Защита ПДн при удалёнке: 5 правил для HR и IT (2026)
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За последние годы я помог десяткам компаний выстроить защиту персональных данных (ПДн) при удалённой работе. И почти в каждом случае HR и IT действовали по старинке — и рисковали получить штраф до 6 млн руб. по ст. 13.11 КоАП РФ.
В 2026 году требования 152 ФЗ распространяются на все форматы работы, включая удалёнку. В этой статье — только практика: 5 простых правил для HR и IT, которые защитят данные и компанию от претензий Роскомнадзора.
Правило 1. Ограничьте доступ к ПДн по принципу «минимальных привилегий»
Что сделать:
• HR: определите, кому из сотрудников действительно нужны ПДн (бухгалтерам, кадровикам).
• IT: настройте разграничение прав в CRM, HR системах, облаках.
Норма: ст. 18.1 152 ФЗ (меры по защите ПДн).
Пример: в 2025 году компания потеряла данные 500 сотрудников из за общего доступа к Google Таблице. После аудита IT отключил доступ всем, кроме отдела кадров.
Мой совет: раз в квартал проводите аудит прав доступа — удаляйте уволенных, меняйте роли.
Правило 2. Используйте защищённые каналы передачи данных
Что сделать:
• HR: отправляйте файлы с ПДн только через защищённые сервисы (корпоративная почта, шифрованные архивы).
• IT: внедрите VPN, двухфакторную аутентификацию (2FA), защищённые мессенджеры.
Норма: приказ Роскомнадзора № 178 (требования к защите ПДн).
Пример: в 2024 году суд оштрафовал фирму за утечку резюме соискателей — HR отправлял их через незащищённый email.
Важно: запретите передачу ПДн через личные мессенджеры и соцсети.
Правило 3. Обучите сотрудников правилам работы с ПДн
Что сделать:
• HR: проведите инструктаж по информационной безопасности для всех удалённых сотрудников.
• IT: подготовьте памятку — что можно, что нельзя.
Норма: ст. 86 ТК РФ (обязанности работодателя по защите ПДн работников).
Пример: компания из Екатеринбурга избежала штрафа, доказав, что все сотрудники прошли обучение и расписались в ознакомлении.
Мой комментарий: обучение — не формальность. Фиксируйте факт инструктажа.
Правило 4. Шифруйте данные на устройствах сотрудников
Что сделать:
• IT: включите шифрование дисков на ноутбуках, смартфонах, планшетах.
• HR: пропишите в трудовом договоре обязанность использовать шифрование.
Норма: 152 ФЗ, методические рекомендации ФСТЭК.
Пример: в 2025 году украденный ноутбук не принёс проблем компании — данные были зашифрованы.
Совет: используйте BitLocker (Windows), FileVault (macOS), встроенные средства мобильных ОС.
Правило 5. Регулярно обновляйте ПО и антивирус
Что сделать:
• IT: настройте автоматическое обновление ОС, антивируса, браузеров.
• HR: включите в правила внутреннего трудового распорядка пункт о запрете отключения антивируса.
Норма: приказ ФСТЭК № 21 (меры защиты информации).
Пример: фирма потеряла клиентскую базу из за устаревшего антивируса. После инцидента внедрили централизованное обновление.
Мой совет: назначьте ответственного за обновление ПО — пусть проверяет раз в неделю.
Заключение
Защита персональных данных при удалённой работе — обязанность компании по 152 ФЗ.
Чтобы избежать штрафов и утечек:
• Ограничьте доступ к ПДн по принципу минимальных привилегий.
• Используйте защищённые каналы передачи данных (VPN, 2FA).
• Обучите сотрудников правилам работы с ПДн и фиксируйте инструктажи.
• Шифруйте данные на всех устройствах сотрудников.
• Регулярно обновляйте ПО и антивирус — настройте автоматизацию.
Сделайте это сейчас — чем раньше внедрите правила, тем меньше рисков для компании и сотрудников.
Скачайте чек лист «5 правил защиты ПДн при удалёнке» (2026)
Поделитесь статьёй с коллегами — HR и IT специалистами
Подпишитесь на legascom.ru — разбираем сложное просто
