Доступ к ПДн по ролям: как внедрить в компании в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС».
За 25 лет практики я видел десятки компаний, где все сотрудники видели все данные.
Администратор — паспорта клиентов. Бухгалтер — медицинские сведения. Менеджер — данные о детях.
И все думали: «Ну, мы же свои».
А потом была утечка. И штраф — 750 000 рублей.
В этой статье — как внедрить доступ по ролям, чтобы такого не случилось.
Почему доступ по ролям — это не опция, а обязанность?
По пункту 2 статьи 19 ФЗ-152, оператор обязан обеспечить ограничение доступа к ПДн только для уполномоченных лиц.
Это подтверждается ГОСТ Р 57580-2017 и требованиями Роскомнадзора.
Проще говоря: никто не должен видеть больше, чем ему нужно для работы.
Бухгалтеру — зарплаты, но не паспорта.
Менеджеру — контакты, но не медицинские данные.
HR — анкеты, но не финансовые сведения.
Я рекомендую: если у вас нет ролей доступа — вы уже нарушаете закон.
И при проверке это будет одно из первых замечаний.
Какие роли нужно создать в компании?
Начните с анализа: кто какие данные использует.
Пример структуры для средней компании:
Роль Доступ к ПДн Ограничения
Администратор CRM Все данные клиентов Может редактировать, но не экспортировать
Менеджер по продажам Имя, телефон, email Не видит паспорт, доход, историю платежей
Бухгалтер ФИО, ИНН, зарплата Не видит данные о семье, здоровье, образовании
HR-специалист Анкеты, паспорт, СНИЛС Не видит данные о клиентах или финансах компании
ИТ-администратор Логины, доступы Не видит содержимое баз, только настройки
Важно: каждая роль — это настройка в системе, а не просто внутренний приказ.
Я видел, как компании писали «политику ролей», но в CRM всё равно все видели всё.
Роскомнадзор не смотрит на бумагу — он смотрит на реальные настройки.
Как настроить доступ по ролям на практике?
Шаг 1: Составьте перечень систем — CRM, 1С, почта, облако.
Шаг 2: Определите роли для каждой системы.
Шаг 3: Настройте права — через встроенные функции или MDM.
Шаг 4: Протестируйте — попросите сотрудника зайти и проверить, что он видит.
Шаг 5: Задокументируйте — приложите скриншоты к политике обработки ПДн.
В Яндекс.Облаке, 1С, Битрикс24 — это делается за 1–2 дня.
В старых системах — может потребоваться доработка.
Мой совет: начните с CRM и бухгалтерии — там чаще всего утечки.
Что будет, если не внедрить роли?
Штраф по статье 13.11 КоАП РФ — до 750 000 рублей для юрлица.
Блокировка сайта или сервиса — по решению Роскомнадзора.
Уголовная ответственность, если утечка привела к вреду (статья 137 УК РФ).
Пример: в 2025 году сеть клиник получила штраф 600 000 рублей, потому что все сотрудники видели медицинские карты.
Даже уборщица имела доступ к диагнозам.
Я рекомендую: не ждите проверки.
Лучше потратить день на настройку, чем миллион — на штраф.
Можно ли дать временный доступ?
Да, но только по запросу и с контролем.
Например: бухгалтеру понадобились паспортные данные для отчёта.
Он подаёт запрос руководителю.
Тот временно открывает доступ — на 1 день.
Система фиксирует: кто, когда, зачем.
Важно: временный доступ — тоже должен быть задокументирован.
Иначе — это просто «у нас все могут, когда хотят».
Я рекомендую: используйте журнал запросов доступа — простой Excel или встроенная функция в CRM.
Вывод: что делать прямо сейчас?
1. Определите роли — кто что должен видеть.
2. Настройте доступ в CRM, 1С, облаке.
3. Проверьте реальные права — не по документам, а в системе.
4. Обновите политику обработки ПДн — включите описание ролей.
Это не сложно.
Это обязательно.
Практический лайфхак от «ЛЕГАС»
Хотите быстро проверить, всё ли у вас в порядке?
Задайте себе 3 вопроса:
1. Может ли бухгалтер экспортировать базу клиентов?
→ Если да — это риск. Должен видеть только то, что нужно для расчётов.
2. Видит ли менеджер по продажам паспортные данные?
→ Нет. Это нарушение. Доступ только к контактам и истории заказов.
3. Есть ли журнал, кто и когда запрашивал расширенный доступ?
→ Если нет — вы не можете доказать, что контролируете доступ.
Ответили «да» на все три? Отлично.
Ответили «нет» хотя бы на один? Начинайте настройку сегодня.
Что делать, если у вас старая система без ролей?
Некоторые компании работают на устаревших CRM или 1С, где нет встроенной системы ролей.
Что делать?
1. Установите промежуточный контроль — например, через MDM или шлюз аутентификации.
2. Ограничьте доступ на уровне сети — через firewall или групповые политики.
3. Ведите ручной журнал — кто, когда и зачем получил доступ.
4. Запланируйте миграцию на систему с поддержкой ролей.
Я помогал одной компании с 1С 8.2 — мы ввели внешний контроль доступа через Яндекс.Ключи и MDM.
Стоимость — 40 000 рублей.
Штраф, который они избежали — 600 000 рублей.
Мой совет: не ждите идеальной системы.
Начните с того, что есть.
Хоть какое-то ограничение — уже лучше, чем полный доступ.
Проверка перед аудитом Роскомнадзора
Перед проверкой проведите внутренний аудит:
1. Войдите под учётной записью каждого сотрудника — проверьте, что он видит.
2. Убедитесь, что экспорт, печать, копирование — ограничены.
3. Проверьте, что логи аудита ведутся и хранятся.
4. Обновите политику обработки ПДн — добавьте описание ролей.
5. Проведите обучение сотрудников — под расписку.
Это займёт 1–2 дня.
Но спасёт от штрафа, блокировки и судебных исков.
Итог: доступ по ролям — это просто и обязательно
Вы не обязаны быть ИТ-гигантом.
Но вы обязаны обеспечить минимальный контроль доступа.
Это не про технологии.
Это про юридическую ответственность.
Настройте роли.
Скачайте шаблон.
И спите спокойно.
• Скачайте шаблон: «Таблица ролей доступа к ПДн»
• Поделитесь статьёй с ИТ-директором или руководителем
• Подпишитесь на legascom.ru — безопасность ПДн с 1999 года
