Мониторинг рабочих компьютеров сотрудников: где закон разрешает, а где — уголовная статья

Каждый месяц кто-нибудь из руководителей пишет мне примерно одинаково: «Женя, нам нужно поставить слежку на сотрудников». Понимаю импульс — правда. Но слово «слежка» меня каждый раз немного напрягает, потому что между законным мониторингом рабочего оборудования и тем, что ведёт к трудовому спору или уголовной статье, разница не в технологии. Разница в бумагах. И в том, понимает ли руководитель, где проходит черта.

Откуда вообще берётся этот запрос

Чаще всего — из какого-нибудь неприятного события. Менеджер по продажам уволился и унёс базу клиентов. Бухгалтер вёл сторонних клиентов в рабочее время и с корпоративной лицензии 1С. Медрегистратор переслала историю болезней знакомому из другой клиники. Такие истории я слышу регулярно. И после каждой руководитель приходит с одним и тем же запросом: «Хочу видеть всё, что они делают». Желание понятное. Но «всё» — это слишком широко.

Есть и другой тип запроса, от тех, кто просто хочет контролировать продуктивность. Работают ли люди реально или сидят в соцсетях — вопрос закономерный, особенно при удалёнке. Это другая история, другие инструменты, другой масштаб юридических рисков. Но документировать нужно в обоих случаях одинаково.

Третий вариант — паранойя. Бывает и такое. «Хочу скриншот каждые 30 секунд и запись всех нажатий клавиш». Я всегда спрашиваю: а вы потом это всё читать собираетесь? Обычно человек немного остывает. Потому что такой уровень слежки убивает атмосферу в команде быстрее, чем любое нарушение трудовой дисциплины. Плюс есть юридические ограничения, которые мы сейчас разберём.

Что разрешает трудовое законодательство — базовый принцип

Начну с очевидного, но важного. Работодатель владеет оборудованием. Рабочий компьютер — его имущество. Статья 22 ТК РФ прямо говорит, что работодатель вправе требовать от работников соблюдения правил внутреннего трудового распорядка и исполнения обязанностей. ФЗ-149 «Об информации» даёт владельцу информационной системы право устанавливать правила доступа и использования. Из этого вытекает простая вещь: если в ваших внутренних документах написано, что рабочий компьютер используется только в служебных целях — вы можете контролировать соблюдение этого правила.

Что конкретно допустимо без юридических рисков: смотреть логи посещённых сайтов через прокси-сервер или корпоративный файрвол, анализировать трафик на уровне сетевого оборудования, фиксировать время входа в систему и выхода из неё, видеть, какие приложения запущены. Корпоративную почту на вашем собственном почтовом сервере — тоже можно читать, если это прямо прописано в трудовом договоре или ПВТР. Ключевые слова здесь: «корпоративную» и «на вашем сервере».

Но есть ФЗ-152 «О персональных данных», и его нельзя игнорировать. Любые сведения о конкретном человеке — его действия, время работы, переписка, передвижения — это персональные данные. Даже если этот человек ваш сотрудник. Даже если он сидит за вашим столом. Обрабатывать их законно можно либо с его письменного согласия, либо на основании прямого указания закона. Трудовой договор закрывает часть оснований. Но только часть.

Инструменты мониторинга: от бесплатного до промышленного

Делю все инструменты на три уровня. Базовый — то, что уже есть в вашей сети и почти ничего не стоит дополнительно. Прокси-сервер — UserGate, или squid на Ubuntu Server — пишет все посещённые сайты с временными метками. Роутер MikroTik умеет то же самое через встроенный firewall log. Active Directory в Windows Server позволяет смотреть, когда пользователь вошёл в систему, что запускал, какие файлы открывал на сетевых дисках. Групповые политики блокируют USB-порты, ограничивают установку программ, запрещают конкретные сайты. Это бесплатно, это законно, это реально работает. И большинству небольших компаний этого уровня достаточно.

Средний уровень — специализированные системы учёта рабочего времени. Kickidler, например, ставится за один рабочий день. Делает скриншоты экрана с заданным интервалом, считает продуктивное и непродуктивное время, строит красивые отчёты, которые руководитель открывает утром вместе с кофе. Стоит от 400 рублей в месяц на одного сотрудника. Мы ставили его в нескольких бухгалтерских компаниях — и каждый раз это был культурный шок для директора. Выяснялось, что некоторые сотрудники реально работали активно часа 3-4 из 8. Остальное время — соцсети, маркетплейсы, ютуб.

Верхний уровень — DLP-системы, Data Loss Prevention. SearchInform КИБ, Solar Dozor, StaffCop Enterprise. Они перехватывают исходящие файлы, контролируют флешки и принтеры, анализируют содержимое переписки по ключевым словам, интегрируются с почтовыми серверами и мессенджерами. Лицензия на 20 рабочих мест — от 150 до 350 тысяч рублей в год плюс внедрение. Такие системы ставят там, где реально есть что терять: медицинские данные, финансовая информация, коммерческая тайна. Небольшому турагентству на пять человек это точно избыточно. А вот медклинике или юрфирме с конфиденциальными делами — вполне оправдано.

Красные линии — за которые лучше не заходить

Статья 138 УК РФ. Нарушение тайны переписки. Штраф до 80 тысяч рублей или лишение свободы до одного года. Сюда попадаете, если читаете личную почту сотрудника — Gmail, Яндекс, Mail.ru — даже если он заходит в неё с рабочего компьютера, даже в рабочее время. Личная переписка — не ваша собственность. Не важно, чьё оборудование. Статья 137 добавляет к этому нарушение неприкосновенности частной жизни — туда же попадает прослушивание личных телефонных разговоров и негласная видеозапись в нерабочих зонах.

У меня был клиент — торговая компания, 18 человек, оптовая торговля стройматериалами. Директор сам поставил на компьютер менеджера кейлоггер, скачанный с какого-то сайта, и перехватил переписку в Telegram Web. Нашёл то, что искал: менеджер сливал прайсы конкуренту. Но уволить по этим материалам не вышло — суд отказался принять доказательства, полученные с нарушением закона. Менеджер написал заявление в прокуратуру. В итоге всё закончилось мировым соглашением и выплатой компенсации. Нервов потратили много, юрист обошёлся дороже любой нормальной DLP-системы. Мораль простая: способ получения доказательств важен не меньше, чем само нарушение.

Ещё одна зона риска — мониторинг личных устройств. Если сотрудник работает со своего ноутбука или смартфона, ставить на него что-либо без его явного письменного согласия нельзя. BYOD — «bring your own device» — отдельная история, требующая отдельного соглашения с чётко прописанным объёмом допустимого контроля. Я в принципе не рекомендую BYOD без нормальной политики информационной безопасности и MDM-системы управления устройствами. Слишком много серых зон.

Документы — без них весь мониторинг незаконен

Теперь самая важная часть — про которую обычно не думают вообще. Можно купить самую дорогую DLP-систему в мире, поставить её правильно, настроить красивые дашборды. Но если у вас нет правильных документов — вы нарушаете закон. Минимальный обязательный набор: Правила внутреннего трудового распорядка с пунктом о том, что рабочие компьютеры контролируются и используются исключительно в служебных целях. Положение о коммерческой тайне — если планируете защищать бизнес-данные через трудовые договоры. Политика информационной безопасности — можно простую, на 2-3 страницы, но конкретную. Согласие на обработку персональных данных — отдельным документом или явным пунктом в трудовом договоре.

Самое критичное — уведомление под личную подпись. Каждый сотрудник должен расписаться в том, что ознакомлен: на рабочем месте ведётся мониторинг. Это убирает главный аргумент в любом трудовом споре — «я не знал, что за мной следят». Расписался — знал. Знал — принял условия. Звучит элементарно. Но по моему опыту, примерно 70% компаний этого не делают. Просто ставят программу и считают, что достаточно. Это ошибка.

В уведомлении и в политике ИБ нужно прямо и конкретно перечислить, что именно контролируется. Не «компьютерная активность в общем», а чётко: посещаемые интернет-ресурсы, время входа и выхода из системы, трафик, запускаемые приложения, содержимое рабочей корпоративной почты на корпоративном сервере. Чем конкретнее — тем лучше. Размытые формулировки суд трактует не в вашу пользу. Это правило работает всегда.

Порядок внедрения — сначала бумаги, потом программы

Правильная последовательность такая. Сначала — документы. Либо юрист в области трудового права и ИБ, либо хороший шаблон от специалиста, который нужно адаптировать под свой бизнес. Потом — ознакомление и подписи всех сотрудников. Потом — техническое внедрение. Никак не наоборот. Видел ситуации, когда программа уже полгода пишет логи, а документов нет. Приходилось всё оформлять постфактум — это тоже работает, но создаёт ненужные риски на переходный период.

После внедрения — объяснить людям, зачем это нужно. Не «мы вам не доверяем», а «у нас есть данные клиентов и нас обязывает законодательство их защищать». Это совершенно разные послания. Первое создаёт напряжение. Второе — нормально воспринимается. Люди понимают, что медицинская клиника не может позволить себе утечку паспортных данных пациентов. Бухгалтерская компания не может рисковать реквизитами клиентов. Когда объясняешь через конкретный риск для компании, а не через подозрения к людям — работает лучше.

Отдельный момент — хранение данных мониторинга. По ФЗ-152 персональные данные нельзя хранить бесконечно: цель обработки достигнута — данные должны быть удалены или обезличены. Логи мониторинга — это тоже персональные данные. Рекомендую прямо в политике ИБ прописать сроки: например, 90 дней для обычных логов активности, один год для зафиксированных инцидентов безопасности. И назначить ответственного за соблюдение этих сроков.

Три реальных кейса из нашей практики

Медицинская клиника, 22 сотрудника. Пришли к нам после инцидента: медицинский регистратор переслала базу пациентов в конкурирующую клинику. Данные примерно 3000 человек. После этого мы внедрили SearchInform КИБ, написали полный комплект документов, провели ознакомление всех сотрудников. Через три месяца система зафиксировала попытку скопировать данные на флешку — уже другой человек. Уволили по статье, без суда, потому что всё было оформлено правильно и доказательная база была чистой. Директор говорит, что спит спокойнее.

Бухгалтерская компания, 8 специалистов, несколько десятков клиентов на аутсорсе. Поставили Kickidler и обнаружили неожиданное: один из сотрудников в рабочее время вёл собственных клиентов на стороне, пользуясь корпоративной лицензией 1С:Бухгалтерия. Нарушение трудового договора плюс очень некрасивая история с точки зрения деловой этики. Расстались по соглашению сторон — тихо, без скандала, с возмещением ущерба. Собственник потом сказал, что Kickidler окупился в первый же месяц.

Юридическая фирма, 12 человек. Пришли с запросом «хотим поставить кейлоггер и перехватывать всю переписку». Долго объяснял, почему это плохая идея — и особенно для юридической компании, которая сама защищает клиентов от нарушений прав. В итоге пришли к разумному решению: контроль трафика через UserGate, ограничение USB-портов через групповые политики Active Directory в Windows Server, запрет личных облачных хранилищ на рабочих машинах и базовый комплект документов. Стоило это примерно 40 тысяч рублей за всё внедрение. Законно, достаточно для их реальных рисков, без паранойи.

Частые вопросы

Нужно ли согласие сотрудника на мониторинг рабочего компьютера?
Да, нужно — но не в виде отдельного согласия на каждое конкретное действие. Достаточно, чтобы сотрудник расписался в Политике информационной безопасности и ПВТР, где прямо написано о ведении мониторинга. Либо чтобы соответствующий пункт присутствовал в трудовом договоре. Главное — подпись на бумаге. Устное уведомление к делу не пришьёшь, и в суде оно ничего не стоит.

Можно ли читать рабочую почту сотрудника?
Корпоративную почту на вашем собственном почтовом сервере — да, если это явно прописано в документах, с которыми сотрудник ознакомлен под роспись. Личную почту — Gmail, Яндекс, Mail.ru — нельзя ни при каких обстоятельствах. Это тайна переписки, статья 138 УК РФ. Не имеет значения, что он её открывал с рабочего компьютера в рабочее время — это ваше оборудование, но не ваша переписка.

Что делать, если сотрудник работает на личном ноутбуке?
Ставить на него программы без явного письменного согласия нельзя. В идеале — перевести человека на корпоративное оборудование: это чище с правовой точки зрения и удобнее для вас технически. Если это невозможно, оформляют отдельное соглашение BYOD с чётко прописанными условиями мониторинга — только рабочих приложений, только в рабочее время, с правом удалённой блокировки корпоративных данных при увольнении.

Можно ли уволить сотрудника на основании данных из системы мониторинга?
Можно, и в суде это работает — но только если мониторинг был законным и задокументированным. Если программа стояла молча, без уведомления сотрудника, суд, скорее всего, не примет такие доказательства. Видел несколько случаев, когда работодатель проигрывал именно из-за этого: нарушение было реальным и очевидным, но доказательства были получены с нарушением закона — и суд их просто не рассмотрел.