4 дыры в защите персональных данных сотрудников, которые должен закрыть HR в 2026 году

Вот важная новость с фронта ИИ: Ruslan_Nuriev 33 минуты назад 4 дыры в защите персональных данных сотрудников, которые должен закрыть HR в 2026 году Простой 8 мин 1. 4K Блог компании Directum Управление персоналом * Информационная безопасность * Социальные сети Мнение Привет! С вами Руслан Нуриев, методолог-аналитик компании Directum.

Хочу обсудить тему, игнорирование которой все чаще обходится компаниям очень дорого: безопасное хранение и передачу персональных данных кандидатов и сотрудников. Прольем свет на моменты из слепой зоны обработки ПДн в компании. Наметим конкретный план действий, которые помогут избежать претензий регулятора и снизить риск получения штрафов за утечку персональных данных.

Технические детали

Договоримся о терминахИ развеем заблуждения, из-за которых HR чаще всего попадает под риски. Обработка персональных данных (ПДн) в компании — это не только то, что «живет» в системе управления взаимоотношениями с клиентами (CRM). Это любое действие с резюме или документом сотрудника: получение резюме по почте, копирование ФИО в таблицу, отправка паспорта в чат, фотосъемка медсправки.

Персональные данные — это не только паспорт и ИНН. IP-адрес из веб-формы, фото из анкеты, геолокация из приложения, запись звонка в сервисе интервью — все это тоже ПДн. Данные о здоровье и биометрии относятся к специальным категориям, для которых действуют отдельные, более жесткие правила.

Почему HR нужно погрузиться в тему обработки ПДн в компанииВ последние годы регулятор радикально поднял планку взысканий. Штрафы за утечку персональных данных во многих случаях выросли в разы. За повторные происшествия появились оборотные санкции — до 3% от оборота, но не более 500 млн рублей.

Отраслевые последствия

Для среднего бизнеса это десятки миллионов за один инцидент. Утечка информации специальных категорий (здоровье, биометрия) будет «стоить» 10–15 млн рублей в зависимости от ее масштаба и состава нарушения. Если ситуация повторяется, включаются оборотные штрафы.

В тяжелых случаях риски уходят уже в уголовную плоскость. 1 УК РФ предусматривает ответственность физлица за неправомерный доступ к защищенной компьютерной информации. Конкретный HR-менеджер, который допустил утечку или создал условия для нее (например, оставил неограниченный доступ к папкам или отправил базу «не туда»), рискует уже не только KPI и бонусами, но и личной ответственностью.

Типичная ситуация передачи данных кандидатов выглядит так: на корпоративную почту приходит резюме. Рекрутер пересылает его нанимающему менеджеру в чат, тот оправляет дальше руководителю. Последний открывает файл на личном телефоне — и резюме «уезжает» в галерею, а затем в личное облако.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.