Правила работы с персональными данными

Персональные данные — основа законности, безопасности и репутации бизнеса.

А тут, собственно, о чем?

Если сейчас ты открыл этот курс, возможно ты босс своей команды (ну то есть линейный руководитель), настоящий ловец талантов (проще говоря менеджер по подбору),  ну или любое другое незаменимое звено нашей большой команды, который работает с большим объемом информации.

И, уверены на 100%, ты почти ежедневно сталкиваешься с ними - теми самыми загадочными "персональными данными". Что же это за "зверь такой" и главное как не попасть с неприятности и не превратить свой отдел в зону повышенной юридической опасности узнаем прямо сейчас

Погнали

Немного о том, что такое персональные данные

Что такое персональные данные?

Персональные данные — это информация, относящаяся к конкретному человеку, идентифицирующая его прямо или косвенно.

Ок, а как они вообще выглядят?

📌Имя и фамилия → персональные данные
📌Номер телефона → тоже
📌Email вида ivan.ivanov@company.com → да
📌Фото (документов, например) → тоже да
📌Даже IP-адрес (если с него заходили на наш сайт) — может быть персональными данными!

Короче говоря: если по информации можно понять, кто именно это — Иван из бухгалтерии или Мария, которая вчера проходила собеседование на позицию маркетолога, — значит, это ПДн (персональные данные).

Что такое обработка ПДн?

Обработка охватывает любые действия с этими данными, от сбора до уничтожения.

Mobirise Website Builder

"А персональные данные и ты сейчас в одной комнате?"

Ну или где ты сталкиваешься с ПДн в ежедневной рутине:

Mobirise Website Builder
1. На этапе
подбора:

➜ Скачали резюме с hh.ru? Это уже ПДн.
➜ Сфотографировали кандидата для бейджика? ПДн.
➜ Записали его номер в Excel-файл «Кандидаты_2026»? Тоже ПДн.

2. При оформлении на работу:

➜ Сканы и фото паспорта, ИНН, СНИЛС, дипломов, медкнижек — всё это ПДн в чистом виде.

3. В процессе работы:

➜ Оценки сотрудников, отчёты, комментарии в HR-системе, даже расписание отпусков — если в них есть имя, это персональные данные.

4. При увольнении сотрудника:

➜ Архивные папки, личные дела, данные для расчёта компенсаций — всё ещё ПДн. И удалять их раньше срока — как минимум, неумно.

ТОП-6 ошибок при обработке ПДн:

01.

Не видишь персональные данные?
А они есть!

Если на сайте не публикуются паспортные сведения, это не значит, что персональные данные не обрабатываются.
Любые сведения о ФЛ, сотрудниках, иных исполнителей считаются персональными данными.

02.

Даже если "для себя" - это уже обработка

Даже если данные собираются и не передаются третьим лицам, это всё равно обработка.
Закон требует соблюдения правил на всех этапах обращения с данными.

03.

Персональные данные не любят ночёвок на рабочем столе

Любое действие с персональными данными, включая хранение, подлежит контролю и должно осуществляться в соответствии с законом.
Не стоит оставлять на рабочих столах вне рабочего времени резюме соискателей, заявления от сотрудников.

04.

Рабочий стол — не библиотека для чужих паспортов

На рабочем столе не должны находиться бумаги с персональными данными без контроля доступа. Это создаёт риск несанкционированного ознакомления и утечки информации.

05.

Незашифрованная почта — "лакомый кусочек" для хакеров

Отправляя файлы с личными данными по обычной почте или мессенджерам без защиты, ты рискуешь, что их перехватят и прочитают посторонние.
Используй только зашифрованную электронную почту.

06.

Молчание — не согласие! Особенно когда речь о ПДн

Не уведомляя работников и клиентов о целях и способах обработки данных, компания нарушает права на информированное согласие, что противоречит закону.
Проверяй перед сбором данных получено ли согласие на их передачу и обработку.

Любое действие с персональными данными, включая хранение, подлежит контролю и должно осуществляться в соответствии с законом. А не соблюдение грозит штрафом, и не только на компанию

По данным Роскомнадзора
за 2024 год

Самые распространенные нарушения у большинства компаний
1 место

Несоблюдение конфиденциальности
(контроля доступа)

2 место

Нарушение сроков хранения

3 место

Переработка объема данных

Разберем на примерах:

Незаконное использование персональных данных сотрудников
Руководство Компании «А» использовала личные данные сотрудников для рассылки коммерческих предложений без их согласия. 

Последствия:
❌ Жалобы работников, внутренняя проверка, подрыв доверия и серьезные юридические последствия.
Как можно было избежать?
  • Получить отдельное письменное согласие от каждого сотрудника на обработку его персональных данных (ФИО, email, телефон) именно для маркетинга.
  • Заранее объяснить, зачем нужны данные, какие именно обрабатываются, как и для чего они используются.
  • Добавить маркетинг в Политику обработки персональных данных и проинформировать об этом сотрудников.
  • Не требовать согласие как условие работы — оно должно быть добровольным и никак не влиять на трудовые отношения.
Передача персданных третьим лицам без согласия
Отдел кадров Компании «В» передавал персональные данные сотрудников внешнему подрядчику для обработки без согласия последних. 
Нарушение Закона, конфиденциальности.

Последствия:
❌ Недовольство работников и оперативное вмешательство руководства для устранения последствий.
Как можно было избежать?
  • Получить согласие работника на передачу его данных конкретному подрядчику (указать его название).
  • В договоре с подрядчиком прописать:
    – цель и перечень передаваемых данных,
    – обязанность соблюдать конфиденциальность и требования 152-ФЗ,
    – запрет на самостоятельную обработку (он действует только по вашему поручению),
    – требование удалить данные после завершения работы.
  • При необходимости — уведомить Роскомнадзор об изменении списка подрядчиков.
Сбор персональных данных без согласия
Отдел маркетинга Компании «С» собирал персональные данные клиентов и их работников без их явного согласия, использовал устаревшие формы. 

Последствия:
❌ Нарушение Закона, внутренне расследование, репутационные риски компании, штрафные санкции.
Как можно было избежать?
  • Получить отдельное письменное согласие от каждого сотрудника на обработку его персональных данных (ФИО, email, телефон) именно для маркетинга.
  • Заранее объяснить, зачем нужны данные, какие именно обрабатываются, как и для чего они используются.
  • Добавить маркетинг в Политику обработки персональных данных и проинформировать об этом сотрудников.
  • Не требовать согласие как условие работы — оно должно быть добровольным и никак не влиять на трудовые отношения.
Неправильное хранение бумажных документов с персональными данными
Сотрудники оставляли бумажные документы с личными данными работников и соискателей в открытом доступе на рабочем столе без шифрования и защиты; делали рассылку фото через мессенджеры. 

Последствия:
❌ Несанкционированный доступ посторонних лиц, компрометации конфиденциальной информации. Подрыв доверия, скандалы, штрафы.
Как можно было избежать?
  • Все документы с персональными данными должны храниться в сейфах (закрытых на ключ шкафах)
  • Фото и копии документов пересылаться только по корпоративной почте

Чем грозит нарушения обработки и храние ПДн?

ФЗ-152, УК РФ, КоАП РФ

Mobirise Website Builder
1 000 000 

рублей

штраф, который заплатила одна крупная компания в 2024 году за утечку данных 50 000 клиентов
Нет, спасибо! Я так не хочу!

Прекрасно!
Мы тоже не хотим этих проблем

В таком случае нам достаточно соблюдать простые правила:

Mobirise Website Builder

Храним документы в запираемых шкафах с ограниченным доступом

это гарантирует защиту конфиденциальности и снижает риск несанкционированного доступа.

Mobirise Website Builder

Своевременно уничтожаем документы после окончания срока хранения

это предотвращает риск случайной утечки или использования данных не по назначению.

Mobirise Website Builder

Ведем реестр выдачи и возврата 

это обеспечивает контроль за перемещением документов и ответственностью сотрудников.

Mobirise Website Builder

Не используем личную почту и мессенджеры для передачи ПДн

Использование шифрования защищает информацию от несанкционированного доступа при хранении и передаче данных в корпоративной почте или специальных каналах связи.

Mobirise Website Builder

Не даем доступы к папкам и файлам "всем и каждому"

Контроль доступа к базам данных / файлам, на основе ролей обеспечивает разграничение полномочий, персонализация пользователей, снижение риска утечки внутри компании.

Mobirise Website Builder

Пароль qwerty1234 не подойдет, даже если ну очень нравится

Применение сложных паролей с регулярной сменой минимизирует риск компрометации учётных записей и систем (в том числе личной информации).

Mobirise Website Builder

Доверяй, но проверяй

Регулярное создание резервных копий и внутренний аудит - целостность данных и оперативное выявление нарушений.

Знать правила и следить за порядком — значит защищать данные, сотрудников и репутацию компании

Mobirise Website Builder

На этом всё!

Последний шаг - пройди небольшое тестирование.
Нажми на кнопку или вернись на страницу курса, нажав стрелочку в верхней части экрана, затем на "Пройти тестирование".
Удачи!

Пройти тестирование