивает риск штрафа. Срок внесения изменений в уведомление РКН — 10 рабочих дней с момента изменения обработки.

Собрать ОРД под ключ

Шаг 5. Установите уровень защищённости и технические меры

ПП РФ №1119 от 01.11.2012 определяет уровень защищённости информационной системы персональных данных (ИСПДн) исходя из категории данных, числа субъектов и типа угроз. Для системы мониторинга активности работников типовые параметры:

Категория данных — общие (метаданные) или биометрические (динамика нажатий).
Число субъектов — до или более 100 000 работников.
Тип угроз — как правило, угрозы 3-го типа (актуальны недекларированные возможности прикладного ПО).

Для большинства компаний с общими данными мониторинга и числом работников до 100 000 устанавливается УЗ-3 или УЗ-4. Если используется динамика нажатий как биометрия — не ниже УЗ-3.

Конкретный набор мер по Приказу ФСТЭК №21 от 18.02.2013 включает группы ИАФ (идентификация и аутентификация), УПД (управление доступом), РСБ (регистрация событий) и АВЗ (антивирусная защита) как минимальный базовый набор. Для УЗ-3 добавляется СОВ (обнаружение вторжений) и ЗНИ (защита носителей).

Результат шага — утверждённая модель угроз, акт классификации ИСПДн и перечень применённых мер защиты.

Типовые ситуации: что чаще всего идёт не так

Разберём три сценария, с которыми HR-директора сталкиваются на практике.

Ситуация 1. Система мониторинга установлена ИТ-отделом без уведомления HR. Обработка персональных данных началась без согласий работников и без обновления политики. Инспектор РКН при плановой проверке обнаруживает несоответствие между заявленными в реестре целями обработки и фактической. Вероятный исход — протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) и предписание об устранении. Стратегия: немедленно остановить сбор данных, подготовить согласия и обновить уведомление в РКН до завершения проверки.

Ситуация 2. Согласия собраны, но включены в трудовой договор (оформлены до 01.09.2025 и не переоформлены после). До 01.09.2025 такой порядок был допустим. После — форма считается ненадлежащей для новых согласий. Для согласий, оформленных до 01.09.2025, обратной силы нет. Риск возникает, если после указанной даты компания продолжала включать согласия в трудовые договоры или КЭДО-пакеты. Вероятный исход при проверке — предписание переоформить. При повторном нарушении — ч. 2.1 ст. 13.11 КоАП (до 1 500 000 ₽). Стратегия: для всех работников, принятых после 01.09.2025, проверить форму согласия и при необходимости переподписать отдельным документом.

Ситуация 3. Система фиксирует динамику нажатий, но в документах она не описана как биометрия. Работодатель считает данные «поведенческими метриками» и не применяет требования ст. 11 ФЗ-152. При инциденте (утечка данных мониторинга) РКН переквалифицирует данные как биометрические. Штраф — по ч. 17 ст. 13.11 КоАП (15 000 000–20 000 000 ₽) за утечку биометрических данных. Стратегия: получить заключение о природе данных до запуска системы; если динамика нажатий используется для идентификации — оформить отдельное письменное согласие по ст. 11 ФЗ-152 и применить меры защиты биометрии.

Что подготовить до запуска системы мониторинга

Технический регламент системы: состав данных, формат, место хранения, доступ.
Отдельное согласие работника по ст. 9 ФЗ-152 в редакции ФЗ-156 — на каждого работника, чья активность записывается.
Обновлённая политика обработки ПДн с разделом о мониторинге активности (ст. 18.1 ФЗ-152).
Акт классификации ИСПДн и утверждённая модель угроз по ПП РФ №1119.
Уведомление РКН об изменении сведений об обработке (ст. 22 ФЗ-152) — не позднее 10 рабочих дней с начала новой обработки.

Как это применяется на практике

Кейс 1. Производственная компания Уральского ФО (осень 2025) внедрила систему мониторинга рабочих станций без обновления пакета ОРД. При плановой проверке РКН выявил, что фактическая обработка данных активности не отражена в уведомлении об обработке ПДн. Компании выдано предписание, параллельно возбуждён протокол по ч. 1 ст. 13.11 КоАП. HR-директор инициировал экстренную подготовку согласий и обновление уведомления. Благодаря оперативному устранению до вынесения постановления штраф назначен по минимальной границе ч. 1 — 150 000 ₽.

Кейс 2. IT-компания Северо-Западного ФО (начало 2026) использовала keystroke dynamics для верификации удалённых сотрудников. Данные квалифицировались как «метрики производительности». После жалобы работника РКН провёл внеплановую проверку и установил, что динамика нажатий применяется для идентификации личности — биометрические ПДн по ст. 11 ФЗ-152. Согласие на обработку биометрии отсутствовало. Юристы DATUM подготовили письменные согласия по ст. 11, уточнили уведомление в РКН и провели оценку уровня защищённости. Протокол по ч. 2 ст. 13.11 прекращён в связи с устранением нарушений до вынесения постановления.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка HR-обработок по 38 пунктам, включая системы мониторинга.
Комплект ОРД под ключ — согласия работников, политика, регламенты по новым требованиям.
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентской основе.

Частые вопросы

1. Нужно ли переподписывать согласия работников после 01.09.2025?

Согласия, оформленные до 01.09.2025 в любой форме (включая включение в трудовой договор), сохраняют силу — ФЗ-156 не имеет обратной силы. Переоформлять их не обязательно. Однако для работников, принятых после 01.09.2025, согласие на обработку ПДн должно быть отдельным документом по новым требованиям ст. 9 ФЗ-152. Если система мониторинга запускается после 01.09.2025 — согласие для всех охваченных работников оформляется по новой форме вне зависимости от даты приёма на работу.

2. Какие данные нельзя спрашивать в анкете при приёме на работу?

Ст. 86 ТК РФ запрещает получать информацию о работнике, не связанную с трудовыми отношениями: политические и религиозные взгляды, национальность, членство в общественных объединениях (кроме профсоюзов). Это специальные категории ПДн по ст. 10 ФЗ-152, обработка которых по общему правилу запрещена. В анкету допустимо включать: паспортные данные, ИНН, СНИЛС, сведения об образовании, опыт работы, контактные данные.

3. Можно ли вести видеонаблюдение в офисе?

Да, при соблюдении условий: работники уведомлены о видеонаблюдении под подпись (ст. 22.2 ТК РФ), видеонаблюдение не охватывает личные зоны (туалеты, комнаты отдыха), цель зафиксирована в локальном нормативном акте. Видеозапись работника — это биометрические персональные данные по ст. 11 ФЗ-152, если используется для идентификации личности. В противном случае — общие ПДн. Согласие на видеонаблюдение оформляется отдельным документом с 01.09.2025.

4. Сколько хранить согласия после увольнения работника?

Согласие работника является частью личного дела. Типовой срок хранения личного дела по Приказу Росархива — 75 лет. Согласие хранится в течение этого же срока. Данные, собранные на основании согласия (в том числе данные мониторинга), подлежат уничтожению после достижения цели обработки или по требованию работника при наличии оснований по ст. 21 ФЗ-152. Согласие как документ при этом сохраняется как подтверждение правомерности обработки.

5. Кто оператор при использовании КЭДО?

При использовании корпоративной платформы КЭДО оператором персональных данных остаётся работодатель — он определяет цели и состав обработки. Провайдер платформы выступает лицом, осуществляющим обработку по поручению оператора (ст. 6 ч. 3 ФЗ-152). С провайдером обязательно заключается договор поручения обработки с перечнем допустимых действий. Если провайдер хранит данные за рубежом — возникает вопрос трансграничной передачи и локализации по ч. 5 ст. 18 ФЗ-152.

6. Что делать, если работник отозвал согласие на мониторинг?

Работник вправе отозвать согласие в любое время по ст. 9 ФЗ-152. При отзыве оператор обязан прекратить обработку и уничтожить данные, если отсутствуют иные правовые основания для их хранения. Если мониторинг обеспечивает выполнение трудовых обязанностей или является условием доступа к информационным системам работодателя — работодатель вправе отстранить работника от работы с такими системами в порядке, предусмотренном трудовым договором и локальными актами. Конкретный порядок действий при отзыве должен быть описан в регламенте работы с системой мониторинга.

Итог

Запись клавиатуры и мыши работника — законный инструмент при соблюдении пяти условий: законная цель в рамках ст. 86 ТК РФ, отдельное согласие по ст. 9 ФЗ-152 в редакции ФЗ-156, актуальный пакет ОРД с обновлённым уведомлением в РКН, установленный уровень защищённости ИСПДн по ПП РФ №1119 и разграничение между общими данными и биометрией по ст. 11 ФЗ-152. Нарушение любого из этих условий создаёт самостоятельный состав правонарушения по ст. 13.11 КоАП.

Практика DATUM охватывает полный цикл сопровождения HR-обработок: от подготовки согласий и ОРД до представления интересов при проверках РКН и арбитражной защите по ст. 13.11 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах.

14 января 2028 года