Привет! С вами Руслан Нуриев, методолог-аналитик компании Directum. Хочу обсудить тему, игнорирование которой все чаще обходится компаниям очень дорого: безопасное хранение и передачу  персональных данных кандидатов и сотрудников. Прольем свет на моменты из слепой зоны обработки ПДн в компании. Наметим конкретный план действий, которые помогут избежать претензий регулятора и снизить риск получения штрафов за утечку персональных данных.

Договоримся о терминах

И развеем заблуждения, из-за которых HR чаще всего попадает под риски.

Обработка персональных данных (ПДн) в компании — это не только то, что «живет» в системе управления взаимоотношениями с клиентами (CRM).  Это любое действие с резюме или документом сотрудника: получение резюме по почте, копирование ФИО в таблицу, отправка паспорта в чат, фотосъемка медсправки.

Персональные данные — это не только паспорт и ИНН. IP-адрес из веб-формы, фото из анкеты, геолокация из приложения, запись звонка в сервисе интервью — все это тоже ПДн. Данные о здоровье и биометрии относятся к специальным категориям, для которых действуют отдельные, более жесткие правила.

Почему HR нужно погрузиться в тему  обработки ПДн в компании

В последние годы регулятор радикально поднял планку взысканий. Штрафы за утечку персональных данных во многих случаях выросли в разы. За повторные происшествия появились оборотные санкции — до 3% от оборота, но не более 500 млн рублей. Для среднего бизнеса это десятки миллионов за один инцидент. Утечка информации специальных категорий (здоровье, биометрия) будет «стоить» 10–15 млн рублей в зависимости от ее масштаба и состава нарушения. Если ситуация повторяется, включаются оборотные штрафы. В тяжелых случаях риски уходят уже в уголовную плоскость.

Статья 272.1 УК РФ предусматривает ответственность физлица за неправомерный доступ к защищенной компьютерной информации. Конкретный HR-менеджер, который допустил утечку или создал условия для нее (например, оставил неограниченный доступ к папкам или отправил базу «не туда»), рискует уже не только KPI и бонусами, но и личной ответственностью.

Типичная ситуация передачи данных кандидатов выглядит так: на корпоративную почту приходит резюме. Рекрутер пересылает его нанимающему менеджеру в чат, тот оправляет дальше руководителю. Последний открывает файл на личном телефоне — и резюме «уезжает» в галерею, а затем в личное облако. Кандидату отказали, про него забыли, но данные продолжают жить на устройствах людей, которые формально не имеют отношения к HR-процессам.

Проверки условий хранения персональных данных кандидатов больше не редкость. И далеко не всегда они проходят только по жалобе. Контроль идет в автоматическом режиме: через формы на сайте, ATS, мессенджеры, облачные диски.

Что изменилось в законах об обработке и хранении персональных данных сотрудников и кандидатов

Обязательная регистрация оператора ПДн

С 30 мая 2025 года за отсутствие регистрации вводятся отдельные штрафы. Под требования попадает большинство компаний, которые фактически обрабатывают персональные данные. «Мы маленькие, нас не тронут» больше не пройдет: Роскомнадзор смотрит на сам факт обработки, а не на размер штата.

Локализация первичного сбора данных

С 1 июля 2025 года данные граждан РФ при первичном сборе должны попадать на отечественный сервер. Регулятора интересует, куда информация прилетает в момент, когда кандидат нажимает кнопку «Отправить» в форме.

Анкета в Google Forms или зарубежной ATS, которая сразу пишет в дата-центр за рубежом, — уже нарушение требований локализации первичного сбора. С точки зрения регулятора ответственность несет оператор, а HR здесь — одна из ключевых точек, потому что именно через его формы и сервисы проходят данные кандидатов и сотрудников. Дальнейшая отправка возможна только с соблюдением требований к трансграничной передаче.

Новые требования к согласию на обработку ПДн в компании

С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельным документом с четко прописанными целями, категориями данных, действиями, сроками хранения и процедурой отзыва. Простая галочка в конце анкеты или формула «нажимая кнопку, вы соглашаетесь…» без отдельного текста согласия и фиксации реквизитов уже не считаются корректными.

Старые анкеты кандидатов, оферы и шаблоны трудовых договоров со встроенным согласием нужно пересмотреть. Согласия на медосмотры, биометрию, получение льгот по здоровью должны быть оформлены отдельными документами.

Трансграничная отправка и мессенджеры

Передача данных кандидатов и сотрудников за границу строго регулируется: в ряде случаев требуется уведомление или разрешение Роскомнадзора, специальные договорные механизмы защиты данных.

С 2025 года усиливается отдельное регулирование для мессенджеров и корпоративных коммуникаций. В госсекторе закрепляется курс на использование контролируемых сервисов (например, MAX). Для бизнеса это пока лишь вектор: ПДн нужно хранить и передавать только в защищенной, управляемой среде, а не через личные сообщения и аккаунты.

Четыре привычные дыры при обработке ПДн в компании

Такие сценарии встречаются и в крупных компаниях, и в небольших командах.

1. Общие хранилища — кладбище специальных категорий.

Сетевые папки вроде «HR», «Отдел» или «Офис» часто превращаются в неофициальные архивы для хранения данных кандидатов и сотрудников. Здесь годами лежат сканы паспортов, медицинские справки, дипломы и трудовые книжки. Доступ к ним обычно открыт всему отделу кадров, что нарушает принцип минимизации и строгого ограничения доступа к данным специальных категорий.

2. Таблицы «на пару дней», которые живут годами

Классический сюжет: нужно быстро обсудить пул потенциальных сотрудников с руководителем. HR выгружает персональные данные кандидатов из системы в Excel, отправляет по почте или в чат. Встреча прошла, решение приняли, файл остался «жить» на рабочем столе, в папке «Разное», в бэкапах. Через три года никто не помнит ни цель обработки, ни контекст, часть кандидатов давно в других компаниях, а согласие точно не предполагало бессрочное хранение такой выгрузки.

Хуже, если эти таблицы уходят во внешнюю среду — в личные почтовые ящики, мессенджеры, облака сотрудников. Оттуда компания уже не может их вернуть и гарантированно удалить.

3. Архив резюме «на всякий случай»

У рекрутеров часто есть папка «Архив резюме» или «Старые кандидаты 2018–2019», где лежат сотни файлов. Согласие в большинстве таких случаев давалось на рассмотрение конкретной вакансии или пула позиций и не было вечным. На практике данные хранятся годами «про запас», без цели и законного основания. Это прямое нарушение принципов ограниченного срока хранения и минимизации.

4. Мессенджеры: быстро, удобно и неконтролируемо

HR-специалисты часто используют мессенджеры для оперативной работы и обсуждения деликатных вопросов. Однако как только персональные данные кандидатов (резюме, сканы паспортов) попадают в Telegram или WhatsApp и другие неконтролируемые каналы, компания фактически теряет над ними контроль.

Ключевые риски:

  • передача данных через иностранные сервисы без оформления — нарушение требований к трансграничной передаче;

  • хранение и обработка информации на личных устройствах, автоматическая синхронизация с облаками, создание резервных копий;

  • скриншоты и пересылки, которые невозможно отозвать.

Что HR-отдел может сделать за 30 дней  для защиты персональных данных сотрудников

1. Нарисовать карту данных

Вместо абстрактного «у нас есть система X, где происходит все движение документов», нужно расписать реальный путь информации: где стартуют ее потоки, по каким каналам проходят и где в итоге хранятся.

Для этого стоит честно ответить на три вопроса:

  1. Откуда приходят резюме — с почты, сайта, агрегаторов или через агентства?

  2. Где хранятся копии документов при приеме на работу?

  3. Какие внешние сервисы получают данные сотрудников — медицинские центры, страховые компании, провайдеры СКУД или онлайн-платформы обучения?

Карту обработки ПДн в компании можно нарисовать на листе бумаги или в корпоративной wiki. Главное — чтобы она отражала реальное положение дел, а не то, «как должно быть по регламенту».

2. Сверить новую карту с информацией, указанной в уведомлении для Роскомнадзора

В начале обработки ПДн компания обязана отправить в Роскомнадзор специальное уведомление. В нем она перечисляет, какие именно данные собирает, для каких целей и как их защищает.

Часто на этапе сверки плана и факта всплывают новые сервисы, которые используются, но не отражены в документах. Добавляются новые категории данных: биометрия, результаты психометрических тестов, сведения о судимости. Меняются цели обработки, например, при внедрении КЭДО или новых процедур оценки.

Несоответствие между уведомлением и фактической работой уже может стать основанием для претензий от законодателя, даже если компания старается соблюдать все требования.

3. Зафиксировать допустимые и недопустимые каналы обработки ПДн в компании

Важно закрепить в отдельном документе, где можно работать с персональными данными, а где — категорически нельзя.

Пропишите:

  1. Разрешенные каналы — КЭДО-системы и защищенные корпоративные хранилища с четко настроенными правами доступа и обоснованием их безопасности.

  2. Запрещенные каналы — личные облачные сервисы, почтовые ящики и мессенджеры вроде Telegram/WhatsApp.

Главная задача — сформулировать простое и понятное правило для сотрудников.

4. Инвентаризировать внешние сервисы и договоры

Составьте полный перечень контрагентов и платформ, через которые проходит передача данных кандидатов и сотрудников: сайты вакансий, ATS, сервисы тестирования, медицинские центры, страховые компании, интеграторы СКУД.

По каждому сервису проверьте наличие договора об обработке персональных данных с четко прописанными целями, сроками и мерами защиты. Выясните, осуществляется ли трансграничная передача данных и как она оформлена.

Отсутствие договора или слишком общие его условия создают зону неопределенности: становится сложно контролировать, где именно оказываются данные и какие риски несут оператор и компания.

5. Назначить ответственного за защиту персональных данных сотрудников и кандидатов

Важно выделить конкретного человека, который поможет состыковать HR, юристов и службу информационной безопасности. Без такой роли каждый отдел решает вопросы по-своему, что приводит к хаосу и противоречивым решениям.

Новый ответственный становится первым контактным лицом по всем вопросам, связанным с персональными данными, следит за тем, чтобы карта потоков, уведомления в Роскомнадзор и реальная практика совпадали, и переводит юридические требования и нормы ИБ на понятный язык для HR.

6. Учить не закону, а сценариям

Сотрудники не запоминают номера статей, но хорошо помнят конкретные ситуации и простые правила. Вместо теории разберите на практике 5–7 реальных кейсов: как поступить с резюме, пришедшим на почту, как правильно оформить согласие при приеме на работу и медосмотре, как реагировать на просьбу кандидата удалить его данные, что можно и что нельзя отправлять через мессенджеры и чем заменить привычку скидывать всё в чат.

Отдельно обсудите юридическую ответственность и штрафы за утечку персональных данных. Лучше построить рассказ на реальных историях, чтобы, когда рекрутер в следующий раз соберется отправить резюме в Telegram, он вспомнил не статью закона, а конкретный проработанный сценарий и безопасную альтернативу.

Каким должен быть фундамент системы для HR 

Описанные выше шаги — это экстренные меры, которые помогают быстро навести порядок при обработке ПДн в компании. Для долгосрочной безопасности нужна система, в которой HR по умолчанию не может создать себе «кладбище файлов» или вечную таблицу с персональными данными.

На примере экосистемы цифровых решений для управления персоналом Directum HR Pro выделим несколько признаков действительно безопасного решения.

Несколько контуров защиты

Продуманная архитектура, состоящая из микросервисов, дает возможность вынести личный кабинет сотрудника в отдельный, защищенный сегмент сети (DMZ). Такой подход создает дополнительный рубеж обороны.

В результате в личном кабинете хранятся только те документы, с которыми сотрудник работает прямо сейчас. Основной архив при этом остается в глубине системы, за вторым контуром безопасности. Даже если внешний интерфейс будет взломан, злоумышленник не получит доступ ко всей базе данных. Риск утечки сводится к минимуму.

Охрана информации на всех этапах

Система должна шифровать всё: и каналы связи, и сами документы в хранилище, и конфигурационные файлы с чувствительными данными. Для пользователя этот процесс остается незаметным. Но именно так гарантируется, что даже администратор файлового хранилища не сможет прочитать содержимое кадровых документов.

Контроль и аудит действий

Вместо общих папок с доступом для всех HR система должна предоставлять гибкое ролевое управление.

Каждый сотрудник видит только свои документы. Все действия — кто, когда и какой файл открывал или подписывал — фиксируются в неизменяемом журнале аудита. Так создается прозрачность, которая помогает быстро расследовать любые инциденты.

Суверенитет данных

Фундамент безопасности — возможность развернуть решение на собственных серверах (on-premise) или в аттестованном российском облаке. Это дает компании полный контроль над данными и помогает соблюсти требованиям к локализации.

Простым языком обо всех инструментах безопасности в экосистеме цифровых решений для управления персоналом Directum HR Pro рассказали в нашем чек-листе.

Итог простой: «дыры» в безопасности возникают не из злых помыслов — люди не нарушают правила намеренно. Просто если работать через Telegram быстрее, чем через корпоративную систему — сотрудники выберут мессенджер. Этот сигнал говорит о том, что пора выстраивать легкие удобные процессы через надежное ПО, одобренное законом.