Zoom, Teams, Яндекс.Эфир и ПДн: риски и решения 2026
Я - Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить защиту персональных данных при использовании цифровых инструментов. В этой статье - разбор рисков Zoom, Teams и Яндекс.Эфира для ПДн и готовые решения на 2026 год.
Почему онлайн платформы - это риск для ПДн?
При проведении онлайн встреч через Zoom, Teams или Яндекс.Эфир вы передаёте:
• персональные данные участников (Ф.И.О., email, IP адрес);
• аудио и видеозаписи (биометрические ПДн);
• содержимое чатов и файлов (специальные категории ПДн, коммерческая тайна).
Правовое основание: ст. 3, 6, 18 152 ФЗ; ст. 6 GDPR.
Мой совет: если на встрече обсуждаются персональные данные (например, зарплатные проекты, медицинские диагнозы), считайте всё происходящее обработкой ПДн - и действуйте по закону.
Риски по сервисам
Zoom:
• Серверы в США - подпадают под Patriot Act (доступ спецслужб без уведомления компании).
• По умолчанию записи хранятся в облаке Zoom (не всегда с шифрованием).
• Риск утечки ссылок на встречи («зум бомбинг»).
Teams:
• Интеграция с Microsoft 365 - данные могут синхронизироваться с другими сервисами.
• Настройки приватности по умолчанию не всегда защищают ПДн.
• Корпоративные аккаунты требуют строгого контроля доступа.
Яндекс.Эфир:
• Данные хранятся на серверах Яндекса в РФ - это плюс для 152 ФЗ.
• Но автоматическая обработка данных (например, транскрибация) может нарушать согласие на обработку ПДн.
• Ограниченный контроль над настройками шифрования.
На практике: в 2025 году суд оштрафовал компанию на 60 000 руб. за проведение Zoom конференции с обсуждением зарплат без согласия сотрудников (ст. 13.11 КоАП РФ).
Какие решения работают?
Пошагово:
1. Оцените необходимость. Если ПДн не нужны - проводите встречи без них (анонимно, без записи).
2. Получите согласие. Перед встречей с обработкой ПДн подпишите с участниками:
Согласие на обработку ПДн (укажите цель: «проведение онлайн конференции»).
Соглашение о конфиденциальности (NDA), если обсуждаются коммерческие тайны.
3. Настройте платформу:
Включите сквозное шифрование (E2EE) в Zoom.
Ограничьте доступ по паролю и ссылке приглашению.
Отключите автоматическую запись и транскрибацию.
4. Закрепите правила локально. Издайте приказ о порядке использования онлайн платформ:
Какие сервисы разрешены.
Кто отвечает за настройки безопасности.
Как хранить и удалять записи.
5. Используйте российские аналоги для чувствительных данных (например, TrueConf или Webinar).
Мой совет: раз в квартал проверяйте настройки приватности всех используемых сервисов - они часто обновляются.
Частые ошибки
• Проводят встречи с ПДн без согласия участников.
• Делятся ссылками на встречи в открытых чатах.
• Хранят записи с ПДн дольше срока, указанного в согласии.
• Не обновляют ПО - остаются уязвимости.
Пример из практики: в 2024 году утечка записи Teams конференции с персональными данными клиентов привела к иску на 500 000 руб.
Как проверить соответствие 152 ФЗ и GDPR?
Пошаговая проверка для вашей компании:
1. Инвентаризация данных. Составьте список:
какие ПДн обрабатываются на встречах (Ф.И.О., email, биометрия);
где хранятся записи (облако Zoom, локальный диск, Яндекс.Диск);
кто имеет доступ (сотрудники, подрядчики, администраторы).
2. Документы:
Согласие на обработку ПДн (с указанием цели «проведение онлайн конференции»).
Политика обработки ПДн (раздел о дистанционных встречах).
Соглашение о конфиденциальности (для чувствительных данных).
3. Настройки платформ:
Zoom: включите E2EE, отключите автозапись, установите пароль для встреч.
Teams: ограничьте доступ к записям, настройте права администратора, отключите синхронизацию с OneDrive.
Яндекс.Эфир: отключите транскрибацию, храните записи локально, используйте приватные комнаты.
4. Локальные акты:
Приказ о порядке использования онлайн платформ.
Инструкция для сотрудников (как создавать безопасные встречи).
Журнал учёта доступа к записям.
5. Аудит. Раз в 6 месяцев:
проверяйте актуальность согласий;
удаляйте устаревшие записи (срок - как в согласии);
обновляйте ПО и настройки приватности.
Мой совет: назначьте ответственного за ПДн в IT отделе - это снизит риски нарушений.
Что делать, если утечка уже произошла?
Алгоритм действий:
1. Локализация. Отзовите доступ к записи, удалите её из облака.
2. Уведомление. В течение 24 часов сообщите в Роскомнадзор (форма на сайте РКН).
3. Расследование. Создайте комиссию, выясните причину (взлом, ошибка сотрудника и т. п.).
4. Компенсация. Предложите пострадавшим участникам меры поддержки (например, мониторинг кредитных историй).
5. Профилактика. Внедрите двухфакторную аутентификацию и обучение сотрудников.
На практике: в 2025 году компания избежала штрафа, оперативно сообщив о утечке записи Zoom конференции и удалив данные из публичного доступа.
Заключение
Использование Zoom, Teams, Яндекс.Эфира для онлайн встреч с ПДн требует соблюдения 152 ФЗ и GDPR. Ключевые правила:
• Согласие на обработку ПДн - обязательно, если обсуждаются персональные данные.
• Настройки приватности - включайте шифрование, ограничивайте доступ, отключайте автозапись.
• Локальные документы - политика, приказы, соглашения - должны отражать использование платформ.
• Аудит и обучение - регулярные проверки и тренинги снижают риски.
Ваше действие прямо сейчас:
1. Проверьте настройки приватности в Zoom, Teams и Яндекс.Эфире.
2. Подготовьте шаблон согласия на обработку ПДн для онлайн встреч.
3. Проведите инструктаж сотрудников: «10 правил безопасной конференции».
4. Назначьте ответственного за соблюдение 152 ФЗ при использовании цифровых платформ.
Если нужна помощь - команда «ЛЕГАС» готова:
• проанализируем ваши процессы обработки ПДн;
• подготовим пакет документов (согласия, политики, приказы);
• проведём аудит настроек безопасности платформ;
• представим интересы в РКН при проверках.
• Скачайте чек лист «Безопасная онлайн встреча: 10 шагов» (2026) - проверьте настройки Zoom, Teams, Яндекс.Эфира за 5 минут.
• Поделитесь статьёй с IT директором, HR менеджером или юристом - возможно, это поможет избежать штрафа.
• Подпишитесь на legascom.ru - разбираем сложные правовые вопросы просто: от защиты ПДн до кибербезопасности.
• Запишитесь на аудит - юристы «ЛЕГАС» проверят ваши процессы обработки ПДн и дадут рекомендации по настройке платформ.
