Мониторинг действий сотрудников: что можно по закону в 2026 году — Контур.Эгида

Мониторинг действий сотрудников: что можно по закону в 2026 году

18 марта 2026

Контроль персонала — зона высоких рисков для компании. Компании нужно защищать коммерческую тайну и предотвращать утечки, но любое наблюдение — камеры в офисе, чтение переписки или запись экрана — балансирует на границе законного интереса и вторжения в частную жизнь. Если мониторинг настроен неправильно, доказательства утечки не примет суд, а самого работодателя оштрафует Роскомнадзор. Разбираемся, что можно и нельзя контролировать, как выстроить систему мониторинга, чтобы не нарваться на санкции.

Фотография Ольга Попова Ольга Попова Ведущий юрист

Что такое мониторинг действий сотрудников и какие есть ограничения в законах

Мониторинг персонала — это сбор информации о действиях сотрудника в рабочее время. Компании так контролируют продуктивность, предотвращают утечки данных или кражи. Но с точки зрения закона любое наблюдение упирается в право на неприкосновенность частной жизни (ст. 23 Конституции РФ) и требования к обработке персональных данных.

Трудовой кодекс при этом не содержит прямых норм, разрешающих видеосъемку в офисе или контроль переписки. Поэтому правовое поле мониторинга сегодня формируют три источника:

  1. 152-ФЗ «О персональных данных» — определяет, что можно считать персональными данными (а это практически всё, что собирают камеры и DLP), и устанавливает правила их обработки: цели, объем, сроки, согласие.
  2. Разъяснения Роскомнадзора — регулятор конкретизирует, как применять закон на практике, например, в каких случаях достаточно уведомления, а когда нужно отдельное согласие.
  3. Судебная практика — суды всё чаще встают на сторону работников, если те не были предупреждены о мониторинге, и признают недействительными доказательства, полученные скрыто.

Законным считается только тот мониторинг, который соответствует принципу соразмерности и открытости. Проще говоря: работодатель должен доказать, что у него была цель, например безопасность или контроль качества, и он не собирал лишнего.

152-ФЗ: законность мониторинга в 2026 году

Закон о персональных данных остается главным стражем персональных данных. Все, что вы снимаете на камеру или фиксируете в логах — это персональные данные. О чем нужно помнить в 2026 году?

Новые штрафы за утечки. С 30 мая 2025 года действуют повышенные штрафы по ст. 13.11 КоАП РФ. Если утекли данные от 10 000 до 100 000 человек, компании грозит штраф до 10 млн рублей. За повторную утечку — оборотный штраф до 3% годовой выручки.

Отдельное согласие — обязательно. С 1 сентября 2025 года вступили в силу поправки в ст. 9 152-ФЗ. Согласие на обработку данных должно быть «отдельным». Если согласие «вшито» в другой документ, суд признает его недействительным.

Особые правила для биометрии. Если компания использует распознавание лиц для прохода в офис или отпечатки пальцев для входа в ПК — это биометрия по 152-ФЗ. Требования к ней строже:

  • Только письменное согласие (отдельное, как указано выше).
  • Для внутренних систем (например, сканер на турникете) нужны сертифицированные средства защиты, если этого требует модель угроз.
  • Хранение биометрии в локальной базе без аккредитации и без уведомления Роскомнадзора — грубое нарушение.

Штрафы за незаконную обработку биометрии достигают 2 млн рублей, а за утечку биометрических данных — до 20 млн рублей (ст. 13.11 КоАП РФ).

Трудовой Кодекс РФ: контроль и учет рабочего времени

Трудовой кодекс напрямую не говорит о мониторинге, но он требует от работодателя учитывать отработанное время (ст. 91 ТК РФ). И это — законное основание, чтобы внедрить систему контроля. Если работодатель вводит программу, которая фиксирует время прихода и ухода, активность мыши или нахождение на рабочем месте, он действует в рамках своих обязанностей.

Однако важно помнить: даже учет рабочего времени не дает права следить за тем, что сотрудник делает в нерабочее время или в личных целях. Например, проверять геолокацию после окончания смены или просматривать личную переписку в обеденный перерыв — уже нарушение.

Рекомендации Роскомнадзора 

Роскомнадзор в 2026 году требует от работодателей одного: собирать только те данные, которые действительно нужны для работы, и не хранить их дольше необходимого. Это называется принципом минимальной достаточности. 

Если у вас есть видеокамеры — не храните записи дольше, чем нужно для безопасности: обычно до 30 дней или в течение времени, закрепленном в ЛНА компании. Собираете геолокацию — удаляйте данные сразу после окончания рабочего дня, если не было инцидентов. Любое отклонение регулятор может квалифицировать как сбор избыточной информации.

  • Что проверяют в первую очередь:
  • Уведомление в реестре операторов РКН (должно быть подано и актуально).
  • Назначение ответственного за организацию обработки персональных данных.
  • Политику обработки персональных данных на сайте.
  • Согласия — отдельные, конкретные, с указанием целей (с сентября 2025 это обязательно).
  • Локальные акты о контроле (видеонаблюдение, DLP, трекинг).
  • Меры защиты: контроль доступа, шифрование, журналы.

Роскомнадзор использует риск-ориентированный подход. В группу высокого риска попадают компании, которые:

  • обрабатывают биометрию;
  • работают с базами более 100 тыс. человек;
  • используют иностранные системы сбора данных;
  • уже допускали утечки или нарушения.

Дальше поговорим про конкретные виды мониторинга. 

Как вести видеонаблюдение на рабочем месте

Видеонаблюдение законно, если:

  1. Камеры установлены только в местах общего пользования и рабочих зонах.
  2. Сотрудники уведомлены о ведении съемки письменно.
  3. Цель съемки, например безопасность и контроль качества,  прописана в локальном акте.

Уведомление должно быть оформлено так, чтобы человек точно знал, что его снимают. Просто повесить табличку «Ведется видеонаблюдение» — недостаточно, если в локальном акте не указано, кто имеет доступ к записям, сколько они хранятся и как защищены.

Запрещено использовать скрытые камеры для наблюдения за конкретным сотрудником без его ведома. Если работодатель подозревает кражу или слив информации, он должен действовать в рамках закона — обращаться в полицию или службу безопасности, но не устраивать слежку тайком. В противном случае все доказательства, полученные таким путем, суд отклонит, а компанию оштрафуют.

Как контролировать переписку, интернет и мессенджеры

Самая спорная зона — переписка. С одной стороны, компания должна защищать свои данные. С другой — граница между служебным и личным стирается, особенно когда сотрудники используют мессенджеры и на работе, и дома.

Контролировать переписку можно только в том случае, если она ведется с корпоративных аккаунтов и на корпоративных устройствах. Если сотрудник заходит в свой личный Telegram с рабочего компьютера — работодатель может видеть факт передачи трафика, но не может читать сообщения.

Если работодатель получил доступ к переписке незаконно, например, через шпионское ПО, он не сможет использовать эту информацию для увольнения или взыскания ущерба.

Блокировать доступ к развлекательным сайтам или социальным сетям можно — это право работодателя. Но если компания собирает данные о том, какие именно личные страницы посещал сотрудник и хранит эти логи без его согласия, это уже попадает под 152-ФЗ. Лучше ограничиться техническими средствами блокировки, чем сбором аналитики посещений без предупреждения.

Как законно отслеживать работу удаленных и гео-ориентированных сотрудников

Удаленная работа не дает права на тотальный мониторинг. Работодатель может контролировать сотрудника, но с ограничениями, которые четко обозначены в 152-ФЗ и ТК РФ.

Контроль геолокации

Трекинг сотрудника через GPS разрешен, если:

  1. Это связано с исполнением трудовой функции: курьеры, водители, мерчендайзеры.
  2. Используется корпоративное оборудование: телефон, планшет, служебный автомобиль.
  3. Сотрудник письменно уведомлен о сборе геоданных.

Согласно разъяснениям Роскомнадзора и судебной практике, обработка данных геолокации возможна без отдельного согласия, если она проводится с использованием служебного оборудования и закреплена в ЛНА — в этом случае основанием служит законный интерес работодателя. 

Но если вы отслеживаете сотрудника на его личном смартфоне или используете данные оператора связи, где номер оформлен на физлицо, потребуется отдельное согласие.

Главное ограничение: рабочее время. Как только рабочий день закончился — трекинг должен отключаться. Следить за тем, куда человек поехал вечером или в выходные, запрещено — это вмешательство в частную жизнь.

Трекинг активности

Программы, которые делают скриншоты экрана, фиксируют нажатия клавиш или активность мыши, можно использовать, только если:

  • Сотрудник предупрежден о таком контроле под подпись.
  • Контроль ведется только в рабочее время.
  • Цель контроля — учет рабочего времени или защита информации, а не вторжение в приватность.

Если программа продолжает работать после окончания смены или собирает данные с личного устройства без согласия — это нарушение, за которое предусмотрена ответственность по ст. 13.11 КоАП РФ.

Дисциплинарное взыскание только на основании данных геолокации или скриншотов экрана часто отменяют суды. Нужна совокупность доказательств: отчеты о невыполнении работы, показания свидетелей, письменные объяснения. Если сотрудник выполняет задачи в срок и качественно, его отсутствие в онлайне или отклонение от маршрута не считается дисциплинарным проступком.

DLP-системы для мониторинга утечек: как соблюсти закон

Один из самых востребованных инструментов мониторинга сотрудников — DLP-системы (Data Loss Prevention). Их задача — не допустить утечку данных за пределы компании: через почту, мессенджеры, съемные носители или облака. По статистике, 35% инцидентов происходит именно через мессенджеры, еще 23% — через корпоративную почту. DLP как раз помогают контролировать эти каналы: анализировать трафик, переписку, действия с файлами, передачу на внешние носители. Но с точки зрения закона важен не сам факт контроля, а то, как он организован.

DLP и 152-ФЗ: что требует закон

DLP-система обрабатывает персональные данные сотрудников — логи, переписку, файлы, а иногда и биометрию. Это значит, что ее внедрение должно соответствовать 152-ФЗ и актам ФСТЭК. Статья 19 закона обязывает оператора принимать меры по защите данных: разграничивать доступ, шифровать при хранении и передаче, вести журналы событий, использовать сертифицированные средства защиты там, где это требуется по модели угроз.

Если DLP собирает всё подряд — личные мессенджеры, фото, документы с домашних устройств — и хранит в открытом виде без разграничения доступа, компания рискует получить не утечку, а штраф за нарушение правил обработки персональных данных. Регуляторы при проверках смотрят не только на наличие системы, но и на то, как именно она настроена и оформлена.

Как правильно оформить локальные нормативные акты для мониторинга

Мониторинг законен только тогда, когда он описан в локальных нормативных актах (ЛНА) и сотрудники ознакомлены с ними под подпись. ЛНА работодатель принимает в одностороннем порядке, но они не могут противоречить ТК РФ и 152-ФЗ — иначе нормы признают недействительными.

Что обязательно должно быть в компании:

Положение об обработке персональных данных — базовый документ, где описаны цели сбора, категории данных, сроки хранения и порядок защиты.

Политика конфиденциальности — если компания использует сайт или внешние сервисы для работы с сотрудниками.

Локальный акт о видеонаблюдении или контроле рабочего времени — в нем нужно указать: где установлены камеры, кто имеет доступ к записям, сколько они хранятся, как уничтожаются.

Локальный акт о контроле переписки и использования интернета — если компания использует DLP или программы трекинга активности.

Правила внутреннего трудового распорядка — в них должны быть отражены режим работы, особенности контроля за удаленными сотрудниками, порядок использования корпоративных устройств.

Отдельный пункт — уведомление Роскомнадзора. До начала обработки персональных данных оператор обязан направить уведомление в Роскомнадзор (ст. 22 152-ФЗ). Если меняются сведения, например, вы начали собирать геолокацию или биометрию, нужно уведомить регулятора не позднее 15-го числа месяца, следующего за месяцем изменений. За неподачу уведомления или нарушение сроков — штраф по ст. 19.7 КоАП РФ.

Если документы есть, но сотрудник их не подписал — для него они не существуют. Ознакомление должно быть подтверждено подписью: на бумаге или электронно.

Ответственность и судебная практика

Конкретные номера дел по DLP-кейсам часто не публикуются в открытом доступе из-за грифа «коммерческая тайна» или закрытого характера разбирательств. Однако обобщенные позиции судов регулярно появляются в обзорах. Рассмотрим кейсы из российской судебной практики, которые показывают, за что привлекают к ответственности работодателей.

Компания допустила утечку данных сотрудников и их родственников

Ситуация. Министерство труда и социальной защиты РФ разместило в открытом доступе в интернете персональные данные своих работников и их родственников. Доступ к информационным системам ведомства оказался неправомерно открытым.

Чем закончилось. Верховный Суд РФ признал министерство виновным по ч. 1 ст. 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законом). Штраф — 100 000 рублей. Суд указал: оператор обязан принимать меры для защиты данных от неправомерного доступа. Ссылки на то, что утечка произошла через инфраструктуру подрядчика, не освобождают от ответственности (Постановление Верховного Суда РФ от 21.01.2026 № 5-АД25-119-К2).

Работодатель установил скрытую камеру в кабинете

Ситуация. Житель Рязани купил веб-камеру и установил ее в своем рабочем кабинете, чтобы скрытно получать информацию в свое отсутствие. Устройство было замаскировано.

Чем закончилось. Суд признал его виновным по ст. 138.1 УК РФ (незаконный оборот специальных технических средств, предназначенных для негласного получения информации). Мужчина превратил обычное устройство в спецсредство, запрещенное к свободному обороту. Приговор вынес Октябрьский районный суд г. Рязани (информация УФСБ по Рязанской области, 2025).

DLP-система помогла доказать утечку и взыскать ущерб

Ситуация. Сотрудник через корпоративную почту отправил конфиденциальную информацию на личный ящик. DLP-система зафиксировала факт пересылки, имя файла, время и получателя. В компании были локальные акты, запрещающие такие действия, сотрудник был с ними ознакомлен.

Чем закончилось. Логи DLP приняли как надлежащее доказательство. Если DLP-система легитимизирована — оформлены локальные акты, сотрудники предупреждены, ее данные становятся весомым аргументом в суде. 

Работодатель не уведомил Роскомнадзор об обработке данных

Ситуация. Компания обрабатывала персональные данные сотрудников, но не подала уведомление в Роскомнадзор (ст. 22 152-ФЗ). При проверке регулятор выявил нарушение.

Чем закончилось. Суды привлекают по ст. 19.7 КоАП РФ — за непредставление информации или по ч. 10 ст. 13.11 КоАП РФ — за невыполнение обязанности по уведомлению. Штрафы для должностных лиц — до 50 000 рублей, для организаций — до 300 000 рублей. 

Вывод: что можно и что нельзя

Законный мониторинг сотрудников в 2026 году строится на пяти правилах:

1. Корпоративное мониторить можно, личное — нельзя

Работодатель вправе контролировать то, что принадлежит компании: служебный ноутбук, корпоративную почту, рабочий телефон, служебный автомобиль. Вторгаться в личные устройства и аккаунты сотрудника запрещено.

2. Согласие сотрудника — обязательно

Любой контроль возможен только после того, как сотрудник под подпись ознакомлен с локальными актами, где прописаны цели, объем и порядок мониторинга. Скрытое наблюдение вне закона. С сентября 2025 года согласие на обработку персональных данных нельзя «вшивать» в трудовой договор. 

3. Только в рабочее время

Слежка за геолокацией, трекинг активности, сбор данных должны прекращаться, как только сотрудник уходит с работы. Контроль в нерабочее время — вторжение в частную жизнь.

4. Доказательства должны быть чистыми

Данные, полученные скрытно или без соблюдения формальностей, суд не примет. Уволить сотрудника или взыскать с него ущерб по таким материалам не получится.

5. За неправильный мониторинг — штрафы

Незаконный сбор данных, утечки, отсутствие уведомлений в Роскомнадзор, неправильно оформленные согласия — все это ведет к крупным штрафам и внеплановым проверкам.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться