Инструкция по работе с ПДн: образец для сотрудников в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет я участвовал в сотнях проверок Роскомнадзора.
И почти в каждой — одна и та же ошибка: у компании нет инструкции по работе с персональными данными сотрудников.
А если есть — она устарела или не подписана.
В 2026 году это не просто формальность. Это обязательное требование 152-ФЗ.
В этой статье — готовый образец, который вы можете взять и внедрить.
И — три критичные ошибки, которые приводят к штрафам.
Почему инструкция по ПДн — это не формальность?
Согласно статье 18.1 ФЗ-152, работодатель обязан:
• Обеспечить безопасность ПДн,
• Назначить ответственного,
• Провести инструктаж,
• Разработать внутренние документы, включая инструкцию по работе с ПДн.
Если у вас её нет — вы уже нарушаете закон.
Если сотрудники не прошли инструктаж — при утечке виноват будет работодатель, даже если виноват сотрудник.
Мой комментарий:
В 2025 году ООО «Логистик-Плюс» оштрафовали на 75 000 ₽. Причина? Сотрудник переслал базу клиентов на личную почту.
Аргумент «мы не инструктировали» — не принял.
Суд встал на сторону Роскомнадзора.
Я вижу это постоянно. Не играйте в русскую рулетку.
Какие разделы должны быть в инструкции?
Вот обязательные блоки, которые требуют проверяющие:
1. Общие положения
— Цель инструкции
— Кто подпадает (все сотрудники, включая внештатников)
— Нормативная база (ФЗ-152, постановление № 1119)
2. Обязанности сотрудников
— Не разглашать ПДн
— Не передавать данные на флешках, в мессенджерах, на личные устройства
— Немедленно сообщать о утечке
3. Требования к безопасности
— Использовать пароли, 2FA, шифрование
— Не оставлять ПК без присмотра
— Работать только в корпоративной сети
4. Ответственность
— Дисциплинарная (выговор, увольнение)
— Материальная (возмещение ущерба)
— Административная (по ст. 13.11 КоАП)
Практический совет:
Включите примеры:
«Нельзя отправлять табель с ФИО и окладами через WhatsApp»
«Нельзя хранить базу клиентов на Google Диске без шифрования»
Я рекомендую прописывать это чётко — без двусмысленностей.
Как внедрить инструкцию правильно?
1. Утвердите приказом
— Подписывает генеральный директор.
— Номер, дата, подпись.
2. Проведите инструктаж
— Устно или в электронной системе.
— Составьте журнал ознакомления.
3. Подпишите у каждого сотрудника
— Без подписи — инструкция не имеет юридической силы.
— Храните подписи 3 года (по требованиям архивного законодательства).
Моё мнение:
Не используйте общую папку на Google Drive с надписью «ознакомился».
Это не подтвердит ознакомление в суде.
Я рекомендую личную подпись или электронную подпись в СЭД.
Где чаще всего ошибаются?
• Используют шаблон 2018 года — а требования изменились.
• Не обновляют после смены ИТ-системы — а риски выросли.
• Не включают новых сотрудников — и при проверке — «мы забыли».
• Не хранят журналы — и не могут доказать, что инструктировали.
Мой совет:
Проводите ежегодный аудит инструкции.
Особенно после:
• Смены CRM/бухгалтерии
• Утечки данных
• Новой проверки Роскомнадзора
Заключение
Инструкция по работе с ПДн — это не «ещё один документ».
Это щит вашей компании в 2026 году.
Проверьте:
• Есть ли у вас инструкция?
• Актуальна ли она?
• Подписана ли каждым сотрудником?
• Проведён ли инструктаж?
Ваше действие сегодня:
Скачайте готовый образец — и внедрите за 1 день.
А если сомневаетесь в формулировках или боитесь ошибиться — напишите нам в «ЛЕГАС».
Мы подготовим инструкцию под вашу компанию, проведём обучение, поможем пройти проверку.
— Скачайте образец: “Инструкция по работе с ПДн для сотрудников” (PDF)
— Поделитесь статьёй с HR, ИТ, директором
— Подпишитесь на legascom.ru — юридически точно, без воды
